Problema
Puede observar eventos donde TLSi aparece habilitado aunque:
- Inspección TLS Global está desactivada, o
- El tráfico coincide con una regla de omisión de TLS, o
- El sistema operativo de origen es uno de los tipos de sistemas operativos omitidos por defecto (por ejemplo: Android, Linux, Sistema Operativo Desconocido).
Este comportamiento se identifica típicamente en Seguridad / Eventos de Internet, donde los detalles del evento muestran Inspección TLS = 1 y, en algunos casos, se presenta una página relacionada con TLS de Bloqueo, Solicitud, o Portal Cautivo.
Entorno
Puede aplicarse una o más de las siguientes condiciones:
- Inspección TLS deshabilitada globalmente u omitida por sistema operativo (por ejemplo: Android, Linux, Sistema Operativo Desconocido)
- Reglas de firewall con acciones de Bloqueo o Solicitud
- Autenticación del Portal Cautivo en uso
- Acceso Sin Cliente (Acceso por Navegador)
- Tráfico clasificado como de alto riesgo o prohibido por controles de seguridad del sistema
- Inspección TLS –implementando Parámetros Globales para aplicaciones específicas
Nota: La Inspección TLS en eventos puede reflejar la inspección requerida por el sistema para control, aplicación o seguridad, no necesariamente sólo la inspección de políticas configuradas.
Entendiendo el Comportamiento
Las configuraciones de Inspección TLS definen inspección basada en políticas, pero ciertos flujos de tráfico requieren inspección a nivel de sistema realizada por el stack de seguridad de Cato para funcionar correctamente. En estos casos, la Inspección TLS puede ocurrir incluso cuando está deshabilitada o omitida a nivel de política de inquilino.
Según el Acuerdo de Servicio Maestro de Cato (MSA) y los requisitos globales de seguridad y cumplimiento, el acceso a ciertos destinos maliciosos, peligrosos o prohibidos está bloqueado por defecto. Para implementar estas protecciones de base y cumplir con las obligaciones regulatorias, Cato puede interceptar y evaluar el tráfico utilizando su stack de seguridad. Como resultado, las funciones de Inspección TLS pueden ser reportadas como activas en algunos eventos de bloqueo, incluso cuando la Inspección TLS configurada por el cliente está deshabilitada.
Este comportamiento es esperado y por diseño. No indica que la Inspección TLS haya sido habilitada por la política del cliente o que se ignoraran las reglas de omisión. En cambio, refleja los controles de seguridad del sistema obligatorios requeridos para clasificar y bloquear correctamente el tráfico de alto riesgo mientras se mantiene la seguridad y el cumplimiento de la plataforma.
El comportamiento anterior se reflejará en el evento con el Inspección TLS = 1
Escenarios donde se aplica la Inspección TLS
Escenario 1: El tráfico del Portal Cautivo siempre es inspeccionado
El tráfico utilizado para la detección y autenticación del Portal Cautivo es manejado por reglas del sistema.
El PoP debe:
- Detectar los requisitos de autenticación
- Inyectar la página del Portal Cautivo
- Gestionar temporalmente el comportamiento de acceso (por ejemplo, manejo Siempre Activo)
Para apoyar esto, el tráfico siempre se pasa a través del motor de inspección TLS, incluso cuando:
- El sistema operativo de origen se omite normalmente, o
- La Inspección TLS del inquilino está deshabilitada o omitida
Este comportamiento es esperado y no indica que se haya ignorado la política TLSi del inquilino.
Escenario 2: El tráfico de Acceso Sin Cliente (Portal de Acceso por Navegador) siempre es inspeccionado
El tráfico para Acceso Sin Cliente (Portal de Acceso por Navegador) se origina desde Internet pública y entra a la Nube Cato como tráfico entrante no confiable.
Por razones de seguridad:
- Este tráfico siempre es inspeccionado por reglas del sistema, incluyendo la Inspección TLS
- La configuración de Inspección TLS del inquilino no se aplica a estos flujos
Como resultado, los Eventos relacionados con el Acceso por Navegador pueden mostrar Inspección TLS = 1 incluso cuando:
- La Inspección TLS Global está desactivada, o
- El mismo destino normalmente sería ignorado para el tráfico de usuario a través del cliente SDP
Escenario 3: Reglas de firewall con acciones de Bloqueo o Solicitud
Para el tráfico HTTPS, las reglas de firewall configuradas con acciones de Bloqueo o Solicitud requieren Inspección TLS para:
- Clasificar con precisión el tráfico cifrado
- Inyectar páginas de bloqueo o solicitud de vuelta al usuario
Esta terminación TLS es realizada por reglas del sistema, no por la política de Inspección TLS del inquilino.
Por lo tanto, los Eventos para flujos que coinciden con reglas de Bloqueo o Solicitud pueden mostrar Inspección TLS = 1 incluso cuando:
- La Inspección TLS está deshabilitada globalmente, o
- Una regla de omisión de TLS se aplica al destino
Este comportamiento es necesario para aplicar correctamente acciones de bloqueo/solicitud para el tráfico HTTPS.
(Ver también: Accediendo a un Sitio Web No Confiable Está Bloqueado Incluso Si la Inspección TLS Está Deshabilitada.)
Escenario 4: Políticas de Inspección TLS Global para aplicaciones específicas
Además de las reglas de Inspección TLS definidas por el inquilino, Cato aplica políticas de Inspección TLS globales para ciertas aplicaciones, tales como Dropbox y WhatsApp.
Estas políticas se utilizan para:
- Asegurar seguridad consistente y aplicación CASB
- Manejar la fijación de certificados y el comportamiento específico de la aplicación
Como resultado, el tráfico a ciertas aplicaciones puede ser inspeccionado incluso cuando:
- La Inspección TLS está deshabilitada en la política del inquilino, o
- El sistema operativo de origen normalmente sería omitido
En los Eventos, esto aparece como Inspección TLS = 1, aunque no se vea ninguna regla TLSi definida por el inquilino.
Este comportamiento es esperado y está motivado por las políticas de seguridad global de Cato.
Cuándo Investigar Más
Si se observan problemas de rendimiento (por ejemplo, tiempos de carga de aplicaciones lentos) y omitir Cato proporciona un mejor rendimiento, puede ser necesario más datos para que el soporte investigue, por favor asegúrese de proporcionar lo siguiente:
- ¿Cuál es el impacto en el rendimiento? ¿Es el tiempo de carga de datos o problemas con la carga del contenido en sí?
- Archivo HAR desde el navegador del cliente
- Proporcione un SSS para que el soporte valide
0 comentarios
El artículo está cerrado para comentarios.