Políticas unificadas para proxy SSL
Servicios de seguridad de aplicaciones con proxy SSL
Con la implementación del proxy SSL, AppID puede identificar aplicaciones cifradas en SSL. El proxy SSL se puede habilitar como servicio de aplicación en una regla regular de política de firewall. Detección y prevención de intrusiones (IDP), firewall de aplicaciones (AppFW), seguimiento de aplicaciones (AppTrack), servicios de enrutamiento avanzado basado en políticas (APBR), UTM, SKY ATP e Inteligencia de seguridad (SecIntel) pueden usar el contenido descifrado del proxy SSL.
Para determinar si una función es compatible con una plataforma específica o una versión de Junos OS, consulte el Explorador de funciones
En la carga SSL, el IDP puede inspeccionar ataques y anomalías; por ejemplo, el desbordamiento de longitud de fragmentos HTTP en HTTPS. En aplicaciones cifradas, como Facebook, AppFW puede aplicar políticas y AppTrack (cuando se configura en las zonas desde y hacia) puede informar problemas de registro según aplicaciones dinámicas.
Si ninguno de los servicios (AppFW, IDP o AppTrack) está configurado, los servicios proxy SSL se omiten incluso si se adjunta un proxy SSL a una política de firewall.
El módulo IDP no realizará una inspección SSL en una sesión si un proxy SSL está habilitado para esa sesión. Es decir, si la inspección ssl y el proxy SSL están habilitados en una sesión, el proxy SSL siempre tendrá prioridad.
Aprovechamiento de la identificación dinámica de aplicaciones
El proxy SSL utiliza servicios de identificación de aplicaciones para detectar dinámicamente si una sesión determinada está cifrada con SSL. Los proxies SSL solo se permiten si una sesión está cifrada por SSL. Se aplican las siguientes reglas para una sesión:
La sesión está marcada Encrypted=Yes en la caché del sistema de aplicaciones. Si la sesión está marcada Encrypted=Yes, indica que la coincidencia final de la identificación de la aplicación para esa sesión es SSL cifrado y el proxy SSL pasa a un estado en el que se puede iniciar la funcionalidad de proxy.
La sesión está marcada Encrypted=No en la caché del sistema de aplicaciones. Si se encuentra una entrada que no es SSL en la caché del sistema de aplicaciones, indica que la coincidencia final de la identificación de la aplicación para esa sesión no es SSL y el proxy SSL ignora la sesión.
No se encuentra una entrada en la caché del sistema de aplicaciones. Esto puede suceder en la primera sesión, o cuando la caché del sistema de aplicaciones se ha limpiado o ha caducado. En este caso, el proxy SSL no puede esperar a la coincidencia final (requiere tráfico en ambas direcciones). En el proxy SSL, el tráfico en sentido inverso solo ocurre si el proxy SSL ha iniciado un protocolo de enlace SSL. Inicialmente, para tal escenario, el proxy SSL intenta aprovechar los resultados de coincidencias previas o agresivos de la identificación de la aplicación, y si los resultados indican SSL, el proxy SSL seguirá adelante con el apretón de manos.
La identificación de la aplicación falla debido a restricciones de recursos y otros errores. Siempre que el resultado de la identificación de la aplicación no esté disponible, el proxy SSL asumirá el enlace de puerto estático e intentará iniciar la apretón de manos SSL en la sesión. Esto tendrá éxito para las sesiones SSL reales, pero dará como resultado sesiones caídas para sesiones que no son SSL.
Ver también
Compatibilidad con proxy SSL para políticas unificadas
A partir de la versión 18.2R1 de Junos OS, se admiten políticas unificadas en dispositivos de la serie SRX, lo que permite el control granular y la aplicación de aplicaciones dinámicas de capa 7, dentro de la política de seguridad tradicional.
Las políticas unificadas son las políticas de seguridad que le permiten usar aplicaciones dinámicas como condiciones de coincidencia como parte de las condiciones de coincidencia existentes de 5 o 6 tuplas (5 tuplas con firewall de usuario) para detectar cambios en las aplicaciones con el tiempo.
La funcionalidad de proxy SSL se admite cuando el dispositivo está configurado con políticas unificadas. Como parte de esta mejora, puede configurar un perfil de proxy SSL predeterminado.
Durante la fase inicial de búsqueda de políticas, que se produce antes de identificar una aplicación dinámica, si hay varias políticas presentes en la lista de políticas potenciales que contienen diferentes perfiles de proxy SSL, el dispositivo serie SRX aplica el perfil de proxy SSL predeterminado hasta que se produzca una coincidencia más explícita.
Recomendamos que cree un perfil de proxy SSL predeterminado. Las sesiones se pierden en caso de conflictos de políticas, si no hay ningún perfil de proxy SSL predeterminado disponible.
Puede configurar un perfil de proxy SSL en el [edit services ssl proxy] nivel de jerarquía y, luego, aplicarlo como un perfil de proxy SSL predeterminado en el [edit security ngfw] nivel de jerarquía. Esta configuración no afecta a la configuración del servicio SSL existente.
Se admite la configuración de un perfil de proxy SSL predeterminado para el proxy reverso y hacia delante de SSL.
Descripción de cómo funciona el perfil predeterminado de proxy SSL
En la tabla 1, se resume el comportamiento predeterminado del perfil de proxy SSL en las políticas unificadas.
Estado de identificación de la aplicación |
Uso del perfil de proxy SSL |
Acción |
|---|---|---|
Sin conflicto de política de seguridad |
El perfil de proxy SSL se aplica cuando el tráfico coincide con la política de seguridad. |
Se aplica el perfil de proxy SSL. |
Conflicto de políticas de seguridad (las políticas en conflicto tienen distintos perfiles de proxy SSL) |
El perfil de proxy SSL predeterminado no está configurado o no se encuentra. |
La sesión termina, porque el perfil de proxy SSL predeterminado no está configurado. |
El perfil de proxy SSL predeterminado está configurado. |
Se aplica el perfil de proxy SSL predeterminado. |
|
Se identifica la aplicación final |
La política de seguridad correspondiente tiene un perfil de proxy SSL que es el mismo que el perfil de proxy SSL predeterminado. |
Se aplica el perfil de proxy SSL predeterminado. |
La política de seguridad correspondiente no tiene un perfil de proxy SSL. |
Se aplica el perfil de proxy SSL predeterminado. |
|
La política de seguridad correspondiente tiene un perfil de proxy SSL diferente del perfil de proxy SSL predeterminado que ya se ha aplicado. |
El perfil de proxy SSL predeterminado que ya se ha aplicado sigue siendo como se aplica. |
Una política de seguridad puede tener un perfil de proxy inverso SSL o un perfil de proxy de reenvío SSL configurado a la vez.
Si una política de seguridad tiene un perfil de proxy de reenvío SSL y otra política de seguridad tiene un perfil de proxy inverso SSL, en ese caso, se considera un perfil predeterminado, ya sea del perfil de proxy inverso SSL o del perfil de proxy de reenvío SSL.
Recomendamos crear un perfil de proxy SSL predeterminado, ya que las sesiones se pierden en caso de conflictos de políticas, cuando no hay un perfil de proxy SSL predeterminado disponible. Se genera un mensaje de registro del sistema para registrar el evento.
Ejemplo del mensaje de registro del sistema:
"<14>1 2018-03-07T03:18:33.374-08:00 4.0.0.254 kurinji junos-ssl-proxy - SSL_PROXY_SSL_SESSION_DROP [junos@2636.1.1.1.2.105 logical-system-name="root-logical-system" session-id="15" source-address="4.0.0.1" source-port="37010" destination-address="5.0.0.1" destination-port="443" nat-source-address="4.0.0.1" nat-source-port="37010" nat-destination-address="5.0.0.1" nat-destination-port="443" profile-name="(null)" source-zone-name="untrust" source-interface-name="xe-2/2/1.0" destination-zone-name="trust" destination-interface-name="xe-2/2/2.0" message="default ssl-proxy profile is not configured"]
Perfiles de proxy SSL predeterminados en diferentes escenarios
- Sin conflicto de políticas: todas las políticas tienen el mismo perfil de proxy SSL
- Sin conflicto de políticas: todas las políticas tienen el mismo perfil de proxy SSL y la política final no tiene perfil SSL
- Conflicto de política: no hay perfil SSL configurado para la política final
- Conflicto de política: perfil de proxy SSL predeterminado y perfil de proxy SSL diferente para la política final
- Limitaciones del proxy SSL con políticas unificadas
Sin conflicto de políticas: todas las políticas tienen el mismo perfil de proxy SSL
Todas las políticas coincidentes tienen el mismo perfil de proxy SSL que se muestra en la tabla 2.
Política de seguridad |
Zona de origen |
Dirección IP de origen |
Zona de destino |
Dirección IP de destino |
Número de puerto |
Protocolo |
Aplicación dinámica |
Servicio |
Perfil de proxy SSL predeterminado |
|---|---|---|---|---|---|---|---|---|---|
Política-P1 |
S1 |
Cualquier |
D1 |
Cualquier |
Cualquier |
Cualquier |
SSL Proxy |
SSL-1 |
|
Política-P2 |
S1 |
Cualquier |
D1 |
Cualquier |
Cualquier |
Cualquier |
SSL Proxy |
SSL-1 |
En este caso, tanto Policy-P1 como Policy-P2 tienen el mismo perfil de proxy SSL (SSL-1). Dado que no hay ningún conflicto, se aplica el PERFIL SSL-1.
Si ha configurado un perfil de proxy SSL predeterminado (SSL-2), no se aplica. Porque no hay ningún conflicto en las políticas (Política-P1 y Política-P2).
Sin conflicto de políticas: todas las políticas tienen el mismo perfil de proxy SSL y la política final no tiene perfil SSL
Policy-P1 y Policy-P2 tienen el mismo perfil de proxy SSL y la Policy-3 no tiene ningún perfil SSL como se muestra en la Tabla 3.
Política de seguridad |
Zona de origen |
Dirección IP de origen |
Zona de destino |
Dirección IP de destino |
Número de puerto |
Protocolo |
Aplicación dinámica |
Servicio |
Perfil de proxy SSL predeterminado |
|---|---|---|---|---|---|---|---|---|---|
Política-P1 |
S1 |
Cualquier |
D1 |
Cualquier |
Cualquier |
Cualquier |
SSL Proxy |
SSL-1 |
|
Política-P3 |
S1 |
50.1.1.1 |
D1 |
Cualquier |
Cualquier |
Cualquier |
Youtube |
SSL Proxy |
SSL-1 |
Política-P2 |
S1 |
Cualquier |
D1 |
Cualquier |
Cualquier |
Cualquier |
Otro |
Ninguno |
En este caso, tanto Policy-P1 como Policy-P2 tienen el mismo perfil de proxy SSL (SSL-1). Dado que no hay ningún conflicto, el perfil SSL-1 se aplica antes de la coincidencia final de la política.
Cuando se identifica la aplicación final, se aplica la política de seguridad que coincide con la aplicación final, es decir, La política P3. Dado que la Policy-P3 no tiene ningún perfil de proxy SSL, el perfil SSL-1 ya aplicado permanece aplicado. Esto se debe a que el perfil de proxy SSL ya está aplicado al tráfico.
Conflicto de política: no hay perfil SSL configurado para la política final
El perfil de proxy SSL predeterminado se aplica durante la posible coincidencia, como se muestra en la tabla 4. La política final, Policy-P3 no tiene ningún perfil de proxy SSL.
Política de seguridad |
Zona de origen |
Dirección IP de origen |
Zona de destino |
Dirección IP de destino |
Número de puerto |
Protocolo |
Aplicación dinámica |
Servicio |
Perfil de proxy SSL predeterminado |
|---|---|---|---|---|---|---|---|---|---|
Política-P1 |
S1 |
50.1.1.1 |
D1 |
Cualquier |
Cualquier |
Cualquier |
SSL Proxy |
SSL-1 |
|
Política-P2 |
S1 |
50.1.1.1 |
D1 |
Cualquier |
Cualquier |
Cualquier |
SSL Proxy |
SSL-2 |
|
Política-P3 |
S1 |
50.1.1.1 |
D1 |
Cualquier |
Cualquier |
Cualquier |
Youtube |
Otro |
NA |
En este ejemplo, el perfil de proxy SSL SSL-1 se configura como perfil de proxy SSL predeterminado. Durante el conflicto de políticas para Policy-P1 y Policy-P2, se aplica el perfil predeterminado SSL-1.
Cuando se identifica la aplicación final, se aplica la política de seguridad que coincide con la aplicación final, es decir, La política P3. Dado que la Policy-P3 no tiene ningún perfil de proxy SSL, el perfil SSL-1 ya aplicado sigue siendo el aplicado. Esto se debe a que el perfil de proxy SSL se aplica al tráfico.
Conflicto de política: perfil de proxy SSL predeterminado y perfil de proxy SSL diferente para la política final
El perfil de proxy SSL SSL-1 está configurado como un perfil de proxy SSL predeterminado y ya se aplica antes de que coincida la política final. Tabla 5 de referencia.
Política de seguridad |
Zona de origen |
Dirección IP de origen |
Zona de destino |
Dirección IP de destino |
Número de puerto |
Protocolo |
Aplicación dinámica |
Servicio |
Perfil de proxy SSL predeterminado |
|---|---|---|---|---|---|---|---|---|---|
Política-P1 |
S1 |
50.1.1.1 |
D1 |
Cualquier |
Cualquier |
Cualquier |
SSL Proxy |
SSL-1 |
|
Política-P2 |
S1 |
50.1.1.1 |
D1 |
Cualquier |
Cualquier |
Cualquier |
SSL Proxy |
SSL-2 |
|
Política-P3 |
S1 |
50.1.1.1 |
D1 |
Cualquier |
Cualquier |
Cualquier |
Youtube |
SSL Proxy |
SSL-3 |
Cuando se identifica la aplicación final, se aplica la política de seguridad que coincide con la aplicación final, es decir, La política P3. El perfil SSL para la Policy-P3, es decir, SSL-3 no se aplica. En su lugar, el perfil de proxy SSL SSL-2 configurado y aplicado como perfil predeterminado, sigue siendo como se aplica.
No se admite el cambio del perfil de proxy SSL predeterminado que ya se aplica al tráfico a otro perfil de proxy SSL.
Limitaciones del proxy SSL con políticas unificadas
Cuando se habilita un perfil de proxy SSL predeterminado, no se puede deshabilitar incluso si la política de seguridad final no tiene configurado el proxy SSL.
Cuando se habilita y aplica un perfil de proxy SSL predeterminado al tráfico, y la política de seguridad final tiene configurado un perfil de proxy SSL distinto al predeterminado, no se admite el cambio del perfil de proxy SSL predeterminado al perfil de proxy SSL en la política de seguridad.
Configuración de perfiles de proxy SSL predeterminados
El proxy SSL está habilitado como servicio de aplicación dentro de una política de seguridad. En una política de seguridad, especifique los criterios de coincidencia para el tráfico que debe estar habilitado el proxy SSL. A continuación, especifique el perfil de proxy SSL que se aplicará al tráfico. Al configurar políticas unificadas, los pasos incluyen definir el perfil SSL, luego agregar el perfil SSL como perfil predeterminado en el [edit security ngfw] nivel de jerarquía e incluirlo en la política de seguridad deseada.
- Configuración del perfil predeterminado para el proxy de reenvío SSL
- Configuración del perfil predeterminado para el proxy inverso SSL
- Configuración de perfiles SSL predeterminados para el sistema lógico
Configuración del perfil predeterminado para el proxy de reenvío SSL
En este procedimiento, configure un perfil de proxy de reenvío SSL y especifique el perfil como el perfil predeterminado.
Configuración del perfil predeterminado para el proxy inverso SSL
En este procedimiento, configure un perfil de proxy SSL inverso y especifique el perfil como el perfil predeterminado.
Configuración de perfiles SSL predeterminados para el sistema lógico
En este procedimiento, se asigna el perfil de proxy de reenvío SSL o el perfil de proxy inverso SSL como el perfil predeterminado en configuraciones lógicas del sistema. En este caso, un perfil puede ser un perfil predeterminado desde el proxy de reenvío SSL o desde el proxy inverso SSL.
Ejemplo: Configurar el perfil de proxy SSL predeterminado para la política unificada
En este ejemplo, se muestra cómo configurar un perfil de proxy SSL predeterminado y aplicarlo en una política unificada.
Configuración
Procedimiento paso a paso
Para configurar un perfil de proxy SSL predeterminado y aplicarlo en una política unificada:
Cree un perfil SSL y adjunte el grupo de perfiles de CA al perfil de proxy SSL.
user@host#set services ssl proxy profile SSL-FP-PROFILE-1 trusted-ca allAplique el certificado de firma como ca raíz en el perfil de proxy SSL.
user@host#set services ssl proxy profile SSL-FP-PROFILE-1 root-ca ssl-inspect-caDefina el perfil de proxy SSL como el perfil predeterminado.
user@host#set security ngfw default-profile ssl-proxy profile-name SSL-FP-PROFILE-1Cree una política unificada y especifique la aplicación dinámica como criterios de coincidencia.
user@host#set security policies from-zone untrust to-zone trust policy from_internet match source-address anyuser@host#set security policies from-zone untrust to-zone trust policy from_internet match destination-address anyuser@host#set security policies from-zone untrust to-zone trust policy from_internet match application anyuser@host#set security policies from-zone untrust to-zone trust policy from_internet match dynamic-application junos:webAplique el perfil de proxy SSL al tráfico permitido en la política de seguridad.
user@host#set security policies from-zone untrust to-zone trust policy from_internet then permit application-services ssl-proxy profile-name SSL-FP-PROFILE-1
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dispositivo serie SRX con Junos OS versión 18.2R1 o posterior. Este ejemplo de configuración se ha probado para Junos OS versión 18.2R1.
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, se configura un perfil de proxy de reenvío SSL especificando el certificado de CA raíz. A continuación, configure el perfil como perfil de proxy SSL predeterminado. Ahora, se crea una política unificada y se invoca el proxy SSL como servicios de aplicación en el tráfico permitido.
Verificación
Verificar la configuración del proxy SSL
Propósito
Confirme que la configuración funciona correctamente mostrando las estadísticas del proxy SSL.
Acción
Desde el modo operativo, ingrese el show services ssl proxy statistics comando.
user@host> show services ssl proxy statistics
PIC:fwdd0 fpc[0] pic[0]
sessions matched 0
sessions bypassed:non-ssl 0
sessions bypassed:mem overflow 0
sessions bypassed:low memory 0
sessions created 0
sessions ignored 0
sessions active 0
sessions dropped 0
sessions whitelisted 0
whitelisted url category match 0
default profile hit 0
session dropped no default profile 0
policy hit no profile configured 0 Significado
El resultado del comando muestra la siguiente información:
Detalles de las sesiones coincide con el proxy SSL.
Detalles del perfil de proxy SSL predeterminado, como las sesiones en las que se aplica el perfil predeterminado y las sesiones que se pierden debido a la ausencia del perfil predeterminado.
Información de aplicación dinámica basada en SNI para perfil de proxy SSL
A partir de Junos OS versión 20.4R1, hemos mejorado el mecanismo de selección del perfil de proxy SSL mediante el uso de extensiones TLS de indicación de nombre del servidor (SNI) para identificar aplicaciones dinámicas.
El módulo proxy SSL posterga la selección del perfil SSL hasta que se detecta la aplicación dinámica en un mensaje de saludo del cliente basado en el SNI. Después de detectar la aplicación dinámica, el módulo proxy SSL realiza una búsqueda de reglas de firewall basada en la aplicación identificada y selecciona un perfil de proxy SSL adecuado.
El uso de la información de aplicación dinámica basada en SNI para el perfil de proxy SSL da como resultado una selección más precisa del perfil de proxy SSL para la sesión. De forma predeterminada, la información de aplicación dinámica basada en SNI para el perfil de proxy SSL está habilitada en el dispositivo serie SRX. Consulte mostrar servicios contadores de proxy SSL para comprobar contadores de proxy SSL.