문제
익명화 서비스는 종종 다양한 브라우징 제한 및 인터넷 방화벽을 우회하는 데 사용됩니다. 많은 신뢰받는 인기 익명화 앱이 NGFW/전통적 방화벽을 우회하기 위해 회피 기술을 사용합니다. 이 기술에는 SNI 스푸핑, 회피 프로토콜, CDN 뒤에 숨기기, 서버 IP 간의 이동이 포함됩니다. 카토가 애플리케이션 또는 서비스로 식별할 수 있는 모든 익명화 서비스는 "익명화 도구"로 분류됩니다 예시로, ClearVPN, Hola VPN, Mullvad VPN, NordVPN, CyberGhost VPN, TunnelBear VPN, Private Internet Access (PIA), Surfshark VPN, Express VPN 등이 있습니다.
이 기사는 익명화 서비스를 효과적으로 차단하기 위한 기준 방화벽 규칙을 생성하는 방법을 설명합니다. 그러나 익명화 도구가 사용하는 다양한 회피 기술 때문에 모두 차단하는 것은 어려울 수 있습니다. 기준 규칙을 구성했음에도 익명화 도구가 차단되지 않은 경우, 지원에 문의해 주십시오.
참고: TLS 검사 및 IPS도 활성화되어야 합니다.
솔루션
기준 보호를 설정하기 위해 두 개의 인터넷 방화벽(IFW) 규칙을 생성해야 합니다. 또한 유효한 CASB 라이선스가 필요한 애플리케이션 제어 규칙을 생성하는 것이 모범 사례입니다.
- 첫 번째 규칙은 익명화 도구 범주를 IFW 규칙을 사용하여 차단합니다.
- 두 번째 규칙은 일반적인 프로토콜과 익명화 도구가 사용하는 회피 기술을 IFW 규칙을 사용하여 차단합니다.
- (선택) 세 번째 규칙은 애플리케이션 제어 규칙을 사용하여 OpenVPN 파일을 차단합니다. (이는 유효한 CASB 라이선스를 필요로 합니다)
카토는 가장 흔히 사용되는 익명화 도구의 선별된 목록을 유지 관리합니다. 이 목록을 보려면 자원 > 앱 카탈로그로 가서 "카테고리" 아래의 "익명화 도구"를 선택하십시오
이 목록에 없는 다른 익명화 도구에 대해서는, 그들이 사용하는 프로토콜 및 회피 기술로 식별합니다. WireGuard, OpenVPN, 회피 DNS, 및 회피 TLS는 익명화 도구가 프라이버시를 향상시키고 네트워크 제한을 우회하기 위해 흔히 사용하는 프로토콜 및 기술입니다.
WireGuard
인터넷 방화벽 규칙에 WireGuard 프로토콜을 차단하여 WireGuard 프로토콜을 차단해야 합니다.
OpenVPN
OpenVPN은 사이트 간 및 점대점 연결에 사용되는 안전한 터널링 프로토콜입니다. TCP 또는 UDP를 통해 통신할 수 있으며, 사용자가 포트를 정의할 수 있습니다.
인터넷 방화벽 규칙에 OpenVPN 프로토콜을 차단하고 파일 제어 규칙을 사용하여 OpenVPN 구성 파일을 차단해야 OpenVPN 프로토콜을 차단할 수 있습니다.
회피 DNS
많은 익명화 도구가 방화벽을 우회하기 위해 포트 53(일명 '회피 DNS')을 통한 DNS 터널링 및 기타 UDP 트래픽을 사용합니다.
TCP/443 회피 트래픽
포트 443을 통한 회피 트래픽은 익명화 도구가 겉보기에 정상적인 TLS 트래픽 내에서 활동을 숨기려는데 사용하는 기술입니다. 공식 RFC에 따르면, 이들은 실제 TLS 트래픽이 아닙니다.
많은 익명화 도구가 방화벽을 우회하기 위해 회피 TLS 트래픽을 사용합니다.
다음은 익명화 도구 범주와 관련된 IFW 서비스를 차단함으로써 성공적으로 차단할 수 있는 몇 가지 알려진 익명화 도구입니다.
|
인터넷 방화벽(IFW) 서비스 |
||||||
| 익명화 도구 | WireGuard 프로토콜 | OpenVPN 프로토콜 | 회피 DNS | TCP/443을 통한 회피 트래픽 | 익명화 카테고리를 차단하기 위해 IFW 규칙을 구성하십시오 | 비고 |
| VPN 지우기 | ✔︎ | |||||
| Hola VPN | ✔︎ | HTTP 프록시도 차단해야 합니다 | ||||
| Mullvad | ✔︎ | |||||
| NordVPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ✔︎ | Windows에서 '난독화 서버' 모드는 차단되지 않을 것입니다 |
| CyberGhost VPN | ✔︎ | ✔︎ | ||||
| TunnelBear VPN | ✔︎ | ✔︎ | ✔︎ | ISAMP 및 IPsec NAT Traversal의 IFW 서비스도 차단해야 합니다. IFW 포트/프로토콜 TCP/6418을 차단해야 합니다 | ||
| PIA (Private Internet Access) | ✔︎ | |||||
| Sufshark VPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ||
| ExpressVPN | ✔︎ | ✔︎ | Windows 디바이스는 IFW 규칙에서 OpenVPN 서비스를 차단해야 합니다 | |||
| Unlimited VPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | IPS가 활성화되어야 합니다. IPsec NAT Traversal의 IFW 서비스를 차단해야 합니다. | |
위의 표에 나열되지 않은 익명화에 대해서는 차단을 위한 기본 방화벽 규칙을 생성하려면 아래 단계를 따르십시오.
규칙 1: 익명화 카테고리 차단
- 보안 > 인터넷 방화벽으로 이동하십시오
- 신규 > 새 규칙을 클릭하십시오
- 앱/카테고리 아래에서 애플리케이션 범주를 선택하십시오. 그런 다음 드롭다운 리스트에서 익명화를 선택하십시오.
규칙 2: 의심스러운 서비스 차단
- 보안 > 인터넷 방화벽으로 이동하십시오
- 신규 > 새 규칙을 클릭하십시오
- 서비스/포트 아래에서 다음 서비스를 구성하십시오
이 두 규칙이 구성되면 다음과 같은 예시와 비슷해야 합니다:
참고: 의심스러운 서비스를 차단하기 위해 규칙 2를 구성하면 이러한 프로토콜 및 기술이 익명화만 사용하는 것이 아니기 때문에 합법적인 애플리케이션을 무심코 차단할 수 있습니다. 예를 들어, Telegram은 TCP/443을 통한 회피 트래픽을 사용합니다. 모범 사례로서 규칙을 모니터링으로 설정하고 일주일 동안 허위 양성을 식별할 것을 제안합니다. 허위 양성이 발생하면 규칙에서 예외를 만들어 합법적인 애플리케이션이 제대로 작동할 수 있도록 하십시오. 모든 허위 양성을 해결한 후에는 규칙을 차단으로 변경하십시오.
예외 규칙을 만드는 방법에 대한 자세한 내용은 인터넷 연결 허용을 위한 예외 사용을 참조하십시오.
규칙 3 (선택 사항): OpenVPN 파일 차단
- 보안 > 애플리케이션 제어 정책으로 이동하십시오.
- 새 파일 제어 규칙을 생성하십시오.
- 파일 속성 아래에서 콘텐츠 유형을 OpenVPN 구성 파일로 설정하십시오.
규칙이 구성되면 다음과 같은 예시와 비슷해야 합니다:
참고:
- 유효한 CASB 라이선스가 필요합니다.
- TLS 검사를 활성화해야 합니다.
댓글 0개
댓글을 남기려면 로그인하세요.