SSL Proxy

¿Cómo funciona el proxy SSL?

El proxy SSL proporciona una transmisión segura de datos entre un cliente y un servidor mediante una combinación de lo siguiente:

• Autenticación- La autenticación del servidor protege contra las transmisiones fraudulentas al permitir que un navegador web valide la identidad de un servidor web.

• Confidencialidad: SSL hace cumplir la confidencialidad mediante el cifrado de datos para evitar que usuarios no autorizados intercepten las comunicaciones electrónicas; por lo tanto, garantiza la privacidad de las comunicaciones.

• Integridad: la integridad del mensaje garantiza que el contenido de una comunicación no se altere.

El dispositivo serie SRX que actúa como proxy SSL administra las conexiones SSL entre el cliente en un extremo y el servidor en el otro extremo, y realiza las siguientes acciones:

• Sesión SSL entre el cliente y la serie SRX: termina una conexión SSL desde un cliente, cuando las sesiones SSL se inician desde el cliente al servidor. El dispositivo serie SRX descifra el tráfico, lo inspecciona en busca de ataques (en ambas direcciones) e inicia la conexión en nombre de los clientes hacia el servidor.

• Sesión SSL entre el servidor y la serie SRX: termina una conexión SSL desde un servidor, cuando las sesiones SSL se inician desde el servidor externo al servidor local. El dispositivo serie SRX recibe texto sin formato del cliente, y cifra y transmite los datos como texto cifrado al servidor SSL. Por otro lado, la serie SRX descifra el tráfico del servidor SSL, lo inspecciona en busca de ataques y envía los datos al cliente como texto sin formato.

• Permite la inspección del tráfico cifrado.

El servidor proxy SSL garantiza la transmisión segura de datos con tecnología de cifrado. SSL depende de certificados y pares de intercambio de claves públicas y privadas para proporcionar la comunicación segura. Para obtener más información, consulte Certificados SSL.

Para establecer y mantener una sesión SSL entre el dispositivo serie SRX y su cliente/servidor, el dispositivo serie SRX aplica una política de seguridad al tráfico que recibe. Cuando el tráfico coincide con los criterios de la política de seguridad, el proxy SSL se habilita como servicio de aplicación dentro de una política de seguridad.

Proxy SSL con servicios de seguridad de aplicaciones

La Figura 1 muestra cómo funciona el proxy SSL en una carga cifrada.

Figura 1: Proxy SSL en una carga cifrada

Cuando se configuran servicios de seguridad avanzada, como firewall de aplicaciones (AppFW), detección y prevención de intrusiones (IDP), seguimiento de aplicaciones (AppTrack), UTM y SkyATP, el proxy SSL actúa como un servidor SSL al finalizar la sesión SSL del cliente y establecer una nueva sesión SSL en el servidor. El dispositivo serie SRX descifra y, luego, reencripta todo el tráfico de proxy SSL.

IDP, AppFW, AppTracking, enrutamiento basado en políticas avanzadas (APBR), redirección de servicios de UTM, SkyATP y ICAP pueden usar el contenido descifrado del proxy SSL. Si ninguno de estos servicios está configurado, los servicios de proxy SSL se omiten incluso si se adjunta un perfil de proxy SSL a una política de firewall.

Tipos de proxy SSL

El proxy SSL es un proxy transparente que realiza el cifrado y el descifrado SSL entre el cliente y el servidor. El SRX actúa como el servidor desde la perspectiva del cliente y actúa como el cliente desde la perspectiva del servidor. En los dispositivos serie SRX, se admite la protección de cliente (proxy de reenvío) y la protección del servidor (proxy inverso) mediante el mismo sistema de eco SSL-T-SSL [terminador en el lado del cliente] y SSL-I-SSL [iniciador en el lado del servidor]).

Los dispositivos de la serie SRX admiten los siguientes tipos de proxy SSL:

• Proxy SSL de protección del cliente también conocido como proxy de reenvío: el dispositivo serie SRX reside entre el cliente interno y el servidor externo. Proxy de sesión saliente, es decir, sesión SSL iniciada localmente a Internet. Descifra e inspecciona el tráfico de usuarios internos a la web.

• Proxy SSL de protección del servidor también conocido como proxy inverso: el dispositivo serie SRX reside entre el servidor interno y el cliente externo. Proxy de sesión entrante, es decir, sesiones SSL iniciadas externamente desde Internet al servidor local.

Para obtener más información sobre el proxy de reenvío y el proxy inverso DE SSL, consulte Configuración del proxy SSL.

Protocolos SSL compatibles

Los siguientes protocolos SSL se admiten en dispositivos de la serie SRX para el servicio de iniciación y terminación de SSL:

• TLS versión 1.0: proporciona autenticación y comunicaciones seguras entre aplicaciones que se comunican.

• TLS versión 1.1: esta versión mejorada de TLS ofrece protección contra ataques de encadenamiento de bloques de cifrado (CBC).

• TLS versión 1.2: esta versión mejorada de TLS ofrece una flexibilidad mejorada para la negociación de algoritmos criptográficos.

• TLS versión 1.3: esta versión mejorada de TLS ofrece una seguridad mejorada y un mejor rendimiento.

A partir de Junos OS versión 15.1X49-D30 y Junos OS versión 17.3R1, los protocolos TLS versión 1.1 y TLS versión 1.2 se admiten en dispositivos serie SRX junto con TLS versión 1.0.

A partir de Junos OS versión 15.1X49-D20 y Junos OS versión 17.3R1, la compatibilidad con el protocolo SSL 3.0 (SSLv3) está en desuso.

A partir de Junos OS versión 21.2R1, en dispositivos serie SRX, el proxy SSL admite la versión 1.3 de TLS.

Cuando usa TLS 1.3, el dispositivo serie SRX admite el grupo secp256r1 para el intercambio de claves para establecer la conexión con el servidor. Si el servidor solo admite secp384r1, la conexión se finalizará.

Beneficios del proxy SSL

• Descifra el tráfico SSL para obtener información detallada de la aplicación y permitirle aplicar protección avanzada de servicios de seguridad y detectar amenazas.

• Hace cumplir el uso de protocolos y cifrados sólidos por el cliente y el servidor.

• Proporciona visibilidad y protección contra amenazas integradas en el tráfico cifrado SSL.

• Controla lo que se debe descifrar mediante el proxy SSL selectivo.

Soporte de sistemas lógicos

Es posible habilitar el proxy SSL en políticas de firewall que se configuran mediante sistemas lógicos; sin embargo, tenga en cuenta las siguientes limitaciones:

• Actualmente, la categoría de "servicios" no se admite en la configuración de sistemas lógicos. Dado que el proxy SSL se encuentra en "servicios", no puede configurar perfiles de proxy SSL por sistema lógico.

• Dado que los perfiles de proxy configurados a nivel global (dentro de "proxy ssl de servicios") son visibles en las configuraciones lógicas del sistema, es posible configurar perfiles de proxy a nivel global y, luego, adjuntarlos a las políticas de firewall de uno o más sistemas lógicos.

Limitaciones

En todos los dispositivos de la serie SRX, la implementación actual del proxy SSL tiene las siguientes limitaciones de conectividad:

• El soporte del protocolo SSLv3.0 está en desuso.

• No se admite el protocolo SSLv2. Se pierden las sesiones SSL que utilizan SSLv2.

• Solo se admite el certificado X.509v3.

• No se admite la autenticación de cliente del protocolo de enlace SSL.

• Se pierden las sesiones SSL en las que la autenticación de certificado de cliente es obligatoria.

• Se pierden las sesiones SSL en las que se solicita la renegociación.

En dispositivos serie SRX, para una sesión determinada, el proxy SSL solo está habilitado si también está habilitada una característica relevante relacionada con el tráfico SSL. Las características que están relacionadas con el tráfico SSL son IDP, identificación de aplicaciones, firewall de aplicaciones, seguimiento de aplicaciones, enrutamiento avanzado basado en políticas, servicio de redirección de UTM, SkyATP y ICAP. Si ninguna de estas funciones está activa en una sesión, el proxy SSL omite la sesión y los registros no se generan en este caso.