Понимание потока пакетов с архитектурой Cato SPACE

Эта статья объясняет поток пакетов для механизмов безопасности в узле на основе архитектуры Single Pass Cloud Engine (SPACE) Cato.

Обзор

Архитектура SPACE Cato проверяет и обрабатывает потоки трафика с помощью одной службы. Эта служба включает в себя несколько сетевых и защитных механизмов, которые одновременно анализируют и обрабатывают потоки трафика. Эта архитектура избегает ограничений комбинирования нескольких точечных решений с цепочкой услуг. Один проход для потока минимизирует задержку и улучшает общую производительность сети. Каждый узел может выполнять эти сетевые и защитные решения, используя все услуги и механизмы SPACE Cato.

Механизмы безопасности и сетевые механизмы имеют полный доступ к данным потока трафика и одновременно оценивают и разделяют данные друг с другом в общем контексте. Механизмы работают параллельно, ни один механизм не имеет приоритета для оценки трафика перед другим. Механизмы расположены в каждом узле и могут обмениваться данными, не ожидая информации от механизма в другом физическом расположении.

Например, правило межсетевого экрана блокирует устройства macOS, однако механизм межсетевого экрана не может получить эти данные из первого пакета и ожидает больше данных. Когда другой механизм идентифицирует устройство как macOS, межсетевой экран блокирует поток в соответствии с действием правила.

Список сетевых и защитных услуг SPACE

В этом разделе перечислены сетевые и защитные услуги и механизмы в узле, которые применяются к различным фазам потока пакетов.

  • Политики и механизмы Cato

    • Firewall - политика межсетевого экрана для интернет и WAN межсетевых экранов

    • Сеть - политика сетевых правил для маршрутизации и приоритетов QoS

    • IPS/SAM - защиты IPS и мониторинг подозрительной активности (SAM)

    • Контроль приложений - идентификация приложений для политики управления приложениями

      • Контроль приложений gen2 - правила для приложений на основе доступа: разрешить или блокировать

      • Контроль приложений gen3 - правила для приложений на основе детальных действий: загрузка, скачивание и так далее

    • TLSi - инспекция TLS для HTTPS и зашифрованного трафика

    • DLP - инспекция контента для политики предотвращения потери данных (DLP)

    • AM/NGAM - антивирусное и антивирусное сканирование следующего поколения прикрепленных файлов на наличие вредоносных программ

  • Данные потока трафика и протоколы

    • Идентификация приложений - используются различные критерии для идентификации конкретного приложения для политик безопасности или сети

    • ОС - операционная система (ОС) устройства, например, с политикой устройства или политикой подключения клиента

    • Класс клиента - тип клиентских приложений, которые работают на операционной системе, создавшей этот сетевой поток (например, Chrome)

    • URLF - фильтрация URL для категорий Cato на основе URL-адреса сайта

    • Тип-файла - для CASB и DLP, вложение файла в направлении загрузки или скачивания

Поток TCP с SPACE

Это пример типичного потока HTTP с следующими элементами:

  • Хронология - разные фазы потока трафика

  • Доступные поля - данные, доступные для конкретной фазы таймлайна

  • Механизм Cato - механизм SPACE, который может анализировать поток, а затем принимать соответствующее действие (блокировать или разрешать)

  • Данные потока трафика - для каждой фазы, данные, которые используются для оценки потока трафика

SPACE_Flow.png

Вы можете увидеть список деталей ниже, Детали образца потока TCP.

Пример идентификации приложения из потока трафика

Это пример потока трафика для правила, которое включает приложение Slack и показывает, какая информация доступна на каждом этапе.

  1. Первый пакет - TCP

    Источник - 10.10.2.107
Порт источника - 55477
IP-адрес назначения - 3.68.124.168
Порт назначения - 443
Протокол - TCP
Ответ DNS - 3.68.124.168 - slack.com (необязательный ответ)

    Это информация о потоке трафика, доступная на основе этого примерного первого пакета:

    • 5-пара - не удается идентифицировать, что трафик связан с приложением Slack

    • Ответ DNS - на основе предыдущих потоков механизмы уже знают, что dname для этого IP-адреса назначения - slack.com

    • ASN - на основе IP-адреса назначения механизм безопасности может идентифицировать ASN

    • Идентификация приложения включает: tcp

    Механизм ожидает дополнительную информацию из рукопожатия TLS, прежде чем завершить идентификацию приложения Slack.

  2. tls_handshake

    "Заголовок TLS"
"sni_host": "slack.com"
"причина обхода предварительной инспекции": "нет"
"ja3_formatted_str": "771,4865-4866-4867-49195-49199-49196-4920…"

    Это информация о потоке трафика, доступная на основе этого примерного tls_handshake:

    • Заголовок TLS и серверный порт 443 - соответствуют протоколу TLS

    • SNI - slack.com - соответствует идентификации приложения Slack Cato

      SNI также отправляется в URLF, и совпадает с категориями Бизнес Информация, Компьютеры и Технологии, Социальные сети

    • Класс клиента - JA3 - классифицирует клиента как браузер на основе TLS-фингерпринтинга

    • Действие инспекции TLS или обход - на основе Класса клиента и идентификации приложения

    • Идентификация приложения включает: tcp, tls, slack

  3. HTTP

    "url": "upload.slack.com:
"host_name": "slack.com"
"Тип-содержимого": "application/pdf"
"Content-Disposition": form-data; name="file"; filename="sample-data.pdf"
"Content-Length": "52765"

    В этом примерном потоке доступна следующая информация на основе данных HTTP:

    • Идентификация приложения включает: tcp, tls, http, slack

    • Инспекция TLS расшифровывает поток и идентифицирует, что хост сервера Slack - slack.com

    • Заголовок HTTP - соответствует протоколу HTTP

      Это общий пример, когда HTTP_host соответствует SNI, и для идентификации приложения изменений нет

    • URL - префикс загрузки предоставляет больше детализации и может соответствовать действию загрузки в политике управления приложениями

    • Тип-содержимого, Содержимое-Disposition, Длина-содержимого - предоставляет информацию о имени файла, размере и типе

    • Действия политики управления приложениями:

      • Принудительное применение политики, использующей только корпоративного арендатора Slack

      • Контроль файлов на основе типа файла

        Антивирусное и новым поколением антивирусное сканирование сканирует файлы только в направлении скачивания.

  4. HTTP Body

    "HTTP Body payload": "Сам файл"

    Например, политика DLP запрещает использование данных кредитной карты в сообщениях Slack.

    • Идентификация приложения завершена для приложения Slack. Он идентифицирован как трафик, который принадлежит к социальной категории.

    • Когда содержимое файла готово, эти механизмы анализируют содержимое файла:

      • DLP механизм сканирует содержимое на основе политики управления данными

      • Антивирусное и антивирусное сканирование нового поколения сканирует файлы в направлении скачивания

Политики и механизмы Cato

В этом разделе объясняется политика безопасности Cato и механизмы, которые анализируют и действуют на поток трафика.

Политики межсетевого экрана и сети

WAN Firewall, интернет межсетевой экран и политики сетевых правил часто могут оценивать поток трафика на первом пакете. Например, правила, которые основаны на данных из 5-пары. Однако для правил, которые соответствуют конкретным приложениям, таким как Azure или Slack, необходимо дополнительное данные из потока трафика, чтобы механизм мог оценить поток. Это означает, что фаза, на которой механизм оценивает поток, зависит от настроек для конкретного правила.

Для получения дополнительной информации о типах межсетевых экранов см. Интернет и WAN межсетевые экраны – лучшие практики.

Пример первого пакета для простого сетевого правила и сложного правила межсетевого экрана

Этот пример показывает, как механизмы в узле оценивают поток трафика по-разному для простого сетевого правила, использующего IP-адреса и порты, и сложного правила межсетевого экрана для приложений Azure. Сетевой механизм может оценить поток на первом пакете, но узел ожидает дополнительное данные для механизма межсетевого экрана, чтобы завершить его анализ.

Образец сетевого правила

Следующее сетевое правило предназначено для трафика для источника в виде диапазона IP с диапазоном портов 8000 - 8010, а трафик направляется через расположение узла в Лондоне.

Simple_network.png

Сетевой механизм может оценить решение о маршрутизации для потока трафика на основе 5-пары.

Образец правила WAN межсетевого экрана

Следующее правило WAN межсетевого экрана разрешает трафик, который соответствует источнику, такому же, как диапазон IP для сетевого правила выше, и для пользователей, являющихся членами группы пользователей RnD. Кроме того, правило предназначено для приложений Azure для служб HTTP(S), TLS, FTP и TFTP.

Azure_FW.png

Механизм межсетевого экрана не может оценить трафик на первом пакете, поскольку он должен подтвердить идентификацию пользователя, приложения Azure и услуги для потока. После завершения оценки и если поток соответствует всем критериям, механизм разрешает поток. Узел также применяет решение о маршрутизации на основе первого пакета.

Фильтрация URL и категории Cato

Служба фильтрации URL работает, анализируя URL веб-сайта и сравнивая его с базой данных известных или предполагаемых вредоносных или неуместных веб-сайтов. Эта служба также может анализировать контент самого веб-сайта, чтобы определить его категории, такие как контент для взрослых, азартные игры, социальные сети или потоковые медиа.

Для получения более подробной информации о категориях см. Работа с категориями.

Инспекция TLS

Механизм инспекции TLS участвует на этапе tls_handshake потока пакетов. Решение о том, проверять ли поток, необратимо и осуществляется в два этапа:

  1. Этап 1 - первый полезный сигнал пакета client_hello дает первоначальную индикацию о том, будет ли механизм инспекции TLS проверять этот поток трафика

  2. Этап 2 - client_hello полностью анализируется, и применяется действие политики инспекции TLS (проверить или обойти поток)

Для потоков HTTPS возможно решение заблокировать пакет на основе этапа 1. Однако механизм продолжает устанавливать TLS-соединение, чтобы предоставить конечному пользователю правильную блокировочную страницу межсетевого экрана или IPS.

IPS

Механизм IPS продолжает работать в течение всего времени потока трафика. Он проверяет конкретные элементы, доступные на разных этапах, и действует на контент, который положительно соответствует защите IPS. Можно представить, что IPS действует как увеличительное стекло, постоянно ожидая обновлений от трафика и непрерывно предоставляя информацию в движок, наблюдаемый в потоке.

Следующий пример показывает различную информацию, доступную на разных этапах потока:

  • Протокол потока — HTTP

  • На основе полезной нагрузки используется TLS

  • Есть client_hello, который использует набор шифров TLS 1.3 TLS_AES_256_GCM_SHA384

Различные защиты IPS могут соответствовать любому из вышеперечисленных элементов и затем предпринять действия на трафике на этом этапе.

Защита DNS

Защита DNS является частью движка IPS и работает на потоке DNS для запроса и ответа (без какой-либо связи с транспортом, например TCP или UDP).

Во время запроса DNS анализируется и оценивается доменное имя на репутацию домена и статические каналы. Затем, во время ответа DNS, анализируются разрешенный IP и контент на потенциально опасный контент. Политика зашиты DNS применяется к любому соответствующему контенту (блокировать или разрешить поток трафика).

Управление приложениями

Движок управления приложениями проверяет трафик и применяет действия согласно политике управления приложениями, и его оценивают при каждой новой HTTP транзакции (запросе и ответе).

Для приложений gen2 требуются TLS и HTTP-прокси для завершения идентификации приложения.

Для правил, включающих требования безопасности и согласованности:

  • На основе контекстных данных от других сетевых и защитных движков, движок управления приложениями может оценить эти требования на этапе tls_inspection

  • Также возможно, что движок может получить эту информацию от SNI и ему не требуется TLS или полная идентификация приложений (слой 7 DPI) для оценки приложения

DLP

Движок DLP проверяет содержимое потока трафика и является расширением движка управления приложениями. Когда политика указывает тип файла или размер файла, движок должен проверить метаданные приложения и полезную нагрузку для этих характеристик файла:

  1. Движок оценивает тип файла и проверяет, соответствует ли он поддерживаемому списку файлов для инспекции содержимого.

  2. Затем идентификация приложения gen3 завершается для определения конкретных сигнатур содержимого для полей, в которых хранится содержимое и данные, которые проверяются.

  3. Содержимое проверяется и сверяется, соответствует ли оно определенному профилю содержимого.

Антивирус и NG Антивирус

Движки Антивируса и SentinelOne NG Антивируса сканируют вложения файлов на входящем трафике (скачивание файлов) на известные и неизвестные вредоносные программы. Тип файл определяется на основе ответа HTTP или запроса для трафика FTP.

Сканируются только приложения и службы HTTP, HTTPS и FTP.

  1. Движок проверяет, соответствует ли приложение правилу в политике Антивируса.

  2. Файл сопоставляется с этими списками файлов:

    1. Список разрешений, настроенный в Приложении управления Cato, - эти файлы можно загружать.

    2. Список блокировки, управляемый командой безопасности Cato, - эти файлы блокируются.

  3. Файлы сканируются движками Антивируса и NG Антивируса, и возвращается вердикт: вредоносный, подозрительный или безобидный.

  4. К файлу применяется соответствующее действие по политике Антивируса.

Часто задаваемые вопросы по политикам и движкам Cato

Применяется ли фильтрация URL к трафику WAN?

Нет, фильтрация URL предназначена только для интернет-трафика и не применяется к трафику аккаунта через WAN.

В чем разница между настройками геоограничений для политики брандмауэра и IPS?

Настройка Устройства в WAN и интернет-брандмауэрах позволяет определить исходную страну для подробных правил. Однако нет контроля над страной назначения.

Вкладка Геоограничение в политике IPS определяет ограниченный трафик, который является либо источником, либо пунктом назначения. Однако IPS является глобальной политикой для всего аккаунта, и вы не можете применить настройки геоограничений для конкретных узлов или объектов.

Детали примера TCP потока

  1. Таймлайн — Первый пакет

    1. Доступные поля — 5-тупль, hostname (dname)

    2. Движок Cato — Брандмауэр, Сеть, IPS/SAM

    3. Данные потока трафика — Идентификация приложения, Класс клиента, ОС

  2. Таймлайн — tls_handshake

    1. Доступные поля — cipher_suite, hostname (SNI)

    2. Движок Cato — IPS/SAM, Управление приложениями gen2, TLSi, Брандмауэр, Сеть

    3. Данные потока трафика — Идентификация приложения, Класс клиента, URLF

  3. Таймлайн — HTTP_headers

    1. Доступные поля — заголовки, URL, hostname (host header)

    2. Движок Cato — Управление приложениями gen3, IPS/SAM

    3. Данные потока трафика — File_type (загрузка), ОС

  4. Таймлайн — HTTP_body

    1. Доступные поля — HTTP_request, HTTP_body

    2. Движок Cato — Управление приложениями gen3, DLP, IPS/SAM

    3. Данные потока трафика — File_type (загрузка), Идентификация приложения

  5. Таймлайн — HTTP_response

    1. Доступные поля — HTTP_response_headers, HTTP_response_body

    2. Движок Cato — AM/NGAM, Управление приложениями gen3, DLP, IPS/SAM

    3. Данные потока трафика — File_type (скачивание), Идентификация приложения

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 11 из 12

0 комментариев