EN ESTA PÁGINA
Inspección SSL de IDP
Secure Sockets Layer (SSL), también llamado Transport Layer Security (TLS), es un conjunto de protocolos para la seguridad web que proporciona autenticación, confidencialidad e integridad de mensajes. La autenticación protege contra transmisiones fraudulentas al permitir que un navegador web valide la identidad de un servidor web. Los mecanismos de confidencialidad garantizan que las comunicaciones sean privadas. SSL impone la confidencialidad mediante el cifrado de datos para evitar que usuarios no autorizados escuchen las comunicaciones electrónicas. Finalmente, la integridad del mensaje garantiza que el contenido de una comunicación no haya sido manipulado.
Para obtener más información, consulte los temas siguientes:
Descripción general de SSL de IDP
Cada sesión SSL comienza con un apretón de manos durante el cual el cliente y el servidor acuerdan la clave de seguridad específica y los algoritmos de cifrado que se utilizarán para esa sesión. En este momento, el cliente también autentica el servidor. Opcionalmente, el servidor puede autenticar al cliente. Una vez que se completa el protocolo de enlace, puede comenzar la transferencia de datos cifrados.
Juniper Networks ofrece inspección SSL de detección y prevención de intrusiones (IDP) que utiliza el conjunto de protocolos SSL que consta de diferentes versiones de SSL, cifrados y métodos de intercambio de claves. En combinación con la función de identificación de aplicaciones, la función de inspección SSL permite a los firewalls de la serie SRX inspeccionar el tráfico HTTP cifrado en SSL en cualquier puerto. Se admiten los siguientes protocolos SSL:
SSLv2
SSLv3
TLS
Ver también
Cifrados SSL de IDP admitidos
Un cifrado SSL comprende cifrado cifrado, método de autenticación y compresión. Junos OS admite todos los cifrados compatibles con OPENSSL que no implican el uso de claves privadas temporales. Para la autenticación, se admiten los métodos de autenticación NULL, MD5 y SHA-1.
No se admiten la compresión ni los cifrados SSLv2. Actualmente, la mayoría de los servidores SSL se actualizan automáticamente a un cifrado TLS cuando se recibe un cifrado SSLv2 en un mensaje de "hola" del cliente. Revise su navegador para ver qué tan fuertes pueden ser los cifrados y cuáles son compatibles con su navegador. (Si el cifrado no está en la lista de cifrados compatibles, la sesión se ignora para una inspección profunda del paquete).
La Tabla 1 muestra los algoritmos de cifrado admitidos por los firewalls de la serie SRX.
| Cifrado | Tipo exportable | Material clave | Material clave expandido | Bits clave efectivos | Tamaño IV | |
|---|---|---|---|---|---|---|
NULO |
No |
Corriente |
0 |
0 |
0 |
N/A |
DES-CBC-SHA |
No |
Bloquear |
8 |
8 |
56 |
8 |
DES-CBC3-SHA |
No |
Bloquear |
24 |
24 |
168 |
8 |
AES128-SHA |
No |
Bloquear |
16 |
16 |
128 |
16 |
AES256-SHA |
No |
Bloquear |
32 |
32 |
256 |
16 |
Para obtener más información acerca de los algoritmos de cifrado, consulte Descripción general de VPN IPsec /documentation/us/en/software/junos/vpn-ipsec/topics/topic-map/security-ipsec-vpn-overview.html. La Tabla 2 muestra los cifrados SSL compatibles.
| Valor de las suites de cifrado | |
|---|---|
TLS_RSA_WITH_NULL_MD5 TLS_RSA_WITH_NULL_SHA TLS_RSA_WITH_DES_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA |
0x0001 0x0002 0x0009 0x000A 0x002F 0x0035 |
Los cifrados RC4 e IDEA no son compatibles debido a la disponibilidad de licencias y bibliotecas OPENSSL.
Descripción del intercambio de claves por Internet de IDP
El Intercambio de claves por Internet (IKE) establece un secreto maestro previo que se utiliza para generar claves simétricas para el cifrado y la autenticación de datos masivos. La sección F.1.1 de RFC 2246 define los métodos de autenticación e intercambio de claves de Seguridad de la capa de transporte (TLS). Los tres métodos clave de intercambio son:
RSA: Rivest-Shamir-Adleman (RSA) es un algoritmo de intercambio de claves que rige la forma en que los participantes crean claves simétricas o un secreto que se utiliza durante una sesión SSL. El algoritmo de intercambio de claves RSA es el método más utilizado.
DSA: el algoritmo de firma digital (DSA) agrega una opción de autenticación adicional a las propuestas de fase 1 de IKE. El DSA se puede configurar y se comporta de manera análoga al RSA, lo que requiere que el usuario importe o cree certificados DSA y configure una propuesta de IKE para usar el DSA. Los certificados digitales se utilizan para las firmas RSA, las firmas DSA y el método de autenticación basado en cifrado de clave pública RSA en el protocolo IKE.
Diffie-Hellman: Diffie-Hellman (DH) es un método de intercambio de claves que permite a los participantes producir un valor secreto compartido. La fuerza de la técnica es que permite a los participantes crear el valor secreto a través de un medio no seguro sin pasar el valor secreto a través de la red.
Los métodos de intercambio de claves pueden utilizar una clave de servidor fija o temporal. IDP solo puede recuperar correctamente el secreto maestro previo si se usa una clave de servidor fija. Para obtener más información sobre el intercambio de claves por Internet, consulte Elementos básicos de PKI en Junos OS.
El IDP de Juniper no descifra las sesiones SSL que utilizan el intercambio de claves Diffie-Hellman.
Descripción general del manejo de claves criptográficas de IDP
Con la función de descifrado de Capa de sockets seguros (SSL) de detección y prevención de intrusiones (IDP), los firewalls de la serie SRX cargan las claves privadas RSA configuradas en la memoria y las utilizan para establecer claves de sesión SSL para descifrar datos. El IDP debe descifrar las claves RSA y comprobar la integridad antes de realizar operaciones normales de cifrado o descifrado con las claves.
El propósito principal de esta función es garantizar que las claves privadas RSA utilizadas por IDP no se almacenen como texto sin formato o en un formato fácilmente comprensible o utilizable. Las claves se descifran para realizar operaciones normales de cifrado o descifrado. Esta característica también implica comprobaciones de detección de errores durante la copia de las claves de una ubicación de memoria a otra, así como la sobrescritura del almacenamiento intermedio con patrones distintos de cero cuando las claves ya no son necesarias.
El set security idp sensor-configuration ssl-inspection key-protection comando de configuración de CLI se utiliza para habilitar esta característica.
Descripción de la administración de claves de servidor SSL IDP y la configuración de políticas
El dispositivo puede admitir hasta 1000 claves privadas de servidor. Cada clave puede tener hasta 100 servidores que la utilicen. Esta capacidad es la misma independientemente de la cantidad de SPU disponibles en el dispositivo, ya que esencialmente cada SPU debe poder acceder a todas las claves.
Varios servidores pueden compartir la misma clave privada; Sin embargo, un servidor solo puede tener una clave privada. El descifrado SSL está deshabilitado de forma predeterminada. Se admiten claves simples y cifradas.
Junos OS no cifra el archivo de claves SSL.
Puede establecer el valor del parámetro de tiempo de espera de caché de ID de sesión SSL mediante el set security idp sensor-configuration ssl-inspection session-id-cache-timeout comando. El valor predeterminado del parámetro de tiempo de espera de caché es 600 segundos.
Configuración de una inspección SSL de IDP (procedimiento de CLI)
El decodificador SSL está habilitado de forma predeterminada. Si necesita habilitarlo manualmente a través de la CLI, use el siguiente comando de CLI.
set security idp sensor-configuration detector protocol-name SSL tunable-name sc_ssl_flags tuneable-value 1
Para configurar una inspección SSL de IDP, use el siguiente procedimiento de CLI:
[edit security]
idp {
sensor-configuration {
ssl-inspection {
sessions <number>;
}
}
El sensor ahora inspecciona el tráfico para el que tiene un par clave/servidor.
Sesiones máximas admitidas por SPU: el valor predeterminado es 10.000 y el intervalo es de 1 a 100.000. El límite de sesión es por SPU y es el mismo independientemente del número de SPU en el dispositivo.
Agregar claves SSL de IDP y servidores asociados
Cuando instale una clave, puede protegerla con contraseña y también asociarla a un servidor.
Para instalar una clave de correo con privacidad mejorada (PEM), use el siguiente comando de CLI:
request security idp ssl-inspection key add key-name file file-path server server-ip password password-string
En un clúster de la serie SRX de dos nodos, la clave debe copiarse manualmente en el nodo 0 y en el nodo 1 en la misma ubicación para que el comando de solicitud se ejecute correctamente.
También puede asociar la clave con un servidor más adelante mediante el comando add server CLI. Un servidor solo se puede asociar con una clave. Para asociar un servidor a la clave instalada, use el siguiente comando de CLI:
request security idp ssl-inspection key add key-name server server-ip
La longitud máxima del nombre de clave es de 32 bytes, incluida la terminación "\0".
Eliminación de claves SSL de IDP y servidores asociados
Para eliminar todas las claves y servidores, use el siguiente comando de CLI:
user@host> request security idp ssl-inspection key deleteTodas las claves instaladas se eliminan junto con los servidores asociados.
Para eliminar una clave específica y todos los servidores asociados con esa clave, use el siguiente comando de CLI:
user@host> request security idp ssl-inspection key delete <key-name>Elimina la clave especificada y todos los servidores asociados con esa clave.
Para eliminar un solo servidor, use el siguiente comando de CLI:
user@host> request security idp ssl-inspection key delete <key-name> server <server-ip>
Elimina el servidor especificado que está enlazado a la clave especificada.
Visualización de claves SSL de IDP y servidores asociados
-
Para mostrar todas las claves de servidor instaladas y el servidor asociado, use el siguiente comando de CLI:
user@host> show security idp ssl-inspection key
Muestra todas las claves de servidor y direcciones IP enlazadas a esas claves. En el ejemplo siguiente se muestra la salida de la CLI cuando se usa el
show security idp ssl-inspection keycomando:Total SSL keys : 2 SSL server key and ip address : Key : key1, server : 10.1.1.1 Key : key2, server : 10.2.2.2 Key : key2, server : 10.2.2.3 -
Para mostrar direcciones IP enlazadas a una clave específica, utilice el siguiente comando de CLI:
user@host> show security idp ssl-inspection key <key-name>
A continuación se muestra un ejemplo de la salida de la CLI recibida cuando se usa el
show security idp ssl-inspection key <key-name>comando:Key : key1, server : 10.1.1.1
Ejemplo: configuración de IDP cuando el proxy SSL está habilitado
En este ejemplo se describe cómo IDP admite la funcionalidad de identificación de aplicaciones (AppID) cuando el proxy SSL está habilitado.
Requisitos
Antes de empezar:
Crear zonas. Consulte Ejemplo: Creación de zonas de seguridad.
Configure una libreta de direcciones con direcciones para la directiva. Consulte Ejemplo: Configuración de libretas de direcciones y conjuntos de direcciones.
Cree una aplicación (o un conjunto de aplicaciones) que indique que la directiva se aplica al tráfico de ese tipo. Consulte Ejemplo: Configuración de aplicaciones de políticas de seguridad y conjuntos de aplicaciones.
Cree un perfil de proxy SSL que habilite el proxy SSL mediante una política. Consulte Configuración del proxy de reenvío SSL.
Configure una política de IDP como una política activa.
Visión general
En este ejemplo se muestra cómo configurar IDP en una regla de directiva cuando el proxy SSL está habilitado.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security policies from-zone Z_1 to-zone Z_2 policy policy1 match source-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 match destination-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 match application junos-https set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit application-services ssl-proxy profile-name ssl-profile-1 set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit application-services idp
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
En este ejemplo, se configura una directiva de seguridad que usa IDP como servicio de aplicación.
Configure una política para procesar el tráfico con el perfil de proxy SSL ssl-profile-1.
[edit security policies from-zone Z_1 to-zone Z_2 policy policy1 user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-https user@host# set then permit application-services ssl-proxy profile-name ssl-profile-1
Defina IDP como el servicio de aplicación.
[edit security policies from-zone Z_1 to-zone Z_2 policy policy1 user@host# set then permit application-services idp
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security policies comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Verificación
Compruebe que la configuración funciona correctamente. La verificación en IDP es similar a la verificación en Application Firewall. Consulte Firewall de aplicaciones.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.