El tráfico web cifrado con Seguridad en la capa de transporte (TLS) representa una gran parte de todo el tráfico web, y los agentes de amenazas pueden usar estos canales cifrados para lanzar ataques maliciosos. Por lo tanto, es fundamental comprobar el tráfico cifrado con TLS antes de reenviarlo a su destino.
El proxy web seguro ofrece un servicio de inspección TLS que te permite interceptar el tráfico de TLS, inspeccionar la solicitud cifrada y aplicar políticas de seguridad.
En función de las reglas de seguridad implementadas y de la configuración de la inspección TLS, la solución Secure Web Proxy establece dos conexiones seguras: una con el cliente y otra con el servidor externo. A continuación, la solución de proxy web seguro inspecciona el tráfico entre las dos conexiones seguras. Una vez que se haya completado la verificación, podrá aplicar los mismos filtros y controles de seguridad al tráfico cifrado que al tráfico sin cifrar.
Función de las autoridades de certificación en la inspección TLS
Para determinar si el proxy web seguro debe inspeccionar una conexión TLS, comprueba la marca tls_inspection_enabled en sus reglas de política de seguridad individuales. Si se define la marca y se detecta una conexión TLS, el proxy web seguro genera un nuevo certificado de servidor. Envía este certificado al servicio de autoridad de certificación (CAS) para que lo firme tu grupo de autoridades de certificación (CA) subordinadas.
A continuación, se presenta este certificado al cliente y se establece una conexión TLS. El certificado generado se almacena en caché durante un breve periodo para usarlo en conexiones posteriores al mismo host.
Si quieres inspeccionar el tráfico TLS, debes generar un certificado de servidor para el host al que el cliente intenta conectarse. Una AC privada gestionada por la organización debe firmar este certificado de servidor. Solo los clientes configurados para confiar en esta AC privada confían en estos certificados de servidor generados. Entre ellos, se incluyen los navegadores y los clientes HTTP insertados. Por lo tanto, la inspección TLS solo se puede usar para interceptar e inspeccionar conexiones TLS de clientes sobre los que tu organización tenga control administrativo.
No todas las conexiones TLS se pueden interceptar correctamente, ni siquiera en las máquinas sobre las que la organización tiene control administrativo. Esto se debe a que algunos clientes (especialmente los insertados en otras aplicaciones) tienen codificado que solo acepten certificados de servidor específicos o certificados firmados por CAs específicas (una práctica conocida como fijación de certificados). Las actualizaciones de software de Microsoft Windows, macOS y Google Chrome son algunos ejemplos. Estas conexiones fallan si se realiza una inspección TLS. Esto ocurre porque la clave pública y la cadena de CA del certificado de servidor que Secure Web Proxy presenta al cliente no coinciden con los parámetros almacenados localmente.
Si se configura una regla para inspeccionar el tráfico TLS, pero el cliente no confía en los certificados de inspección que presenta el proxy web seguro, la conexión falla. En estos casos, se sabe que la inspección TLS interrumpe las conexiones cliente-servidor, aunque el servidor sea de confianza. Para evitar esta situación, puedes añadir reglas para omitir la inspección TLS en función de criterios específicos. También puede restringir la inspección de TLS a hosts de destino específicos (mediante el nombre de dominio completo), fuentes (mediante etiquetas seguras, cuentas de servicio o direcciones IP) y mediante el atributo SessionMatcher de una regla.
Funciones compatibles
La inspección TLS de Secure Web Proxy admite las siguientes funciones:
- Integración estrecha con CAS, que es un repositorio altamente disponible y escalable para CAs privadas.
- La posibilidad de usar tu propia raíz de confianza si es necesario. También puedes usar una AC raíz para firmar las ACs subordinadas que tengan las CAS. Si lo prefieres, puedes generar un nuevo certificado raíz en la AC.
- Criterios de descifrado granulares mediante
SessionMatcheren las reglas de políticas de proxy web seguro. Estos criterios incluyen los hosts coincidentes presentes en listas de URLs, expresiones regulares, intervalos de direcciones IP y expresiones similares. Si es necesario, los criterios se pueden combinar con expresiones booleanas. - Cada política de proxy web seguro se puede configurar con su propia política de inspección TLS y su propio grupo de CAs. También se pueden compartir varias políticas de proxy web seguro con una sola política de inspección TLS.
Casos prácticos habituales
Para habilitar la inspección TLS, puede usar cualquiera de los siguientes métodos:
Usa una AC raíz para firmar las ACs subordinadas que se encuentran en CAS. Una AC subordinada alojada en CAS se usa para firmar los certificados de servidor generados en tiempo de ejecución.
Usar una AC raíz externa (no en CAS) para firmar ACs subordinadas. Cuando tu CA raíz firma las CAs subordinadas, puedes usarlas para firmar certificados de servidor generados en tiempo de ejecución.
Utiliza un certificado raíz generado en CAS. Después de crear el certificado raíz, crea una CA subordinada firmada por tu nueva CA raíz. Esa CA subordinada se usa para firmar los certificados de servidor generados en tiempo de ejecución.
Para obtener más información sobre estos métodos, consulta Crear un pool de CAs subordinadas.