Como funciona a autenticação do cookie zScaler?

1

Estou implementando um filtro da web para minha organização e estou considerando o zScaler. Eu não quero usar o arquivo PAC do proxy. Acabei de desligar o telefone com as vendas do zScaler e eles afirmam que podem diferenciar meus usuários pós-NAT usando cookies. Eles não explicaram como funciona, mas me mostraram uma demonstração. Minha topologia é a seguinte:

Espaço RFC 1918 - > FW - > 1.1.1.1 --- 1.1.1.2 - > Roteador - > Internet

Essencialmente no roteador acima, eu vou fazer um túnel GRE para o seu nó ZEN. O ZEN só verá meu IP público, 1.1.1.1.

Ao visitar pela primeira vez a internet, terei que autenticar. Depois disso, as sessões do usuário são rastreadas usando cookies. Isso não faz sentido para mim porque:

  • Dois sites, cnn.com e reddit.com, por exemplo, terão cookies completamente diferentes definidos pelo meu navegador. O zScaler verá algo como:
    • 1.1.1.1:23883 - > cnn.com:80 + cabeçalhos HTTP e potencialmente cookies enviados pelo navegador que são exclusivos do cnn.com e não necessariamente me identificam como joeDomainUser.
    • 1.1.1.1:26364 - > reddit.com:80 + cabeçalhos HTTP e potencialmente cookies enviados pelo navegador que são exclusivos do reddit.com e não necessariamente me identificam como joeDomainUser.

Claro que, se eu autenticar o site cnn.com, ele poderá inserir um cookie na resposta, mas como isso vai me acompanhar quando for para o reddit.com? O navegador enviará cookies diferentes.

    
por NAScar0 22.12.2016 / 17:40

1 resposta

0

Você precisa se lembrar que, como proxy, eles estão no caminho de todas as solicitações da Web (ou, pelo menos, todas as solicitações não SSL, a menos que você esteja usando a descriptografia SSL).

Na primeira vez que você for ao cnn.com, eles verão que você não possui um dos cookies de autenticação deles para esse site. Em vez de veicular o site, eles o redirecionarão temporariamente para o site de autenticação deles.

Quando chegar a esse site de autenticação, uma das duas coisas acontecerá. Se você já está autenticado no Zscaler (o que eles podem dizer usando cookies, que neste caso são para o seu site de autenticação), eles irão redirecioná-lo de volta para cnn.com, com uma string de consulta (? Xxx = yyy adicionada ao URL ) que identifica exclusivamente você. Quando o navegador segue esse redirecionamento, eles novamente interceptam a solicitação, novamente redirecionam você - desta vez de volta para a URL original (cnn.com sem a string de consulta extra), e eles definirão um cookie de autenticação zscaler para o domínio cnn.com, o que eles podem fazer porque, no que diz respeito ao seu navegador, a resposta está vindo do cnn.com real para permitir que o cookie seja configurado (mesmo que a resposta seja realmente proveniente do Zscaler).

Depois disso, todas as solicitações para cnn.com incluirão seu cookie de autenticação para esse domínio, para que saibam que você está fazendo a solicitação. Após um período de tempo (24 horas, eu acho) que o cookie irá tempo limite, e eles passarão por todo o processo de redirecionamento novamente.

Se você não estava autenticado no Zscaler durante o primeiro redirecionamento acima, ele faria o login e seguiria o mesmo processo.

Se você examinar sua lista de cookies depois de ativar a autenticação como essa, verá que cada site tem um novo cookie sendo definido para ela. Esse é o cookie de autenticação do Zscaler para esse domínio.

Apesar do que eles podem afirmar, a maneira como eles fazem isso não é tão única - vários outros produtos de segurança da Web usam exatamente o mesmo mecanismo. Há um pequeno impacto no desempenho devido a todos os redirecionamentos (que ocorrem pelo menos uma vez para cada domínio, a cada 24 horas) - mas geralmente não é tão significativo ser perceptível.

    
por 22.12.2016 / 19:35