Configurando a Política de Inspeção TLS para a Conta

Este artigo discute como configurar e personalizar a política de Inspeção TLS para atender aos requisitos específicos da sua rede.

Visão Geral da Política de Inspeção TLS da Cato

Hoje, a maioria do tráfego de rede é criptografada (TLS, HTTPS), o que muitas vezes minimiza o benefício de escanear tráfego com IPS, firewall da Internet, Política de Controle de Aplicação e tráfego Anti-Malware. Se o tráfego contiver conteúdo malicioso, ele também será criptografado e os motores de segurança da Cato não poderão inspecioná-lo ou escaneá-lo.

Quando você habilita a Inspeção TLS para sua conta, a Cato descriptografa com segurança o tráfego que passa por um PoP e os motores de segurança da Cato o inspecionam para detectar malware e escanear arquivos baixados. Se o conteúdo do tráfego for confirmado como seguro, a Cato então recriptografa o tráfego e o encaminha para o destino. No entanto, se o conteúdo contiver malware real ou suspeito, então os motores de segurança da Cato bloqueiam o tráfego.

Você pode optar por usar a política padrão da Cato que inspeciona todo o tráfego. Você também pode criar regras específicas de Inspeção TLS que definem qual tráfego é inspecionado e qual tráfego passa pela Inspeção TLS.

tlsinspection.png

Nota

Nota: Por padrão, a Inspeção TLS é desativada para estes sistemas operacionais:

  • Android (devido a problemas relacionados ao pinning de certificados)

  • Linux

  • Sistemas operacionais desconhecidos

Regras Padrão de Bypass para Aplicações Cato

Cato inclui várias aplicações em uma regra implícita de desvio que são automaticamente excluídas da Inspeção TLS. Para uma lista dessas aplicações, veja abaixo Regras Padrão de Bypass.

Latência para Inspeção TLS

Alguma latência mínima é esperada na conexão inicial devido ao handshake TCP e TLS que ocorrem antes que os dados possam fluir para a rede apropriada ou para o mecanismo de segurança no PoP. Essa latência é de até 8 milissegundos por pacote.

Trabalhando com uma Base de Regras de Inspeção TLS Ordenada

O mecanismo de Inspeção TLS inspeciona as conexões sequencialmente e verifica se a conexão corresponde a uma regra. A regra final na base de regras é uma regra implícita padrão ANY - ANY Inspecionar - então, se uma conexão NÃO corresponder a uma regra, ela é automaticamente inspecionada.

Você pode revisar as configurações de regra padrão na seção Regras Padrão no final da base de regras. As configurações de regra não podem ser editadas, exceto para a ação de Certificado de Servidor Não Confiável. Para mais informações sobre a ação do Certificado de Servidor Não Confiável, veja abaixo Adição de Regras para Personalizar a Política de Inspeção TLS.

Regras que estão no topo da base de regras têm uma prioridade maior porque são aplicadas às conexões antes das regras mais abaixo na base de regras. Por exemplo, se uma conexão corresponder à regra #2, a ação para essa regra será aplicada à conexão e o mecanismo de Inspeção TLS para de aplicar a política a essa conexão. Isso significa que as regras #3 e abaixo não são aplicadas à conexão.

Entendendo as Ações para Regras de Inspeção TLS

As regras de Inspeção de TLS permitem que você use uma ação de inspeção ou bypass para o tráfego TLS.

Usando Regras que Inspecionam o Tráfego TLS

Use a ação Inspecionar para definir regras de Inspeção de TLS que descriptografam conexões e permitem que os motores de segurança relevantes inspecionem o tráfego em busca de conteúdo malicioso.

Usando Regras que Bypassam o Tráfego TLS

Use a ação Bypass para definir o tráfego que ignora as regras de Inspeção de TLS. O tráfego ignorado não é descriptografado para inspeção pelos motores de segurança Cato. Lembre-se de que uma regra de bypass apenas exclui uma conexão que NÃO corresponde a uma regra de inspeção mais alta na base de regras.

Você pode mudar a prioridade de uma regra de bypass para que ela tenha maior prioridade do que uma regra de inspeção.

Configurando a Política de Inspeção TLS

Use a janela Política de Inspeção de TLS para configurar a política de Inspeção de TLS para todo o tráfego da sua conta. Você pode optar por usar a política padrão que inspeciona todo o tráfego ou adicionar regras de inspeção e bypass para criar uma política personalizada.

Trabalhando com Múltiplos Itens

Quando há múltiplos itens em um campo Origem ou O que, como dois grupos ou categorias, então há uma relação OU entre esses itens.

multi-tlsrules.png

Instalando o Certificado Raiz da Cato em Dispositivos de Usuários Finais

O certificado raiz da Cato deve ser instalado como um certificado confiável em cada dispositivo e computador que se conecta ao Cato Cloud. Para mais informações sobre como instalar o certificado Cato, veja Instalação do Certificado Raiz para Inspeção TLS.

  • O certificado Cato não pode ser instalado na maioria dos sistemas operacionais (OS) embarcados, portanto, muitos dispositivos que usam OS embarcados perdem a conectividade quando a Inspeção de TLS está habilitada. Para mais sobre quais sistemas operacionais a Cato dá suporte para Inspeção TLS, veja Melhores Práticas para Inspeção TLS.

Bloqueando Tráfego QUIC e GQUIC para Inspeção TLS

QUIC e GQUIC são protocolos de transporte desenvolvidos pelo Google que não operam sobre conexões TCP, e o tráfego usando esses protocolos não pode ser inspecionado pelo serviço de Inspeção de TLS. Portanto, recomendamos que contas que habilitam a Inspeção de TLS bloqueiem o tráfego QUIC e GQUIC usando regras de Firewall da Internet. As regras que bloqueiam esse tráfego forçam o fluxo a se conectar apenas usando protocolos que podem ser inspecionados pelo serviço de Inspeção de TLS. Se você permitir tráfego usando os protocolos QUIC e GQUIC, os fluxos não poderão ser inspecionados e serão bloqueados desnecessariamente.

A primeira vez que você habilita a política de Inspeção de TLS, regras para bloquear o tráfego QUIC e GQUIC são automaticamente adicionadas à política de Firewall da Internet. Se a política de Firewall da Internet já bloquear o tráfego QUIC para que ele possa ser corretamente inspecionado, nenhuma nova regra será adicionada.

Para mais sobre o tráfego QUIC e GQUIC, veja Políticas de Firewall de Internet e WAN – Melhores Práticas.

Usando a Política Padrão de Inspeção TLS

A política padrão de Inspeção TLS da Cato inspeciona todo o tráfego (exceto para as aplicações que são automaticamente ignoradas). Você pode usar a política padrão ativando a Inspeção TLS e não há necessidade de adicionar regras à política.

Há uma regra implícita final que corresponde a todo o tráfego com a ação Inspecionar.

Para usar a política de Inspeção TLS padrão da Cato:

  1. No menu de navegação, clique em Segurança > Inspeção TLS.

  2. Clique no controle deslizante Habilitar Inspeção TLS.

  3. Clique em Salvar. A inspeção TLS é ativada usando a política padrão.

Adicionando Regras para Personalizar a Política de Inspeção TLS

Você pode personalizar a política de Inspeção TLS para inspecionar apenas os tipos específicos de tráfego conforme as necessidades de sua organização. Adicione regras à política com ações de Inspecionar e Ignorar para definir qual tráfego é descriptografado e inspecionado.

  • Crie regras com a ação Inspecionar para definir o tráfego que o Cato Cloud inspeciona em busca de conteúdos suspeitos e maliciosos.

  • Crie regras com a ação Ignorar para excluir tráfegos específicos dos motores de inspeção TLS da Cato. Por exemplo, você pode adicionar uma regra de ignorar para a aplicação RingCentral para excluir o tráfego RingCentral da Inspeção TLS.

Ao criar regras, use Fonte e O Que para definir o escopo do tráfego TLS e Ação para configurar se a regra inspeciona ou ignora o tráfego. Certifique-se de que a regra de ignorar tenha uma prioridade maior (mais próxima do topo da base de regras) que uma regra de inspeção que corresponda ao mesmo tráfego. O tráfego que corresponde a uma regra de ignorar de Inspeção TLS também é excluído das verificações de segurança pelos motores Anti-Malware.

Ao configurar uma regra com a ação Inspecionar, você também deve definir o comportamento de como a regra lida com certificados de servidor não confiáveis.

TLSi_Untrusted_Cert_New.png

Estas são as opções para esta configuração:

  • Permitir - O tráfego é permitido para o site com um certificado não confiável e inspecionado (esta é a configuração padrão).

  • Solicitar - Os usuários veem uma solicitação pedindo que confirmem se desejam continuar e acessar o site com um certificado não confiável. Se o usuário continuar para o site, o tráfego será inspecionado

  • Bloquear - O tráfego para o site com um certificado não confiável é bloqueado

Nota

Nota: Para aplicações que utilizam fixação de certificado para prevenir a Inspeção TLS, adicione-as a uma regra de desvio para que funcionem corretamente para os usuários finais.

Para adicionar regras à política de Inspeção TLS:

  1. No menu de navegação, clique em Security > Inspeção TLS.

  2. Clique em Novo.

  3. Insira um Nome para a regra.

  4. Use a alternância Habilitado para ativar ou desativar a regra.

    O alternador é verde toggle.png quando ativado.

  5. Configure a Ordem da Regra para esta regra.

  6. Expanda Fonte e selecione o tipo de fonte.

    • Selecione o tipo (por exemplo: Host, Interface de Rede, IP, Qualquer). O valor padrão é Qualquer.

    • Quando necessário, selecione um objeto específico na lista suspensa para esse tipo.

  7. Na seção Dispositivo, configure as Plataformas, Países, Perfis de Postura do Dispositivo e Origem da Conexão necessários para corresponder a esta regra.

    Para mais informações sobre Condições de Dispositivo, veja Adição de Condições de Dispositivo para Inspeção TLS.

  8. Defina O que a regra aplica. Por exemplo, um serviço, uma aplicação, uma categoria customizada ou predefinida.

  9. Configure a Ação selecionando Inspecionar ou Desviar.

    • Se você selecionar Inspecionar, no menu suspenso Certificados de Servidor Não Confiáveis, escolha a ação para o tráfego com certificados problemáticos: Permitir, Bloquear, ou Perguntar. O valor padrão é Permitir.

  10. Clique em Aplicar.

  11. Clique em Salvar. A regra de Inspeção TLS é salva na base de regras.

Gerenciando a Política de Inspeção TLS

Esta seção explica como gerenciar as regras na política de Inspeção TLS, incluindo: alteração da prioridade da regra, ativação e exclusão de regras.

Mudando a Prioridade da Regra

Altere a prioridade de uma regra para determinar quando a ação da regra é aplicada a uma conexão correspondente. As regras são aplicadas sequencialmente a cada conexão, uma vez que uma conexão coincide com uma regra, as regras com menor prioridade não são aplicadas a ela.

Para alterar a prioridade de uma regra:

  1. Passe o cursor sobre a coluna # da regra específica. Clique em move.png e arraste a regra para cima para aumentar ou para baixo para diminuir a prioridade da regra.

  2. Clique em Salvar.

Habilitando e Desabilitando Regras de Inspeção TLS

Use o controle deslizante para ativar e desativar regras individuais na política de Inspeção TLS.

Para ativar ou desativar uma regra:

  1. No final da regra, clique em More_icon.png. O menu suspenso da regra aparece.

  2. Clique em Ativar ou Desativar.

  3. Clique em Salvar.

Excluindo Regras

Você pode excluir uma ou mais regras da base de regras de Inspeção TLS. Após excluir as regras, você não pode desfazê-las ou restaurá-las.

Para excluir regras da base de regras:

  1. Clique em More_icon.png no final da regra. O menu suspenso da regra é aberto.

  2. Clique em Excluir Regra.

  3. Na janela de confirmação, clique em Excluir. A regra é removida.

  4. Clique em Salvar. A regra é excluída.

Regras de Bypass Padrão

A Cato gerencia regras padrão de Inspeção TLS que ignoram aplicativos específicos, sistemas operacionais e clientes que podem causar problemas. Essas regras estão posicionadas no topo da base de regras e não podem ser editadas. Para ajudar você a planejar e tomar decisões para a política de Inspeção TLS, você pode visualizar as configurações dessas regras na seção Regras de Bypass Padrão.

TLSi_Default_Bypass_Rules.png

Recursos Relacionados

Esse artigo foi útil?

Usuários que acharam isso útil: 6 de 8

0 comentário