Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL Proxy

O proxy SSL atua como um intermediário, realizando criptografia SSL e descriptografia entre o cliente e o servidor. Uma melhor visibilidade do uso do aplicativo pode ser disponibilizada quando o proxy de encaminhamento SSL for habilitado.

Visão geral do proxy SSL

Para obter a lista completa de recursos e plataformas suportados, veja Proxy SSL no Feature Explorer.

Secure Sockets Layer (SSL) é um protocolo de nível de aplicativo que fornece tecnologia de criptografia para a Internet. A SSL, também chamada de Segurança de Camada de Transporte (TLS), garante a transmissão segura de dados entre um cliente e um servidor por meio de uma combinação de privacidade, autenticação, confidencialidade e integridade dos dados. A SSL conta com certificados e pares de troca de chaves públicos privados para esse nível de segurança.

O proxy SSL é um proxy transparente que executa criptografia SSL e descriptografia entre o cliente e o servidor.

Como funciona o proxy SSL?

O proxy SSL oferece transmissão segura de dados entre um cliente e um servidor através de uma combinação de seguintes:

  • A autenticação do servidor de autenticação protege contra transmissões fraudulentas, permitindo que um navegador da Web valide a identidade de um webserver.

  • Confidencialidade — A SSL aplica a confidencialidade criptografando dados para evitar que usuários não autorizados façam espionagem em comunicações eletrônicas; garante assim a privacidade das comunicações.

  • Integridade- A integridade da mensagem garante que o conteúdo de uma comunicação não seja adulterado.

O firewall da Série SRX atua como proxy SSL gerencia conexões SSL entre o cliente em uma extremidade e o servidor na outra extremidade e executa as seguintes ações:

  • Sessão SSL entre o cliente e a Série SRX- Encerra uma conexão SSL de um cliente, quando as sessões de SSL são iniciadas do cliente para o servidor. O firewall da Série SRX descriptografa o tráfego, inspeciona-o para ataques (ambas as direções) e inicia a conexão em nome dos clientes com o servidor.

  • Sessão SSL entre servidor e Série SRX — encerra uma conexão SSL de um servidor, quando as sessões de SSL são iniciadas do servidor externo para o servidor local. O firewall da Série SRX recebe texto claro do cliente, criptografa e transmite os dados como texto cifrado para o servidor SSL. Por outro lado, a Série SRX descriptografa o tráfego do servidor SSL, inspeciona-o para ataques e envia os dados para o cliente como texto claro.

  • Permite a inspeção do tráfego criptografado.

O servidor proxy SSL garante uma transmissão segura de dados com tecnologia de criptografia. A SSL conta com certificados e pares de troca de chaves públicos privados para fornecer a comunicação segura. Para obter mais informações, veja Certificados SSL.

Para estabelecer e manter uma sessão SSL entre o firewall da Série SRX e seu cliente/servidor, o firewall da Série SRX aplica política de segurança ao tráfego que recebe. Quando o tráfego corresponde aos critérios de política de segurança, o proxy SSL é habilitado como um serviço de aplicativo dentro de uma política de segurança.

Proxy SSL com serviços de segurança de aplicativos

A Figura 1 mostra como o proxy SSL funciona em uma carga criptografada.

Figura 1: Proxy SSL em uma carga SSL Proxy on an Encrypted Payload criptografada

Quando serviços avançados de segurança, como firewall de aplicativos (AppFW), detecção e prevenção de intrusões (IDP), rastreamento de aplicativos (AppTrack), segurança de conteúdo e ATP Cloud são configurados, o proxy SSL age como um servidor SSL, encerrando a sessão de SSL do cliente e estabelecendo uma nova sessão SSL para o servidor. O firewall da Série SRX descriptografa e depois reencrita todo o tráfego proxy SSL.

IDP, AppFW, AppTracking, roteamento avançado baseado em políticas (APBR), segurança de conteúdo, atp cloud e redirecionamento de serviço ICAP podem usar o conteúdo descriptografado do proxy SSL. Se nenhum desses serviços estiver configurado, os serviços de proxy SSL serão ignorados mesmo se um perfil de proxy SSL for anexado a uma política de firewall.

Tipos de proxy SSL

O proxy SSL é um proxy transparente que executa criptografia SSL e descriptografia entre o cliente e o servidor. O SRX atua como servidor da perspectiva do cliente e atua como o cliente da perspectiva do servidor. Nos firewalls da Série SRX, a proteção do cliente (proxy avançado) e a proteção do servidor (proxy reverso) são suportadas usando o mesmo sistema de eco SSL-T-SSL [terminator do lado do cliente] e SSL-I-SSL [iniciador no lado do servidor]).

Suporte para firewall da Série SRX após tipos de proxy SSL:

  • Proxy SSL de proteção ao cliente também conhecido como proxy avançado — o firewall da Série SRX reside entre o cliente interno e o servidor externo. Sessão de saída por proxy, ou seja, sessão de SSL iniciada localmente para a Internet. Ele descriptografa e inspeciona o tráfego de usuários internos para a web.

  • Proxy SSL de proteção de servidor também conhecido como proxy reverso — o firewall da Série SRX reside entre o servidor interno e o cliente externo. Sessão de entrada por proxy, ou seja, sessões de SSL iniciadas externamente da Internet para o servidor local.

Para obter mais informações sobre proxy de encaminhamento SSL e proxy reverso, consulte Configuração do Proxy SSL.

Protocolos SSL suportados

Os seguintes protocolos SSL são suportados em firewalls da Série SRX para o serviço de iniciação e rescisão de SSL:

  • TLS versão 1.0 — fornece autenticação e comunicações seguras entre aplicativos de comunicação.

  • Versão 1.1 do TLS — Esta versão aprimorada do TLS oferece proteção contra ataques de encadeamento de blocos de cifra (CBC).

  • Versão 1.2 do TLS — Esta versão aprimorada do TLS oferece maior flexibilidade para a negociação de algoritmos criptográficos.

  • TLS versão 1.3 — Esta versão aprimorada do TLS oferece segurança aprimorada e melhor desempenho.

A partir do Junos OS Release 15.1X49-D30 e Junos OS Release 17.3R1, os protocolos TLS versão 1.1 e TLS versão 1.2 são suportados em firewalls da Série SRX, juntamente com a versão 1.0 TLS.

Começando pelo Junos OS Release 15.1X49-D20 e Junos OS Release 17.3R1, o suporte ao protocolo SSL 3.0 (SSLv3) é preterido.

A partir do Junos OS Release 21.2R1, em firewalls da Série SRX, o proxy SSL oferece suporte ao TLS versão 1.3.

Quando você usa o TLS 1.3, o firewall da Série SRX oferece suporte ao grupo secp256r1 para troca de chaves para estabelecer conexão com o servidor. Se o servidor suportar apenas o secp384r1, a conexão será terminada.

A partir do Junos OS Release 24.2R1, os firewalls da Série SRX oferecem suporte a SNI para o processo de iniciação de SSL (SSL-I). A Indicação de nome do servidor (SNI) é uma extensão do cabeçalho SSL/TLS, que transporta o nome de host do servidor de destino durante a troca de "Client Hello" do HTTPS em texto claro antes que a SSL seja concluída.

Benefícios do proxy SSL

  • Descriptografa o tráfego SSL para obter informações granulares de aplicativos e permitir que você aplique proteção avançada de serviços de segurança e detecte ameaças.

  • Aplica o uso de protocolos e cifras fortes pelo cliente e pelo servidor.

  • Oferece visibilidade e proteção contra ameaças incorporadas no tráfego criptografado SSL.

  • Controla o que precisa ser descriptografado usando proxy SSL seletivo.

Suporte para sistemas lógicos

É possível habilitar o proxy SSL em políticas de firewall que estão configuradas usando sistemas lógicos; no entanto, observe as seguintes limitações:

  • A categoria "serviços" atualmente não é suportada na configuração de sistemas lógicos. Como o proxy SSL está em "serviços", você não pode configurar perfis de proxy SSL por sistema lógico.

  • Como os perfis de proxy configurados em nível global (dentro de "proxy ssl de serviços") são visíveis em configurações lógicas do sistema, é possível configurar perfis de proxy em nível global e depois anexá-los às políticas de firewall de um ou mais sistemas lógicos.

Limitações

Em todos os firewalls da Série SRX, a implementação de proxy SSL atual tem as seguintes limitações de conectividade:

  • O suporte ao protocolo SSLv3.0 está preterido.

  • O protocolo SSLv2 não é suportado. As sessões de SSL usando SSLv2 são descartadas.

  • Apenas o certificado X.509v3 é compatível.

  • A autenticação do cliente do SSL não é suportada.

  • Sessões de SSL em que a autenticação do certificado do cliente é obrigatória são descartadas.

  • Sessões de SSL em que a renegociação é solicitada são descartadas.

  • Em firewalls da Série SRX, para uma sessão específica, o proxy SSL só é habilitado se um recurso relevante relacionado ao tráfego SSL também estiver habilitado. Os recursos relacionados ao tráfego SSL são IDP, identificação de aplicativos, firewall de aplicativos, rastreamento de aplicativos, roteamento avançado baseado em políticas, segurança de conteúdo, ATP Cloud e serviço de redirecionamento ICAP. Se nenhum desses recursos estiver ativo em uma sessão, o proxy SSL ignora a sessão e os logs não serão gerados neste cenário.
  • Os firewalls da Série SRX que operam na configuração multinode de alta disponibilidade não oferecem suporte à funcionalidade de proxy SSL.

Veja também