A maioria do tráfego da Internet é criptografado através de HTTPS, no entanto, malwares usam HTTPS como técnica de evasão. Esses tipos de ameaças podem causar danos aos dados da sua organização.
Cato Networks fornece inspeção de Transport Layer Security (TLS) para tráfego WAN e Internet HTTPS. Cato oferece suporte às versões TLS 1.1, 1.2 e 1.3. Quando a inspeção TLS está ativada, os PoPs da Cato descriptografam o tráfego HTTPS e o inspecionam para conteúdo malicioso. Recomendamos que você use a inspeção TLS para os serviços de proteção contra ameaças da Cato, como o Sistema de Prevenção de Intrusões (IPS), Anti-Malware e Detecção e Resposta Gerenciada a Ameaças (MDR).
Este artigo explica como a Inspeção TLS proporciona proteção contra esses tipos de ameaças e descreve as melhores práticas para a proteção contra ameaças e o tráfego TLS.
Nota
Nota: Devido a problemas relacionados ao pinning de certificados, a Inspeção TLS não é suportada para dispositivos Android.
Use o Aplicativo de Gerenciamento Cato para habilitar a inspeção TLS para toda a conta. Como parte da implementação da Inspeção TLS, você deve instalar o certificado Cato como um certificado raiz nos hosts e dispositivos dos usuários finais. Use a política de Inspeção TLS para definir regras para inspecionar ou ignorar o tráfego da inspeção TLS. Quando a Inspeção TLS é habilitada para a sua conta, a política padrão é inspecionar todo o tráfego HTTPS por padrão.
Quando um cliente (por exemplo, um navegador Web) se conecta a um servidor, o PoP envia o certificado da Cato ao navegador como parte da negociação TLS. Para que o cliente verifique que este certificado está assinado por uma CA confiável, você deve instalar o certificado da Cato em todos os seus clientes e dispositivos. O certificado está disponível para download do Aplicativo de Gerenciamento Cato ou do portal de download de clientes. Então o PoP pode descriptografar o tráfego HTTPS e inspecioná-lo para detectar se há ou não ameaças de segurança.
Instalar o certificado da Cato também permite que você use a página de bloqueio da Cato para sites HTTPS. Se o tráfego TLS for bloqueado por regras de filtragem de URL ou Firewall de Internet, o certificado Cato permite acesso à página de bloqueio da Cato. Não é necessária inspeção TLS para bloquear o acesso a sites HTTPS, mas se o certificado da Cato não estiver instalado no computador dos seus usuários, um aviso de certificado é exibido em vez da página de bloqueio da Cato. Portanto, recomendamos que você instale o certificado da Cato nos dispositivos dos clientes. Para mais informações sobre o certificado e as páginas de bloqueio, consulte Avisos de Certificado com Sites HTTPS Bloqueados.
Você pode excluir itens específicos da inspeção TLS usando a janela unificada de inspeção TLS. Isso pode incluir serviços ou destinos que são considerados legítimos ou confiáveis. Para mais informações sobre a exclusão de tráfego da inspeção TLS, consulte Configurando a Política de Inspeção TLS para a Conta.
Notas:
-
A inspeção TLS é ignorada para Android, Linux e sistemas operacionais não identificados. Os registros de eventos para esses sistemas operacionais incluem o Tipo de Sistema Operacional como:
-
OS_ANDROID
-
OS_LINUX
-
OS_UNKNOWN
-
-
Habilitar a inspeção TLS ativa o recurso de aceleração TCP para todo o tráfego TLS. Quando a aceleração TCP está ativada, os Pops agem como servidores proxy para inspecionar o tráfego em busca de arquivos maliciosos e ameaças. Para mais informações sobre o modo de proxy TCP, veja Explicação da Aceleração TCP da Cato e Melhores Práticas.
Cato Networks recomenda fortemente que você habilite a inspeção TLS para sua conta. Se você deseja a proteção completa dos serviços avançados de segurança e detecção da Cato, é importante saber que algumas dessas capacidades de serviço podem apenas inspecionar dados não criptografados. Por exemplo, se você não usar a inspeção TLS, isso reduz a eficiência dos serviços de segurança, como o MDR, que usa um sistema de Caça a Ameaças Automatizado.
Outro exemplo é o serviço IPS que utiliza detecção baseada em assinaturas. Quando a inspeção TLS está ativada, o IPS pode aplicar inspeção profunda de pacotes e permite capacidades adicionais na gama de assinaturas de segurança. E assim, proporciona melhor proteção para sua rede.
Alguns sites e aplicações utilizam pinning de certificados por motivos de segurança. O pinning de certificados força o cliente a utilizar um certificado específico para prevenir ataques man-in-the-middle. Essas aplicações não funcionam quando a inspeção TLS está ativada. Portanto, você deve adicioná-los como uma regra de bypass na janela de política de inspeção TLS.
Para mais informações sobre a configuração da inspeção TLS, consulte Configuração da Política de Inspeção TLS para a Conta.
0 comentário
Por favor, entre para comentar.