O RBI (Remote Browser Isolation) é uma funcionalidade  que isola o client, do servidor Web, pois executa a apresentação do conteúdo em um navegador remotamente. Dessa forma, ocorre um “Sandboxing” onde todo o conteúdo estático e os scripts da página Web são interpretados e executados fora da máquina client , protegendo-a assim.

Após esse acesso pelo navegador remoto, o conteúdo é transferido ao client como pixels a partir do contêiner em nuvem. Controles podem ser incluídos à navegação como restrição a upload, download, captura de tela, entre outros. Se ocorrer alguma infecção ou comprometimento, vinda da página Web, isso não afetará a máquina do usuário, devido ao isolamento.

Normalmente o recurso de RBI é direcionado aos Websites que são categorizados como Undefined ou Uncategorized, visto que os facilmente categorizados  (por ex. Weapons, Gambling, Shopping, Media Streams etc) já são atrelados a outros tipos de funcionalidade, como IPS ou Web Filter.

Neste projeto, o recurso de RBI de uma solução SASE (Secure Access Service Edge) monitora o tráfego de uma rede, no modo inline, e é disposto como na topologia a seguir.

cato-ips-2

Assim que a solução SASE identifica que tal natureza de Website não pode ser categorizada/definida, como no caso daqueles recém registrados (DNS), uma sessão de RBI é estabelecida e o client recebe uma emulação de um acesso de navegador remoto.

Primeiramente, testamos o site rbicheck.com, em um client sem a proteção ativada: o conteúdo Web é executado na própria máquina do usuário e um arquivo é automaticamente salvo na mesma, devido ao comportamento do Website:

rbicheck-sem-protecao

Depois, acessamos tal site em uma máquina protegida e o client recebe a emulação de um browser remoto. A URL é modificada automaticamente e os controles são aplicados. Não é permitido Download nem Upload. A sequência segue.

  1. Primeiro, o redirecionamento da URL securebrowsing.catonetworks.com/…. e a carga da sessão Web.
  2. Depois, um aviso quanto aos controles aplicados a tal acesso. No caso, modo “Read-Only”.
  3. O download automático, ativado pela próprio site, é então bloqueado.

carga-page-rbi-check-protecao

rbi-check-print-block

rbi-check-download-block

Ao analisarmos a captura de pacotes na máquina protegida, vemos que não há tráfego TCP para rbicheck.com, mas há para googleusercontent.com, que responde com a URL de emulação de navegação, securebrowsing.catonetworks.com.

rbi-wireshark

Evento correlato: ao casar a regra de TLS Inspection para Uncategorized, a ação RBI é disparada, seguida da ação de monitoramento do tráfego à URL securebrowsing.catonetworks.com.

evento-rbi

evento-rbi-securebrowsing