Configuración de la Política de Inspección TLS para la Cuenta

Este artículo analiza cómo configurar y personalizar la política de Inspección TLS para cumplir con los requisitos específicos de su Red.

Descripción general de la Política de Inspección TLS de Cato

Hoy en día, la mayor parte del tráfico de Red está cifrado (TLS, HTTPS), lo que a menudo minimiza el beneficio de escanear tráfico con IPS, Internet Firewall, Política de Control de Aplicaciones y tráfico Anti-Malware. Si el tráfico contiene contenido malicioso, también está cifrado y los motores de Seguridad de Cato no pueden inspeccionarlo ni escanearlo.

Cuando habilitas la Inspección TLS para tu Cuenta, Cato descifra de forma segura el tráfico que pasa por un PoP y los motores de Seguridad de Cato lo inspeccionan en busca de Malware y escanean los archivos descargados. Si se confirma que el contenido del tráfico es seguro, Cato entonces cifra nuevamente el tráfico y lo reenvía al Destino. Sin embargo, si el contenido contiene Malware real o sospechoso, entonces los motores de Seguridad de Cato bloquean el tráfico.

Puedes optar por utilizar la política predeterminada de Cato que inspecciona todo el tráfico. También puede crear reglas específicas de Inspección TLS que definan qué tráfico se inspecciona y qué tráfico evita la Inspección TLS.

tlsinspection.png

Nota

Nota: Por defecto, la Inspección TLS se omite para estos sistemas operativos:

  • Android (debido a problemas relacionados con el pinning de certificados)

  • Linux

  • Sistemas operativos desconocidos

Reglas de Omitir Predeterminadas de Cato para Aplicaciones

Cato incluye varias aplicaciones en una regla de evitación implícita que se excluyen automáticamente de la Inspección TLS. For a list of these applications, see below Default Bypass Rules.

Latencia para la Inspección TLS

Some minimal latency is expected at the initial connection due to the TCP and TLS handshakes that occur before data can flow to the appropriate network or security engine in the PoP. Esta latencia es de hasta 10 milisegundos por paquete.

Trabajando con una Base de Reglas de Inspección TLS Ordenada

El motor de Inspección TLS inspecciona conexiones secuencialmente y verifica si la conexión coincide con una regla. La regla final en la base de reglas es una regla predeterminada implícita de Inspección ANY - ANY, por lo tanto, si una conexión NO coincide con una regla, entonces se inspecciona automáticamente.

Puede revisar la configuración de la regla predeterminada en la sección Reglas Predeterminadas al final de la base de reglas. La configuración de la regla no se puede editar excepto para la acción de Certificado de Servidor No Confiable. For more about the Untrusted Server Certificate action, see below Adding Rules to Customize the TLS Inspection Policy.

Las reglas que están en la parte superior de la base de reglas tienen una mayor prioridad porque se aplican a las conexiones antes que las reglas más bajas en la base de reglas. Por ejemplo, si una conexión coincide con la regla n.º 2, se aplica la acción de esta regla a la conexión y el motor de Inspección TLS deja de aplicar la política a esta conexión. Esto significa que las reglas n.º 3 y siguientes no se aplican a la conexión.

Revisiones de Política y Edición Concurrente por Múltiples Administradores

La Política de Inspección TLS permite a diferentes administradores editar la política en paralelo. Cada administrador puede editar reglas y guardar los cambios en la base de reglas en su propia revisión privada, y luego publicarlos en la política de la cuenta (la revisión publicada). Para más información sobre cómo gestionar las revisiones de política, consulte Trabajando con Revisiones de Política.

Comprendiendo la Política de Inspección TLS

Utiliza la página de Política de Inspección TLS para configurar la política de Inspección TLS para todo el tráfico en tu cuenta.

Trabajando con Múltiples Elementos

Cuando hay múltiples elementos en un campo de Fuente, o un campo de Qué, como dos grupos o categorías, entonces existe una relación OR entre estos elementos.

multi-tlsrules.png

Instalación del Certificado Raíz de Cato en Dispositivos de Usuario Final

El certificado raíz de Cato debe ser instalado como un certificado de confianza en cada dispositivo y computadora que se conecte a la Cato Cloud. For more information about installing the Cato certificate, see Installing the Root Certificate for TLS Inspection.

  • El certificado de Cato no puede ser instalado en la mayoría de los sistemas operativos embebidos (OS), por lo tanto, muchos dispositivos que usan OS embebido pierden conectividad cuando la Inspección TLS está habilitada. For more about which OS Cato supports for TLS Inspection, see Best Practices for TLS Inspection.

Imponiendo versiones TLS y conjuntos de cifrado

Por defecto, se permiten todas las versiones TLS y los conjuntos de cifrado. Para bloquear versiones TLS obsoletas e inseguras o prevenir el uso de conjuntos de cifrado débiles en el tráfico encriptado, la política de Inspección TLS puede imponer las versiones mínimas del protocolo TLS y la fuerza del conjunto de cifrado para el tráfico en tu cuenta.

Las opciones de configuración de conjuntos de cifrado se dividen en tres niveles, basados en los ajustes recomendados por Mozilla. Algunas versiones TLS no son compatibles con ciertos niveles. Para obtener más información y una lista de conjuntos de cifrado para cada nivel, consulta la documentación de Mozilla.

Blocking QUIC and GQUIC Traffic for TLS Inspection

QUIC y GQUIC son protocolos de transporte desarrollados por Google que no operan sobre conexiones TCP, y el tráfico que utiliza estos protocolos no puede ser inspeccionado por el servicio de Inspección TLS. Por lo tanto, recomendamos que las Cuentas que habiliten la Inspección TLS bloqueen el tráfico QUIC y GQUIC usando reglas de Internet Firewall. Las reglas que bloquean este tráfico fuerzan a que el flujo solo se conecte utilizando protocolos que puedan ser inspeccionados por el servicio de Inspección TLS. Si permite el tráfico que utiliza los protocolos QUIC y GQUIC, el flujo no puede ser inspeccionado y se bloquea innecesariamente.

La primera vez que habilita la política de Inspección TLS, las reglas para bloquear el tráfico QUIC y GQUIC se agregan automáticamente a la política de Internet Firewall. Si la política de Internet Firewall ya bloquea el tráfico QUIC para que pueda ser correctamente inspeccionado, entonces no se agregan nuevas reglas.

For more about QUIC and GQUIC traffic, see Internet and WAN Firewall Policies – Best Practices.

Configuring the TLS Inspection Policy

Cuando configuras la política de Inspección TLS, puedes habilitar la política de Inspección TLS predeterminada de Cato o personalizar la política añadiendo tus propias reglas.

Using the Default TLS Inspection Policy

La política de Inspección TLS predeterminada de Cato inspecciona todo el tráfico (excepto las aplicaciones que se omiten automáticamente). Puede usar la política predeterminada habilitando la Inspección TLS y no es necesario agregar reglas a la política.

Hay una regla implícita final que coincide con todo el tráfico con la acción Inspeccionar.

Para usar la política de Inspección TLS de Cato predeterminada:

  1. Desde el menú de navegación, haz clic en Seguridad > Inspección TLS.

  2. Haz clic en el control deslizante Habilitar Inspección TLS.

  3. Haz clic en Guardar. La inspección TLS se habilita usando la política predeterminada.

Adding Rules to Customize the TLS Inspection Policy

Puede personalizar la política de Inspección TLS para solo inspeccionar los tipos de tráfico específicos según las necesidades de su organización. Agregue reglas a la política con acciones de Inspección y Evitar para definir qué tráfico se descifra y se inspecciona.

  • Create rules with the Inspect action to define the traffic that the Cato Cloud inspects for suspicious and malicious content.

  • Crear reglas con la acción Evitar para excluir tráfico específico de los motores de inspección TLS de Cato. Por ejemplo, puede agregar una regla de evitación para la aplicación RingCentral para excluir el tráfico de RingCentral de la Inspección TLS.

Al crear reglas, use Fuente y Qué para definir el alcance del tráfico TLS y Acción para configurar si la regla inspecciona o evita el tráfico. Asegúrese de que la regla de evitación tenga una mayor prioridad (más cerca de la parte superior de la base de reglas) que una regla de inspección que coincida con el mismo tráfico. El tráfico que coincide con una regla de evitación de Inspección TLS también se excluye de los escaneos de Seguridad por los motores Anti-Malware.

Cuando configuras una regla con la acción Inspeccionar, también debes definir el comportamiento de cómo la regla maneja los certificados de servidor no confiables.

TLSi_Untrusted_Cert_New.png

Estas son las opciones para esta configuración:

  • Permitir: el tráfico está permitido hacia el sitio con un certificado no confiable e inspeccionado (esta es la configuración predeterminada).

  • Preguntar: se muestra a los usuarios una pregunta pidiéndoles que confirmen si desean continuar y acceder al sitio con un certificado no confiable. Si el usuario continúa hacia el sitio, el tráfico es inspeccionado

  • Bloquear: el tráfico hacia el sitio con un certificado no confiable es bloqueado

Note

Nota: Para aplicaciones que utilizan pinning de certificados para evitar la inspección TLS, agréguelas a una regla de evitación para que funcionen correctamente para los usuarios finales.

Para agregar reglas a la política de inspección TLS:

  1. Desde el menú de navegación, haz clic en Seguridad > Inspección TLS.

  2. Haz clic en Nuevo.

  3. Ingrese un Nombre para la regla.

  4. Utilice el control de alternancia Habilitado para habilitar o deshabilitar la regla.

    El interruptor está en verde toggle.png cuando está activado.

  5. Configure el Orden de la Regla para esta regla.

  6. Expanda Fuente y seleccione el tipo de fuente.

    • Seleccione el tipo (por ejemplo: Host, Interfaz de Red, IP, Cualquier). El valor predeterminado es Cualquier.

    • Cuando sea necesario, seleccione un objeto específico de la lista desplegable para ese tipo.

  7. En la sección Criterios, configura las Plataformas, Países, Perfiles de Postura de Dispositivo y el Origen de Conexión requeridos para que coincidan con esta regla.

    For more about Device Conditions, see Adding Device Conditions for TLS Inspection.

  8. Define el Destino al que se aplica la regla. Por ejemplo, un servicio, una aplicación, una categoría personalizada o predefinida.

  9. Elige la Versión TLS y Conjuntos de Cifrado mínimos.

    Nota: Algunas versiones TLS son incompatibles con los niveles de conjuntos de cifrado. Para más información, consulta Imponiendo versiones TLS y conjuntos de cifrado

  10. Configure la Acción seleccionando Inspeccionar o Evitar.

    • Si selecciona Inspeccionar, del menú desplegable Certificados de Servidor No Confiable, seleccione la acción para tráfico con certificados problemáticos: Permitir, Bloquear o Preguntar. El valor predeterminado es Permitir.

  11. Haga clic en Apply.

  12. Haz clic en Guardar. La regla de Inspección TLS se guarda en la base de reglas.

Default Bypass Rules

Cato gestiona las reglas de Inspección TLS predeterminadas que omiten aplicaciones específicas, sistemas operativos y clientes que pueden causar problemas. Estas reglas están posicionadas en la parte superior de la base de reglas y no se pueden editar. Para ayudarte a planificar y tomar decisiones para la política de Inspección TLS, puedes ver la configuración de estas reglas en la sección de Reglas de Bypass Predeterminado.

Reglas_Por_Defecto_Exclusión_TLSi.png

Related Resources

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 6 de 6

0 comentarios