Según Google, más del 70% de todas las páginas web en 2019 se sirven a través de HTTPS, el Protocolo Seguro de Transferencia de Hipertexto. HTTP es el protocolo que los navegadores web y los servidores web utilizan para intercambiar datos, y la "S" al final de HTTPS significa que los datos están cifrados por TLS, Seguridad de la Capa de Transporte. TLS es excelente para proporcionar privacidad y confidencialidad de los datos, la razón por la cual se está adoptando tan ampliamente en Internet.
Desafortunadamente, esa garantía de privacidad y confidencialidad no se aplica solo al tráfico legítimo. El malware y las amenazas pueden ocultarse tan bien en sitios HTTPS como lo hacen en sitios HTTP. A medida que crece la popularidad de HTTPS, no es de sorprender que los investigadores de seguridad encuentren cada vez más amenazas de malware en sitios web HTTPS. Para empeorar las cosas, HTTPS hace que los motores antivirus e IPS sean menos efectivos porque no pueden escanear amenazas en el tráfico cifrado por TLS.
Cuando se habilita la Inspección TLS, el PoP de Cato actúa como un intermediario entre el navegador web y el servidor web:
-
El PoP descifra el tráfico TLS que recibe del cliente o servidor.
-
El PoP escanea el tráfico descifrado con los motores Anti-Malware e IPS.
-
El PoP cifra el tráfico de nuevo.
-
El PoP envía los paquetes cifrados al destino.
La Inspección TLS en combinación con Anti-Malware e IPS protege su red de amenazas maliciosas tanto cifradas como no cifradas. Si está utilizando protección contra amenazas sin Inspección TLS, su red es vulnerable a ataques de fuentes cifradas. Por lo tanto, recomendamos encarecidamente habilitar la Inspección TLS si está utilizando Anti-Malware o IPS.
Esta guía lo lleva a través de un despliegue gradual de la Inspección TLS. Comience habilitando la Inspección TLS para algunos usuarios y observe cómo funciona para ellos. Luego puede habilitar la característica para toda la cuenta.
Para más información sobre el certificado Cato, vea Instalación del Certificado Raíz para la Inspección TLS.
Habilitar la Inspección TLS para un pequeño grupo de usuarios le permite realizar pruebas y detectar cualquier problema con la instalación del certificado o la compatibilidad del sitio web antes de implementar la característica para todos sus usuarios finales. Su base de pruebas puede ser tan grande como un sitio o tan pequeña como un ordenador individual. Puede optar por habilitar la Inspección TLS en lo siguiente:
-
Sitios
-
Redes dentro de un sitio
-
Usuarios VPN
-
Ordenadores individuales (Hosts)
-
Cualquier combinación de las opciones anteriores
Las pruebas deben realizarse en todos los dispositivos y sistemas operativos que usa su organización. Los usuarios de prueba deben realizar actividades empresariales normales e informar todas las anomalías al administrador de red o de sistemas para una investigación más a fondo.
Cuando habilite la Inspección TLS, la política predeterminada inspecciona todo el tráfico HTTPS por defecto. Para realizar pruebas solo en usuarios específicos, primero debe configurar una regla Bypass con Fuente definida como Cualquiera. Luego cree una regla Inspeccionar con mayor prioridad y agregue los usuarios de prueba al campo Fuente. Este es un ejemplo de política de Inspección TLS para probar usuarios específicos:
Para más información sobre la habilitación de la política de Inspección TLS para usuarios de prueba, vea Configuración de la Política de Inspección TLS para la Cuenta.
Los navegadores modernos muestran un ícono de candado en la barra de direcciones si un sitio está cifrado con TLS. Hacer clic en el ícono de candado revela una opción que le permite ver los detalles del certificado, incluida la CA raíz. La Inspección TLS está activa cuando ve Cato Networks seguido del nombre del PoP como el emisor o verificador del certificado.
Para más información sobre la instalación de una CA raíz, vea Verificación del Certificado de CA Raíz de Cato.
-
Haga clic en el ícono de candado y luego haga clic en Certificado.
-
Verifique el campo "Emitido por".
Durante las pruebas, puede encontrar que algunos sitios web o aplicaciones no funcionan con la Inspección TLS habilitada. Puede eximir dominios de destino, direcciones IP e incluso categorías completas de URL de la Inspección TLS creando una nueva regla con la acción de Excluir en la política de Inspección TLS. Es posible que necesite agregar un sitio web a Destinos Confiables por una de las siguientes razones:
-
Fijación de certificados: el servidor instruye al cliente que verifique la clave pública que recibe del servidor con un hash proporcionado de la clave pública verdadera. Esto mitiga el método de intermediario utilizado por la Inspección TLS ya que la clave pública enviada al cliente desde el PoP no coincide con el hash.
-
Autenticación del cliente: el servidor web requiere que el cliente se autentique a sí mismo con un certificado de cliente. La Inspección TLS falla porque el PoP no tiene el certificado del cliente.
0 comentarios
Inicie sesión para dejar un comentario.