Problema
Serviços de anonimização são frequentemente usados para ignorar várias restrições de navegação e firewalls de internet. Muitos anonimizadores respeitados e populares ignoram NGFW/firewalls tradicionais usando técnicas evasivas. Essas técnicas incluem spoofing de SNI, protocolos evasivos, esconder-se atrás de CDNs e pular entre IPs de servidores. Qualquer serviço de anonimização que possa ser identificado como uma aplicação ou serviço pela Cato será categorizado como "Anonimizadores." Por exemplo, ClearVPN, Hola VPN, Mullvad VPN, NordVPN, CyberGhost VPN, TunnelBear VPN, Private Internet Access (PIA), Surfshark VPN, Express VPN, e muitos outros.
Este artigo explica como criar uma regra de firewall de referência para bloquear efetivamente serviços de anonimização. No entanto, devido às várias técnicas evasivas empregadas por anonimizadores, bloquear todos eles com sucesso pode ser desafiador. Se um anonimizador não for bloqueado apesar de configurar as regras de referência, entre em contato com o Suporte para assistência.
Nota: TLSi e IPS também devem estar ativados.
Solução
Para estabelecer proteção de referência, duas regras de Firewall de Internet (IFW) precisam ser criadas. Além disso, é uma boa prática criar uma regra de Controle de Aplicações, que requer uma licença CASB válida.
- A primeira regra bloqueia a categoria Anonimizador usando uma regra IFW.
- A segunda regra bloqueia protocolos comuns e técnicas evasivas usadas por anonimizadores usando uma regra IFW.
- (Opcional) A terceira regra bloqueia os arquivos OpenVPN usando uma Regra de Controle de Arquivos. (Isso requer uma licença CASB válida)
Cato mantém uma lista curada dos anonimizadores mais comumente usados. Para ver esta lista, vá para Recursos > Catálogo de Aplicativos e selecione "Anonimizadores" na "Categoria."
Para outros anonimizadores que não estão nesta lista, nós os identificamos pelos protocolos e técnicas de evasão que eles usam. WireGuard, OpenVPN, DNS Evasivo e TLS Evasivo são protocolos e técnicas comumente usadas por anonimizadores para aumentar a privacidade e ignorar restrições de rede.
WireGuard
Bloquear o protocolo WireGuard requer bloquear Protocolo WireGuard na regra do firewall de Internet.
OpenVPN
OpenVPN é um protocolo de túnel seguro usado para conexões ponto a ponto e site a site. Ele pode se comunicar via TCP ou UDP, e o usuário pode definir a porta.
Bloquear o protocolo OpenVPN requer bloquear o Protocolo OpenVPN na regra do firewall de Internet e bloquear os arquivos de configuração OpenVPN usando a regra de controle de arquivos.
DNS Evasivo
Muitos anonimizadores usam tunelamento DNS e outro tráfego UDP sobre a porta 53 (também conhecido como "DNS Evasivo") para ignorar Firewalls.
Tráfego Evasivo sobre TCP/443
O tráfego evasivo sobre a porta 443 é uma técnica que os anonimizadores utilizam para ocultar suas atividades dentro do tráfego TLS aparentemente legítimo. De acordo com o RFC oficial, esses não são o tráfego TLS real.
Muitos anonimizadores utilizam tráfego TLS evasivo para ignorar o Firewall.
Os seguintes são alguns anonimizadores conhecidos que podem ser bloqueados com sucesso bloqueando a categoria de anonimizador e os respectivos serviços IFW.
|
Serviços de Firewall de Internet (IFW) |
||||||
| Anonimizadores | Protocolo WireGuard | Protocolo OpenVPN | DNS Evasivo | Tráfego Evasivo sobre TCP/443 | Configurar uma regra IFW para bloquear a categoria de anonimizador | Observações |
| Limpar VPN | ✔︎ | |||||
| Hola VPN | ✔︎ | É necessário também bloquear o serviço IFW Proxy HTTP | ||||
| Mullvad | ✔︎ | |||||
| NordVPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ✔︎ | modo “servidores ofuscados” no Windows não será bloqueado |
| CyberGhost VPN | ✔︎ | ✔︎ | ||||
| TunnelBear VPN | ✔︎ | ✔︎ | ✔︎ | Need to also block the IFW services ISAMP and IPsec NAT Traversal. Need to block IFW Port/Protocol TCP/6418 | ||
| PIA (Private Internet Access) | ✔︎ | |||||
| Sufshark VPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ||
| ExpressVPN | ✔︎ | ✔︎ | Windows Device requires blocking the OpenVPN service in the IFW rule | |||
| Unlimited VPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | IPS needs to be enabled. Need to also block the IFW services IPsec NAT Traversal. | |
For anonymizers not listed in the above table, follow the steps below to create the baseline firewall rules for blocking them.
Rule 1: Block Anonymizer Category
- Navigate to Security > Internet Firewall
- Click on New > New Rule
- Under the App/Category, select Application Category. Then, select Anonymizer from the dropdown list.
Rule 2: Block Suspicious Services
- Navigate to Security > Internet Firewall
- Click on New > New Rule
- Under Service/Port, configure the following Services
Once these two rules are configured, they should resemble the example shown below:
NOTE: Configuring Rule 2 to Block Suspicious Services may inadvertently block legitimate applications, as these protocols and techniques are not exclusively used by anonymizers. For example, Telegram uses Evasive traffic over TCP/443. As a best practice, we suggest setting the rule to Monitor for a week to identify any false positives. If false positives occur, create an exception in the rule to allow the legitimate application to function properly. After addressing any false positives, change the rule to Block.
Refer to Using Exceptions to Allow Internet Connections on how to create an exception rule.
Rule 3 (Optional): Block OpenVPN Files
- Navigate to Security > Application Control
- Create a new File Control Rule
- Under File Attributes, configure the Content Type Is OpenVPN configuration file.
Once the rule has been configured, it should resemble the example shown below:
NOTE:
- A valid CASB license is required.
- TLS inspection needs to be enabled.
0 comentário
Por favor, entre para comentar.