Este artículo analiza cómo configurar y personalizar la política de Inspección TLS para cumplir con los requisitos específicos de su Red.
Hoy en día, la mayor parte del tráfico de Red está cifrado (TLS, HTTPS), lo que a menudo minimiza el beneficio de escanear tráfico con IPS, Internet Firewall, Política de Control de Aplicaciones y tráfico Anti-Malware. Si el tráfico contiene contenido malicioso, también está cifrado y los motores de Seguridad de Cato no pueden inspeccionarlo ni escanearlo.
Cuando habilitas la Inspección TLS para tu Cuenta, Cato descifra de forma segura el tráfico que pasa por un PoP y los motores de Seguridad de Cato lo inspeccionan en busca de Malware y escanean los archivos descargados. Si se confirma que el contenido del tráfico es seguro, Cato entonces cifra nuevamente el tráfico y lo reenvía al Destino. Sin embargo, si el contenido contiene Malware real o sospechoso, entonces los motores de Seguridad de Cato bloquean el tráfico.
Puedes optar por utilizar la política predeterminada de Cato que inspecciona todo el tráfico. También puede crear reglas específicas de Inspección TLS que definan qué tráfico se inspecciona y qué tráfico evita la Inspección TLS.
Nota
Nota: Por defecto, la Inspección TLS se omite para estos sistemas operativos:
-
Android (debido a problemas relacionados con el pinning de certificados)
-
Linux
-
Sistemas operativos desconocidos
Cato incluye varias aplicaciones en una regla de evitación implícita que se excluyen automáticamente de la Inspección TLS. Para una lista de estas aplicaciones, vea abajo Reglas de Omisión Predeterminadas.
Se espera cierta latencia mínima en la conexión inicial debido a los handshakes de TCP y TLS que ocurren antes de que los Datos puedan fluir hacia el motor de Red o de Seguridad apropiado en el PoP. Esta latencia es de hasta 10 milisegundos por paquete.
El motor de Inspección TLS inspecciona conexiones secuencialmente y verifica si la conexión coincide con una regla. La regla final en la base de reglas es una regla predeterminada implícita de Inspección ANY - ANY, por lo tanto, si una conexión NO coincide con una regla, entonces se inspecciona automáticamente.
Puede revisar la configuración de la regla predeterminada en la sección Reglas Predeterminadas al final de la base de reglas. La configuración de la regla no se puede editar excepto para la acción de Certificado de Servidor No Confiable. Para más sobre la acción de Certificados de Servidor No Confiables, vea abajo Agregando Reglas para Personalizar la Política de Inspección TLS.
Las reglas que están en la parte superior de la base de reglas tienen una mayor prioridad porque se aplican a las conexiones antes que las reglas más bajas en la base de reglas. Por ejemplo, si una conexión coincide con la regla n.º 2, se aplica la acción de esta regla a la conexión y el motor de Inspección TLS deja de aplicar la política a esta conexión. Esto significa que las reglas n.º 3 y siguientes no se aplican a la conexión.
Las reglas de Inspección TLS le permiten usar una acción de inspección o evitación para el tráfico TLS.
Utilice la acción de Inspeccionar para definir reglas de Inspección TLS que descifran conexiones y permiten que los motores de Seguridad pertinentes inspeccionen el tráfico en busca de contenido malicioso.
Utilice la acción de Evitar para definir el tráfico que evita las reglas de Inspección TLS. El tráfico evitado no se descifra para inspección por los motores de Seguridad de Cato. Recuerde que una regla de evitación solo excluye una conexión que NO coincide con una regla de inspección más alta en la base de reglas.
Puede cambiar la prioridad de una regla de omisión para que tenga una prioridad más alta que una regla de inspección.
Utilice la ventana de Política de Inspección TLS para configurar la política de Inspección TLS para todo el tráfico en su Cuenta. Puede optar por usar la política predeterminada que inspecciona todo el tráfico, o agregar reglas de inspección y evitación para crear una política personalizada.
Trabajando con Múltiples Elementos
Cuando hay múltiples elementos en un campo de Fuente, o un campo de Qué, como dos grupos o categorías, entonces existe una relación OR entre estos elementos.
Instalación del Certificado Raíz de Cato en Dispositivos de Usuario Final
El certificado raíz de Cato debe ser instalado como un certificado de confianza en cada dispositivo y computadora que se conecte a la Cato Cloud. Para más información sobre la instalación del certificado de Cato, ver Instalación del Certificado Raíz para la Inspección TLS.
-
El certificado de Cato no puede ser instalado en la mayoría de los sistemas operativos embebidos (OS), por lo tanto, muchos dispositivos que usan OS embebido pierden conectividad cuando la Inspección TLS está habilitada. Para más sobre qué Sistema Operativo soporta Cato para la Inspección TLS, vea Mejores Prácticas para la Inspección TLS.
QUIC y GQUIC son protocolos de transporte desarrollados por Google que no operan sobre conexiones TCP, y el tráfico que utiliza estos protocolos no puede ser inspeccionado por el servicio de Inspección TLS. Por lo tanto, recomendamos que las Cuentas que habiliten la Inspección TLS bloqueen el tráfico QUIC y GQUIC usando reglas de Internet Firewall. Las reglas que bloquean este tráfico fuerzan a que el flujo solo se conecte utilizando protocolos que puedan ser inspeccionados por el servicio de Inspección TLS. Si permite el tráfico que utiliza los protocolos QUIC y GQUIC, el flujo no puede ser inspeccionado y se bloquea innecesariamente.
La primera vez que habilita la política de Inspección TLS, las reglas para bloquear el tráfico QUIC y GQUIC se agregan automáticamente a la política de Internet Firewall. Si la política de Internet Firewall ya bloquea el tráfico QUIC para que pueda ser correctamente inspeccionado, entonces no se agregan nuevas reglas.
Para más sobre el tráfico QUIC y GQUIC, consulte Políticas de Firewall de Internet y WAN – Mejoras Prácticas.
La política de Inspección TLS predeterminada de Cato inspecciona todo el tráfico (excepto las aplicaciones que se omiten automáticamente). Puede usar la política predeterminada habilitando la Inspección TLS y no es necesario agregar reglas a la política.
Hay una regla implícita final que coincide con todo el tráfico con la acción Inspeccionar.
Puede personalizar la política de Inspección TLS para solo inspeccionar los tipos de tráfico específicos según las necesidades de su organización. Agregue reglas a la política con acciones de Inspección y Evitar para definir qué tráfico se descifra y se inspecciona.
-
Crear reglas con la acción Inspeccionar para definir el tráfico que la Cato Cloud inspecciona en busca de contenido sospechoso y malicioso.
-
Crear reglas con la acción Evitar para excluir tráfico específico de los motores de inspección TLS de Cato. Por ejemplo, puede agregar una regla de evitación para la aplicación RingCentral para excluir el tráfico de RingCentral de la Inspección TLS.
Al crear reglas, use Fuente y Qué para definir el alcance del tráfico TLS y Acción para configurar si la regla inspecciona o evita el tráfico. Asegúrese de que la regla de evitación tenga una mayor prioridad (más cerca de la parte superior de la base de reglas) que una regla de inspección que coincida con el mismo tráfico. El tráfico que coincide con una regla de evitación de Inspección TLS también se excluye de los escaneos de Seguridad por los motores Anti-Malware.
Cuando configuras una regla con la acción Inspeccionar, también debes definir el comportamiento de cómo la regla maneja los certificados de servidor no confiables.
Estas son las opciones para esta configuración:
-
Permitir: el tráfico está permitido hacia el sitio con un certificado no confiable e inspeccionado (esta es la configuración predeterminada).
-
Preguntar: se muestra a los usuarios una pregunta pidiéndoles que confirmen si desean continuar y acceder al sitio con un certificado no confiable. Si el usuario continúa hacia el sitio, el tráfico es inspeccionado
-
Bloquear: el tráfico hacia el sitio con un certificado no confiable es bloqueado
Nota
Nota: Para aplicaciones que utilizan pinning de certificados para evitar la inspección TLS, agréguelas a una regla de evitación para que funcionen correctamente para los usuarios finales.
Para agregar reglas a la política de inspección TLS:
-
Desde el menú de navegación, haz clic en Seguridad > Inspección TLS.
-
Haz clic en Nuevo.
-
Ingrese un Nombre para la regla.
-
Utilice el control de alternancia Habilitado para habilitar o deshabilitar la regla.
El interruptor es verde
cuando está habilitado.
-
Configure el Orden de la Regla para esta regla.
-
Expanda Fuente y seleccione el tipo de fuente.
-
Seleccione el tipo (por ejemplo: Host, Interfaz de Red, IP, Cualquier). El valor predeterminado es Cualquier.
-
Cuando sea necesario, seleccione un objeto específico de la lista desplegable para ese tipo.
-
-
En la sección Dispositivo, configure las Plataformas, Países, Perfiles de Postura del Dispositivo y Origen de Conexión requeridos para que coincidan con esta regla.
Para más sobre las Condiciones de Dispositivo, vea Agregando Condiciones de Dispositivo para la Inspección TLS.
-
Defina Qué aplica la regla. Por ejemplo, un servicio, una aplicación, una categoría personalizada o predefinida.
-
Configure la Acción seleccionando Inspeccionar o Evitar.
-
Si selecciona Inspeccionar, del menú desplegable Certificados de Servidor No Confiable, seleccione la acción para tráfico con certificados problemáticos: Permitir, Bloquear o Preguntar. El valor predeterminado es Permitir.
-
-
Haga clic en Apply.
-
Haz clic en Guardar. La regla de Inspección TLS se guarda en la base de reglas.
Esta sección explica cómo gestionar las reglas en la política de Inspección TLS, incluyendo: cambiar la prioridad de la regla, habilitar y eliminar reglas.
Cambie la prioridad de una regla para determinar cuándo se aplica la acción de la regla a una conexión coincidente. Las reglas se aplican secuencialmente a cada conexión, una vez que una conexión coincide con una regla, las reglas con menor prioridad no se aplican a ella.
Usa el control deslizante para habilitar y deshabilitar reglas individuales en la política de Inspección TLS.
Cato gestiona las reglas de Inspección TLS predeterminadas que omiten aplicaciones específicas, sistemas operativos y clientes que pueden causar problemas. Estas reglas están posicionadas en la parte superior de la base de reglas y no se pueden editar. Para ayudarte a planificar y tomar decisiones para la política de Inspección TLS, puedes ver la configuración de estas reglas en la sección de Reglas de Bypass Predeterminado.
0 comentarios
Inicie sesión para dejar un comentario.