Configurando el Servicio RBI para Sesiones de Navegación

Este artículo explica cómo configurar el servicio de Aislamiento Remoto del Navegador (RBI) para proteger contra amenazas basadas en la web.

Resumen

RBI protege los dispositivos de amenazas dirigidas a la web y contenido malicioso que puede estar incrustado en sitios y servicios de Internet. RBI funciona como un servicio Cato aislado que emula la actividad de navegación para los usuarios y luego transmite el tráfico emulado al dispositivo del usuario. Esto mantiene el dispositivo seguro de amenazas de malware asegurando que todo el código dentro del navegador se ejecute de manera remota y nunca en el dispositivo.

Para situaciones donde el servicio RBI no puede emular el tráfico, puede configurar una Acción de Respaldo que determine cómo se maneja el tráfico. Por ejemplo, si desactiva temporalmente el servicio RBI, o si el servicio está momentáneamente inaccesible.

Para obtener más información sobre el servicio RBI, consulte Asegurar Sesiones de Navegación Mediante el Aislamiento de Navegador Remoto (RBI).

Nota: La funcionalidad de RBI no está disponible para los PoPs de Cato ubicados en China. Estos PoPs siempre aplicarán la Acción de Respaldo para el tráfico relevante.

Entendiendo Perfiles de RBI

Puede personalizar la configuración de seguridad para sesiones de RBI con perfiles granulares que le permiten configurar diferentes ajustes de aislamiento de navegación. Estos definen las acciones que un usuario puede realizar en un sitio. Por ejemplo, puede bloquear usuarios de escribir o pegar texto en formularios web, y prevenir que filtren credenciales y otros datos sensibles.

Cada Perfil de RBI contiene:

Acciones Permitidas o Bloqueadas

Para cada perfil, puede definir las acciones granulares para Permitir o Bloquear:

  • Subir - Subir cualquier archivo (Subir usando la funcionalidad de arrastrar y soltar no es soportado)

  • Descargar - Descargar cualquier archivo

  • Imprimir - Imprimir contenido web

  • Copiar/Pegar - Copiar datos del sitio o pegar datos en el sitio

  • Teclear - Teclear texto en el sitio

Controls.png

Nota: las restricciones de RBI se aplican solo dentro de la sesión de navegador aislado. Acciones iniciadas fuera del contenedor de Configuración de Aislamiento de Navegador Remoto (p. ej., mediante menús del navegador anfitrión o accesos directos a nivel del sistema operativo) omiten los controles de Configuración de Aislamiento de Navegador Remoto. Para aplicar plenamente estos controles, aplique políticas de navegador o de protección de endpoint (p. ej., GPO de Chrome, herramientas de Prevención de pérdida de datos) junto con las configuraciones de Configuración de Aislamiento de Navegador Remoto.

Texto de Banner de RBI

En una sesión RBI, un banner se muestra al usuario final para informarles que están en una sesión RBI. La marca de este banner puede definirse globalmente a través de su cuenta. Para más información, consulte, Personalización de la Experiencia del Usuario.

En cada perfil RBI puede anular el texto del banner y crear texto personalizado para el perfil.

Banner_text.png

Sesiones continuas de RBI

Para mejorar la seguridad de navegación y la experiencia del usuario final, puede configurar un perfil para permitir a los usuarios continuar navegando hacia múltiples destinos dentro de la misma sesión RBI. Esto asegura que los destinos que define no se abran en una sesión no aislada o en una diferente sesión RBI. Estos son ejemplos de casos de uso para sesiones continuas de RBI:

  • Prevenir la navegación no aislada a dominios riesgosos - Crear una lista de dominios amplia usando comodines para asegurar que toda la sesión de navegación del usuario se realice en un entorno aislado, incluso si el usuario navega fuera de los dominios Sin categorizar o Indefinidos

  • Autenticación a un sitio: configure una lista de dominios, incluyendo todos los subdominios de una aplicación para compartir archivos, para permitir que los usuarios inicien sesión cuando se redirigen a un dominio diferente para autenticar.

Continue_browsing.png

Acción de Respaldo

La Acción de Respaldo define qué sucede cuando la acción RBI no puede llevarse a cabo. En este escenario, puede optar por bloquear la acción o mostrar la página de Solicitud.

Failover.png

Uso de RBI con el cortafuegos de Internet

Las sesiones RBI se aplican a través del Firewall de Internet utilizando la acción RBI en una regla. Cuando el tráfico coincide con la regla, una sesión RBI comienza automáticamente. Por defecto, se aplica el perfil RBI Predeterminado. Puede asignar un perfil RBI diferente para cumplir con sus requisitos de seguridad y acceso.

FW_RBI.png

Solo se pueden configurar reglas para categorías de aplicaciones No Categorizadas o No Definidas, o una Categoría Personalizada, para la navegación remota. Todo el resto del tráfico está protegido por una amplia gama de servicios de seguridad adicionales de Cato.

Nota: Estos son los tipos de contenido soportados por RBI. Una Categoría Personalizada que contiene otros tipos de contenido no es soportada:

  • Anonimizadores

  • Botnets

  • Actividad criminal

  • Drogas

  • Juegos de azar

  • Hackeo

  • Dominios Estacionados

  • Spyware

  • Trampas

  • Sospecha de phishing

  • Sospecha de malware

  • Pornografía

  • Sin categorizar

  • Indefinido

  • Compartición de archivos

  • Almacenamiento en línea

Requisitos previos para el servicio RBI

  • Habilitar el servicio RBI requiere una Licencia RBI. Para más información sobre la compra de la Licencia RBI, por favor contacte a su representante de Cato.

  • La Inspección TLS debe estar habilitada para el tráfico configurado para RBI.

  • Para que el servicio RBI funcione correctamente, el Cortafuegos de Internet debe permitir el acceso a estas URL. Si su Cortafuegos de Internet tiene una regla de Bloqueo ANY-ANY en la parte inferior, agregue una regla explícita con mayor prioridad permitiendo tráfico a estas URL:

    • http://securebrowsing.catonetworks.com/

    • https://authentic8.com/

  • Si no utiliza Cato como su servidor DNS, agregue un registro a su servidor DNS local para http://rbi.catonetworks.com/ para resolver a 10.254.254.161.

Known Limitations

  • Las URL que contienen identificadores de fragmento (“#”) no son soportadas en la redirección RBI

Configuración de RBI

Esta sección explica cómo configurar el servicio RBI para proporcionar navegación web segura para los usuarios finales.

RBI.png

Esta es una muestra del flujo de trabajo para implementar RBI:

  1. Habilitar el servicio RBI

  2. Crear un Perfil RBI

  3. Configure una regla de Firewall de Internet con la acción Navegación Remota

Paso 1: Habilitar y Deshabilitar el Servicio RBI

Cuando habilitas el servicio RBI, la Acción de Navegación Remota para el Cortafuegos de Internet está ahora disponible, y luego puedes crear reglas para dirigir el tráfico al servicio. Por defecto, RBI está deshabilitado.

Para habilitar o deshabilitar RBI para tu cuenta:

  1. En el panel de navegación, selecciona Seguridad > RBI.

  2. Haz clic en el interruptor para habilitar (verde) o deshabilitar (gris) el servicio RBI para la cuenta.

  3. Haga clic en Nuevo.

Paso 2: Creando un Perfil RBI

Cada Perfil RBI contiene configuraciones granulares de RBI que pueden aplicarse a una regla de Cortafuegos de Internet.

Para crear un perfil RBI:

  1. Desde el panel de navegación, seleccione Seguridad > RBI.

  2. Haga clic en Nuevo.

  3. Configure el perfil para cumplir con sus requisitos.

  4. Haz clic en Aplicar.

Paso 3: Crear una Regla de Cortafuegos de Internet para Navegación Remota

Usar reglas de Cortafuegos de Internet para definir cuándo Cato dirige el tráfico al servicio RBI. Las reglas deben configurarse con la Categoria de Aplicación establecida como No Categorizada, No Definida, o Categoría Personalizada sin otras apps o categorías configuradas. Para más información acerca de cómo configurar reglas de Firewall de Internet, consulte Gestión de la Política del Firewall de Internet.

Para crear una regla de Firewall de Internet para navegación remota:

  1. Desde el menú de navegación, seleccione Seguridad > Firewall de Internet.

  2. Haga clic en Nuevo.

  3. Ingrese el Nombre para la regla.

  4. Habilite o deshabilite la regla usando el control deslizante (verde está habilitado, gris está deshabilitado).

  5. Configure el Orden de la Regla para esta regla.

    Las nuevas reglas se agregan al final de la base de reglas. Puede cambiar el orden en que se aplica esta regla.

  6. Expanda Fuente y seleccione el tipo de fuente.

    • Seleccione el tipo (por ejemplo: Host, Interfaz de Red, IP, Usuario, Grupo de Usuarios, Cualquiera). El valor por defecto es Cualquiera.

    • Cuando sea necesario, seleccione un objeto específico de la lista desplegable para ese tipo.

  7. Expande la sección App/Categoría y selecciona Categoría de Aplicación.

    Selecciona uno o más de Sin categorizar, Indefinido, o una Categoría Personalizada de la lista desplegable de Categoría de Aplicación. Cuando hay más de un objeto App/Categoría en una regla, hay una relación O entre ellos.

  8. Establezca la Acción para esta regla como Navegación Remota (RBI) y elija el perfil requerido.

  9. (Opcional) Configura las opciones de seguimiento para generar Eventos y Enviar Notificación. La frecuencia comienza a contar después de que se envía la primera notificación.

    Para obtener más información sobre notificaciones, consulte el artículo relevante sobre Grupos de Suscripción, Listas de Correo y Integraciones de Alertas en la sección de Alertas.

  10. Haz clic en Aplicar. La nueva regla se añade a la base de reglas.

  11. Haz clic en Guardar.

    La regla se guarda.

Best Practices for Implementing RBI with the Internet Firewall

Recomendamos implementar gradualmente su política de RBI con alcances específicos, para evitar posibles errores de configuración de reglas de políticas que puedan resultar en el uso de RBI para el tráfico que debería tener acceso directo a los destinos. Estos son ejemplos de prácticas recomendadas para la implementación de RBI.

Mejores Prácticas para Implementar RBI para Destinos Sin Categorizar e Indefinidos:

  • Si ya existe una regla de Cortafuegos de Internet configurada para las categorías de aplicaciones Sin categorizar e Indefinido:

    1. Comienza a seguir los eventos para la regla configurada para identificar destinos específicos Sin categorizar o Indefinidos que son esenciales para tus usuarios.

    2. Añade una regla de mayor prioridad con la acción Navegación Remota definida para un alcance específico de sitios esenciales Sin categorizar e Indefinidos.

  • Si no hay una regla configurada para las categorías Sin categorizar e Indefinido:

    1. Añade una regla que cubra destinos Sin categorizar e Indefinidos con la acción Permitir o Sugerir, y configúrala para seguir Eventos.

    2. Comienza a seguir los eventos para identificar destinos específicos Sin categorizar o Indefinidos que son esenciales para tus usuarios.

    3. Crea una regla de mayor prioridad con la acción Permitir o Sugerir, y añade gradualmente los destinos esenciales específicos que identifiques, hasta que se añadan todos los destinos esenciales.

    4. Configura la regla de mayor prioridad para la acción Navegación Remota.

  • Dado que RBI solo es compatible con navegadores, si te preocupa el tráfico no relacionado con el navegador hacia dominios Sin categorizar e Indefinidos, recomendamos crear una regla de Cortafuegos de Internet Bloqueo para el tráfico Sin categorizar e Indefinido. Coloca esta regla en una prioridad más baja que la regla de RBI para estos dominios.

    Esto asegura el tráfico hacia estos dominios sospechosos que se origina en clientes que no son navegadores (por ejemplo, scripts de cURL).

Customizing the User Experience

En una sesión aislada de RBI, se muestra un banner al usuario. Para cumplir con sus requisitos de marca, puede personalizar el diseño cambiando el color de fondo global, el texto y el color del texto.

167e948476380c.png

Para personalizar la experiencia del usuario:

  1. Desde el menú de navegación, haz clic en Cuenta > Marca RBI.

  2. Para cambiar el color de fondo, haga clic en Color de Franjas y elija un color.

  3. Para cambiar el color del texto, haga clic en Color del Texto y elija un color.

  4. Para cambiar el texto, haga clic en Personalizar texto de alerta y actualice el texto.

  5. Haz clic en Guardar.

Reviewing RBI Events

Puede revisar eventos de Seguridad en Inicio > Eventos y encontrar los registros relacionados con las sesiones de emulación de RBI llevadas a cabo para una conexión que coincidió con una regla de cortafuegos con la acción Navegación Remota. Estos eventos están etiquetados con el Subtipo Cortafuegos de Internet y la Acción RBI.

Cuando la sesión de RBI no puede ejecutarse y se invoca la Acción de Respaldo, los eventos relevantes tienen la Acción Bloquear o Sugerir según su configuración.

Este es un ejemplo de un filtro que puedes crear para ver eventos relacionados con RBI:

RBI_Event_Filter.png

Este es un ejemplo de un evento relacionado con una sesión de RBI:

RBI_Event.png

Troubleshooting the RBI Service

Puede usar el Simulador RBI para Administrador para ayudar a diagnosticar problemas que experimentan los usuarios finales al intentar navegar a destinos configurados para la emulación RBI. La utilidad puede ayudar a aislar la causa del problema y le ayuda a proporcionar información útil al Soporte para encontrar una solución.

Nota: Después de 5 minutos de inactividad, la sesión de RBI termina automáticamente y la pestaña del navegador se cierra. Para continuar navegando, el usuario debe volver a abrir el sitio en su navegador.

Troubleshooting the RBI Service for a URL

Si un usuario experimenta un problema al navegar una cierta URL, puede generar una sesión de emulación de prueba de RBI para la URL con el Simulador RBI del Administrador. Ingrese la URL válida HTTP o HTTPS y luego siga el enlace resultante para ver el sitio en una sesión de RBI. La utilidad envía este tráfico directamente al servicio de RBI sin pasar por la Cato Cloud. Esto puede ayudar a determinar si el problema de un usuario se relaciona con el servicio de RBI en sí, o es causado por otros problemas como la configuración de la cuenta o la conectividad de la infraestructura de Cato. Por ejemplo, un usuario conectado a Cato no puede navegar a un sitio web Sin categorizar configurado para RBI, pero el administrador puede llegar al sitio usando la utilidad. Esto puede indicar que el servicio de RBI está funcionando correctamente y el problema está relacionado con la conectividad entre un PoP y el servicio.

El Simulador RBI del Administrador aplica los controles de seguridad de RBI definidos en las Preferencias de Cuenta RBI.

Después de ejecutar una sesión de RBI desde la utilidad, puede informar los resultados a Soporte para ayudarles a resolver el problema.

RBI_Admin_Utility.png

Para resolver problemas con el Simulador RBI del Administrador:

  1. Desde el panel de navegación, seleccione Seguridad > RBI.

  2. En Simulador RBI del Administrador, introduce una URL HTTP o HTTPS válida. Por ejemplo: https://maps.google.com

  3. Elija el Perfil para simular.

  4. Haz clic en Generar. Se crea una URL para la sesión de RBI.

  5. Haz clic en el enlace junto a la URL. La sesión de RBI se abre en tu navegador predeterminado.

Limitaciones conocidas

  • El servicio RBI tiene soporte limitado para la localización

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 4 de 7

0 comentarios