Este artigo discute como configurar e personalizar a política de Inspeção TLS para atender aos requisitos específicos da sua rede.
Hoje, a maior parte do tráfego de Rede está criptografado (TLS, HTTPS), o que muitas vezes minimiza o benefício de escanear o tráfego com IPS, Firewall de Internet, Política de Controle de Aplicativos e tráfego Anti-Malware. Se o tráfego contiver conteúdo malicioso, ele também estará criptografado e os motores de segurança da Cato não poderão inspecioná-lo ou escaneá-lo.
Quando você habilita a Inspeção TLS para sua conta, Cato descriptografa de forma segura o tráfego que passa por um PoP e os motores de segurança da Cato inspecionam-no em busca de malware e escaneiam os arquivos baixados. Se o conteúdo do tráfego for confirmado como seguro, Cato então recriptografa o tráfego e o encaminha para o destino. No entanto, se o conteúdo contiver malware real ou suspeito, então os motores de segurança da Cato bloqueiam o tráfego.
Você pode optar por usar a política padrão da Cato que inspeciona todo o tráfego. Você também pode criar regras específicas de Inspeção TLS que definem qual tráfego é inspecionado e qual tráfego ignora a Inspeção TLS.
Nota
Nota: Por padrão, a Inspeção TLS é ignorada para estes sistemas operacionais:
-
Android (devido a problemas relacionados com a fixação de certificados)
-
Linux
-
Sistemas operacionais desconhecidos
Cato inclui várias aplicações em uma regra de bypass implícito que são automaticamente excluídas da Inspeção TLS. For a list of these applications, see below Default Bypass Rules.
Some minimal latency is expected at the initial connection due to the TCP and TLS handshakes that occur before data can flow to the appropriate network or security engine in the PoP. Esta latência é de até 10 milissegundos por pacote.
O motor de Inspeção TLS inspeciona conexões sequencialmente, e verifica se a conexão corresponde a uma regra. A regra final na base de regras é uma regra padrão implícita Qualquer - Qualquer Inspecionar - então, se uma conexão NÃO corresponder a uma regra, ela é inspecionada automaticamente.
Você pode revisar as configurações de regra padrão na seção Regras Padrão no final da base de regras. As configurações de regra não podem ser editadas, exceto pela ação de Certificado de Servidor Não Confiável. For more about the Untrusted Server Certificate action, see below Adding Rules to Customize the TLS Inspection Policy.
Regras que estão no topo da base de regras têm prioridade mais alta porque são aplicadas às conexões antes das regras mais abaixo na base de regras. Por exemplo, se uma conexão corresponder à regra #2, a ação para essa regra é aplicada à conexão e o motor de Inspeção TLS para de aplicar a política a essa conexão. Isso significa que as regras #3 e abaixo não são aplicadas à conexão.
A Política de Inspeção TLS permite que diferentes administradores editem a política em paralelo. Cada administrador pode editar as regras e salvar as alterações na base de regras em sua própria revisão privada, e então publicá-las na política da conta (a revisão publicada). Para mais informações sobre como gerenciar revisões de política, consulte Trabalhando com Revisões de Política.
Use a página Política de Inspeção TLS para configurar a política de inspeção TLS para todo o tráfego na sua conta.
Trabalhando com Múltiplos Itens
Quando houver vários itens em um campo de Fonte, ou um campo de O que, como dois grupos ou categorias, então há uma relação OU entre esses itens.
Instalando o Certificado Raiz da Cato em Dispositivos de Usuário Final
O certificado raiz da Cato deve ser instalado como um certificado confiável em cada dispositivo e computador que conecta-se à Cato Cloud. For more information about installing the Cato certificate, see Installing the Root Certificate for TLS Inspection.
-
O certificado da Cato não pode ser instalado na maioria dos sistemas operacionais (SO) embutidos, portanto muitos dispositivos que usam SO embutido perdem conectividade quando a Inspeção TLS está habilitada. For more about which OS Cato supports for TLS Inspection, see Best Practices for TLS Inspection.
Por padrão, todas as versões TLS e conjuntos de criptografia são permitidos. Para bloquear versões TLS desatualizadas e inseguras ou impedir o uso de conjuntos de criptografia fracos no tráfego criptografado, a política de inspeção TLS pode impor as versões mínimas do protocolo TLS e a força do conjunto de criptografia para o tráfego na sua conta.
As opções de configuração de conjuntos de criptografia são divididas em três níveis, com base nas configurações recomendadas pela Mozilla. Algumas versões TLS não são compatíveis com certos níveis. Para mais informações e uma lista de conjuntos de criptografia em cada nível, consulte a documentação da Mozilla.
QUIC e GQUIC são protocolos de transporte desenvolvidos pelo Google que não operam sobre conexões TCP, e o tráfego que utiliza esses protocolos não pode ser inspecionado pelo serviço de Inspeção TLS. Portanto, recomendamos que contas que habilitam a Inspeção TLS bloqueiem o tráfego de QUIC e GQUIC usando regras do Firewall de Internet. As regras que bloqueiam esse tráfego forçam o fluxo a se conectar apenas usando protocolos que podem ser inspecionados pelo serviço de Inspeção TLS. Se você permitir o tráfego usando os protocolos QUIC e GQUIC, os fluxos não podem ser inspecionados e são desnecessariamente bloqueados.
A primeira vez que você habilita a política de Inspeção TLS, regras para bloquear o tráfego de QUIC e GQUIC são automaticamente adicionadas à política do Firewall da Internet. Se a política do Firewall da Internet já bloqueia o tráfego QUIC para que ele possa ser corretamente inspecionado, então nenhuma nova regra é adicionada.
For more about QUIC and GQUIC traffic, see Internet and WAN Firewall Policies – Best Practices.
Ao configurar a política de inspeção TLS, você pode habilitar a política de inspeção TLS padrão da Cato ou personalizar a política adicionando suas próprias regras.
A política de Inspeção TLS padrão da Cato inspeciona todo o tráfego (exceto para as aplicações que são automaticamente ignoradas). Você pode usar a política padrão habilitando a Inspeção TLS e não há necessidade de adicionar quaisquer regras à política.
Há uma regra final implícita que corresponde a todo o tráfego com a ação Inspecionar.
Você pode personalizar a política de Inspeção TLS para inspecionar apenas tipos de tráfego específicos de acordo com as necessidades de sua organização. Adicione regras à política com ações de Inspecionar e Ignorar para definir qual tráfego é descriptografado e inspecionado.
-
Create rules with the Inspect action to define the traffic that the Cato Cloud inspects for suspicious and malicious content.
-
Crie regras com a ação Ignorar para excluir tráfego específico dos mecanismos de inspeção TLS da Cato. Por exemplo, você pode adicionar uma regra de ignorar para a aplicação RingCentral para excluir o tráfego do RingCentral da Inspeção TLS.
Ao criar regras, use Origem e O que para definir o escopo do tráfego TLS e Ação para configurar se a regra inspeciona ou ignora o tráfego. Certifique-se de que a regra de ignorar tenha uma prioridade mais alta (mais próxima ao topo da base de regras) do que uma regra de inspeção que corresponda ao mesmo tráfego. O tráfego que corresponde a uma regra de ignorar da Inspeção TLS também é excluído das verificações de segurança pelos motores Anti-Malware.
Quando você configura uma regra com a ação Inspecionar, você também deve definir o comportamento de como a regra lida com certificados de servidor não confiáveis.
Estas são as opções para esta configuração:
-
Permitir - O tráfego é permitido para o site com um certificado não confiável e inspecionado (esta é a configuração padrão).
-
Prompt - Os usuários verão um prompt pedindo-lhes que confirmem se desejam continuar e acessar o site com um certificado não confiável. Se o usuário continuar para o site, o tráfego será inspecionado
-
Bloquear - O tráfego para o site com um certificado não confiável é bloqueado
Note
Nota: Para aplicações que usam fixação de certificado para impedir a inspeção TLS, adicione-as a uma regra de ignorar para que funcionem corretamente para os usuários finais.
Para adicionar regras à política de inspeção TLS:
-
No menu de navegação, clique em Segurança > Inspeção TLS.
-
Clique em Novo.
-
Digite um Nome para a regra.
-
Use o controle de alternância Habilitado para habilitar ou desabilitar a regra.
O toggle fica verde
quando ativado.
-
Configure a Ordem da Regra para esta regra.
-
Expanda Origem e selecione o tipo de fonte.
-
Selecione o tipo (por exemplo: Host, Interface de Rede, IP, Qualquer). O valor padrão é Qualquer.
-
Quando necessário, selecione um objeto específico da lista suspensa para esse tipo.
-
-
Na seção Critérios, configure as Plataformas, Países, Perfis de Postura de Dispositivo e a Origem da Conexão necessárias para corresponder a esta regra.
For more about Device Conditions, see Adding Device Conditions for TLS Inspection.
-
Defina o Destino ao qual a regra se aplica. Por exemplo, um serviço, uma aplicação, uma categoria personalizada ou predefinida.
-
Escolha a Versão TLS e Conjuntos de Criptografia mínimos.
Nota: Algumas versões TLS são incompatíveis com níveis de conjuntos de criptografia. Para mais informações, veja Impondo Versões TLS e Conjuntos de Criptografia
-
Configure a Ação selecionando Inspecionar ou Ignorar.
-
Se selecionar Inspecionar, no menu suspenso Certificados de Servidor Não Confiáveis, selecione a ação para o tráfego com certificados problemáticos: Permitir, Bloquear, ou Prompt. O valor padrão é Permitir.
-
-
Clique em Aplicar.
-
Clique em Salvar. A regra de Inspeção TLS é salva na base de regras.
Cato gerencia regras de Inspeção TLS padrão que ignoram aplicativos específicos, sistemas operacionais e clientes que podem causar problemas. Essas regras estão posicionadas no topo da base de regras e não podem ser editadas. Para ajudar você a planejar e tomar decisões para a política de Inspeção TLS, você pode ver as configurações para essas regras na seção Regras de Bypass Padrão.
0 comentário
Por favor, entre para comentar.