Configurando la Política de Inspección TLS para la Cuenta

Este artículo discute cómo configurar y personalizar la política de Inspección TLS para cumplir con los requisitos específicos de su red.

Descripción general de la Política de Inspección TLS de Cato

Hoy en día, la mayor parte del tráfico de red está cifrado (TLS, HTTPS), lo que a menudo reduce el beneficio de escanear tráfico con IPS, firewall de Internet, política de control de aplicaciones y tráfico de antimalware. Si el tráfico contiene contenido malicioso, también está cifrado y los motores de seguridad de Cato no pueden inspeccionarlo ni escanearlo.

Cuando habilita la Inspección TLS para su cuenta, Cato descifra de manera segura el tráfico que pasa a través de un PoP y los motores de seguridad de Cato lo inspeccionan para detectar malware y escanean los archivos descargados. Si se confirma que el contenido del tráfico es seguro, entonces Cato vuelve a cifrar el tráfico y lo reenvía al destino. Sin embargo, si el contenido contiene malware real o sospechoso, entonces los motores de seguridad de Cato bloquean el tráfico.

Puede elegir usar la política predeterminada de Cato que inspecciona todo el tráfico. También puede crear reglas específicas de Inspección TLS que definan qué tráfico se inspecciona y qué tráfico pasa por alto la Inspección TLS.

tlsinspection.png

Nota

Nota: Por defecto, se omite la Inspección TLS para estos sistemas operativos:

  • Android (debido a problemas relacionados con el anclaje de certificados)

  • Linux

  • Sistemas operativos desconocidos

Reglas de Bypass predeterminadas de Cato para Aplicaciones

Cato incluye varias aplicaciones en una regla de derivación implícita que están automáticamente excluidas de la Inspección TLS. Para ver una lista de estas aplicaciones, consulte a continuación Reglas de Bypass predeterminadas.

Latencia para la Inspección TLS

Se espera una latencia mínima en la conexión inicial debido a los procesos de establecimiento TCP y TLS que ocurren antes de que los datos puedan fluir hacia el motor de red o de seguridad apropiado en el PoP. Esta latencia es de hasta 8 milisegundos por paquete.

Trabajando con una Base de Reglas de Inspección TLS Ordenada

El motor de Inspección TLS inspecciona las conexiones de manera secuencial, y verifica si la conexión coincide con una regla. La regla final en la base de reglas es una regla implícita predeterminada ANY - ANY Inspect - por lo que si una conexión NO coincide con una regla, entonces se inspecciona automáticamente.

Puede revisar la configuración de la regla predeterminada en la sección de Reglas Predeterminadas al final de la base de reglas. La configuración de reglas no puede ser editada excepto por la acción de Certificado de Servidor No Confiable. Para más información sobre la acción de Certificado de Servidor no Confiable, consulte a continuación Agregando Reglas para Personalizar la Política de Inspección TLS.

Las reglas que están en la parte superior de la base de reglas tienen una mayor prioridad porque se aplican a las conexiones antes que las reglas que están más abajo en la base de reglas. Por ejemplo, si una conexión coincide con la regla n.º 2, la acción para esta regla se aplica a la conexión y el motor de Inspección TLS deja de aplicar la política a esta conexión. Esto significa que las reglas n.º 3 y siguientes no se aplican a la conexión.

Comprender las Acciones para las Reglas de Inspección TLS

Las reglas de Inspección TLS le permiten usar una acción de inspección o derivación para el tráfico TLS.

Usando Reglas que Inspeccionan el Tráfico TLS

Use la acción de Inspeccionar para definir reglas de Inspección TLS que descifren conexiones y permitan a los motores de seguridad pertinentes inspeccionar el tráfico en busca de contenido malicioso.

Usando Reglas que Omiten el Tráfico TLS

Use la acción de Derivar para definir el tráfico que pasa por alto las reglas de Inspección TLS. El tráfico derivado no es descifrado para inspección por los motores de seguridad de Cato. Recuerde que una regla de derivación solo excluye una conexión que NO coincide con una regla de inspección más alta en la base de reglas.

Puede cambiar la prioridad de una regla de bypass para que tenga una prioridad más alta que una regla de inspección.

Configurando la Política de Inspección TLS

Use la ventana de Política de Inspección TLS para configurar la política de Inspección TLS para todo el tráfico de su cuenta. Puede elegir usar la política predeterminada que inspecciona todo el tráfico, o agregar reglas de inspección y derivación para crear una política personalizada.

Trabajando con Múltiples Elementos

Cuando hay múltiples elementos en un campo Fuente o un Qué, como dos grupos o categorías, entonces hay una relación OR entre estos elementos.

multi-tlsrules.png

Instalación del Certificado Raíz de Cato en Dispositivos de Usuarios Finales

El certificado raíz de Cato debe ser instalado como un certificado de confianza en cada dispositivo y computadora que se conecte al Cato Cloud. Para más información sobre la instalación del certificado Cato, consulte Instalación del Certificado Raíz para la Inspección TLS.

  • El certificado Cato no puede ser instalado en la mayoría de los sistemas operativos embebidos (OS), por lo tanto, muchos dispositivos que utilizan OS embebido pierden la conectividad cuando la Inspección TLS está habilitada. Para más información sobre qué sistemas operativos soporta Cato para la Inspección TLS, consulte Mejores Prácticas para la Inspección TLS.

Bloqueo del Tráfico QUIC y GQUIC para la Inspección TLS

QUIC y GQUIC son protocolos de transporte desarrollados por Google que no operan sobre conexiones TCP, y el tráfico que utiliza estos protocolos no puede ser inspeccionado por el servicio de Inspección TLS. Por lo tanto, recomendamos que las cuentas que habiliten la Inspección TLS bloqueen el tráfico QUIC y GQUIC utilizando reglas de firewall de Internet. Las reglas que bloquean este tráfico fuerzan el flujo a conectarse únicamente utilizando protocolos que pueden ser inspeccionados por el servicio de Inspección TLS. Si permite el tráfico utilizando los protocolos QUIC y GQUIC, los flujos no pueden ser inspeccionados y se bloquean innecesariamente.

La primera vez que habilita la política de Inspección TLS, se agregan automáticamente reglas para bloquear el tráfico QUIC y GQUIC a la política de firewall de Internet. Si la política de firewall de Internet ya bloquea el tráfico QUIC para que pueda ser inspeccionado correctamente, entonces no se agregan nuevas reglas.

Para más información sobre el tráfico QUIC y GQUIC, consulte Políticas de firewall de Internet y WAN – Mejores Prácticas.

Usar la Política de Inspección TLS Predeterminada

La política de Inspección TLS de Cato predeterminada inspecciona todo el tráfico (excepto para las aplicaciones que son automáticamente derivadas). Puede usar la política predeterminada habilitando la Inspección TLS y no es necesario agregar ninguna regla a la política.

Hay una regla implícita final que coincide con todo el tráfico con la acción Inspeccionar.

Para usar la política de Inspección TLS predeterminada de Cato:

  1. Desde el menú de navegación, haga clic en Seguridad > Inspección TLS.

  2. Haga clic en el control deslizante de Habilitar Inspección TLS.

  3. Haga clic en Guardar. La inspección TLS se habilita usando la política predeterminada.

Agregando Reglas para Personalizar la Política de Inspección TLS

Puede personalizar la política de Inspección TLS para solo inspeccionar los tipos específicos de tráfico según las necesidades de su organización. Agregue reglas a la política con acciones Inspeccionar y Derivar para definir qué tráfico es descifrado e inspeccionado.

  • Cree reglas con la acción Inspeccionar para definir el tráfico que el Cato Cloud inspecciona en busca de contenido sospechoso y malicioso.

  • Cree reglas con la acción Derivar para excluir tráfico específico de los motores de inspección TLS de Cato. Por ejemplo, puede agregar una regla de derivación para la aplicación RingCentral para excluir el tráfico de RingCentral de la Inspección TLS.

Al crear reglas, use Fuente y Qué para definir el alcance del tráfico TLS y Acción para configurar si la regla inspecciona o deriva el tráfico. Asegúrese de que la regla de derivación tenga una mayor prioridad (más cerca de la parte superior de la base de reglas) que una regla de inspección que coincida con el mismo tráfico. El tráfico que coincide con una regla de omisión de Inspección TLS también está excluido de los escaneos de seguridad por los motores Anti-Malware.

Cuando configuras una regla con la acción Inspecciona, también debes definir el comportamiento de cómo la regla maneja certificados de servidor no confiables.

TLSi_Untrusted_Cert_New.png

Estas son las opciones para esta configuración:

  • Permitir - El tráfico se permite al sitio con un certificado no confiable y se inspecciona (esta es la configuración predeterminada).

  • Solicitar - Se muestra a los usuarios un aviso pidiéndoles que confirmen que quieren continuar e ir al sitio con un certificado no confiable. Si el usuario continúa al sitio, el tráfico es inspeccionado

  • Bloquear - El tráfico al sitio con un certificado no confiable está bloqueado

Nota

Nota: Para aplicaciones que utilizan fijación de certificados para prevenir la inspección TLS, agréguelas a una regla de omisión para que funcionen correctamente para los usuarios finales.

Para agregar reglas a la política de inspección TLS:

  1. Desde el menú de navegación, haz clic en Seguridad > Inspección TLS.

  2. Haz clic en Nuevo.

  3. Introduce un Nombre para la regla.

  4. Usa el interruptor Habilitado para activar o desactivar la regla.

    El interruptor es verde toggle.png cuando está habilitado.

  5. Configura el Orden de la Regla para esta regla.

  6. Expande Fuente y selecciona el tipo de fuente.

    • Selecciona el tipo (por ejemplo: Host, Interfaz de Red, IP, Cualquiera). El valor predeterminado es Cualquiera.

    • Cuando sea necesario, selecciona un objeto específico de la lista desplegable para ese tipo.

  7. En la sección Dispositivo, configura las Plataformas, Países, Perfiles de Postura del Dispositivo y Origen de Conexión necesarios para que coincida con esta regla.

    Para más información sobre las Condiciones del Dispositivo, consulte Agregando Condiciones de Dispositivo para la Inspección TLS.

  8. Define Qué aplica la regla. Por ejemplo, un servicio, una aplicación, una categoría personalizada o predefinida.

  9. Configura la Acción seleccionando Inspecciona o Omitir.

    • Si seleccionas Inspecciona, del menú desplegable Certificados de Servidor No Confiables, selecciona la acción para tráfico con certificados problemáticos: Permitir, Bloquear, o Solicitar. El valor predeterminado es Permitir.

  10. Haz clic en Aplicar.

  11. Haz clic en Guardar. La regla de Inspección TLS está guardada en la base de reglas.

Gestión de la Política de Inspección TLS

Esta sección explica cómo manejar las reglas en la política de Inspección TLS, incluidas: cambiar la prioridad de la regla, habilitar y eliminar reglas.

Cambio de Prioridad de las Reglas

Cambia la prioridad de una regla para determinar cuándo se aplica la acción de la regla a una conexión coincidente. Las reglas se aplican secuencialmente a cada conexión, una vez que una conexión coincide con una regla, las reglas con menor prioridad no se le aplican.

Para cambiar la prioridad de una regla:

  1. Pasa el ratón sobre la columna # de la regla específica. Haga clic en move.png y arrastre la regla hacia arriba para aumentar o hacia abajo para disminuir la prioridad de la regla.

  2. Haz clic en Guardar.

Habilitando y Deshabilitando las Reglas de Inspección TLS

Usa el deslizador para habilitar y deshabilitar reglas individuales en la política de Inspección TLS.

Para habilitar o deshabilitar una regla:

  1. Al final de la regla, haga clic en More_icon.png. El menú desplegable de la regla aparece.

  2. Haz clic en Habilitar o Deshabilitar.

  3. Haz clic en Guardar.

Eliminación de Reglas

Puedes eliminar una o más reglas de la base de reglas de Inspección TLS. Después de eliminar las reglas, no puedes deshacer o restaurarlas.

Para eliminar reglas de la base de reglas:

  1. Haga clic en More_icon.png al final de la regla. El menú desplegable de la regla se abre.

  2. Haz clic en Eliminar Regla.

  3. En la ventana de confirmación, haz clic en Eliminar. La regla es eliminada.

  4. Haz clic en Guardar. La regla es eliminada.

Reglas de Bypass Predeterminadas

Cato gestiona reglas de Inspección TLS predeterminadas que omiten aplicaciones, sistemas operativos y clientes específicos que pueden causar problemas. Estas reglas están posicionadas en la parte superior de la base de reglas y no se pueden editar. Para ayudarte a planificar y tomar decisiones para la política de Inspección TLS, puedes ver las configuraciones de estas reglas en la sección Reglas de Omisión Predeterminadas.

TLSi_Default_Bypass_Rules.png

Recursos Relacionados

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 6 de 6

0 comentarios