Este artículo analiza cómo configurar y personalizar la política de Inspección TLS para cumplir con los requisitos específicos de su Red.
Hoy en día, la mayoría del Tráfico de Red está Cifrado (TLS, HTTPS), lo que a menudo minimiza el beneficio de escanear tráfico con IPS, Cortafuegos de Internet, Política de Control de Aplicaciones y Tráfico Anti-Malware. Si el Tráfico contiene contenido Malicioso, también está Cifrado y los motores de Seguridad de Cato no pueden inspeccionarlo ni escanearlo.
Cuando habilitas la Inspección TLS para tu cuenta, Cato descifra de forma segura el Tráfico que pasa a través de un PoP y los motores de Seguridad de Cato lo inspeccionan en busca de Malware y escanean Archivos descargados. Si se confirma que el contenido del Tráfico es seguro, Cato luego re-cifra el Tráfico y lo envía al Destino. Sin embargo, si el contenido contiene Malware real o sospechoso, entonces los motores de Seguridad de Cato bloquean el Tráfico.
Puedes optar por utilizar la Política predeterminada de Cato que inspecciona todo el Tráfico. También puedes crear reglas específicas de Inspección TLS que definan qué Tráfico se inspecciona y qué Tráfico omite la Inspección TLS.
Nota
Nota: Por defecto, se omite la Inspección TLS para estos sistemas operativos:
- Android (debido a problemas relacionados con el pinning de certificados)
- Linux
- Sistemas operativos desconocidos
Cato incluye varias aplicaciones en una regla de omisión implícita que se excluyen automáticamente de la Inspección TLS. Para obtener una lista de estas aplicaciones, consulte a continuación Reglas de Omisión Predeterminadas.
Se espera una latencia mínima en la conexión inicial debido a los handshakes TCP y TLS que ocurren antes de que los datos puedan fluir a la Red o a los motores de Seguridad adecuados en el PoP. Esta latencia es de hasta 10 milisegundos por paquete.
El motor de Inspección TLS inspecciona las Conexiones secuencialmente y verifica si la Conexión coincide con una Regla. La Regla final en la base de reglas es una Regla de Inspección implícita predeterminada ANY - ANY, por lo que si una Conexión NO coincide con una Regla, entonces se inspecciona automáticamente.
Puedes revisar la configuración de reglas predeterminadas en la sección Reglas Predeterminadas al final de la base de reglas. La configuración de las reglas no se puede editar, excepto para la acción del Certificado de Servidor No Confiable. Para más información sobre la acción del Certificado de Servidor No Confiable, ver abajo Agregando Reglas para Personalizar la Política de Inspección TLS.
Las reglas que están en la parte superior de la base de reglas tienen una prioridad más alta porque se aplican a las conexiones antes que las reglas más abajo en la base de reglas. Por ejemplo, si una conexión coincide con la Regla #2, la acción para esta regla se aplica a la conexión y el motor de Inspección TLS deja de aplicar la política a esta conexión. Esto significa que las reglas #3 y las siguientes no se aplican a la conexión.
La Política de Inspección TLS permite a diferentes administradores editar la política en paralelo. Cada administrador puede editar Reglas y guardar los cambios en la base de reglas en su propia revisión privada, y luego publicarlos en la Política de cuenta (la revisión publicada). Para más información sobre cómo gestionar las revisiones de políticas, ver Trabajando con Revisions de Políticas.
Working with the TLS Inspection Configuration Wizard
El Asistente de Configuración de Inspección TLS revisa autónomamente tu política usando estos controles e insights. Cuando una verificación falla, puedes revisar y actualizar tu política directamente en el Asistente sin editar reglas individuales. Esto te ayuda a mantenerte seguro mientras simplificas la gestión de políticas. Para más información, consulte Usando el Asistente de Configuración.
Utiliza la página de Política de Inspección TLS para configurar la política de Inspección TLS para todo el tráfico en tu cuenta.
Trabajando con Múltiples Elementos
Cuando hay múltiples elementos en un campo de Fuente, o un campo de Qué, como dos grupos o categorías, entonces existe una relación OR entre estos elementos.
Instalación del Certificado Raíz de Cato en Dispositivos de Usuario Final
El certificado raíz de Cato debe ser instalado como un certificado de confianza en cada dispositivo y computadora que se conecte a la Cato Cloud. Para más información sobre la instalación del certificado de Cato, ver Instalación del Certificado Raíz para la Inspección TLS.
- El certificado de Cato no puede ser instalado en la mayoría de los sistemas operativos embebidos (OS), por lo tanto, muchos dispositivos que usan OS embebido pierden conectividad cuando la Inspección TLS está habilitada. Para más sobre qué OS soporta Cato para la Inspección TLS, vea Mejores Prácticas para la Inspección TLS.
Por defecto, se permiten todas las versiones TLS y los conjuntos de cifrado. Para bloquear versiones TLS obsoletas e inseguras o prevenir el uso de conjuntos de cifrado débiles en el tráfico encriptado, la política de Inspección TLS puede imponer las versiones mínimas del protocolo TLS y la fuerza del conjunto de cifrado para el tráfico en tu cuenta.
Las opciones de configuración de conjuntos de cifrado se dividen en tres niveles, basados en los ajustes recomendados por Mozilla. Algunas versiones TLS no son compatibles con ciertos niveles. Para más información y una lista de suites de cifrado en cada nivel, consulte la documentación de Mozilla.
QUIC y GQUIC son protocolos de transporte desarrollados por Google que no operan sobre conexiones TCP, y el tráfico que utiliza estos protocolos no puede ser inspeccionado por el servicio de Inspección TLS. Por lo tanto, recomendamos que las Cuentas que habiliten la Inspección TLS bloqueen el tráfico QUIC y GQUIC usando reglas de Internet Firewall. Las reglas que bloquean este tráfico fuerzan a que el flujo solo se conecte utilizando protocolos que puedan ser inspeccionados por el servicio de Inspección TLS. Si permite el tráfico que utiliza los protocolos QUIC y GQUIC, el flujo no puede ser inspeccionado y se bloquea innecesariamente.
La primera vez que habilita la política de Inspección TLS, las reglas para bloquear el tráfico QUIC y GQUIC se agregan automáticamente a la política de Internet Firewall. Si la política de Internet Firewall ya bloquea el tráfico QUIC para que pueda ser correctamente inspeccionado, entonces no se agregan nuevas reglas.
Para más sobre el tráfico QUIC y GQUIC, consulte Políticas de Firewall de Internet y WAN – Mejores Prácticas.
Cuando configuras la política de Inspección TLS, puedes habilitar la política de Inspección TLS predeterminada de Cato o personalizar la política añadiendo tus propias reglas.
La política de Inspección TLS predeterminada de Cato inspecciona todo el tráfico (excepto las aplicaciones que se omiten automáticamente). Puede usar la política predeterminada habilitando la Inspección TLS y no es necesario agregar reglas a la política.
Hay una regla implícita final que coincide con todo el tráfico con la acción Inspeccionar.
Puede personalizar la política de Inspección TLS para solo inspeccionar los tipos de tráfico específicos según las necesidades de su organización. Agregue reglas a la política con acciones de Inspección y Evitar para definir qué tráfico se descifra y se inspecciona.
- Create rules with the Inspect action to define the traffic that the Cato Cloud inspects for suspicious and malicious content.
- Crear reglas con la acción Evitar para excluir tráfico específico de los motores de inspección TLS de Cato. Por ejemplo, puede agregar una regla de evitación para la aplicación RingCentral para excluir el tráfico de RingCentral de la Inspección TLS.
Al crear reglas, use Fuente y Qué para definir el alcance del tráfico TLS y Acción para configurar si la regla inspecciona o evita el tráfico. Asegúrese de que la regla de evitación tenga una mayor prioridad (más cerca de la parte superior de la base de reglas) que una regla de inspección que coincida con el mismo tráfico. El tráfico que coincide con una regla de evitación de Inspección TLS también se excluye de los escaneos de Seguridad por los motores Anti-Malware.
Cuando configuras una regla con la acción Inspeccionar, también debes definir el comportamiento de cómo la regla maneja los certificados de servidor no confiables.
Estas son las opciones para esta configuración:
- Permitir: el tráfico está permitido hacia el sitio con un certificado no confiable e inspeccionado (esta es la configuración predeterminada).
- Preguntar: se muestra a los usuarios una pregunta pidiéndoles que confirmen si desean continuar y acceder al sitio con un certificado no confiable. Si el usuario continúa hacia el sitio, el tráfico es inspeccionado
- Bloquear: el tráfico hacia el sitio con un certificado no confiable es bloqueado
Nota
Nota: Para aplicaciones que utilizan pinning de certificados para evitar la inspección TLS, agréguelas a una regla de evitación para que funcionen correctamente para los usuarios finales.
Para agregar reglas a la política de inspección TLS:
- Desde el menú de navegación, haz clic en Seguridad > Inspección TLS.
- Haz clic en Nuevo.
- Ingrese un Nombre para la regla.
-
Utilice el control de alternancia Habilitado para habilitar o deshabilitar la regla.
El interruptor está activado
cuando está habilitado.
- Configure el Orden de la Regla para esta regla.
-
Expanda Fuente y seleccione el tipo de fuente.
- Seleccione el tipo (por ejemplo: Host, Interfaz de Red, IP, Cualquier). El valor predeterminado es Cualquier.
- Cuando sea necesario, seleccione un objeto específico de la lista desplegable para ese tipo.
-
En la sección Criterios, configura las Plataformas, Países, Perfiles de Postura de Dispositivo y el Origen de Conexión requeridos para que coincidan con esta regla.
Para más sobre las Condiciones de Dispositivo, vea Agregando Condiciones de Dispositivo para la Inspección TLS.
- Define el Destino al que se aplica la regla. Por ejemplo, un servicio, una aplicación, una categoría personalizada o predefinida.
-
Elige la Versión TLS y Conjuntos de Cifrado mínimos.
Nota: Algunas versiones TLS son incompatibles con los niveles de conjuntos de cifrado. Para más información, consulta Implementación de Versión TLS y Suites de Cifrado
-
Configure la Acción seleccionando Inspeccionar o Evitar.
- Si selecciona Inspeccionar, del menú desplegable Certificados de Servidor No Confiable, seleccione la acción para tráfico con certificados problemáticos: Permitir, Bloquear o Preguntar. El valor predeterminado es Permitir.
- Haga clic en Apply.
- Haz clic en Guardar. La regla de Inspección TLS se guarda en la base de reglas.
Cato gestiona reglas predeterminadas de Inspección TLS que omiten aplicaciones específicas, sistemas operativos y clientes que pueden causar problemas. Estas reglas están posicionadas en la parte superior de la base de reglas y no se pueden editar. Para ayudarle a planificar y tomar decisiones para la política de Inspección TLS, puede ver la configuración de estas reglas en la sección Reglas de Omisión Predeterminadas.
Cuando hay múltiples elementos en el campo Qué, como una Aplicación y FQDN, entonces hay una relación Y entre estos elementos.
0 comentarios
Inicie sesión para dejar un comentario.