Testando a Inspeção TLS na Nuvem Cato

Visão Geral de Habilitar e Implantar Inspeção TLS

De acordo com o Google, mais de 70% de todas as páginas da web em 2019 foram servidas com HTTPS, o Protocolo de Transferência de Hipertexto Seguro. HTTP é o protocolo que navegadores e servidores web usam para trocar dados, e o "S" no final de HTTPS significa que os dados são criptografados por TLS, Segurança da Camada de Transporte. TLS é excelente em fornecer privacidade e confidencialidade dos dados, razão pela qual está sendo amplamente adotado na Internet.

Infelizmente, essa garantia de privacidade e confidencialidade não se aplica apenas ao tráfego legítimo. Malware e ameaças podem esconder-se tão bem em sites HTTPS quanto em sites HTTP. À medida que a popularidade do HTTPS cresce, não é surpresa que pesquisadores de segurança estejam encontrando cada vez mais ameaças de malware em websites HTTPS. Para piorar as coisas, o HTTPS torna os motores de antivírus e IPS menos eficazes porque eles não conseguem buscar ameaças no tráfego criptografado por TLS.

Quando a Inspeção TLS está habilitada, o PoP da Cato atua como um intermediário entre o navegador web e o servidor web:

  1. O PoP decifra o tráfego TLS que recebe do cliente ou servidor.

  2. O PoP analisa o tráfego decifrado com os motores Anti-Malware e IPS.

  3. O PoP criptografa o tráfego novamente.

  4. O PoP envia os pacotes criptografados para o destino.

A Inspeção TLS em combinação com Anti-Malware e IPS protege sua rede de ameaças maliciosas tanto criptografadas quanto não criptografadas. Se você estiver usando proteção contra ameaças sem a Inspeção TLS, sua rede estará vulnerável a ataques de fontes criptografadas. Portanto, recomendamos fortemente que habilite a Inspeção TLS se você estiver usando Anti-Malware ou IPS.

Este guia orienta você por uma implantação gradativa da Inspeção TLS. Comece habilitando a Inspeção TLS para alguns usuários e veja como funciona para eles. Depois você pode habilitar o recurso para toda a conta.

Para mais informações sobre o certificado Cato, veja Instalando o Certificado Raiz para a Inspeção TLS.

Testando a Inspeção TLS

Habilitar a Inspeção TLS para um pequeno grupo de usuários permite que você faça testes e capture qualquer problema com a instalação de certificados ou compatibilidade com sites antes de liberar o recurso para todos os seus usuários finais. Sua base de teste pode ser tão grande quanto um site ou tão pequena quanto um computador individual. Você pode optar por habilitar a Inspeção TLS no seguinte:

  • Locais

  • Redes dentro de um local

  • Usuários VPN

  • Computadores individuais (Hosts)

  • Qualquer combinação das opções acima

Habilitando a Inspeção TLS para Usuários de Teste

Os testes devem ser realizados em cada dispositivo e sistema operacional que sua organização utiliza. Os usuários de teste devem realizar atividades comerciais normais e relatar todas as anomalias ao administrador de rede ou sistema para uma investigação mais aprofundada.

Quando você habilita a Inspeção TLS, a política padrão é inspecionar todo o tráfego HTTPS por padrão. Para realizar testes apenas em usuários específicos, primeiro você precisa configurar uma regra de Ignorar com Fonte definida como Qualquer. Depois, crie uma regra de Inspecionar com prioridade mais alta e adicione os usuários de teste ao campo Fonte. Este é um exemplo de política de Inspeção TLS para testar usuários específicos:

Regras_de_Teste_de_Usuário_de_Inspeção_TLS.png

Para mais informações sobre como habilitar a política de Inspeção TLS para usuários de teste, veja Configurando Política de Inspeção TLS para a Conta.

Como Saber se a Inspeção TLS da Cato Está Ativa para um Website?

Navegadores modernos mostram um ícone de cadeado na barra de URL se um site é criptografado com TLS. Clicar no ícone de cadeado revela uma opção que permite ver os detalhes do certificado, incluindo a CA raiz. A Inspeção TLS está ativa quando você vê Cato Networks seguido pelo nome do POP como o emissor ou verificador do certificado.

Cadeado_HTTPS.png

Para mais informações sobre a instalação de uma CA raiz, veja Verificando Certificado de CA Raiz da Cato.

Testando a Inspeção TLS no Chrome

  1. Clique no ícone de cadeado e depois clique em Certificado.

    360002921818-image-14.png
  2. Verifique o campo "Emitido por".

    360002841817-image-15.png

Testando a Inspeção TLS no Firefox

  1. Clique no ícone de cadeado e depois clique no botão > ao lado de Conexão.

    360002921998-image-16.png
  2. Verifique o campo "Verificado por".

    360002921978-image-17.png

Ignorando Tráfego da Inspeção TLS

Durante o teste, você pode descobrir que alguns websites ou aplicativos não funcionam com a Inspeção TLS habilitada. Você pode isentar domínios de destino, endereços IP, e até mesmo categorias completas de URL da Inspeção TLS criando uma nova regra com a ação Ignorar na política de Inspeção TLS. Pode ser necessário adicionar um website aos Destinos Confiáveis por um dos seguintes motivos:

  • Fixação de Certificado: o servidor instrui o cliente a verificar a chave pública que recebe do servidor com um hash fornecido da chave pública verdadeira. Isso mitiga o método do homem no meio usado pela Inspeção TLS pois a chave pública enviada ao cliente a partir do PoP não corresponde ao hash.

  • Autenticação do Cliente: o servidor web requer que o cliente se autentique com um certificado de cliente. A Inspeção TLS falha porque o PoP não tem o certificado do cliente.

Habilitando Inspeção TLS Globalmente

Após todos os problemas encontrados pelos usuários de teste terem sido resolvidos, habilite a Inspeção TLS para todos os usuários.

Esse artigo foi útil?

Usuários que acharam isso útil: 7 de 7

0 comentário