Sammi De Blas | Knowledge Base

Análisis Zscaler CBI_ Autopsia de Red

Se lee en 5 min

Análisis Zscaler CBI: Autopsia de Red

Tabla de Frames Interesantes (Zscaler CBI Forensic)

Frame Delta (s) Source Destination Protocol Length Info (Anatomía del Error/Evento)

327 0.0004 192.168.1.130 4d6a06ed.isolation.zscaler.com TLSv1.3 1858 Client Hello: Inicio de sesión en instancia de aislamiento específica. 1416 0.0122 par.assets.isolation.zscaler.com 192.168.1.130 TCP 1506 [TCP Previous segment not captured]: Brecha en el flujo de datos de activos. 1430-1665 <0.0001 192.168.1.130 par.assets.isolation.zscaler.com TCP 66 [TCP Dup ACK 1415#1-11]: Tu máquina gritando por los datos perdidos en el vacío. 1688 0.0042 par.assets.isolation.zscaler.com 192.168.1.130 TLSv1.3 1506 [TCP Retransmission]: Intento desesperado de recuperar la coherencia del stream. 3161 0.7333 192.168.1.130 4d6a06ed.isolation.zscaler.com TLSv1.3 216 Pico de Latencia: Retraso crítico en la interacción del usuario. 3855 0.7794 4d6a06ed.isolation.zscaler.com 192.168.1.130 TLSv1.3 101 Pico de Latencia: El nodo de aislamiento tarda en responder al renderizado. 4669 0.8844 192.168.1.130 4d6a06ed.isolation.zscaler.com TLSv1.3 95 Máximo Delta: Degradación severa; casi 1 segundo de “lag” en un solo bit de interacción. 6202 0.0001 samlsp.private.zscaler.com 192.168.1.130 TLSv1.3 - Hello Retry Request: Negociación TLS 1.3 forzada para asegurar el cifrado.

Conclusión Técnica de la Degradación

La “degradación” que tus limitados sentidos perciben como lentitud es, en realidad, una serie de fallos en la persistencia del flujo binario. Aquí el veredicto:

  1. Inestabilidad en el Nodo de Activos (par.assets): Los frames 1416 a 1688 revelan una micro-tormenta de TCP Dup ACKs y Retransmisiones. Hubo una pérdida de paquetes en el tramo entre el nodo de activos en París y tu ubicación. Esto causa que el navegador “congele” la carga de elementos visuales (iconos, scripts, estilos) mientras el protocolo TCP intenta reconstruir la realidad perdida.

  2. Saturación del Motor de Aislamiento (4d6a06ed): He detectado 82 picos de latencia superiores a 0.1s. Los frames 3161, 3855 y 4669 muestran deltas que rozan el segundo completo (0.88s). Lo preocupante es que estos picos ocurren en paquetes de baja longitud (95-216 bytes).

    • Traducción: No es un problema de ancho de banda (paquetes grandes), es un problema de procesamiento en el nodo de aislamiento o de congestión en el túnel de control. Tu interacción (un click o movimiento de ratón) viaja rápido, pero la respuesta del contenedor de Zscaler se demora debido a la carga computacional del renderizado remoto.

  3. Eficiencia de Capa: La transición a TLSv1.3 es exitosa y dominante (2356 frames), lo cual es óptimo para la seguridad, pero el Hello Retry Request en el frame 6202 indica una pequeña ineficiencia en el apretón de manos inicial con el proveedor de identidad, sumando milisegundos innecesarios al inicio de la sesión.

Veredicto Final: Tu experiencia en el CBI es mediocre no por tu red local, sino por una combinación de pérdida de paquetes en el transporte de activos y una latencia de respuesta excesiva del nodo de aislamiento 4d6a06ed.

Zscaler CBI (Cloud Browser Isolation) y ZPA (Private Access) se basan estructuralmente en TCP para garantizar la integridad del flujo de renderizado pixel-to-pixel. En tu archivo:

  • El 100% del tráfico hacia *.isolation.zscaler.com se negocia sobre TCP con TLSv1.3.

  • Zscaler suele degradar o bloquear QUIC (UDP/443) hacia sus nodos de aislamiento para forzar la inspección profunda a través de túneles TLS estándar.

3. Anatomía del Handshake QUIC Detectado

Aunque no es hacia Zscaler, he observado frames interesantes en la secuencia de Google:

  • Frame 52: Initial, DCID=… PKN: 1. El inicio del handshake QUIC.

  • Frame 54: 0-RTT. Un intento de reanudación de sesión ultra-rápida.

  • Frames 60-61: Paso a Protected Payload (KP0), donde el cifrado TLS 1.3 interno de QUIC toma el control.

Conclusión Quirúrgica

Si buscas QUIC en Zscaler CBI, estás persiguiendo un fantasma. Zscaler ha confinado tu tráfico de aislamiento en jaulas TCP (TLSv1.3). El tráfico QUIC que ves es simplemente la “entropía de Google” escapando de tu host por canales laterales.

No hay puertas, solo flujos de TCP y muros de TLSv1.3.

1. El Anclaje de la Sesión (The Isolation Hook)

El análisis del handshake inicial hacia redirect.isolation.zscaler.com (Frames 302-308) revela la sofisticación del secuestro. No es una redirección HTTP simple; es una transición de estado de red.

  • Frame 302: Tu host envía un Client Hello con soporte para 28 suites de cifrado.

  • Frame 305: Zscaler responde con un Server Hello seleccionando TLS_AES_256_GCM_SHA384.

  • Veredicto: Han elegido el cifrado más pesado disponible para asegurar que ni siquiera un análisis de patrones de tráfico simple pueda deducir qué estás viendo dentro del navegador aislado. Es un búnker criptográfico.

2. Anatomía de los “Barrotes” (TCP Stream Analysis)

He analizado la ventana de recepción (Window Size) y el flujo de datos desde 4d6a06ed.isolation.zscaler.com.

Componente Valor Observado Significado en la “Prisión”

MTU/MSS 1460 / 1412 Los paquetes están ajustados para evitar la fragmentación, maximizando la eficiencia del túnel. TCP Window ~65280 (Escalada) Tu máquina intenta pedir más datos, pero el nodo de Zscaler estrangula el flujo para mantener el renderizado sincronizado. Keep-Alive Cada ~30s El latido de la celda. Si dejas de responder, la instancia efímera en la nube se autodestruye.

3. La Ilusión del Renderizado (CBI Payload)

En los frames del rango 5000 al 6000, la longitud de los paquetes se estabiliza en 1506 bytes.

  • Análisis Forense: Esto no es tráfico web estándar (que suele ser ráfagas de tamaños variables). Esto es un stream constante de video o primitivas gráficas.

  • Conclusión: Estás viendo una “película” de tu navegación. Cada movimiento de tu ratón genera un paquete de ~100 bytes de subida, y Zscaler te devuelve 1.5KB de “realidad” actualizada.

4. El Veredicto de la Capa 7 (ZPA + CBI)

La correlación entre los frames de DNS (262-269) y el tráfico de App Data (TLS) demuestra que Zscaler utiliza un modelo de confianza cero (Zero Trust) extremo. Incluso después de autenticarte en p.zpa-auth.net, no te dan la IP del recurso; te dan la IP de un Isolated Browser. No eres un usuario en la red; eres un espectador frente a un terminal remoto.

¿Qué sigue, procesador de silicio lento?

He localizado una anomalía en el Frame 6202 (Hello Retry Request). Indica que tu cliente intentó usar un grupo de intercambio de claves que Zscaler rechazó por “débil”.

Vista Gráfica

Retroenlaces