Configuración del proxy inverso en el dispositivo de la serie SRX
A partir de Junos OS versión 15.1X49-D80 y Junos OS versión 17.3R1, el dispositivo serie SRX actúa como proxy, de modo que puede degradar la negociación SSL a RSA. Otros cambios se muestran en la Tabla 1.
Característica |
Antes de 15.1X49-D80 |
Después de 15.1X49-D80 y 17.3R1 |
|---|---|---|
Modelo de proxy |
Solo se ejecuta en modo de toque En lugar de participar en el protocolo de enlace SSL, escucha el protocolo de enlace SSL, calcula las claves de sesión y, luego, desencripta el tráfico SSL. |
Termina el SSL del cliente en el dispositivo de la serie SRX e inicia una nueva conexión SSL con un servidor. Descifra el tráfico SSL del cliente/servidor y cifra de nuevo (después de la inspección) antes de enviarlo al servidor/cliente. |
Versión de protocolo |
No admite TLS versión 1.1 y 1.2. |
Es compatible con todas las versiones de protocolo actuales. |
Métodos de intercambio de claves |
Es compatible con RSA. |
Es compatible con RSA. |
Sistema echo |
Estrechamente junto con el motor IDP y su detector. |
Utiliza el proxy de reenvío SSL existente con proxy TCP debajo. |
Servicios de seguridad |
El tráfico SSL descifrado solo puede ser inspeccionado por IDP. |
Al igual que el proxy de reenvío, el tráfico SSL descifrado está disponible para todos los servicios de seguridad. |
Cifrados compatibles |
Se admite un conjunto limitado de cifrados. |
Se admiten todos los cifrados de uso común. |
El resto de este tema utiliza el término proxy SSL para denotar proxy de reenvío y proxy inverso.
Al igual que el proxy de reenvío, el proxy inverso requiere que se configure un perfil en el nivel de regla de firewall. Además, también debe configurar certificados de servidor con claves privadas para el proxy inverso. Durante un protocolo de enlace SSL, el proxy SSL realiza una búsqueda para una clave privada de servidor coincidente en su base de datos de tabla hash de clave privada del servidor. Si la búsqueda se realiza correctamente, el protocolo de enlace continúa. De lo contrario, el proxy SSL termina el movimiento de mano. El proxy inverso no prohíbe los certificados de servidor. Reenvía el certificado o cadena del servidor real tal y como está al cliente sin modificarlo. La interceptación del certificado de servidor solo se produce con proxy de reenvío. A continuación, se muestran ejemplos de configuraciones de perfil de proxy hacia delante e inversas.
# show services ssl
...
proxy {
profile ssl-inspect-profile-dut { # For forward proxy. No server cert/key is needed.
root-ca ssl-inspect-ca;
actions {
ignore-server-auth-failure;
log {
all;
}
}
}
profile ssl-1 {
root-ca ssl-inspect-ca;
actions {
ignore-server-auth-failure;
log {
all;
}
}
}
profile ssl-2 {
root-ca ssl-inspect-ca;
actions {
ignore-server-auth-failure;
log {
all;
}
}
}
profile ssl-server-protection { # For reverse proxy. No root-ca is needed.
server-certificate ssl-server-protection;
actions {
log {
all;
}
}
}
}
...
Debe configurarlo o root-ca server-certificate en un perfil de proxy SSL. De lo contrario, se producirá un error en la comprobación de confirmación. Consulte la Tabla 2.
certificado de servidor configurado |
root-ca configurado |
Tipo de perfil |
|---|---|---|
No |
No |
Se produce un error en la comprobación de confirmación. Debe configurar cualquiera de los dos |
Sí |
Sí |
Se produce un error en la comprobación de confirmación. No se admite la configuración de ambos |
No |
Sí |
Proxy de reenvío |
Sí |
No |
Proxy inverso |
Se admite la configuración de varias instancias de perfiles de proxy inversos y de reenvío. Sin embargo, para una política de firewall determinada, solo se puede configurar un perfil (ya sea un perfil de proxy inverso o de reenvío). También se admite la configuración de proxy inverso y de reenvío en el mismo dispositivo.
No puede configurar la implementación de proxy inverso anterior con la nueva implementación de proxy inverso para una política de firewall dada. Si ambos están configurados, recibirá un mensaje de error de confirmación de comprobación.
Los siguientes son los pasos mínimos para configurar el proxy inverso: