नेटवर्क स्कैनर रिपोर्ट्स अप्रत्याशित खुले TCP पोर्ट्स

मुद्दा

एक नेटवर्क स्कैनर ने साइट्स के बीच WAN पर खुले TCP पोर्ट्स का पता लगाया है, इन्हें आंतरिक होस्ट्स पर रिपोर्ट किया गया है जो मौजूद नहीं हैं।

पर्यावरण

• साइट्स के बीच अनुमत या अवरुद्ध TCP कनेक्शन।
• खाते या साइट स्तर पर WAN ट्रैफ़िक के लिए SYN पर TCP त्वरक सक्षम किया गया

समस्या निवारण

साइट्स के बीच TCP कनेक्शन पर TCP प्रॉक्सी का प्रभाव हो सकता है, जैसा कि Cato TCP त्वरक और सर्वोत्तम प्रथाएं समझाते हुए उल्लेख किया गया है। व्यवहार इस बात पर निर्भर करेगा कि वैन फायरवॉल द्वारा TCP कनेक्शन की अनुमति दी गई है या अवरोधित किया गया है और शामिल TCP प्रॉक्सी मोड।

यह निर्धारित करने के लिए CMA घटनाएँ समीक्षा करें कि क्या TCP कनेक्शन को अनुमति दी गई थी या अवरोधित किया गया था।

अनुमत TCP कनेक्शन

Cato क्लाउड पर WAN ट्रैफ़िक उन्नत विन्यास पृष्ठ पर WAN ट्रैफ़िक के लिए SYN पर TCP त्वरक सेटिंग द्वारा नियंत्रित दो उपलब्ध TCP प्रॉक्सी मोड के साथ काम करता है (अधिक जानकारी समाधान अनुभाग में)।

यह मोड प्रत्येक कनेक्शन के लिए पहला SYN पैकेट प्राप्त होने पर तुरंत TCP प्रॉक्सी शुरू करता है। यह सभी ट्रैफिक पर TCP प्रॉक्सी को त्वरक सेटिंग्स के बावजूद लागू करता है।
परिणामस्वरूप, यहां तक कि यदि गंतव्य आईपी SYN-ACK के साथ जवाब नहीं देता है, PoP नेटवर्क स्कैनर के साथ 3-तरफा हैंडशेक पूरा करता है। यह गलत सकारात्मक की ओर ले जा सकता है, जहाँ स्कैनर अप्रत्याशित होस्ट्स पर खुले TCP पोर्ट्स की रिपोर्ट करता है।

मूल WAN TCP बातचीत को संरक्षित करना और TCP प्रॉक्सी को विलंबित करना

इस मोड में, गंतव्य IP के साथ TCP हैंडशेक पूरा होने के बाद TCP प्रॉक्सी को विलंबित किया जाता है। त्वरक सेटिंग्स के बावजूद TCP प्रॉक्सी लागू नहीं किया जाता।

स्कैनर के साथ 3-तरफा हैंडशेक तभी होता है जब गंतव्य आईपी SYN-ACK के साथ उत्तर देता है।

TCP प्रॉक्सी मोड की पहचान करना

सक्रिय TCP प्रॉक्सी मोड की पहचान वैन फायरवॉल घटनाओं के माध्यम से सीधे की जा सकती है। 'TCP त्वरक = 1' का अर्थ है कि पूर्ण WAN TCP प्रॉक्सी को ट्रिगर किया गया।

नवंबर 2023 से, पूर्ण WAN TCP प्रॉक्सी नए खाते के लिए डिफ़ॉल्ट मोड है। इस तारीख से पहले बनाए गए खातों के लिए, मूल WAN TCP बातचीत को संरक्षित करना डिफ़ॉल्ट मोड है।

अवरुद्ध TCP कनेक्शन

Cato क्लाउड पर अवरुद्ध WAN ट्रैफ़िक पूर्ण WAN TCP प्रॉक्सी मोड का उपयोग करेगा, जिसमें PoP नेटवर्क स्कैनर के साथ 3-तरफा हैंडशेक पूरा करता है, लेकिन गंतव्य को कोई SYN पैकेट नहीं भेजा जाता। इस दृष्टिकोण का उपयोग स्रोत को एक अवरोधित पृष्ठ प्रदान करने के लिए किया जाता है।

समाधान

अनुमत TCP कनेक्शन के लिए

प्रशासक WAN ट्रैफ़िक के लिए SYN पर TCP एक्सेलेरेशन सेटिंग को समायोजित करके WAN TCP प्रॉक्सी मोड को संशोधित कर सकते हैं, जो कि खाते और साइट स्तर पर लागू होता है।

• चालू - पूर्ण WAN TCP प्रॉक्सी।
• बंद/अक्षम - मूल WAN TCP मोलभाव को बनाए रखना और TCP प्रॉक्सी को विलंबित करना।

पूर्ण WAN TCP प्रॉक्सी मोड इष्टतम प्रदर्शन के लिए सिफारिश की जाती है। हालांकि, प्रशासक आवश्यकतानुसार इस मोड को अक्षम कर सकते हैं ताकि खुले TCP पोर्ट के लिए गलत सकारात्मक से बचा जा सके।

पोर्ट TCP/443 पर गलत सकारात्मक को रोकने के लिए, यह सुनिश्चित करें कि TLS निरीक्षण अक्षम किया गया है। वैकल्पिक रूप से, आप Cato समर्थन से संपर्क कर सकते हैं ताकि नेटवर्क स्कैनर के IP पते को श्वेतसूची में जोड़ने के लिए सिस्टम को विन्यस्त करें, इससे प्रभावी रूप से गलत सकारात्मक को रोका जा सके।

अवरुद्ध TCP कनेक्शन के लिए

अवरुद्ध TCP कनेक्शन में 3-तरफा हैंडशेक व्यवहार पूर्ण WAN TCP प्रॉक्सी मोड के तहत अपेक्षित होता है। हालांकि, यदि यह व्यवहार समस्याग्रस्त है, तो आप Cato समर्थन से संपर्क कर सकते हैं ताकि प्रणाली को स्कैनर के साथ हैंडशेक पूरा करने के बजाय पहले TCP पैकेट को गिराने के लिए कॉन्फ़िगर करें। यह पारंपरिक नियमों पर लागू होता है, जैसा कि पारंपरिक बनाम NG फ़ायरवॉल नियम में बताया गया है।