問題
匿名化のサービスは、さまざまなブラウジング制限やインターネットファイアウォールをバイパスするためによく使用されます。 多くの信頼されている人気の匿名化は、回避技術を使用してNGFW/従来のファイアウォールをバイパスします。 これらの技術には、SNIスプーフィング、回避プロトコル、CDNの背後に隠れること、サーバーIP間でのジャンプが含まれます。 カトがアプリケーションやサービスとして識別できる任意の匿名化サービスは「匿名化」として分類されます 例: ClearVPN、Hola VPN、Mullvad VPN、NordVPN、CyberGhost VPN、TunnelBear VPN、Private Internet Access (PIA)、Surfshark VPN、Express VPNなど。
この記事では、匿名化のサービスを効果的にブロックするためのベースラインファイアウォールルールを作成する方法を説明します。 しかし、匿名化が使用するさまざまな回避技術のため、すべてを成功裏にブロックするのは困難です。 ベースラインルールを設定しても匿名化がブロックされない場合は、サポートにお問い合わせください。
注意: TLSインスペクションおよび侵入防止システムも有効にする必要があります。
解決策
ベースライン保護を確立するには、2つのインターネットファイアウォール(IFW)ルールを作成する必要があります。 また、有効なCASBライセンスが必要ですが、アプリケーション制御ルールを作成するのがベストプラクティスです。
- 第1番目のルールは、IFWルールを使用して匿名化カテゴリをブロックします。
- 第2番目のルールは、IFWルールを使用して匿名化が使用する一般的なプロトコルと回避技術をブロックします。
- (任意)第3番目のルールは、アプリケーション制御ルールを使用してOpenVPNファイルをブロックします。 (これは有効なCASBライセンスが必要です)
カトは、最も一般的に使用される匿名化の精選されたリストを維持しています。 このリストを表示するには、リソース > アプリケーションカタログに移動し、「カテゴリ」の下で「匿名化」を選択してください
このリストにないその他の匿名化については、使用するプロトコルと回避技術によって識別します。 WireGuard、OpenVPN、回避DNS、および回避TLSは、匿名化がプライバシーを向上させ、ネットワーク制限をバイパスするためによく使用するプロトコルと技術です。
WireGuard
WireGuardプロトコルをブロックするためには、インターネットファイアウォールルール内でWireGuardプロトコル をブロックする必要があります。
OpenVPN
OpenVPNは、サイト間およびポイント間接続に使用される安全なトンネリングプロトコルです。 それはTCPまたはUDPを介して通信でき、ユーザーはポートを定義できます。
OpenVPNプロトコルをブロックするには、インターネットファイアウォールルールでOpenVPN Protocolをブロックし、ファイル制御ルールを使用してOpenVPN設定ファイルをブロックする必要があります。
回避DNS
多くの匿名化は、ファイアウォールを回避するために、ポート53を介したDNSトンネリング及び他のUDPトラフィック(別名「回避DNS」)を使用します。
TCP/443を介した回避トラフィック
ポート443を介した回避トラフィックは、匿名化がそのアクティビティを一見合法的なTLSトラフィック内に隠すために使用する技術です。 公式RFCによれば、これらは実際のTLSトラフィックではありません。
多くの匿名化ツールは、ファイアウォールを回避するために回避TLSトラフィックを使用します。
以下は、匿名化カテゴリとそれぞれのインターネットファイアウォールサービスをブロックすることによって、成功裏にブロックできる知られている匿名化ツールの一部です。
|
インターネットファイアウォール (IFW) サービス |
||||||
| 匿名化ツール | WireGuardプロトコル | OpenVPNプロトコル | 回避DNS | TCP/443を介した回避トラフィック | 匿名化ツールカテゴリをブロックするためにIFWルールを設定してください | 備考 |
| クリアVPN | ✔︎ | |||||
| Hola VPN | ✔︎ | IFWサービスもブロックする必要がありますHTTPプロキシ | ||||
| Mullvad | ✔︎ | |||||
| NordVPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ✔︎ | Windowsでの「obfuscated servers」モードはブロックされません |
| CyberGhost VPN | ✔︎ | ✔︎ | ||||
| TunnelBear VPN | ✔︎ | ✔︎ | ✔︎ | IFWサービスもブロックする必要がありますISAMPおよびIPsec NAT Traversal。 IFWポート/プロトコルTCP/6418をブロックする必要があります | ||
| PIA(プライベートインターネットアクセス) | ✔︎ | |||||
| Sufshark VPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ||
| ExpressVPN | ✔︎ | ✔︎ | Windows デバイスは IFW ルールで OpenVPN サービスをブロックする必要があります | |||
| Unlimited VPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | IPS を有効にする必要があります。 Need to also block the IFW services IPsec NAT Traversal. | |
上記のテーブルに記載されていない匿名化ツールについては、以下の手順に従って、ブロックするための基本ファイアウォールルールを作成してください。
ルール 1: 匿名化カテゴリをブロック
- セキュリティ > インターネットファイアウォール に移動
- 新規 > 新規ルール をクリック
- アプリ/カテゴリ の下で、アプリケーションカテゴリを選択してください。 そして、ドロップダウンリストから匿名化を選択します。
ルール 2: 疑わしいサービスをブロック
- セキュリティ > インターネットファイアウォール に移動
- 新規 > 新規ルール をクリック
- サービス/ポート の下で、以下のサービスを設定
Once these two rules are configured, they should resemble the example shown below:
注意: 疑わしいサービスをブロックするためにルール 2 を設定すると、これらのプロトコルおよび技術は匿名化ツールによってのみ利用されるものではないため、合法的なアプリケーションが意図せずにブロックされる可能性があります。 For example, Telegram uses Evasive traffic over TCP/443. ベストプラクティスとして、誤検知を識別するために1週間監視するようルールを設定することをお勧めします。 誤検知が発生した場合、正当なアプリケーションが正常に動作できるようにルールに例外を設けてください。 誤検知を解決した後、ルールをブロックに変更します。
例外ルールを作成する方法については、インターネット接続を許可するための例外の使用 を参照してください。
ルール 3 (オプション): OpenVPN ファイルをブロック
- セキュリティ > アプリケーション制御 に移動
- 新しいファイル制御ルールを作成
- ファイル属性の下で、コンテンツタイプを OpenVPN 設定ファイルに設定。
Once the rule has been configured, it should resemble the example shown below:
NOTE:
- 有効な CASB ライセンスが必要です。
- TLSインスペクションを有効にする必要があります。
0件のコメント
サインインしてコメントを残してください。