Jeder hat von ihr gehört. Niemand weiss was sie so genau macht und dennoch sind viele von ihr betroffen. Die Rede ist von der Great Firewall in China. Mir ist aufgefallen, dass die Great Firewall in China oft Thema der Diskussionen bei unseren Zscaler Kunden ist. Von daher möchte ich gerne meine Erfahrungen und Erkenntnisse in Bezug auf Zscaler und die Great Firewall in China mit Ihnen teilen.
Facts
Bekannt ist, dass das Internet in China streng von der chinesischen Regierung geregelt wird. Die Richtlinien können ohne vorherige Ankündigung geändert werden. Diese Erfahrung durfte ich im Februar und März dieses Jahres machen, als die Richtlinien stark verschärft wurden auf Grund eines politischen Events in China. Der Internet Traffic wurde von einem auf den anderen Tag verschärft kontrolliert, gedrosselt oder blockiert. Diese zusätzlichen Kontrollen des Internet Traffics führte zu enormen Latenzzeiten sowie Timeouts. Davon waren hauptsächlich die internationalen Internetverbindungen betroffen. Doch wie können sich diese Regulierungen nun auf Sie auswirken?
Auswirkungen
Ich habe verschiedenen Auswirkungen wahrgenommen, welche sich auf die Great Firewall in China zurückführen lassen. Die erste war, dass die Benutzer sich nicht mehr authentisieren konnten. Dieses Phänomen lässt sich damit erklären, dass Zscaler die Central Authority (CA) nicht in China platziert hat, sondern in anderen Datacentern in der Welt. Somit muss nun für eine Authentisierung eine Connection vom Node zur betreffenden Cloud CA gemacht werden. Durch die neuen Regulierungen wurden genau diese Verbindungen durch die Great Firewall in China blockiert und der Benutzer konnte nicht verifiziert authentisiert werden. Bei eingeschalteter Policy für unauthentisierten Traffic wurde der Benutzer nun als so genannter noauth-misc Benutzer in den Logs angezeigt. Dies wiederum hatte zur Folge, dass benutzerspezifische Rules nicht angewendet werden konnten. Wird nun der Allow-Allow-Block Ansatz für das Policy Ruleset verwendet, so kann dies zur Folge haben, dass die Benutzer nicht mehr ins Internet zugreifen können.
Ein zweites Phänomen, welches sich durch die Great Firewall bemerkbar gemacht hat, ist die Internetperformance auf internationale Seiten. Durch die willkürliche Drosselung von internationalem Traffic kann es dazu kommen, dass die Internetverbindungen unter massiven Performanceeinbussen leiden. Von diesen Drosselungen sind nach meinen heutigen Erfahrungen jeweils nur ein Teil der IP-Adressen der verschiedenen Provider betroffen. Hat man das Glück und erhält eine gute IP-Adresse, so hat man eine gute Verbindung. Da wir die IP-Adressen nicht auswählen können und keinen Einfluss auf die unangemeldeten Änderungen der Richtlinien in China haben, habe ich mich auf meine Möglichkeiten konzentriert und möchte Ihnen meine Best Practices und umgesetzten Workarounds mit auf den Weg geben.
Best Practice und Workarounds
Da sich Best Practices nicht immer schnell umsetzen lassen und ein möglicher Ausfall unter den Fingern brennt, gehe ich als erstes auf mögliche Workarounds ein.
1. Workaround – Performance
Bei massiven Performanceeinschränkungen teste ich als erstes ob mir ein anderer Zscaler Node eine bessere Performance bieten kann. Zscaler hat aktuell drei Datacenters in China. Jeweils eines in Shanghai, Tianjin und ganz neu in Peking. Erhalte ich durch den Wechsel keine Verbesserung, konzentriere ich mich auf den Traffic und versuche den Performance Leak in der Connection zu identifizieren. Hierbei ist es sehr hilfreich den Zscaler Support mit in die Analyse einzubinden, um schnellst möglich zu einem positiven Resultat zu kommen.
2. Workaround – Authentication nicht möglich
Bei Ausfällen in der Authentisierung ist als erstes zu verifizieren, mit welchem Benutzer die Connections in den Zscaler Logs aufgezeichnet sind. Bis der Issue gelöst ist, kann der Traffic spezifisch auf beispielsweise die Location und die betroffenen User in der Zscaler Policy erlaubt werden.
3. Best Practice
Für eine bestmögliche Internetanbindung habe ich mit der folgenden Best Practice Konfiguration die besten Erfahrungen gemacht.
Forwarding: Tunnel Forwarding (GRE) / ZAPP / PAC
Authentication: SAML & IP Surrogate mit IP Surrogate für Known Browser
Policy: Policy Ruleset Block-Block-Allow
SSL Inspection: aktiv
Links
Alles zu Zscaler bei AVANTEC unter: www.avantec.ch/loesungen/zscaler/
Der Beitrag Zscaler und die «Great Firewall in China» erschien zuerst auf Tec-Bite.