Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Configuração do proxy SSL

Configuração do proxy de encaminhamento SSL

Visão geral da configuração do proxy SSL

A configuração do proxy SSL inclui:

  • Configurando o certificado de CA raiz, consulte Registrar um certificado

  • Carregando um grupo de perfis de CA, consulte Registrar um certificado

  • Configurar o perfil de proxy SSL e associar o certificado de CA raiz e o grupo de perfis de CA

  • Criar uma política de segurança definindo critérios de correspondência de tráfego de entrada

  • Aplicando um perfil de proxy SSL a uma política de segurança

  • Etapas opcionais, como criação de listas de permissões e registro de proxy SSL

Aplicando um Perfil de Proxy SSL a uma Política de Segurança

O proxy SSL é habilitado como um serviço de aplicativo em uma política de segurança. Em uma política de segurança, você especifica o tráfego no qual deseja ativar o proxy SSL como critério de correspondência e, em seguida, especifica o perfil de CA do proxy SSL a ser aplicado ao tráfego.

Para habilitar o proxy SSL em uma política de segurança:

Este exemplo pressupõe que você já tenha criado zonas de segurança confiáveis e não confiáveis e criado uma política de segurança para o tráfego da zona de confiança para a zona não confiável.

  1. Crie uma política de segurança e especifique os critérios de correspondência para a política. Como critérios de correspondência, especifique o tráfego para o qual você deseja habilitar o proxy SSL.

    Exemplo:

  2. Aplique o perfil de proxy SSL à política de segurança.

Configuração do registro de proxy SSL

Ao configurar o proxy SSL, você pode optar por definir a opção para receber alguns ou todos os logs. Os logs de proxy SSL contêm o nome lógico do sistema, listas de permissões de proxy SSL, informações de política, informações de proxy SSL e outras informações que ajudam a solucionar problemas quando há um erro.

Você pode configurar o registro em log ou eventos específicos, como eventos de all erro, aviso e informações. Você também pode configurar o registro de sessões que são permitidas, descartadas, ignoradas ou permitidas após a ocorrência de um erro.

Você pode usar enable-flow-tracing a opção para habilitar o rastreamento de depuração.

Ignorando a autenticação do servidor

O Junos OS permite que você configure uma opção para ignorar completamente a autenticação do servidor. Se você configurar seu sistema para ignorar a autenticação, todos os erros encontrados durante a verificação do certificado do servidor no momento do handshake SSL serão ignorados. Erros comumente ignorados incluem a incapacidade de verificar a assinatura da CA, datas incorretas de expiração do certificado e assim por diante. Se essa opção não estiver definida, todas as sessões em que o servidor envia certificados autoassinados serão descartadas quando erros forem encontrados.

Não recomendamos usar essa opção para autenticação, pois configurá-la faz com que os sites não sejam autenticados. No entanto, você pode usar essa opção para identificar efetivamente a causa raiz de sessões SSL descartadas.

No modo de configuração, especifique para ignorar a autenticação do servidor:

Proxy reverso SSL

Visão geral

A implementação do modelo de proxy (proxy reverso) aumenta a proteção do servidor. Ele melhora o handshake e suporta mais versões de protocolo. Você pode habilitar serviços de Camada 7, como segurança de aplicativos, IPS, Segurança de conteúdo e ATP Cloud no tráfego descriptografado por proxy reverso SSL.

Recomendamos usar o proxy reverso SSL e a Detecção e Prevenção de Intrusão (IDP) em vez de usar a funcionalidade de inspeção SSL IDP. Em versões recentes do Junos OS, a Inspeção SSL IDP é descontinuada — em vez de removida imediatamente — para oferecer compatibilidade com versões anteriores e uma chance de colocar sua configuração em conformidade com a nova configuração.

Recursos de proxy reverso:

  • Encerra o SSL do cliente no firewall e inicia uma nova conexão SSL com um servidor. Descriptografa o tráfego SSL do cliente/servidor e criptografa novamente (após a inspeção) antes de enviar para o servidor/cliente.

  • Oferece suporte a todas as versões atuais do protocolo.

    • Suporta RSA

    • Suporte DHE ou ECDHE

  • Usa proxy de encaminhamento SSL existente com proxy TCP embaixo.

  • Assim como o proxy de encaminhamento, o tráfego SSL descriptografado está disponível para todos os serviços de segurança.

  • Todas as cifras comumente usadas são suportadas.

Você deve configurar um root-ca ou server-certificate em um perfil de proxy SSL. Caso contrário, a verificação de confirmação falhará. Consulte a tabela a seguir para obter detalhes das configurações compatíveis.

Tabela 1: Configurações de proxy SSL suportadas

certificado de servidor configurado

Raiz de CA configurada

Tipo de perfil

Não

Não

A verificação de confirmação falha. Você deve configurar o server-certificate .root-ca

Sim

Sim

A verificação de confirmação falha. Não há suporte para a configuração de ambos server-certificate e root-ca no mesmo perfil.

Não

Sim

Proxy de encaminhamento

Sim

Não

Proxy reverso

Há suporte para a configuração de várias instâncias de perfis de proxy direto e reverso. Mas para uma determinada política de firewall, apenas um perfil (um perfil de proxy direto ou reverso) pode ser configurado. A configuração do proxy de encaminhamento e reverso no mesmo dispositivo também é suportada.

Você não pode configurar a implementação de proxy reverso anterior com a nova implementação de proxy reverso para uma determinada política de firewall. Se ambos estiverem configurados, você receberá uma mensagem de falha de verificação de confirmação.

A seguir estão as etapas mínimas para configurar o proxy reverso:

  1. Carregue os certificados do servidor e suas chaves no repositório de certificados do firewall usando o comando request security pki local-certificate load filename filename key key certificate-id certificate-id passphrase exmample@1234CLI . Por exemplo:
  2. Anexe o identificador de certificado do servidor ao perfil do Proxy SSL usando o comando set services ssl proxy profile profile server-certificate certificate-id passphrase exmample@1234CLI . Por exemplo

    user@host# definir serviços ssl proxy profile server-protection-profile server-certificate server2_cert_id

  3. Use o comando show services ssl CLI para verificar sua configuração. Por exemplo:

O proxy de encaminhamento SSL e o proxy reverso exigem que um perfil seja configurado no nível da regra de firewall. Além disso, você também deve configurar certificados de servidor com chaves privadas para proxy reverso. Durante um handshake SSL, o proxy SSL executa uma pesquisa por uma chave privada do servidor correspondente em seu banco de dados de tabela de hash de chave privada do servidor. Se a pesquisa for bem-sucedida, o handshake continuará. Caso contrário, o proxy SSL encerra o aperto de mão. O proxy reverso não proíbe certificados de servidor. Ele encaminha o certificado/cadeia do servidor real como está para o cliente sem modificá-lo. A interceptação do certificado do servidor ocorre apenas com proxy de encaminhamento.

Configurando o proxy reverso SSL

Este exemplo mostra como configurar o proxy reverso para habilitar a proteção do servidor. Para proteção do servidor, além disso, os certificados do servidor com chaves privadas devem ser configurados.

Um proxy reverso protege os servidores ocultando os detalhes dos servidores dos clientes, adicionando uma camada extra de segurança.

Para configurar um proxy reverso SSL, você deve:

  • Carregue o(s) certificado(s) do(s) servidor(es) e sua(s) chave(s) no repositório de certificados do firewall.

  • Anexe o(s) identificador(es) de certificado do servidor ao perfil de proxy SSL.

  • Aplicar perfil de proxy SSL como serviços de aplicativo em uma política de segurança.

Para configurar o proxy reverso SSL:

  1. Carregue o certificado de autenticação e a respectiva chave para o perfil de proxy SSL na memória PKI.
  2. Anexe o certificado do servidor ao perfil de proxy SSL.
  3. Crie uma política de segurança e especifique os critérios de correspondência para a política. Como critérios de correspondência, especifique o tráfego para o qual você deseja habilitar o proxy SSL.
  4. Aplique o perfil de proxy SSL à política de segurança. Este exemplo pressupõe que as zonas de segurança sejam criadas de acordo com os requisitos.

Verificando a configuração do proxy reverso SSL no dispositivo

Finalidade

Exibindo as estatísticas de proxy reverso SSL no firewall.

Ação

É possível visualizar as estatísticas do proxy SSL usando o show services ssl proxy statistics comando.

Configurar o proxy de encaminhamento SSL com Segurança de conteúdo

Neste procedimento, você configura um perfil de proxy de encaminhamento SSL com o Content Segurança. Quando você configura a Segurança de conteúdo, o proxy SSL atua como um servidor SSL, encerrando a sessão SSL do cliente e estabelecendo uma nova sessão SSL para o servidor. O firewall descriptografa e criptografa novamente todo o tráfego de proxy SSL. A Segurança de conteúdo pode usar o conteúdo descriptografado do proxy SSL.

Gere o certificado local como raiz de ca.

  1. Do modo operacional, gere um par de chaves para um certificado digital local.
  2. Gere o certificado local usando o par de chaves gerado acima.
  3. No modo de configuração, aplique o certificado carregado como root-ca no perfil de proxy SSL.
  4. Anexe o perfil SSL e a política de Segurança de conteúdo à política de segurança.

Configurar proxy reverso SSL com Segurança de conteúdo

Neste procedimento, você configura um perfil de proxy reverso SSL com o Content Segurança.

  1. Carregue os certificados do servidor e suas chaves no repositório de certificados do firewall.
  2. No modo de configuração, anexe o identificador de certificado do servidor ao perfil do Proxy SSL.
  3. Anexe o perfil SSL e a política de Segurança de conteúdo à política de segurança para o tráfego de uma zona não confiável para a zona confiável.

Criando uma lista de permissões de destinos isentos para proxy SSL

A criptografia e a descriptografia do SSL podem consumir recursos de memória nos firewalls. Para limitar isso, você pode ignorar seletivamente o processamento de proxy SSL para algumas sessões, como sessões que transacionam com servidores ou domínios confiáveis familiares. Você também pode dispensar as sessões com sites financeiros e bancários devido a exigências legais.

Para isentar as sessões do proxy SSL, você pode criar uma lista de permissões adicionando endereços IP ou nomes de domínio dos servidores. As listas de permissões incluem endereços que você deseja isentar do processamento de proxy SSL.

Use as seguintes etapas para criar uma lista de permissões:

  • Especifique os endereços IP e o nome de domínio em seu catálogo de endereços global.

  • Consulte o catálogo de endereços global no perfil de proxy SSL.

Você pode configurar os seguintes tipos de endereços IP no catálogo de endereços global.

  • Endereços IPv4 (texto sem formatação). Por exemplo:

  • Intervalo de endereços IPv4. Por exemplo:

  • Curinga IPv4. Por exemplo:

  • Nome DNS. Por exemplo:

  • Endereço IPv6. Por exemplo:

As listas de permissões não são compatíveis com os seguintes tipos de endereços IP:

  • Endereços IP traduzidos. As sessões são permitidas com base no endereço IP real e não no endereço IP traduzido. Por isso, na configuração da lista de permissões do perfil de proxy SSL, o endereço IP real deve ser fornecido e não o endereço IP traduzido.

  • Máscaras de rede não contíguas. Por exemplo:

    • Há suporte para o endereço IP -203.0.113.0 e a máscara 255.255.255.0, ou seja, 203.0.113.0/24.

    • Endereço IP - 203.0.113.9 e máscara 255.0.255.0 não são suportados.

O exemplo a seguir mostra como usar listas de permissões no perfil de proxy SSL.

Neste exemplo, você isenta todas as sessões para www.mycompany.com. Para isso, primeiro especifique o domínio no catálogo de endereços e, em seguida, configure o endereço no perfil de proxy SSL.

  1. Configure o domínio no catálogo de endereços.
  2. Especifique o endereço do catálogo de endereços global no perfil de proxy SSL.

Criando uma lista de permissões de categorias de URL isentas para proxy SSL

Você pode configurar categorias de URL no módulo de Segurança de conteúdo para ignorar a inspeção SSL no firewall. Para isso, o SRX vincula o perfil de proxy SSL ao recurso Enhanced Web Filtering (EWF). Depois de habilitar isso, você pode adicionar categorias de URL a uma lista de permissões no perfil de proxy SSL, juntamente com catálogos de endereços. Você pode escolher entre categorias predefinidas ou criar categorias personalizadas compatíveis com a Segurança de conteúdo.

O dispositivo de segurança usa o campo Indicação de nome de servidor (SNI) extraído pelo módulo de Segurança de conteúdo para determinar a categoria de URL. O proxy SSL usa essas informações para determinar se deve aceitar e proxy ou ignorar a sessão.

O recurso de lista de permissões de proxy SSL inclui categorias de URL compatíveis com a Segurança de conteúdo e o recurso de lista de permissões de proxy SSL estende o suporte a categorias de URL personalizadas compatíveis com a Segurança de conteúdo.

Os exemplos a seguir mostram como configurar as categorias de URL no perfil de proxy SSL:

Criação de uma lista de permissões de categorias de URL isentas

Use as etapas a seguir para configurar as categorias de URL predefinidas em um perfil de proxy SSL.

  1. As categorias de URL predefinidas dependem da Segurança de conteúdo. Para habilitar a lista de permissões baseada em URL no proxy SSL, as seguintes configurações básicas de URL são necessárias:
  2. Especifique a categoria de URL predefinida no perfil de proxy SSL. Neste exemplo, você está usando a categoria URL Enhanced_Financial_Data_and_Services.
  3. Crie a política de segurança especificando as condições de correspondência e anexe a política de Segurança de conteúdo à política de segurança para usar categorias de URL na lista de permissões SSL.

Criação de uma lista de permissões de categorias de URL personalizadas isentas

Use as etapas a seguir para configurar categorias de URL personalizadas em um perfil de proxy SSL.

  1. Crie uma categoria de URL personalizada.
  2. Configure uma política de Segurança de Conteúdo para o protocolo HTTP de filtragem da Web e associe o perfil criado na etapa anterior à política de Segurança de Conteúdo.
  3. Especifique a categoria de URL personalizada que você criou na etapa anterior no perfil de proxy SSL.
  4. Crie uma política de segurança especificando as condições de correspondência e anexe a política de Segurança de conteúdo à política de segurança para usar categorias de URL na lista de permissões SSL.

Limites de configuração para perfis de proxy SSL

Atualizamos os limites para certificados de CA confiáveis, certificados de servidor e categorias de URL nas configurações de proxy de encaminhamento SSL e proxy reverso SSL. Essas alterações garantem a conformidade com o limite máximo de tamanho do blob de configuração de 56.986 bytes.

Alterações no tamanho limite:

  • Certificado de CA confiável/certificados de servidor: limite máximo de 400 (reduzido de 1024)

  • Categorias de URL: limite máximo de 800 (inalterado)

Declarações de configuração:

Certificados de CA confiáveis

Certificados de servidor

Categorias de URL

Observação: Na configuração de proxy reverso, verifique se o tamanho combinado dos certificados do servidor e das categorias de URL não excede 56.986 bytes. Se o tamanho combinado exceder o limite, a seguinte mensagem de erro será exibida durante a confirmação:

Esse erro fornece um detalhamento do uso de memória, ajudando você a ajustar a configuração de acordo.

Suporte à autenticação de proxy

Você pode usar perfis de proxy para rotear com segurança o tráfego HTTPS de saída por meio de um servidor proxy com suporte de autenticação. Você pode configurar a autenticação de proxy diretamente nos perfis de proxy. Ao definir um nome de usuário e senha, você garante acesso seguro a feeds e serviços externos. Esse mecanismo de autenticação oferece suporte a vários serviços para permitir a comunicação HTTPS segura e autenticada por meio de um servidor proxy.

As seguintes conexões que dão suporte ao proxy HTTP para comunicação do servidor agora incluem suporte à autenticação de proxy:

  • Conexão da SecIntel com a nuvem do ATP para baixar e carregar os feeds.
  • Conexão de identificação de aplicativo e IDP para download do banco de dados de assinaturas.
  • Segurança de conteúdo (anteriormente conhecida como Gerenciamento unificado de ameaças) para as seguintes funcionalidades:
    • Banco de dados de vírus Avira AV e conexões de atualização de mecanismo.
    • O Sophos AV verifica consultas para a nuvem.
    • Filtragem da Web Consultas de categoria de URL para a nuvem.
    • Atualizações da categoria Filtragem da Web.
    • Filtragem da Web Downloads de feeds de URL.

  • Conexão de nuvens ATP para:

    • Processos de inscrição
    • Conexões de envio de arquivo
    • Atualizações de assinatura de antivírus da CDN da Juniper.
    • Feeds dinâmicos de grupos de endereços
  • Daemon de infraestrutura de chave pública para:
    • Inscrição no SCEP via HTTP e HTTPS.
    • Downloads de CRL via HTTP e HTTPS.

Benefícios do suporte à autenticação de proxy

Forneça acesso seguro a feeds e serviços externos, melhorando a postura geral de segurança ao impedir que fontes de dados não verificadas interajam com ambientes de rede protegidos.

Exemplos de configuração

Para estabelecer conexões seguras e autenticadas, você precisa definir as seguintes configurações:

Configurar credenciais de autenticação no perfil de proxy

Configure a autenticação de proxy configurando um nome de usuário e uma senha no perfil de proxy:

Especificar perfil de proxy nos Serviços de Segurança

Exemplos:

Perfil de proxy para identificação de aplicativos e IDP

Crie um perfil de proxy e use-o para baixar o pacote de assinatura do aplicativo ou o pacote de assinatura IDP por meio de um servidor proxy:

Veja Instalar o pacote de assinaturas de aplicativos e o pacote de assinaturas IDP do Junos OS por meio de um servidor proxy explícito.

Perfil de proxy para Segurança de conteúdo

Configure o perfil de proxy para os mecanismos antivírus Avira e Sophos para atualizações e para o Juniper Web Filtering para comunicação segura com o servidor

Consulte Exemplo: Configurar o Avira Antivirus, Configurar o Sophos Antivirus Live Protection Versão 2.0 com Proxy da Web e Configurar a Filtragem da Web de Próxima Geração .

Perfil de proxy para o Juniper ATP Cloud

Para habilitar o acesso de saída HTTP(S) por meio de um proxy da Web em firewalls da Série SRX, configure o Juniper ATP Cloud para usar perfis de proxy. Esses perfis são aplicados em políticas antimalware e SecIntel.

Veja Proxy Web explícito para o Juniper ATP Cloud para mais detalhes.

PKI

Configure o perfil de proxy no perfil de CA. O dispositivo se conecta ao host proxy em vez do servidor CA durante o registro, verificação ou revogação do certificado

Consulte Autoridade de certificação

Observação:
  • O suporte está disponível apenas para autenticação básica. Você precisará fornecer um nome de usuário e senha, que são enviados no Proxy-Authorization cabeçalho em um formato codificado em Base64.
  • Certifique-se de configurar o nome de usuário e a senha simultaneamente.
  • Atualize senhas regularmente e monitore tentativas de acesso não autorizado para manter uma segurança robusta.

Tabela de histórico de alterações

A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.

Lançamento
Descrição
25.2
A partir do Junos OS Release 25.2R1 e 24.2R2, foram atualizados os limites para certificados de CA confiáveis, certificados de servidor e categorias de URL nas configurações de proxy de encaminhamento SSL e proxy reverso SSL. Essas alterações garantem a conformidade com o limite máximo de tamanho do blob de configuração de 56.986 bytes.