Website hospedado no Cloudflare ignora o firewall Cato

Problema

O firewall Cato falha em impor regras de firewall em websites hospedados no Cloudflare. Por exemplo, o website research.cloudflare.com, categorizado como Base de dados, está sendo permitido apesar de uma regra de firewall bloquear esta categoria.

 

O evento de CMA relacionado mostra um nome de domínio diferente, cloudflare-ech.com, que não coincide com o site pretendido e ignora a regra de firewall. Este evento pode ser encontrado filtrando o endereço IP de destino do website.

Ambiente

  • Regra de Firewall bloqueando uma categoria específica.
  • Inspeção TLS não habilitada.

Resolução de Problemas

A presença do Nome do Domínio cloudflare-ech.com no evento sugere que o protocolo Encrypted Client Hello (ECH) está em uso.

O que é ECH?

Como descrito na documentação da Cloudflare, ECH criptografa partes do pacote TLS Client Hello, incluindo mascaramento da Server Name Indication (SNI), que é tipicamente usado para estabelecer uma sessão TLS. Isso significa que, enquanto o Cato vê a conexão com o Cloudflare, não pode identificar o website específico. Ambos o navegador e o website devem suportar ECH para isto funcionar.

Como o ECH Funciona

  1. Distribuição de Chaves Públicas: Os servidores compartilham uma chave pública (dentro da configuração ECH) através de DNS, frequentemente usando protocolos de DNS seguros como DoH (DNS sobre HTTPS) ou DoT (DNS sobre TLS). No entanto, DNS não criptografado via UDP também pode ser usado. Esta chave é usada pelo cliente para criptografar a mensagem Client Hello. Abaixo está um exemplo de uma resposta DNS do tipo HTTPS contendo a configuração ECH.
  2. Criptografia do Client Hello: Ao se conectar, o cliente criptografa partes sensíveis do Client Hello, como o SNI, usando a chave pública do servidor. Apenas o servidor pode descriptografar esta informação. Um Client Hello externo não criptografado também é transmitido, exibindo informações genéricas, como um SNI padrão, que pode não revelar o alvo real. No exemplo abaixo, o SNI padrão é cloudflare-ech.com
  3. Mecanismo de Retorno: Se o ECH for suportado, o servidor processa o Client Hello criptografado, e a conexão continua. Caso contrário, um mecanismo de retorno tenta novamente a conexão com um Cliente Hello não criptografado, mantendo a compatibilidade com servidores TLS 1.3 tradicionais.

Solução

Cato atualmente não suporta ECH, então as seguintes soluções alternativas são recomendadas para forçar um retorno para conexões TLS com SNI não criptografado, baseado em sua configuração de rede:

  • Bloquear protocolos DoH, DoT e QUIC no Firewall de Internet. Isso impedirá o uso de protocolos DNS seguros para trocar configurações de ECH.
  • Dependendo do navegador, o cliente pode voltar ao DNS baseado em UDP para trocar configurações de ECH. Se for o caso, habilite a inspeção TLS para os sites ou usuários afetados. ECH não suporta técnicas de Man-in-the-Middle (MITM), então a conexão retrocederá para usar SNI não criptografado.
  • Como último recurso, bloqueie o domínio cloudflare-ech.com no Firewall de Internet. Isso força os navegadores a retrocederem para usar SNI não criptografado, permitindo que a regra de firewall correta seja aplicada.

Esse artigo foi útil?

Usuários que acharam isso útil: 2 de 2

0 comentário