Configuración del proxy SSL
Los dispositivos de la serie SRX son compatibles con el proxy de reenvío SSL y el proxy inverso SSL.
Configuración del proxy de reenvío SSL
- Descripción general de la configuración del proxy SSL
- Configurar un certificado de CA raíz
- Generar un certificado de CA raíz con CLI
- Configurar un grupo de perfiles de CA
- Importación de un certificado de CA raíz en un navegador
- Aplicación de un perfil de proxy SSL a una política de seguridad
- Configuración del registro de proxy SSL
- Configuración de perfiles de autoridad de certificación
- Exportar certificados a una ubicación especificada
- Ignorar la autenticación de servidor
Descripción general de la configuración del proxy SSL
Configurar proxy reenvío SSL muestra una descripción general de cómo se configura el proxy SSL. La configuración del proxy SSL incluye:
-
Configuración del certificado de CA raíz
-
Carga de un grupo de perfil de CA
-
Configure el perfil de proxy SSL y asocie el certificado de CA raíz y el grupo de perfiles de CA
-
Cree una política de seguridad definiendo criterios de coincidencia de tráfico de entrada
-
Aplicación de un perfil de proxy SSL a una política de seguridad
-
Pasos opcionales, como la creación de listas de permitidos y el registro de proxy SSL
Configurar un certificado de CA raíz
Una CA puede emitir varios certificados en forma de estructura de árbol. Un certificado raíz es el certificado superior del árbol, cuya clave privada se utiliza a sign otros certificados. Todos los certificados inmediatamente debajo del certificado raíz heredan la firma o la confiabilidad del certificado raíz. Esto es algo parecido a lo notarizing de una identidad.
Puede configurar un certificado de CA raíz obteniendo primero un certificado de CA raíz (ya sea generando uno autofirmado o importando uno) y, luego, aplicándole a un perfil de proxy SSL. Puede obtener un certificado de CA raíz mediante la CLI de Junos OS
Generar un certificado de CA raíz con CLI
Para definir un certificado autofirmado en la CLI, debe proporcionar los siguientes detalles:
Identificador de certificado (generado en el paso anterior)
Nombre de dominio completo (FQDN) para el certificado
Dirección de correo electrónico de la entidad propietaria del certificado
Nombre común y la organización involucrada
Genere un certificado de CA raíz mediante la CLI de Junos OS:
Configurar un grupo de perfiles de CA
El perfil de CA define la información del certificado para la autenticación. Incluye la clave pública que usa el proxy SSL al generar un certificado nuevo. Junos OS le permite crear un grupo de perfiles de CA y cargar varios certificados en una acción, ver información acerca de todos los certificados de un grupo y eliminar grupos de CA no deseados.
Puede cargar un grupo de perfiles de CA obteniendo una lista de certificados de CA de confianza, definiendo un grupo de CA y adjuntando el grupo de CA al perfil de proxy SSL.
Puede mostrar fácilmente información sobre todos los certificados de un grupo de perfiles de CA:
user@host> show security pki ca-certificates ca-profile-group group-name
Puede eliminar un grupo de perfiles de CA. Recuerde que al eliminar un grupo de perfiles de CA se eliminan todos los certificados que pertenecen a ese grupo:
user@host> clear security pki ca-certificates ca-profile-group group-name
Importación de un certificado de CA raíz en un navegador
Para que su navegador o sistema confíe automáticamente en todos los certificados firmados por la CA raíz configurados en el perfil de proxy SSL, debe indicar a su plataforma o navegador que confíe en el certificado raíz de CA.
Para importar un certificado de CA raíz:
Aplicación de un perfil de proxy SSL a una política de seguridad
El proxy SSL está habilitado como servicio de aplicación dentro de una política de seguridad. En una política de seguridad, especifique el tráfico en el que desea que se active el proxy SSL como criterios de coincidencia y, a continuación, especifique el perfil de CA de proxy SSL que se aplicará al tráfico. La Figura 1 muestra una vista gráfica del perfil de proxy SSL y la configuración de la política de seguridad.
Para habilitar el proxy SSL en una política de seguridad:
En este ejemplo, se da por sentado que ya ha creado zonas de seguridad de confianza y no confianza, y que ha creado una política de seguridad para el tráfico de la zona de confianza a la zona de no confianza.
Configuración del registro de proxy SSL
Al configurar el proxy SSL, puede elegir establecer la opción para recibir algunos o todos los registros. Los registros de proxy SSL contienen el nombre lógico del sistema, las listas de permitidos del proxy SSL, la información de política, la información del proxy SSL y otra información que le ayuda a solucionar problemas cuando hay un error.
Puede configurar el registro o eventos específicos, como eventos de all error, advertencias e información. También puede configurar el registro de sesiones permitidas, caídas, ignoradas o permitidas después de que se produzca un error.
[edit] user@host# set services ssl proxy profile profile-name actions log all user@host# set services ssl proxy profile profile-name actions log sessions-whitelisted user@host# set services ssl proxy profile profile-name actions log sessions-allowed user@host# set services ssl proxy profile profile-name actions log errors
Puede usar la enable-flow-tracing opción para habilitar el seguimiento de depuración.
Configuración de perfiles de autoridad de certificación
La configuración del perfil de una entidad de certificación (CA) contiene información específica de una CA. Puede tener varios perfiles de CA en un dispositivo serie SRX. Por ejemplo, es posible que tenga un perfil para orgA y otro para orgB. Cada perfil está asociado con un certificado de CA. Si desea cargar un nuevo certificado de CA sin quitar el anterior, cree un nuevo perfil de CA (por ejemplo, Microsoft-2008). Puede agrupar varios perfiles de CA en un grupo de CA de confianza para una topología determinada.
En este ejemplo, se crea un perfil de CA llamado ca-profile-security con identidad de CA microsoft-2008. A continuación, cree un perfil de proxy en el perfil de CA.
Exportar certificados a una ubicación especificada
Cuando se genera un certificado autofirmado mediante un comando PKI, el certificado recién generado se almacena en una ubicación predefinida (var/db/certs/common/local).
Utilice el siguiente comando para exportar el certificado a una ubicación específica (dentro del dispositivo). Puede especificar el ID de certificado, el nombre de archivo y el tipo de formato de archivo (DER/PEM):
user@host> request security pki local-certificate export certificate-id certificate-id filename filename type der
Ignorar la autenticación de servidor
Junos OS le permite configurar una opción para ignorar la autenticación del servidor por completo. Si configura el sistema para ignorar la autenticación, se omiten los errores encontrados durante la verificación del certificado del servidor en el momento del protocolo de enlace SSL. Los errores que se suelen ignorar incluyen la incapacidad de verificar la firma de CA, las fechas incorrectas de vencimiento del certificado, etc. Si esta opción no está establecida, todas las sesiones en las que el servidor envía certificados autofirmados se pierden cuando se encuentran errores.
No recomendamos usar esta opción para la autenticación, ya que configurarla da como resultado que los sitios web no se autentifiquen en absoluto. Sin embargo, puede usar esta opción para identificar efectivamente la causa raíz de las sesiones de SSL caídas.
Desde el modo de configuración, especifique para ignorar la autenticación de servidor:
[edit] user@host# set services ssl proxy profile profile-name actions ignore-server-auth-failure
Proxy inverso SSL
- Visión general
- Configuración del proxy inverso SSL
- Verificar la configuración de proxy inverso SSL en el dispositivo
Visión general
La implementación del modelo de proxy para la protección del servidor (a menudo llamado proxy inverso) se admite en dispositivos de la serie SRX para proporcionar un apretón de manos mejorado y compatibilidad con más versiones de protocolo. Puede habilitar servicios de capa 7 (seguridad de aplicaciones, SPI, UTM, SKY ATP) en el tráfico descifrado mediante proxy inverso SSL.
A partir de Junos OS versión 15.1X49-D80 y 17.3R1, el proxy inverso SSL se admite en dispositivos serie SRX5000, SRX4100, SRX4200 y SRX1500.
A partir de Junos OS versión 15.1X49-D80 y 17.3R1, se recomienda usar el proxy inverso SSL y detección y prevención de intrusiones (IDP) en lugar de usar la funcionalidad de inspección SSL IDP.
A partir de Junos OS 15.1X49-D80 y 17.3R1, la inspección SSL de IDP está en desuso, en lugar de eliminarse inmediatamente, para proporcionar compatibilidad con versiones anteriores y una oportunidad de hacer que su configuración cumpla con la nueva configuración.
#id-overview__rp-compare1 proporciona los cambios aplicables en dispositivos serie SRX posteriores a las versiones 15.1X48-D80 y 17.3R1.
Característica |
Antes de 15.1X49-D80 |
15.1X49-D80 y 17.3R1 posteriores |
|---|---|---|
Modelo de proxy |
Se ejecuta solo en modo de toque En lugar de participar en el apretón de manos SSL, escucha el protocolo de enlace SSL, calcula las claves de sesión y, luego, descifra el tráfico SSL. |
Termina el SSL del cliente en el dispositivo serie SRX e inicia una nueva conexión SSL con un servidor. Descifra el tráfico SSL del cliente/servidor y cifra de nuevo (después de la inspección) antes de enviarlo al servidor/cliente. |
Versión del protocolo |
No admite TLS versión 1.1 y 1.2. |
Es compatible con todas las versiones actuales del protocolo. |
Métodos de intercambio de claves |
|
|
Sistema echo |
Estrechamente combinado con el motor IDP y su detector. |
Usa el proxy de reenvío SSL existente con proxy TCP debajo. |
Servicios de seguridad |
El tráfico SSL descifrado solo puede ser inspeccionado por el IDP. |
Al igual que el proxy de reenvío, el tráfico SSL descifrado está disponible para todos los servicios de seguridad. |
Cifrados compatibles |
Se admite un conjunto limitado de cifrados. |
Se admiten todos los cifrados de uso común. |
Debe configurar o root-ca server-certificate en un perfil de proxy SSL. De lo contrario, se produce un error en la comprobación de confirmación. Consulte #id-overview__profile-type1.
certificado de servidor configurado |
raíz-ca configurada |
Tipo de perfil |
|---|---|---|
No |
No |
Se produce un error en la comprobación de confirmación. Debe configurar o |
Sí |
Sí |
Se produce un error en la comprobación de confirmación. |
No |
Sí |
Proxy de reenvío |
Sí |
No |
Proxy inverso |
Se admite la configuración de varias instancias de perfiles de proxy adelante e inverso. Sin embargo, para una política de firewall determinada, solo se puede configurar un perfil (ya sea un perfil de proxy adelante o inverso). También se admite la configuración del proxy de reversa y de reversa en el mismo dispositivo.
No puede configurar la implementación anterior de proxy inverso con la nueva implementación de proxy inverso para una política de firewall determinada. Si ambos están configurados, recibirá un mensaje de error de comprobación de confirmación.
Los siguientes son los pasos mínimos para configurar el proxy inverso:
El proxy de reenvío SSL y el proxy inverso requieren un perfil para configurarse en el nivel de regla del firewall. Además, también debe configurar certificados de servidor con claves privadas para proxy inverso. Durante un protocolo de manos SSL, el proxy SSL realiza una búsqueda de una clave privada de servidor coincidente en su base de datos de tabla de hash de claves privadas del servidor. Si la búsqueda se realiza correctamente, el apretón de manos continúa. De lo contrario, el proxy SSL termina la mano sacudida. El proxy inverso no prohíbe certificados de servidor. Reenvía el certificado o cadena real del servidor al cliente sin modificarlo. La interceptación del certificado del servidor solo se produce con el proxy de reenvío.
A continuación, se muestra un ejemplo de configuraciones de perfil de proxy hacia adelante e inverso.
# show services ssl
...
proxy {
  profile ssl-inspect-profile-dut { # For forward proxy. No server cert/key is needed.
trusted-ca all;
    root-ca ssl-inspect-ca;
    actions {
      ignore-server-auth-failure;
      log {
        all;
      }
    }
  }
  profile ssl-1 {
trusted-ca all;
    root-ca ssl-inspect-ca;
    actions {
      ignore-server-auth-failure;
      log {
        all;
      }
    }
  }
profile ssl-2 {
trusted-ca all;
    root-ca ssl-inspect-ca;
    actions {
      ignore-server-auth-failure;
      log {
        all;
      }
    }
  }
  profile ssl-server-protection { # For reverse proxy. No root-ca is needed.
    server-certificate ssl-server-protection;
    actions {
      log {
        all;
      }
    }
  }
}
...
Configuración del proxy inverso SSL
En este ejemplo, se muestra cómo configurar el proxy inverso para habilitar la protección del servidor. Para la protección del servidor, además, se deben configurar certificados de servidor con claves privadas.
Un proxy inverso protege los servidores ocultando los detalles de los servidores a los clientes, agregando allí una capa adicional de seguridad.
Para configurar un proxy inverso SSL, debe:
Cargue los certificados del servidor y sus claves en el depósito de certificados del dispositivo serie SRX.
Adjunte los identificadores de certificado del servidor al perfil de proxy SSL.
Aplique el perfil de proxy SSL como servicios de aplicación en una política de seguridad.
Para configurar el proxy inverso SSL:
Verificar la configuración de proxy inverso SSL en el dispositivo
Propósito
Visualización de las estadísticas del proxy inverso SSL en el dispositivo serie SRX.
Acción
Puede ver las estadísticas del proxy SSL mediante el show services ssl proxy statistics comando.
root@host> show services ssl proxy statistics PIC:spu-1 fpc[0] pic[1] ------ sessions matched 0 sessions whitelisted 0 sessions bypassed:non-ssl 0 sessions bypassed:mem overflow 0 sessions bypassed:low memory 0 sessions created 0 sessions ignored 0 sessions active 0 sessions dropped 0
Configurar proxy SSL con UTM
Los dispositivos de la serie SRX admiten protección de cliente (proxy de reenvío) y protección de servidor (proxy inverso). Puede configurar el perfil de proxy SSL para proxy reenviado y proxy inverso con administración unificada de amenazas (UTM) habilitada.
Configure el proxy de reenvío SSL con UTM
En este procedimiento, configure un perfil de proxy de reenvío SSL con UTM. Cuando configure UTM, el proxy SSL actúa como un servidor SSL al finalizar la sesión SSL desde el cliente y establecer una nueva sesión SSL en el servidor. El dispositivo serie SRX descifra y, luego, reencripta todo el tráfico de proxy SSL. La UTM puede usar el contenido descifrado del proxy SSL.
Genere certificado local como root-ca.
Configure el proxy inverso SSL con UTM
En este procedimiento, configure un perfil de proxy ssl inverso con UTM.
Creación de una lista de permitidos de destinos exentos para el proxy SSL
El cifrado y el descifrado SSL podrían consumir recursos de memoria en los dispositivos de la serie SRX. Para limitar esto, puede omitir selectivamente el procesamiento de proxy SSL para algunas sesiones, como las sesiones que realizan transacciones con dominios o servidores de confianza conocidos. También puede eximir las sesiones con sitios financieros y bancarios debido a requisitos legales.
Para eximir las sesiones del proxy SSL, puede crear una lista de permitidos agregando direcciones IP o nombres de dominio de los servidores. Las listas de permitidos incluyen direcciones que desea eximir de que se sometan a procesamiento de proxy SSL.
Utilice los pasos siguientes para crear lista de permitir:
Especifique las direcciones IP y el nombre de dominio en su libreta de direcciones global.
Consulte la libreta de direcciones global en el perfil de proxy SSL.
Puede configurar los siguientes tipos de direcciones IP en la libreta de direcciones global.
Direcciones IPv4 (texto sin formato). Por ejemplo:
set security address-book global address address-4 192.0.2.117
Rango de direcciones IPv4. Por ejemplo:
set security address-book global address address-2 range-address 192.0.2.117 to 192.0.2.199
Comodín IPv4. Por ejemplo:
set security address-book global address address-3 wildcard-address 203.0.113.0/24
Nombre DNS. Por ejemplo:
set security address-book global address address-1 dns-name www.abc.com
Dirección IPv6. Por ejemplo:
set security address-book global address address-5 FE80::/10
Las listas de permitidos no admiten los siguientes tipos de direcciones IP:
Direcciones IP traducidas. Las sesiones se permiten en la lista según la dirección IP real y no en la dirección IP traducida. Debido a esto, en la configuración de la lista de permitidos del perfil de proxy SSL, se debe proporcionar la dirección IP real y no la dirección IP traducida.
Máscaras de red no contiguas. Por ejemplo:
Se admite la dirección IP -203.0.113.0 y la máscara 255.255.255.0 que es 203.0.113.0/24.
Dirección IP - 203.0.113.9 y máscara 255.0.255.0 no es compatible.
El siguiente ejemplo muestra cómo usar listas de permitidos en el perfil de proxy SSL.
En este ejemplo, eximir todas las sesiones a www.mycompany.com. Para esto, primero especifique el dominio en la libreta de direcciones y, luego, configure la dirección en el perfil de proxy SSL.
Creación de una lista de permitidos de categorías de URL exentas para proxy SSL
Puede configurar las categorías de URL compatibles con el módulo UTM para eximir de la inspección SSL en el dispositivo serie SRX. Para usar categorías de URL de UTM, el dispositivo serie SRX integra el perfil de proxy SSL con la función EWF. Con esto ahora, puede configurar una lista de categorías de URL bajo un perfil de proxy SSL como lista permitida junto con libretas de direcciones. Puede configurar la lista desde el conjunto predefinido de categorías de URL o categorías de URL personalizadas compatibles con UTM.
El dispositivo de seguridad usa el campo Indicación de nombre del servidor (SNI) extraído por el módulo UTM para determinar la categoría de URL. El proxy SSL usa esta información para determinar si se aceptará o no la sesión.
Esta función se admite en instancias de SRX340, SRX345, SRX5400, SRX5600, SRX5800 y vSRX.
A partir de Junos OS versión 15.1X49-D80 y Junos OS versión 17.3R1, la característica de permitir listado de proxy SSL incluye categorías de URL compatibles con UTM.
A partir de Junos OS versión 17.4R1, la función de permitir listar proxy SSL extiende la compatibilidad con categorías de URL personalizadas compatibles con UTM.
Los siguientes ejemplos muestran cómo configurar las categorías de URL en el perfil de proxy SSL:
- Creación de una lista de permitidos de categorías de URL exentas
- Creación de una lista de permitidos de categorías de URL personalizadas exentas
Creación de una lista de permitidos de categorías de URL exentas
Siga los pasos siguientes para configurar las categorías de URL predefinidas en un perfil de proxy SSL.
Creación de una lista de permitidos de categorías de URL personalizadas exentas
Siga los pasos siguientes para configurar categorías de URL personalizadas en un perfil de proxy SSL.