खाते के लिए TLS निरीक्षण नीति कॉन्फ़िगर करना

यह लेख बताता है कि अपने नेटवर्क की विशिष्ट आवश्यकताओं को पूरा करने के लिए TLS निरीक्षण नीति को कैसे कॉन्फ़िगर और अनुकूलित करें।

Cato TLS निरीक्षण नीति का अवलोकन

आज अधिकांश नेटवर्क ट्रैफ़िक एन्क्रिप्टेड (टीएलएस, HTTPS) है, जो अक्सर आईपीएस, इंटरनेट फ़ायरवॉल, एप्लिकेशन नियंत्रण नीति, और एंटी-मैलवेयर ट्रैफ़िक के साथ ट्रैफ़िक की स्कैनिंग के लाभ को कम करता है। यदि ट्रैफ़िक में हानिकारक सामग्री शामिल है, तो यह भी एन्क्रिप्टेड है और Cato सुरक्षा इंजन इसे निरीक्षण या स्कैन नहीं कर सकते हैं।

जब आप अपने खाते के लिए टीएलएस निरीक्षण सक्षम करते हैं, तो Cato PoP के माध्यम से गुजरने वाले ट्रैफ़िक को सुरक्षित रूप से डीक्रिप्ट करता है और Cato सुरक्षा इंजन इसे मैलवेयर के लिए निरीक्षण और डाउनलोड की गई फाइलों की स्कैनिंग करता है। अगर ट्रैफ़िक की सामग्री को सुरक्षित के रूप में पुष्टि की जाती है, तो Cato इसे फिर से एन्क्रिप्ट करता है और गंतव्य पर भेजता है। हालाँकि, यदि सामग्री में वास्तविक या संदिग्ध मैलवेयर शामिल है, तो Cato सुरक्षा इंजन ट्रैफ़िक को ब्लॉक कर देता है।

आप सभी ट्रैफ़िक का निरीक्षण करने वाली डिफ़ॉल्ट Cato नीति का उपयोग करने के लिए चुन सकते हैं। आप विशिष्ट टीएलएस निरीक्षण नियम भी बना सकते हैं जो परिभाषित करते हैं कि कौन सा ट्रैफ़िक निरीक्षित होता है और कौन सा ट्रैफ़िक टीएलएस निरीक्षण दरकिनार करता है।

tlsinspection.png

नोट

नोट: डिफ़ॉल्ट रूप से, टीएलएस निरीक्षण इन ऑपरेटिंग सिस्टम्स के लिए बायपास किया गया है:

  • एंड्रॉयड (प्रमाणपत्र पिनिंग से संबंधित मुद्दों के कारण)
  • लिनक्स
  • अज्ञात ऑपरेटिंग सिस्टम्स

अनुप्रयोगों के लिए Cato डिफ़ॉल्ट बायपास नियम

Cato कई अनुप्रयोगों को एक अंतर्निहित बायपास नियम में शामिल करता है जो स्वचालित रूप से टीएलएस निरीक्षण से बाहर किए गए हैं। इन अनुप्रयोगों की सूची के लिए, नीचे देखें डिफ़ॉल्ट बायपास नियम.

TLS निरीक्षण के लिए विलंबता

प्रारंभिक कनेक्शन पर कुछ न्यूनतम विलंबता अपेक्षित है क्योंकि टीसीपी और टीएलएस हैंडशेक होते हैं, जिससे डेटा PoP में उपयुक्त नेटवर्क या सुरक्षा इंजन की ओर प्रवाहित कर सकती है। यह विलंबता प्रति पैकेट 10 मिलीसेकंड तक होती है।

ऑर्डर किया गया TLS निरीक्षण नियम आधार के साथ काम करना

टीएलएस निरीक्षण इंजन कनेक्शनों को क्रमिक रूप से निरीक्षण करता है और जांचता है कि कनेक्शन नियम से मेल खाता है या नहीं। नियमबेस में अंतिम नियम एक डिफ़ॉल्ट अंतर्निहित ANY - ANY निरीक्षण नियम है - इसलिए यदि कोई कनेक्शन नियम से मेल नहीं खाता है, तो इसे स्वचालित रूप से निरीक्षण किया जाता है।

आप नियमबेस के अंत में डिफ़ॉल्ट नियम अनुभाग में डिफ़ॉल्ट नियम सेटिंग्स की समीक्षा कर सकते हैं। नियम सेटिंग्स को संपादित नहीं किया जा सकता है सिवाय अविश्वसनीय सर्वर प्रमाणपत्र कार्रवाई के। अविश्वसनीय सर्वर प्रमाणपत्र कार्रवाई के बारे में अधिक जानकारी के लिए, नीचे देखें टीएलएस निरीक्षण नीति को अनुकूलित करने के लिए नियम जोड़ना.

नियमबेस के शीर्ष पर स्थित नियमों की उच्च प्राथमिकता होती है क्योंकि वे नियमबेस में नीचे के नियमों से पहले कनेक्शनों पर लागू होते हैं। उदाहरण के लिए, यदि कोई कनेक्शन नियम #2 पर मेल खाता है, तो इस नियम की कार्रवाई कनेक्शन पर लागू होती है और टीएलएस निरीक्षण इंजन इस कनेक्शन पर नीति लागू करना बंद कर देता है। इसका मतलब है कि नियम #3 और नीचे कनेक्शन पर लागू नहीं होते हैं।

नीति संशोधन और एकाधिक व्यवस्थापकों द्वारा समवर्ती संपादन

टीएलएस निरीक्षण नीति विभिन्न व्यवस्थापक को नीति को समानांतर में संपादित करने की अनुमति देती है। प्रत्येक व्यवस्थापक अपने स्वयं के निजी संशोधन में नियमों को संपादित और बदल सकते हैं और फिर उन्हें खाते की नीति में प्रकाशित करते हैं (प्रकाशित संशोधन)। नीति संशोधनों का प्रबंधन करने के तरीके के बारे में अधिक जानकारी के लिए, देखें नीति संशोधनों के साथ कार्य करना.

टीएलएस निरीक्षण कॉन्फ़िगरेशन विजार्ड के साथ काम करना

टीएलएस निरीक्षण कॉन्फ़िगरेशन विजार्ड स्वायत्त तरीके से आपकी नीति की समीक्षा इन जांचों और अंतर्दृष्टियों का उपयोग करते हुए करता है। जब कोई जांच विफल होती है, तो आप विजार्ड में सीधे अपनी नीति की समीक्षा और अपडेट कर सकते हैं बिना व्यक्तिगत नियमों को संपादित किए। यह आपको सुरक्षित रहने में मदद करता है जबकि नीति प्रबंधन को सरल बनाता है। अधिक जानकारी के लिए, कॉन्फ़िगरेशन विजार्ड का उपयोग करना देखें।

TLS निरीक्षण नीति को समझना

अपने खाते में सभी ट्रैफ़िक के लिए TLS निरीक्षण नीति को कॉन्फ़िगर करने के लिए TLS निरीक्षण नीति पृष्ठ का उपयोग करें।

कई वस्तुओं के साथ काम करना

जब स्रोत या क्या फील्ड में कई वस्तुएं होती हैं, जैसे दो समूह या श्रेणियाँ, तो इन वस्तुओं के बीच का संबंध 'या' होता है।

multi-tlsrules.png

एंड-उपयोगकर्ता उपकरणों पर Cato रूट प्रमाणपत्र स्थापित करना

Cato रूट प्रमाणपत्र को Cato क्लाउड से जुड़ने वाले हर उपकरण और कंप्यूटर पर एक विश्वसनीय प्रमाणपत्र के रूप में स्थापित किया जाना चाहिए। Cato प्रमाणपत्र को स्थापित करने के बारे में अधिक जानकारी के लिए, देखें टीएलएस निरीक्षण के लिए रूट प्रमाणपत्र स्थापित करना.

  • Cato प्रमाणपत्र को अधिकांश एम्बेडेड ऑपरेटिंग सिस्टम (OS) पर स्थापित नहीं किया जा सकता है, इसलिए TLS निरीक्षण सक्षम होते समय कई एम्बेडेड OS उपयोग करने वाले उपकरण कनेक्टिविटी खो देते हैं। Cato किन ओएस को टीएलएस निरीक्षण के लिए समर्थन करता है, इस बारे में अधिक जानकारी के लिए, देखें टीएलएस निरीक्षण के लिए सर्वोत्तम प्रथाएं.

TLS संस्करणों और सिफर सूट्स को लागू करना

डिफ़ॉल्ट रूप से, सभी TLS संस्करण और सिफर सूट की अनुमति है। TLS निरीक्षण नीति आपके खाते के ट्रैफ़िक के लिए न्यूनतम TLS प्रोटोकॉल संस्करण और सिफर सूट शक्ति को लागू कर सकती है ताकि पुराने और असुरक्षित TLS संस्करणों को ब्लॉक करें या इन्क्रिप्टेड ट्रैफ़िक में कमजोर सिफर सूट के उपयोग को रोकें।

सिफर सूट कॉन्फ़िगरेशन विकल्पों को Mozilla की अनुशंसित सेटिंग्स के आधार पर तीन स्तरों में विभाजित किया गया है। कुछ TLS संस्करण कुछ स्तरों के साथ संगत नहीं हैं। अधिक जानकारी और प्रत्येक स्तर में सिफर सूट्स की सूची के लिए, Mozilla दस्तावेज़ीकरण देखें।

TLS निरीक्षण के लिए QUIC और GQUIC ट्रैफ़िक को अवरुद्ध करना

QUIC और GQUIC गूगल द्वारा विकसित परिवहन प्रोटोकॉल हैं जो TCP कनेक्शनों पर संचालित नहीं होते, और इन प्रोटोकॉल का उपयोग करने वाला ट्रैफिक TLS निरीक्षण सेवा द्वारा निरीक्षित नहीं किया जा सकता। इसलिए हम अनुशंसा करते हैं कि TLS निरीक्षण को सक्षम करने वाले खाते इंटरनेट फ़ायरवॉल नियमों का उपयोग करके QUIC और GQUIC ट्रैफिक को ब्लॉक करें। ये नियम इस प्रकार के ट्रैफिक को केवल उन प्रोटोकॉलों के उपयोग से जुड़ने पर मजबूर करते हैं, जिन्हें TLS निरीक्षण सेवा द्वारा निरीक्षण किया जा सकता है। अगर आप QUIC और GQUIC प्रोटोकॉल का उपयोग करने वाले ट्रैफिक की अनुमति देते हैं, तो प्रवाह को निरीक्षण नहीं किया जा सकता और अनावश्यक रूप से ब्लॉक किया जाता है।

जब आप पहली बार TLS निरीक्षण नीति को सक्षम करते हैं, तो QUIC और GQUIC ट्रैफिक को ब्लॉक करने के नियम इंटरनेट फ़ायरवॉल नीति में स्वचालित रूप से जोड़ दिए जाते हैं। यदि इंटरनेट फ़ायरवॉल नीति पहले से ही QUIC ट्रैफिक को ब्लॉक कर रही है ताकि इसे सही तरीके से निरीक्षण किया जा सके, तो कोई नया नियम नहीं जोड़ा जाता।

QUIC और GQUIC ट्रैफ़िक के बारे में अधिक जानकारी के लिए, देखें इंटरनेट और WAN फ़ायरवॉल नीतियाँ – सर्वोत्तम प्रथाएं.

TLS निरीक्षण नीति को विन्यस्त करना

जब आप TLS निरीक्षण नीति कॉन्फ़िगर करते हैं, तो आप डिफ़ॉल्ट Cato TLS निरीक्षण नीति सक्षम कर सकते हैं या अपनी खुद की नियम जोड़कर नीति को अनुकूलित कर सकते हैं।

डिफ़ॉल्ट TLS निरीक्षण नीति का उपयोग करना

डिफ़ॉल्ट Cato TLS निरीक्षण नीति सभी ट्रैफ़िक का निरीक्षण करती है (स्वचालित रूप से बाईपास की गई अनुप्रयोगों को छोड़कर)। आप TLS निरीक्षण को सक्षम करके डिफ़ॉल्ट नीति का उपयोग कर सकते हैं और आपको नीति में किसी भी नियम को जोड़ने की आवश्यकता नहीं है।

एक अंतिम अनुप्रयोज्य नियम है जो सभी ट्रैफ़िक को निरीक्षण कार्रवाई के साथ मेल करता है।

डिफ़ॉल्ट Cato TLS निरीक्षण नीति का उपयोग करने के लिए:

  1. नेविगेशन मेनू से, क्लिक करें सुरक्षा > TLS निरीक्षण
  2. TLS निरीक्षण सक्षम करें स्लाइडर पर क्लिक करें।
  3. सहेजें पर क्लिक करें। डिफ़ॉल्ट नीति का उपयोग करके TLS निरीक्षण सक्षम है।

TLS निरीक्षण नीति को अनुकूलित करने के लिए नियम जोड़ना

आपके संगठन की आवश्यकताओं के अनुसार केवल विशिष्ट ट्रैफ़िक प्रकारों का निरीक्षण करने के लिए TLS निरीक्षण नीति को अनुकूलित कर सकते हैं। उन ट्रैफ़िक को परिभाषित करने के लिए नीति में निरीक्षण और बाईपास कार्रवाइयों के साथ नियम जोड़ें जिन्हें डिक्रिप्ट और निरीक्षण किया जाता है।

  • Create rules with the Inspect action to define the traffic that the Cato Cloud inspects for suspicious and malicious content.
  • Cato TLS निरीक्षण इंजन से विशिष्ट ट्रैफ़िक को बाहर करने के लिए बाईपास कार्रवाई के साथ नियम बनाएं। उदाहरण के लिए, आप RingCentral एप्लिकेशन के लिए बाईपास नियम जोड़ सकते हैं ताकि RingCentral ट्रैफ़िक TLS निरीक्षण से बाहर हो जाए।

नियम बनाते समय, TLS ट्रैफ़िक के स्कोप को परिभाषित करने के लिए स्रोत और क्या का उपयोग करें और यह नियम ट्रैफ़िक का निरीक्षण करता है या बाईपास करता है इसे कॉन्फ़िगर करने के लिए कार्रवाई का उपयोग करें। सुनिश्चित करें कि बाईपास नियम की प्राथमिकता निरीक्षण नियम से अधिक हो (नियमबेस के शीर्ष पर)। जो ट्रैफ़िक TLS निरीक्षण बाईपास नियम से मेल खाता है, वह भी एंटी-मैलवेयर इंजनों द्वारा सुरक्षा स्कैन से बाहर है।

जब आप निरीक्षण कार्रवाई के साथ नियम कॉन्फ़िगर करते हैं, तो आपको अनविश्वसनीय सर्वर प्रमाणपत्रों को कैसे संभाला जाता है इसका व्यवहार भी परिभाषित करना होगा।

TLSi_Untrusted_Cert_New.png

इस सेटिंग के लिए विकल्प हैं:

  • अनुमति दें - ट्रैफ़िक अनिश्वसनीय प्रमाणपत्र वाली साइट के लिए अनुमति है, और निरीक्षण किया जाता है (यह डिफ़ॉल्ट सेटिंग है)।
  • प्रॉम्प्ट - उपयोगकर्ताओं को एक प्रॉम्प्ट दिखाया जाता है जिसमें उनसे पूछा जाता है कि क्या वे अनिश्चित प्रमाणपत्र के साथ साइट पर जाना जारी रखना चाहते हैं और निरीक्षण किया जाता है। यदि उपयोगकर्ता साइट पर जारी रहता है, तो ट्रैफ़िक का निरीक्षण किया जाता है
  • अवरुद्ध करें - अनिश्वसनीय प्रमाणपत्र वाली साइट के लिए ट्रैफ़िक अवरोधित किया जाता है

नोट

नोट: उन अनुप्रयोगों के लिए जो TLS निरीक्षण को रोकने के लिए प्रमाणपत्र पिनिंग का उपयोग करते हैं, उन्हें बाईपास नियम में जोड़ें ताकि वे अंतिम उपयोगकर्ताओं के लिए सही ढंग से कार्य करें।

TLS निरीक्षण नीति में नियम जोड़ने के लिए:

  1. नेविगेशन मेनू से, सुरक्षा > TLS निरीक्षण पर क्लिक करें।
  2. नया पर क्लिक करें।
  3. नियम के लिए नाम दर्ज करें।

  4. नियम को सक्षम या निष्क्रिय करने के लिए सक्षम टॉगल का उपयोग करें।

    टॉगल हरा होता है toggle.png जब सक्षम होता है।

  5. इस नियम के लिए नियम क्रम को कॉन्फ़िगर करें।

  6. स्रोत को विस्तारित करें और स्रोत प्रकार का चयन करें।

    • प्रकार का चयन करें (उदाहरण के लिए: होस्ट, नेटवर्क इंटरफेस, आईपी, कोई भी)। डिफ़ॉल्ट मान कोई भी है।
    • जब ज़रूरत हो, उस प्रकार के लिए ड्रॉप-डाउन सूची से एक विशिष्ट वस्तु का चयन करें।

  7. मानदंड अनुभाग में, इस नियम से मेल करने के लिए आवश्यक प्लेटफ़ॉर्म, देश, डिवाइस स्थिति प्रोफाइल, और कनेक्शन मूल कॉन्फ़िगर करें।

    उपकरण की शर्तों के बारे में अधिक जानकारी के लिए, TLS निरीक्षण के लिए उपकरण शर्तें जोड़ना देखें।

  8. नियम जिस गंतव्य पर लागू होता है, उसे परिभाषित करें। उदाहरण के लिए, एक सेवा, एक अनुप्रयोग, एक कस्टम या पूर्वनिर्धारित श्रेणी।

  9. न्यूनतम TLS संस्करण और सिफर सूट चुनें।

    नोट: कुछ TLS संस्करण सिफर सूट स्तरों के साथ असंगत हैं। अधिक जानकारी के लिए, टीएलएस संस्करणों और सिफर सूट्स को लागू करना देखें।

  10. निरीक्षण या बाईपास का चयन करके कार्रवाई को कॉन्फ़िगर करें।

    • यदि आप निरीक्षण चुनते हैं, तो अविश्वसनीय सर्वर प्रमाणपत्र ड्रॉपडाउन मेनू से, समस्या वाले प्रमाणपत्र के साथ ट्रैफ़िक के लिए कार्रवाई का चयन करें: अनुमति दें, ब्लॉक करें, या प्रॉम्प्ट। डिफ़ॉल्ट मान अनुमति दें है।
  11. लागू करें पर क्लिक करें।
  12. सहेजें पर क्लिक करें। TLS निरीक्षण नियम को नियमबेस में सहेजा गया है।

डिफ़ॉल्ट बायपास नियम

Cato कुछ एप्लिकेशन, ऑपरेटिंग सिस्टम और क्लाइंट्स को बायपास करने वाले डिफ़ॉल्ट TLS निरीक्षण नियमों का प्रबंधन करता है जो संभावित रूप से समस्याएं पैदा कर सकते हैं। ये नियम नियम अनुप्रयोग के शीर्ष पर स्थित होते हैं और उन्हें संपादित नहीं किया जा सकता। TLS निरीक्षण नीति की योजना और निर्णय लेने में मदद करने के लिए, आप इन नियमों के लिए डिफ़ॉल्ट बायपास नियम अनुभाग में सेटिंग्स को देख सकते हैं।

जब क्या फ़ील्ड में एक से अधिक आइटम होते हैं, जैसे कि एप्लिकेशन और FQDN, तो इन आइटम्स के बीच एक और संबंध होता है।

TLSi_डिफॉल्ट_बायपास_नियम.png

Related Resources

क्या यह लेख उपयोगी था?

8 में से 6 के लिए उपयोगी रहा

0 टिप्पणियां