यह लेख बताता है कि आपके नेटवर्क की विशिष्ट आवश्यकताओं को पूरा करने के लिए TLS निरीक्षण नीति को कैसे कॉन्फ़िगर और अनुकूलित किया जाए।
आजकल अधिकांश नेटवर्क ट्रैफ़िक एन्क्रिप्टेड होता है (TLS, HTTPS), जो अक्सर IPS, इंटरनेट फ़ायरवॉल, एप्लिकेशन नियंत्रण नीति, और एंटी-मैलवेयर ट्रैफ़िक स्कैन के लाभ को न्यूनतम कर देता है। यदि ट्रैफ़िक में हानिकारक सामग्री है, तो यह भी एन्क्रिप्टेड है और Cato सुरक्षा इंजन इसका निरीक्षण या स्कैन नहीं कर सकते।
जब आप अपने अकाउंट के लिए TLS निरीक्षण सक्षम करते हैं, तो Cato सुरक्षित रूप से उस ट्रैफ़िक को डिक्रिप्ट करता है जो PoP से गुजरता है और Cato सुरक्षा इंजन इसे मैलवेयर के लिए निरीक्षण करते हैं और डाउनलोड की गई फाइलों को स्कैन करते हैं। यदि ट्रैफ़िक की सामग्री को सुरक्षित के रूप में पुष्टि की जाती है, तो Cato ट्रैफ़िक को पुन: एन्क्रिप्ट करता है और इसे गंतव्य पर अग्रेषित करता है। हालांकि, यदि सामग्री में वास्तविक या संदिग्ध मैलवेयर होता है, तो Cato सुरक्षा इंजन ट्रैफ़िक को ब्लॉक कर देते हैं।
आप सभी ट्रैफ़िक का निरीक्षण करने वाली डिफ़ॉल्ट Cato नीति का उपयोग करने के लिए चुन सकते हैं। आप विशिष्ट TLS निरीक्षण नियम भी बना सकते हैं जो परिभाषित करते हैं कि कौन सा ट्रैफ़िक निरीक्षण किया जाता है और कौन सा ट्रैफ़िक TLS निरीक्षण को बायपास करता है।
नोट
नोट: डिफ़ॉल्ट रूप से, इन ऑपरेटिंग सिस्टम्स के लिए TLS निरीक्षण को बायपास किया जाता है:
-
Android (सर्टिफ़िकेट पिनिंग से संबंधित मुद्दों के कारण)
-
Linux
-
ज्ञात नहीं ऑपरेटिंग सिस्टम्स
Cato कुछ एप्लिकेशन्स को अप्रत्यक्ष बायपास नियम में शामिल करता है, जो स्वचालित रूप से TLS निरीक्षण से बाहर के होते हैं। इन अनुप्रयोगों की सूची के लिए नीचे देखें डिफ़ॉल्ट बाईपास नियम.
TCP और TLS हैंडशेक के कारण शुरुआती कनेक्शन पर कुछ न्यूनतम विलंब अपेक्षित है जो डेटा के सही नेटवर्क या सुरक्षा इंजन में प्रवाहित होने से पहले होते हैं। This latency is up to 8 milliseconds per packet.
TLS निरीक्षण इंजन क्रमवार तरीके से कनेक्शन की जांच करता है और यह देखता है कि कनेक्शन कोई नियम से मेल खाता है या नहीं। नियम आधार में अंतिम नियम एक डिफ़ॉल्ट अप्रत्यक्ष ANY - ANY निरीक्षण नियम है - इसलिए यदि कोई कनेक्शन किसी भी नियम से मेल नहीं खाता, तो इसे स्वचालित रूप से निरीक्षण किया जाता है।
आप नियम आधार के अंत में डिफ़ॉल्ट नियम अनुभाग में डिफ़ॉल्ट नियम सेटिंग्स की समीक्षा कर सकते हैं। नियम सेटिंग्स को संपादित नहीं किया जा सकता, केवल अविश्वसनीय सर्वर प्रमाणपत्र क्रिया को छोड़कर। अविश्वसनीय सर्वर प्रमाण पत्र क्रिया के बारे में अधिक जानने के लिए, नीचे देखें TLS निरीक्षण नीति को अनुकूलित करने के लिए नियम जोड़ना.
नियम आधार के शीर्ष पर स्थित नियमों की उच्च प्राथमिकता होती है क्योंकि वे कनैक्शन पर उन नियमों से पहले लागू की जाती हैं जो नियम आधार में नीचे होते हैं। उदाहरण के लिए, यदि एक कनेक्शन नियम #2 से मेल खाता है, तो इस नियम के लिए कार्यवाही को कनेक्शन पर लागू किया जाता है और TLS निरीक्षण इंजन इस कनेक्शन पर नीति लागू करना बंद कर देता है। इसका अर्थ है कि नियम #3 और उसके नीचे के नियम को कनेक्शन पर लागू नहीं किया जाता है।
TLS निरीक्षण नियम आपको TLS ट्रैफ़िक के लिए निरीक्षण या बाईपास कार्यवाही का उपयोग करने देते हैं।
Inspect कार्यवाही का उपयोग उन TLS निरीक्षण नियमों को निर्दिष्ट करने के लिए करें जो कनेक्शन को डिक्रिप्ट करते हैं और संबंधित सुरक्षा इंजन को दोषपूर्ण सामग्री के लिए ट्रैफ़िक का निरीक्षण करने देते हैं।
वह ट्रैफ़िक जिसे TLS निरीक्षण नियमों को पास करने के लिए बाईपास करना होता है उसे परिभाषित करने के लिए Bypass कार्यवाही का उपयोग करें। बाईपास किया गया ट्रैफ़िक Cato सुरक्षा इंजनों द्वारा निरीक्षण के लिए डिक्रिप्ट नहीं किया जाता है। याद रखें कि एक बाईपास नियम केवल उसी कनेक्शन को बाहर करता है जो नियम आधार में ऊपरी निरीक्षण नियम से मेल नहीं खाता।
आप एक बाईपास नियम की प्राथमिकता बदल सकते हैं ताकि इसे निरीक्षण नियम की तुलना में उच्च प्राथमिकता प्राप्त हो सके।
अपने खाते में सभी ट्रैफ़िक के लिए TLS निरीक्षण नीति कॉन्फ़िगर करने के लिए TLS निरीक्षण नीति विंडो का उपयोग करें। आप सभी ट्रैफ़िक का निरीक्षण करने वाली डिफ़ॉल्ट नीति का उपयोग करने का चयन कर सकते हैं, या एक कस्टम नीति बनाने के लिए निरीक्षण और बाईपास नियम जोड़ सकते हैं।
एकाधिक आइटम के साथ कार्य करना
जब Source या What फ़ील्ड में एकाधिक आइटम होते हैं, जैसे कि दो समूह या श्रेणियाँ, तो इन आइटमों के बीच OR संबंध होता है।
एंड-यूज़र डिवाइसेस पर Cato रूट प्रमाणपत्र इंस्टॉल करना
प्रत्येक डिवाइस और कंप्यूटर पर Cato रूट प्रमाणपत्र को एक विश्वासनीय प्रमाणपत्र के रूप में इंस्टॉल किया जाना चाहिए जो Cato Cloud से जुड़ता है। Cato प्रमाण पत्र स्थापित करने के बारे में अधिक जानकारी के लिए, देखें TLS निरीक्षण के लिए रूट प्रमाण पत्र स्थापित करना.
-
Cato प्रमाणपत्र अधिकांश एम्बेडेड ऑपरेटिंग सिस्टम (OS) पर स्थापित नहीं किया जा सकता है, इसलिए जब TLS निरीक्षण सक्षम होता है तो कई उपकरण जो एम्बेडेड OS का उपयोग करते हैं, कनेक्टिविटी खो देते हैं। TLS निरीक्षण के लिए Cato किन OS का सपोर्ट करता है, इसके बारे में और जानने के लिए, देखें TLS निरीक्षण के लिए सर्वोत्तम प्रथाएँ.
QUIC और GQUIC गूगल द्वारा विकसित ट्रांसपोर्ट प्रोटोकॉल हैं जो TCP कनेक्शन पर काम नहीं करते, और TLS निरीक्षण सेवा द्वारा इन प्रोटोकॉल का उपयोग करने वाले ट्रैफ़िक का निरीक्षण नहीं किया जा सकता। इसलिए हम अनुशंसा करते हैं कि TLS निरीक्षण सक्षम करने वाले खाते इंटरनेट फ़ायरवॉल नियमों का उपयोग करके QUIC और GQUIC ट्रैफ़िक को ब्लॉक करें। इस ट्रैफ़िक को ब्लॉक करने वाले नियम प्रवाह को केवल उन प्रोटोकॉल का उपयोग करके कनेक्ट करने के लिए मजबूर करते हैं जिनका TLS निरीक्षण सेवा द्वारा निरीक्षण किया जा सकता है। यदि आप QUIC और GQUIC प्रोटोकॉल का उपयोग करके ट्रैफ़िक की अनुमति देते हैं, तो प्रवाह की जाँच नहीं की जा सकती है और इसे अनावश्यक रूप से ब्लॉक कर दिया जाता है।
पहली बार जब आप TLS निरीक्षण नीति को सक्षम करते हैं, तो QUIC और GQUIC ट्रैफ़िक को ब्लॉक करने के लिए नियम स्वतः इंटरनेट फ़ायरवॉल नीति में जोड़ दिए जाते हैं। यदि इंटरनेट फ़ायरवॉल नीति पहले से ही QUIC ट्रैफ़िक को ब्लॉक कर रही है ताकि इसे सही ढंग से जांचा जा सके, तो कोई नए नियम नहीं जोड़े जाते।
QUIC और GQUIC ट्रैफ़िक के बारे में अधिक जानकारी के लिए, देखें इंटरनेट और WAN फ़ायरवॉल नीतियाँ - सर्वोत्तम प्रथाएँ.
डिफ़ॉल्ट Cato TLS निरीक्षण नीति सभी ट्रैफ़िक का निरीक्षण करती है (स्वचालित रूप से बाईपास की गईं एप्लिकेशन को छोड़कर)। आप TLS निरीक्षण को सक्षम करके डिफ़ॉल्ट नीति का उपयोग कर सकते हैं और नीति में कोई नियम जोड़ने की आवश्यकता नहीं है।
एक अंतिम निहित नियम है जो सभी ट्रैफ़िक को निरीक्षण क्रिया के साथ मेल खाता है।
आप अपनी संस्था की जरूरतों के अनुसार केवल विशिष्ट ट्रैफ़िक प्रकारों का निरीक्षण करने के लिए TLS निरीक्षण नीति को अनुकूलित कर सकते हैं। यह परिभाषित करने के लिए कि कौन सा ट्रैफ़िक डिक्रिप्ट और निरीक्षण किया गया है, इंस्पेक्ट और बायपास क्रियाओं के साथ नीति में नियम जोड़ें।
-
Cato Cloud द्वारा संदेहास्पद और दुर्भावनापूर्ण सामग्री के लिए निरीक्षण किए जाने वाले ट्रैफ़िक को परिभाषित करने के लिए इंस्पेक्ट क्रिया के साथ नियम बनाएं।
-
Cato TLS निरीक्षण इंजन से विशिष्ट ट्रैफ़िक को बाहर करने के लिए बायपास क्रिया के साथ नियम बनाएं। उदाहरण के लिए, आप RingCentral एप्लिकेशन के लिए बायपास नियम जोड़ सकते हैं ताकि RingCentral ट्रैफ़िक को TLS निरीक्षण से बाहर रखा जा सके।
नियम बनाते समय, TLS ट्रैफ़िक के दायरे को परिभाषित करने के लिए स्रोत और क्या का उपयोग करें और यह कॉन्फ़िगर करने के लिए क्रिया का उपयोग करें कि नियम ट्रैफ़िक का निरीक्षण करता है या बाईपास करता है। सुनिश्चित करें कि बाईपास नियम को एक इनस्पेक्शन नियम की तुलना में (नियमबेस के शीर्ष के करीब) उच्च प्राथमिकता प्राप्त है जो समान ट्रैफ़िक से मेल खाता है। TLS निरीक्षण बाईपास नियम से मेल खाने वाला ट्रैफ़िक एंटी-मैलवेयर इंजन द्वारा सुरक्षा स्कैन से भी बाहर रखा जाता है।
जब आप इंस्पेक्ट क्रिया के साथ एक नियम कॉन्फ़िगर करते हैं, तो आपको यह भी परिभाषित करना होगा कि नियम कैसे अविश्वसनीय सर्वर प्रमाणपत्रों को संभालता है।
इस सेटिंग के लिए विकल्प निम्नलिखित हैं:
-
अनुमति दें - बिना विश्वास के प्रमाणपत्र के साथ साइट पर ट्रैफ़िक की अनुमति दी जाती है, और निरीक्षण किया जाता है (यह डिफ़ॉल्ट सेटिंग है)।
-
प्रॉम्प्ट - उपयोगकर्ताओं को यह पुष्टि करने के लिए प्रॉम्प्ट दिखाया जाता है कि वे जारी रखना चाहते हैं और गैर-विश्वसनीय प्रमाणपत्र के साथ साइट पर जाना चाहते हैं। यदि उपयोगकर्ता साइट पर जाता है, तो ट्रैफ़िक का निरीक्षण किया जाता है
-
ब्लॉक करें - बिना विश्वास के प्रमाणपत्र के साथ साइट पर ट्रैफ़िक अवरोधित किया जाता है
नोट
नोट: उन एप्लिकेशन के लिए जो TLS निरीक्षण को रोकने के लिए प्रमाणपत्र पिनिंग का उपयोग करते हैं, उन्हें एक बाइपास नियम में जोड़ें ताकि वे अंतिम उपयोगकर्ताओं के लिए सही ढंग से कार्य कर सकें।
TLS निरीक्षण नीति में नियम जोड़ने के लिए:
-
नेविगेशन मेनू से, सुरक्षा > TLS निरीक्षण पर क्लिक करें।
-
नई पर क्लिक करें।
-
नियम के लिए नाम दर्ज करें।
-
नियम को सक्षम या अक्षम करने के लिए सक्षम टॉगल का उपयोग करें।
सक्षम होने पर टॉगल हरा होता है
.
-
इस नियम के लिए नियम क्रम सेट करें।
-
स्रोत विस्तृत करें और स्रोत प्रकार का चयन करें।
-
प्रकार चुनें (उदाहरण के लिए: होस्ट, नेटवर्क इंटरफ़ेस, IP, कोई भी)। डिफ़ॉल्ट मान कोई भी है।
-
आवश्यक होने पर, उस प्रकार के लिए ड्रॉप-डाउन सूची से एक विशिष्ट ऑब्जेक्ट चुनें।
-
-
डिवाइस अनुभाग में, इस नियम से मेल खाने के लिए आवश्यक प्लेटफॉर्म, देश, डिवाइस आसन प्रोफाइल, और कनेक्शन उत्पत्ति कॉन्फ़िगर करें।
डिवाइस स्थितियों के बारे में अधिक जानने के लिए, TLS निरीक्षण के लिए डिवाइस स्थिति जोड़ना देखें।
-
नियम किस क्या पर लागू होता है, परिभाषित करें। उदाहरण के लिए, एक सेवा, एक एप्लिकेशन, एक कस्टम या पूर्वनिर्धारित श्रेणी।
-
निरीक्षण या बाईपास का चयन करके क्रिया कॉन्फ़िगर करें।
-
यदि आप निरीक्षण का चयन करते हैं, तो अविश्वसनीय सर्वर प्रमाणपत्र ड्रॉप-डाउन मेनू से, समस्याग्रस्त प्रमाणपत्रों के साथ यातायात के लिए कार्रवाई चुनें: अनुमति, ब्लॉक, या प्रॉम्प्ट। डिफ़ॉल्ट मान अनुमति है।
-
-
लागू करें पर क्लिक करें।
-
सहेजें पर क्लिक करें। TLS निरीक्षण नियम को नियमबेस में सहेजा गया है।
यह अनुभाग TLS निरीक्षण नीति में नियमों को प्रबंधित करने का तरीका बताता है, जिसमें शामिल हैं: नियम की प्राथमिकता बदलना, सक्षम करना, और नियमों को हटाना।
मिलान करने वाले कनेक्शन पर नियम की कार्रवाई कब लागू की जाएगी, यह निर्धारित करने के लिए नियम की प्राथमिकता बदलें। प्रत्येक कनेक्शन के लिए नियम क्रमिक रूप से लागू होते हैं, एक बार एक कनेक्शन नियम से मेल खाता है, तो कम प्राथमिकता वाले नियम उस पर लागू नहीं होते हैं।
TLS निरीक्षण नीति में व्यक्तिगत नियमों को सक्षम और अक्षम करने के लिए स्लाइडर का उपयोग करें।
आप TLS निरीक्षण नियम आधार से एक या अधिक नियम हटा सकते हैं। नियम हटाने के बाद, आप उन्हें पूर्ववत् या पुनर्स्थापित नहीं कर सकते।
Cato विशिष्ट ऐप्स, ऑपरेटिंग सिस्टम और क्लाइंट्स जो समस्याएं पैदा कर सकते हैं, को बाईपास करने वाले डिफ़ॉल्ट TLS निरीक्षण नियमों का प्रबंधन करता है। ये नियम रूलबेस के शीर्ष पर स्थित हैं और इन्हें संपादित नहीं किया जा सकता। TLS निरीक्षण नीति के लिए योजना बनाने और निर्णय लेने में आपकी मदद करने के लिए, आप डिफ़ॉल्ट बाइपास नियम अनुभाग में इन नियमों के सेटिंग्स देख सकते हैं।
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.