Cloudflare पर होस्ट की गई वेबसाइट काटो फ़ायरवॉल को बायपास करती है

समस्या

Cloudflare पर होस्ट की गई वेबसाइट्स पर काटो फ़ायरवॉल नियम लागू नहीं कर पाता है। उदाहरण के लिए, वेबसाइट research.cloudflare.com, जिसे डेटाबेस के रूप में वर्गीकृत किया गया है, को अनुमति दी जा रही है, हालांकि इस श्रेणी को अवरुद्ध करने वाला एक फ़ायरवॉल नियम है।

संबंधित CMA घटना एक भिन्न डोमेन नाम, cloudflare-ech.com, दिखाती है, जो लक्षित साइट से मेल नहीं खाती और फ़ायरवॉल नियम को बायपास करती है। यह घटना वेबसाइट के गंतव्य IP पते को फ़िल्टर करके पाई जा सकती है।

पर्यावरण

• फ़ायरवॉल नियम जो एक विशिष्ट श्रेणी को अवरुद्ध करता है।
• कोई TLS निरीक्षण सक्षम नहीं है।

समस्या निवारण

घटना में डोमेन नाम cloudflare-ech.com की उपस्थिति यह संकेत करती है कि एन्क्रिप्टेड क्लाइंट हैलो (ECH) प्रोटोकॉल का उपयोग किया जा रहा है।

ECH क्या है?

जैसा कि Cloudflare दस्तावेज़ में वर्णित है, ECH TLS क्लाइंट हैलो पैकेट के कुछ भागों को एन्क्रिप्ट करता है, जिसमें सर्वर नाम संकेत (SNI) को मास्क करना शामिल है, जिसका आमतौर पर TLS सत्र स्थापित करने के लिए उपयोग किया जाता है। इसका मतलब है कि जबकि काटो Cloudflare के साथ कनेक्शन देखता है, यह विशेष वेबसाइट की पहचान नहीं कर सकता है। इसके काम करने के लिए क्लाइंट और वेबसाइट दोनों को ECH का समर्थन करना चाहिए।

ECH कैसे काम करता है

1. सार्वजनिक कुंजी वितरण: सर्वर एक सार्वजनिक कुंजी (ECH विन्यास के भीतर) DNS के माध्यम से साझा करते हैं, अक्सर DoH (HTTPS पर DNS) या DoT (TLS पर DNS) जैसे सुरक्षित DNS प्रोटोकॉल का उपयोग करते हुए। हालांकि, अनएन्क्रिप्टेड DNS को भी UDP के माध्यम से उपयोग किया जा सकता है। यह कुंजी क्लाइंट द्वारा क्लाइंट हैलो संदेश को एन्क्रिप्ट करने के लिए उपयोग की जाती है। नीचे ECH कॉन्फ़िगरेशन वाली एक HTTPS-प्रकार की DNS उत्तर का एक उदाहरण है।
   
2. क्लाइंट हैलो एन्क्रिप्शन: कनेक्ट करते समय, क्लाइंट, SNI जैसे क्लाइंट हैलो के संवेदनशील भागों को सर्वर की सार्वजनिक कुंजी का उपयोग करके एन्क्रिप्ट करता है। यह जानकारी केवल सर्वर द्वारा ही डिक्रिप्ट की जा सकती है। एक अनएन्क्रिप्टेड बाहरी क्लाइंट हैलो भी प्रसारित किया जाता है, जो एक डिफ़ॉल्ट SNI जैसे सामान्य जानकारी प्रदर्शित करता है, जो असली लक्ष्य को प्रकट नहीं कर सकता है। नीचे दिए उदाहरण में, डिफ़ॉल्ट SNI है cloudflare-ech.com
   
3. फॉलबैक तंत्र: यदि ECH का समर्थन किया जाता है, तो सर्वर एन्क्रिप्टेड क्लाइंट हैलो को प्रोसेस करता है, और कनेक्शन जारी रहता है। अगर नहीं, तो एक फॉलबैक तंत्र कनेक्शन को अनएन्क्रिप्टेड क्लाइंट हैलो के साथ पुनः प्रयास करता है, पारंपरिक TLS 1.3 सर्वरों के साथ पिछड़े कम्पैटिबिलिटी को बनाए रखते हुए।

समाधान

काटो फिलहाल ECH का समर्थन नहीं करता है, इसलिए आपके नेटवर्क सेटअप के आधार पर निम्नलिखित उपायों की सिफारिश की जाती है कि बिना एन्क्रिप्टेड-SNI TLS कनेक्शनों पर फॉलबैक किया जाए:

• इंटरनेट फ़ायरवॉल में DoH, DoT, और QUIC प्रोटोकॉल को अवरोधित करें। यह ECH कॉन्फ़िगरेशन का आदान-प्रदान करने के लिए सुरक्षित DNS प्रोटोकॉल के उपयोग को रोक देगा।
  
• ब्राउज़र के आधार पर, क्लाइंट ECH कॉन्फ़िगरेशन का आदान-प्रदान करने के लिए UDP-आधारित DNS पर लौट सकता है। यदि ऐसा है, तो प्रभावित साइट्स या उपयोगकर्ता के लिए TLS निरीक्षण को सक्षम करें। ECH मैन-इन-द-मिडिल (MITM) तकनीकों का समर्थन नहीं करता है, इसलिए कनेक्शन बिना एन्क्रिप्टेड SNI का उपयोग करने के लिए वापस गिर जाएगा।
• अंतिम उपाय के रूप में, इंटरनेट फ़ायरवॉल में डोमेन cloudflare-ech.com को अवरुद्ध करें। यह ब्राउज़र को बिना एन्क्रिप्टेड SNI का उपयोग करने के लिए फॉलबैक करने के लिए मजबूर करेगा, जिससे सही फ़ायरवॉल नियम लागू हो सके।