La mayoría del tráfico de Internet está encriptado a través de HTTPS, sin embargo, el malware utiliza HTTPS como técnica evasiva. Este tipo de amenazas puede dañar los datos de su organización.
Cato Networks proporciona inspección de Seguridad de la Capa de Transporte (TLS) para el tráfico HTTPS de WAN e Internet. Cato admite las versiones TLS 1.1, 1.2 y 1.3. Cuando la inspección TLS está activada, los PoPs de Cato desencriptan el tráfico HTTPS y lo inspeccionan en busca de contenido malicioso. Recomendamos que utilice la inspección TLS para los servicios de protección contra amenazas de Cato, tales como el Sistema de Prevención de Intrusiones (IPS), Anti-Malware y la Detección y Respuesta a Amenazas Gestionadas (MDR).
Este artículo explica cómo la Inspección TLS proporciona protección contra este tipo de amenazas y describe las mejores prácticas para la protección contra amenazas y el tráfico TLS.
Nota
Nota: Debido a problemas relacionados con el anclaje de certificados, la Inspección TLS no es compatible con dispositivos Android.
Utilice la Cato Management Application para habilitar la inspección TLS para toda la cuenta. Como parte de la implementación de la Inspección TLS, debe instalar el certificado de Cato como certificado raíz en los hosts y dispositivos de los usuarios finales. Utilice la política de Inspección TLS para definir reglas para inspeccionar o excluir el tráfico de la inspección TLS. Cuando la Inspección TLS está habilitada para su cuenta, la política predeterminada es inspeccionar todo el tráfico HTTPS por defecto.
Cuando un cliente (por ejemplo, un navegador web) se conecta a un servidor, el PoP envía el certificado de Cato al navegador como parte de la negociación TLS. Para que el cliente verifique que este certificado está firmado por una CA de confianza, debe instalar el certificado de Cato en todos sus clientes y dispositivos. El certificado está disponible para su descarga desde la Cato Management Application o desde el portal de descarga de clientes. Luego, el PoP puede desencriptar el tráfico HTTPS e inspeccionarlo para detectar si hay amenazas de seguridad.
La instalación del certificado de Cato también le permite usar la página de bloqueo de Cato para sitios web HTTPS. Si el tráfico TLS es bloqueado por las reglas de Filtrado de URL o Firewall de Internet, el certificado de Cato permite el acceso a la página de bloqueo de Cato. No se requiere inspección TLS para bloquear el acceso a sitios web HTTPS, pero si el certificado de Cato no está instalado en la computadora de sus usuarios, se muestra una advertencia de certificado en lugar de la página de bloqueo de Cato. Por lo tanto, recomendamos que instale el certificado de Cato en los dispositivos de los clientes. Para más información sobre el certificado y las páginas de bloqueo, consulte Advertencias de Certificado con sitios web HTTPS bloqueados.
Puede excluir elementos específicos de la inspección TLS utilizando la ventana unificada de inspección TLS. Esto puede incluir servicios o destinos que se consideran legítimos o de confianza. Para más información sobre cómo excluir el tráfico de la inspección TLS, consulte Configurar la Política de Inspección TLS para la Cuenta.
Notas:
-
La inspección TLS se omite para sistemas operativos Android, Linux y no identificados. Los registros de eventos para estos sistemas operativos incluyen el Tipo de OS como:
-
OS_ANDROID
-
OS_LINUX
-
OS_UNKNOWN
-
-
Habilitar la inspección TLS activa la función de aceleración TCP para todo el tráfico TLS. Cuando la aceleración TCP está activada, las ubicaciones actúan como servidores proxy para inspeccionar el tráfico en busca de archivos maliciosos y amenazas. Para más sobre el modo de proxy TCP, vea Explicación de la aceleración TCP de Cato y mejores prácticas.
Cato Networks recomienda encarecidamente que habilite la inspección TLS para su cuenta. Si desea la protección completa de los servicios avanzados de seguridad y detección de Cato, es importante saber que algunas de estas capacidades pueden inspeccionar solo datos no encriptados. Por ejemplo, si no utiliza la inspección TLS, esto reduce la eficiencia de servicios de seguridad como MDR, que utiliza un sistema de búsqueda de amenazas automatizado.
Otro ejemplo es el servicio IPS que utiliza detección basada en firmas. Cuando la inspección TLS está activada, el IPS puede aplicar inspección de paquetes profundos y permite capacidades adicionales en el rango de firmas de seguridad. Y así, proporciona una mejor protección para su red.
Algunos sitios y aplicaciones utilizan anclaje de certificados por razones de seguridad. El anclaje de certificados obliga al cliente a utilizar un certificado específico para evitar ataques man-in-the-middle. Estas aplicaciones no funcionan cuando la inspección TLS está activada. Por lo tanto, debe agregarlos como una regla de exclusión dentro de la ventana de política de inspección TLS.
Para más información sobre la configuración de la inspección TLS, vea Configurar la Política de Inspección TLS para la Cuenta.
0 comentarios
Inicie sesión para dejar un comentario.