Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración del proxy de SSL

Configuración del proxy de reenvío SSL

Descripción general de la configuración del proxy de SSL

La configuración del proxy SSL incluye:

  • Configuración del certificado de AC raíz, consulte Inscribir un certificado

  • Al cargar un grupo de perfiles de AC, consulte Inscribir un certificado

  • Configurar el perfil de proxy SSL y asociar el certificado de AC raíz y el grupo de perfiles de AC

  • Cree una política de seguridad definiendo criterios de coincidencia del tráfico de entrada

  • Aplicación de un perfil de proxy SSL a una política de seguridad

  • Pasos opcionales, como la creación de listas de permitidos y el registro de proxy SSL

Aplicación de un perfil de proxy SSL a una política de seguridad

El proxy de SSL se habilita como un servicio de aplicación dentro de una política de seguridad. En una política de seguridad, especifique el tráfico en el que desea habilitar el proxy SSL como criterio de coincidencia y, luego, especifique el perfil de AC del proxy SSL que se aplicará al tráfico.

Para habilitar el proxy SSL en una política de seguridad:

En este ejemplo se supone que ya creó zonas de seguridad, de confianza y de no confianza, y creó una política de seguridad para el tráfico de la zona de confianza a la zona de no confianza.

  1. Cree una política de seguridad y especifique los criterios de coincidencia para la política. Como criterios de coincidencia, especifique el tráfico para el que desea habilitar el proxy SSL.

    Ejemplo:

  2. Aplique el perfil de proxy SSL a la política de seguridad.

Configuración del registro de proxy SSL

Al configurar el proxy de SSL, puede optar por establecer la opción para recibir algunos o todos los registros. Los registros de proxy SSL contienen el nombre del sistema lógico, las listas de permitidos de proxy SSL, información de políticas, información de proxy SSL y otra información que le ayuda a solucionar problemas cuando se produce un error.

Puede configurar el registro de eventos específicos, como errores, advertencias y eventos de all información. También puede configurar el registro de las sesiones que se incluyen en la lista de permitidos, se quitan, se ignoran o se permiten después de que se produce un error.

Puede usar enable-flow-tracing la opción para habilitar el seguimiento de depuración.

Ignorar la autenticación del servidor

Junos OS le permite configurar una opción para ignorar completamente la autenticación del servidor. Si configura el sistema para ignorar la autenticación, se ignorarán los errores encontrados durante la comprobación del certificado del servidor en el momento del apretón de manos SSL. Entre los errores que se suelen ignorar se encuentran la imposibilidad de comprobar la firma de la AC, fechas de caducidad de certificados incorrectas, etc. Si esta opción no está definida, todas las sesiones en las que el servidor envía certificados autofirmados se cerrarán cuando se encuentren errores.

No recomendamos usar esta opción para la autenticación, ya que configurarla da como resultado que los sitios web no se autentiquen en absoluto. Sin embargo, puede usar esta opción para identificar de forma eficaz la causa raíz de las sesiones SSL interrumpidas.

En el modo de configuración, especifique que se ignore la autenticación del servidor:

Proxy inverso de SSL

Descripción general

La implementación del modelo de proxy (proxy inverso) mejora la protección del servidor. Mejora el apretón de manos y admite más versiones de protocolo. Puede habilitar servicios de capa 7 como seguridad de aplicaciones, SPI, seguridad de contenido y ATP Cloud en tráfico SSL descifrado por proxy inverso.

Recomendamos usar el proxy inverso SSL y la detección y prevención de intrusiones (DPI) en lugar de usar la funcionalidad de inspección SSL de DPI. En las versiones recientes de Junos OS, la inspección de SSL de DPI está en desuso, en lugar de eliminarse de inmediato, para proporcionar compatibilidad con versiones anteriores y la oportunidad de hacer que su configuración cumpla con la nueva configuración.

Características del proxy inverso:

  • Finaliza el SSL del cliente en el firewall e inicia una nueva conexión SSL con un servidor. Descifra el tráfico SSL del cliente/servidor y vuelve a cifrar (después de la inspección) antes de enviarlo al servidor/cliente.

  • Es compatible con todas las versiones actuales del protocolo.

    • Admite RSA

    • Soporte DHE o ECDHE

  • Usa un proxy de reenvío SSL existente con un proxy TCP debajo.

  • Al igual que el proxy de reenvío, el tráfico SSL descifrado está disponible para todos los servicios de seguridad.

  • Se admiten todos los cifrados de uso común.

Debe configurar uno o root-ca server-certificate en un perfil de proxy SSL. De lo contrario, se produce un error en la comprobación de confirmación. Consulte la siguiente tabla para obtener detalles de las configuraciones compatibles.

Tabla 1: Configuraciones de proxy SSL compatibles

certificado de servidor configurado

Root-CA configurado

Tipo de perfil

No

No

Se produce un error en la comprobación de confirmación. Debe configurar o server-certificate root-ca.

Se produce un error en la comprobación de confirmación. No se admite la configuración de ambos server-certificate y root-ca en el mismo perfil.

No

Proxy de reenvío

No

Proxy inverso

Se admite la configuración de varias instancias de perfiles de proxy directo e inverso. Pero, para una política de firewall determinada, solo se puede configurar un perfil (ya sea un perfil de proxy directo o inverso). También se admite la configuración de proxy directo e inverso en el mismo dispositivo.

No puede configurar la implementación de proxy inverso anterior con la nueva implementación de proxy inverso para una política de firewall determinada. Si ambas están configuradas, recibirá un mensaje de error de confirmación de comprobación.

Los siguientes son los pasos mínimos para configurar el proxy inverso:

  1. Cargue los certificados de servidor y sus claves en el repositorio de certificados de firewall mediante el comando request security pki local-certificate load filename filename key key certificate-id certificate-id passphrase exmample@1234de la CLI . Por ejemplo:
  2. Adjunte el identificador de certificado de servidor al perfil de proxy SSL mediante el comando set services ssl proxy profile profile server-certificate certificate-id passphrase exmample@1234de la CLI. Suponga, por ejemplo

    user@host# set services ssl proxy profile server-protection-profile server-certificate server2_cert_id

  3. Utilice el show services ssl comando de la CLI para comprobar su configuración. Por ejemplo:

El proxy directo SSL y el proxy inverso requieren que se configure un perfil en el nivel de regla de firewall. Además, también debe configurar certificados de servidor con claves privadas para el proxy inverso. Durante un apretón de manos SSL, el proxy SSL realiza una búsqueda de una clave privada de servidor coincidente en su base de datos de tabla hash de clave privada de servidor. Si la búsqueda se realiza correctamente, el apretón de manos continúa. De lo contrario, el proxy SSL finaliza el apretón de manos. El proxy inverso no prohíbe los certificados de servidor. Reenvía el certificado/cadena del servidor real tal cual al cliente sin modificarlo. La interceptación del certificado de servidor solo se produce con proxy de reenvío.

Configuración del proxy inverso SSL

En este ejemplo, se muestra cómo configurar el proxy inverso para activar la protección del servidor. Además, para proteger el servidor, se deben configurar certificados de servidor con claves privadas.

Un proxy inverso protege los servidores ocultando los detalles de los servidores a los clientes, agregando una capa adicional de seguridad.

Para configurar un proxy inverso SSL, debe:

  • Cargue los certificados de servidor y sus claves en el repositorio de certificados del firewall.

  • Adjunte los identificadores de certificado de servidor al perfil de proxy SSL.

  • Aplique el perfil de proxy SSL como servicios de aplicación en una política de seguridad.

Para configurar el proxy inverso SSL:

  1. Cargue el certificado de firma y la clave correspondiente para el perfil de proxy SSL en la memoria PKI.
  2. Adjunte el certificado de servidor al perfil de proxy SSL.
  3. Cree una política de seguridad y especifique los criterios de coincidencia para la política. Como criterios de coincidencia, especifique el tráfico para el que desea habilitar el proxy SSL.
  4. Aplique el perfil de proxy SSL a la política de seguridad. En este ejemplo, se supone que las zonas de seguridad se crean según los requisitos.

Verificar la configuración del proxy inverso de SSL en el dispositivo

Propósito

Visualización de las estadísticas del proxy inverso de SSL en el firewall.

Acción

Puede ver las estadísticas del proxy SSL mediante el show services ssl proxy statistics comando.

Configurar proxy de reenvío SSL con seguridad de contenido

En este procedimiento, se configura un perfil de proxy de reenvío SSL con Content Seguridad. Cuando se configura Content Seguridad, el proxy SSL actúa como un servidor SSL mediante la terminación de la sesión SSL desde el cliente y el establecimiento de una nueva sesión SSL en el servidor. El firewall descifra y vuelve a cifrar todo el tráfico del proxy SSL. Content Seguridad puede usar el contenido descifrado del proxy SSL.

Genere un certificado local como root-ca.

  1. Desde el modo operativo, genere un par de claves para un certificado digital local.
  2. Genere un certificado local utilizando el par de claves generado anteriormente.
  3. En el modo de configuración, aplique el certificado cargado como root-ca en el perfil de proxy SSL.
  4. Adjunte el perfil SSL y la política de Seguridad de contenido a la política de seguridad.

Configurar proxy inverso SSL con seguridad de contenido

En este procedimiento, se configura un perfil de proxy inverso SSL con Content Seguridad.

  1. Cargue los certificados de servidor y sus claves en el repositorio de certificados de firewall.
  2. En el modo de configuración, adjunte el identificador de certificado de servidor al perfil de proxy SSL.
  3. Adjunte el perfil SSL y la política de seguridad de contenido a la política de seguridad para el tráfico de una zona de no confianza a la zona de confianza.

Crear una lista de permitidos de destinos exentos para el proxy SSL

El cifrado y descifrado SSL pueden consumir recursos de memoria en los firewalls. Para limitar esto, puede omitir selectivamente el procesamiento de proxy SSL para algunas sesiones, como las sesiones que realizan transacciones con servidores o dominios de confianza conocidos. También puede eximir las sesiones con sitios financieros y bancarios debido a requisitos legales.

Para eximir las sesiones del proxy SSL, puede crear una lista de permitidos agregando direcciones IP o nombres de dominio de los servidores. Las listas de permitidos incluyen direcciones que desea eximir de someterse a un procesamiento de proxy SSL.

Siga estos pasos para crear una lista de permitidos:

  • Especifique las direcciones IP y el nombre de dominio en su libreta de direcciones global.

  • Consulte la libreta de direcciones global en el perfil de proxy SSL.

Puede configurar los siguientes tipos de direcciones IP en la libreta de direcciones global.

  • Direcciones IPv4 (texto sin formato). Por ejemplo:

  • Rango de direcciones IPv4. Por ejemplo:

  • comodín IPv4. Por ejemplo:

  • Nombre DNS. Por ejemplo:

  • Dirección IPv6. Por ejemplo:

Las listas de permitidos no admiten los siguientes tipos de direcciones IP:

  • Direcciones IP traducidas. Las sesiones se incluyen en la lista de permitidos en función de la dirección IP real y no de la dirección IP traducida. Por este motivo, en la configuración de la lista de permitidos del perfil de proxy SSL, se debe proporcionar la dirección IP real y no la dirección IP traducida.

  • Máscaras de red no contiguas. Por ejemplo:

    • Se admite la dirección IP -203.0.113.0 y la máscara 255.255.255.0, es decir, 203.0.113.0/24.

    • Dirección IP - 203.0.113.9 y máscara 255.0.255.0 no es compatible.

En el siguiente ejemplo, se muestra cómo utilizar las listas de permitidos en el perfil de proxy SSL.

En este ejemplo, exime todas las sesiones a www.mycompany.com. Para ello, primero especifique el dominio en la libreta de direcciones y, a continuación, configure la dirección en el perfil de proxy SSL.

  1. Configure el dominio en la libreta de direcciones.
  2. Especifique la dirección global de la libreta de direcciones en el perfil de proxy SSL.

Crear una lista de permitidos de categorías de URL exentas para el proxy SSL

Puede configurar categorías de URL en el módulo de Seguridad de contenido para omitir la inspección SSL en el firewall. Para ello, SRX vincula el perfil de proxy SSL con la función de filtrado web mejorado (EWF). Después de habilitar esto, puede agregar categorías de URL a una lista de permitidos en el perfil de proxy SSL, junto con libretas de direcciones. Puede elegir entre categorías predefinidas o crear otras personalizadas compatibles con la Seguridad de contenido.

El dispositivo de seguridad utiliza el campo Indicación de nombre de servidor (SNI) extraído por el módulo de seguridad de contenido para determinar la categoría de URL. El proxy SSL utiliza esta información para determinar si acepta y sustituye o ignora la sesión.

La función de lista de permitidos de proxy SSL incluye categorías de URL compatibles con Content Seguridad y la función de lista de permitidos de proxy SSL extiende el soporte a categorías de URL personalizadas admitidas por Content Seguridad.

En los siguientes ejemplos, se muestra cómo configurar las categorías de URL en el perfil de proxy SSL:

Crear una lista de permitidos de categorías de URL exentas

Siga estos pasos para configurar las categorías de URL predefinidas en un perfil de proxy SSL.

  1. Las categorías de URL predefinidas dependen de la Seguridad del contenido. Para habilitar la lista permitida basada en URL en el proxy SSL, se requieren las siguientes configuraciones básicas de URL:
  2. Especifique la categoría de URL predefinida en el perfil de proxy SSL. En este ejemplo, está utilizando la categoría de URL Enhanced_Financial_Data_and_Services.
  3. Cree la política de seguridad especificando las condiciones de coincidencia y adjunte la política de seguridad de contenido a la política de seguridad para usar categorías de URL en la lista de permitidos de SSL.

Crear una lista de permitidos de categorías de URL personalizadas exentas

Siga estos pasos para configurar categorías de URL personalizadas en un perfil de proxy SSL.

  1. Cree una categoría de URL personalizada.
  2. Configure una política de seguridad de contenido para el protocolo HTTP de filtrado web y asocie el perfil que creó en el paso anterior a la política de Seguridad de contenido.
  3. Especifique la categoría de URL personalizada que creó en el paso anterior en el perfil de proxy SSL.
  4. Cree una política de seguridad especificando las condiciones de coincidencia y adjunte la política de seguridad de contenido a la política de seguridad para usar categorías de URL en la lista de permitidos de SSL.

Límites de configuración para perfiles de proxy SSL

Hemos actualizado los límites para los certificados de AC de confianza, los certificados de servidor y las categorías de URL en las configuraciones de proxy directo SSL y proxy inverso SSL. Estos cambios garantizan el cumplimiento del límite máximo de tamaño de blob de configuración de 56 986 bytes.

Cambios en el tamaño límite:

  • Certificados de servidor o certificado de AC de confianza: límite máximo de 400 (reducido de 1024)

  • Categorías de URL: Límite máximo 800 (sin cambios)

Instrucciones de configuración:

Certificados de AC de confianza

Certificados de servidor

Categorías de URL

Nota: En la configuración de proxy inverso, asegúrese de que el tamaño combinado de los certificados de servidor y las categorías de URL no supere los 56 986 bytes. Si el tamaño combinado supera el límite, se muestra el siguiente mensaje de error durante la confirmación:

Este error proporciona un desglose del uso de memoria, lo que le ayuda a ajustar la configuración en consecuencia.

Soporte de autenticación de proxy

Puede utilizar perfiles de proxy para enrutar de forma segura el tráfico HTTPS saliente a través de un servidor proxy con soporte de autenticación. Puede configurar la autenticación de proxy directamente en los perfiles de proxy. Al establecer un nombre de usuario y una contraseña, garantiza el acceso seguro a fuentes y servicios externos. Este mecanismo de autenticación admite varios servicios para permitir una comunicación HTTPS segura y autenticada a través de un servidor proxy.

Las siguientes conexiones que admiten proxy HTTP para comunicación de servidor ahora incluyen soporte de autenticación de proxy:

  • Conexión de SecIntel a la nube ATP para descargar y cargar las fuentes.
  • Conexión de identificación de aplicaciones e DPI para la descarga de bases de datos de firmas.
  • Seguridad de contenido (anteriormente conocida como administración unificada de amenazas) para las siguientes funcionalidades:
    • Base de datos de virus Avira AV y conexiones de actualización del motor.
    • Consultas de análisis de Sophos AV a la nube.
    • Filtrado web Consultas de categoría de URL a la nube.
    • Filtrado web, actualizaciones de categoría.
    • Filtrado web Descargas de fuentes de URL.

  • Conexión a nubes ATP para:

    • Procesos de inscripción
    • Conexiones de envío de archivos
    • Actualizaciones de firmas de antivirus de Juniper CDN.
    • Feeds de grupos de direcciones dinámicos
  • Demonio de infraestructura clave pública para:
    • Inscripción en SCEP a través de HTTP y HTTPS.
    • Descargas de CRL a través de HTTP y HTTPS.

Beneficios del soporte de autenticación de proxy

Proporcione acceso seguro a fuentes y servicios externos, mejorando la postura de seguridad general al evitar que las fuentes de datos no verificadas interactúen con entornos de red protegidos.

Ejemplos de configuración

Para establecer conexiones seguras y autenticadas, debe configurar las siguientes opciones:

Configuración de credenciales de autenticación en el perfil de proxy

Configure la autenticación de proxy mediante la configuración de un nombre de usuario y una contraseña en el perfil de proxy:

Especificar el perfil de proxy en los servicios de seguridad

Ejemplos:

Perfil de proxy para identificación de aplicaciones e DPI

Cree un perfil de proxy y utilícelo para descargar el paquete de firma de la aplicación o el paquete de firma DPI a través de un servidor proxy:

Consulte Instalación de un paquete de firmas de aplicaciones y un paquete de firmas de DPI de Junos OS a través de un servidor proxy explícito.

Perfil de proxy para la seguridad del contenido

Configure el perfil de proxy en los motores antivirus de Avira y Sophos para obtener actualizaciones, y en el filtrado web de Juniper para una comunicación segura con el servidor

Consulte Ejemplo: Configurar Avira Antivirus, Configurar Sophos Antivirus Live Protection versión 2.0 con proxy web y Configurar filtrado web de próxima generación .

Perfil de proxy para ATP Cloud de Juniper

Para habilitar el acceso saliente de HTTP(S) a través de un proxy web en firewalls de la serie SRX, configure ATP Cloud de Juniper para usar perfiles de proxy. Estos perfiles se aplican en políticas antimalware y de SecIntel.

Consulte Proxy web explícito para ATP Cloud de Juniper para obtener más detalles.

PKI

Configure el perfil de proxy en el perfil de AC. El dispositivo se conecta al host proxy en lugar del servidor de AC durante la inscripción, la verificación o la revocación del certificado

Consulte Autoridad de certificación

Nota:
  • El soporte solo está disponible para la autenticación básica. Deberá proporcionar un nombre de usuario y una contraseña, que se envían en el Proxy-Authorization encabezado en un formato codificado en Base64.
  • Asegúrese de configurar el nombre de usuario y la contraseña simultáneamente.
  • Actualice regularmente las contraseñas y supervise los intentos de acceso no autorizados para mantener una seguridad sólida.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
25.2
A partir de Junos OS versión 25.2R1 y 24.2R2, se actualizaron los límites para los certificados AC de confianza, los certificados de servidor y las categorías de URL en las configuraciones de proxy directo SSL y proxy inverso SSL. Estos cambios garantizan el cumplimiento del límite máximo de tamaño de blob de configuración de 56 986 bytes.