Проблема
Сервисы анонимизации часто используются для обхода различных ограничений на просмотр и интернет-файерволов. Многие уважаемые и популярные анонимайзеры обходят NGFW/традиционные межсетевые экраны, используя уклончивые техники. Эти техники включают спуфинг SNI, уклончивые протоколы, скрытие за CDN и перемещение между IP-сервера. Любой сервис анонимизации, который может быть идентифицирован как приложение или сервис Кейто, будет категоризирован под "Анонимайзеры". Например, ClearVPN, Hola VPN, Mullvad VPN, NordVPN, CyberGhost VPN, TunnelBear VPN, Private Internet Access (PIA), Surfshark VPN, Express VPN и многие другие.
Эта статья объясняет, как создать базовое правило межсетевого экрана для эффективной блокировки сервисов анонимизации. Однако из-за различных уклончивых техник, используемых анонимайзерами, успешно блокировать их всех может быть сложно. Если анонимайзер не блокируется, несмотря на настройку базовых правил, пожалуйста, свяжитесь с Поддержкой для получения помощи.
ПРИМЕЧАНИЕ: Также необходимо включить инспекцию TLS и IPS.
Решение
Для установления базовой защиты необходимо создать два правила межсетевого экрана Интернета (IFW). В дополнение, лучшей практикой является создание правила контроля приложений, которое требует наличия действующей лицензии CASB.
- Первое правило блокирует категорию Анонимайзер с помощью правила IFW.
- Второе правило блокирует общие протоколы и уклончивые техники, используемые анонимайзерами, с помощью правила IFW.
- (Необязательно) Третье правило блокирует файлы OpenVPN с помощью Правила контроля приложений. (Это требует наличия действующей лицензии CASB)
Кейто поддерживает кураторский список самых часто используемых анонимайзеров. Чтобы просмотреть этот список, перейдите в Ресурсы > Каталог приложений и выберите "Анонимайзеры" в разделе "Категория."
Для других анонимайзеров, не перечисленных в этом списке, мы идентифицируем их по протоколам и уклончивым техникам, которые они используют. WireGuard, OpenVPN, уклончивый DNS и уклончивый TLS - это протоколы и техники, часто используемые анонимайзерами для улучшения конфиденциальности и обхода сетевых ограничений.
WireGuard
Блокировка протокола WireGuard требует блокировки WireGuard Protocol в правиле межсетевого экрана для Интернета.
OpenVPN
OpenVPN - это защищенный туннельный протокол, используемый для соединений между сайтами и точками. Он может передавать данные через TCP или UDP, и пользователь может определить порт.
Блокировка протокола OpenVPN требует блокировки OpenVPN Protocol в правиле межсетевого экрана для Интернета и блокировки файлов конфигурации OpenVPN, используя правило контроля файлов.
DNS
Многие анонимайзеры используют туннелирование DNS и другой UDP-трафик через порт 53 (так называемый "Evasive DNS") для обхода межсетевых экранов.
Трафик по TCP/443
Обходной трафик через порт 443 — это техника, которую используют анонимайзеры для маскировки своей деятельности в, казалось бы, легитимном трафике TLS. Согласно официальному RFC, это не реальный трафик TLS.
Многие анонимайзеры используют обходной трафик TLS для обхода межсетевого экрана.
Ниже приведены некоторые известные анонимайзеры, которые можно успешно заблокировать, заблокировав категорию анонимайзеров и соответствующие сервисы межсетевого экрана.
|
Сервисы межсетевого экрана (IFW) |
||||||
| Анонимайзеры | WireGuard Протокол | OpenVPN Протокол | DNS | Трафик по TCP/443 | Настроить правило IFW для блокировки категории анонимайзеров | Замечания |
| Очистить VPN | ✔︎ | |||||
| Hola VPN | ✔︎ | Необходимо также блокировать сервис IFW HTTP Proxy | ||||
| Mullvad | ✔︎ | |||||
| NordVPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ✔︎ | Режим "obfuscated servers" в Windows не будет заблокирован |
| CyberGhost VPN | ✔︎ | ✔︎ | ||||
| TunnelBear VPN | ✔︎ | ✔︎ | ✔︎ | Необходимо также блокировать сервисы IFW ISAMP и IPsec NAT Traversal. Необходимо блокировать сервис/порт IFW TCP/6418 | ||
| PIA (Private Internet Access) | ✔︎ | |||||
| Sufshark VPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | ||
| ExpressVPN | ✔︎ | ✔︎ | Устройство Windows требует блокировки сервиса OpenVPN в правиле IFW | |||
| Unlimited VPN | ✔︎ | ✔︎ | ✔︎ | ✔︎ | IPS нужно включить. Необходимо также блокировать сервисы IFW IPsec NAT Traversal. | |
Для анонимайзеров, не указанных в таблице выше, следуйте инструкциям ниже для создания базовых правил файервола для их блокировки.
Правило 1: Блокировать категорию анонимайзеров
- Перейдите в Безопасность > Межсетевой экран Интернета
- Нажмите Новый > Новое Правило
- Под Приложение/Категория, выберите Категория приложений. Затем выберите Анонимайзер из выпадающего списка.
Правило 2: Блокировать подозрительные Сервисы
- Перейдите в Безопасность > Межсетевой экран Интернета
- Нажмите Новый > Новое Правило
- Под Сервис/Порт, настройте следующие Сервисы
Когда эти два правила настроены, они должны походить на пример, показанный ниже:
Примечание: Настройка Правила 2 для блокировки Подозрительных Сервисов может случайно заблокировать легитимные приложения, так как эти протоколы и техники не используются исключительно анонимайзерами. Например, Telegram использует уклончивый трафик через TCP/443. Как лучшая практика, мы предлагаем установить правило на Мониторинг на неделю, чтобы определить ложные срабатывания. Если появятся ложные срабатывания, создайте исключение в правиле, чтобы позволить легитимному приложению правильно функционировать. После устранения любых ложных срабатываний, измените правило на Блокировать.
См. Использование исключений для Разрешить Интернет соединения о том, как создать правило исключения.
Правило 3 (Опционально): Заблокировать файлы OpenVPN
- Перейдите к Безопасность > Контроль приложений
- Создать новое Правило контроля файлов
- В Атрибуты файла, настройте Тип Равно OpenVPN конфигурация файла.
После того как правило настроено, оно должно выглядеть как в примере ниже:
Примечание:
- Требуется действующая Лицензия CASB.
- Необходимо включить инспекцию TLS.
0 комментариев
Войдите в службу, чтобы оставить комментарий.