Contents

Temas Relacionados

Utilizar Certificados con Inspección de Contenido de Proxy HTTPS

Muchos sitios web usan tanto protocolos HTTP como HTTPS para enviar información a usuarios. Mientras que el tráfico HTTP puede ser examinado con facilidad, el tráfico HTTPS está cifrado. Para examinar el tráfico HTTPS solicitado por un usuario en su red, se debe configurar su Firebox para que descifre la información y luego la cifre con un certificado firmado por una CA en la que confía cada cliente de la red.

Para obtener información más detallada sobre la inspección de contenido para el Proxy HTTPS, consulte Proxy HTTPS: Inspección de contenido.

Certificados Proxy HTTPS

Cuando su dispositivo escanea una conexión HTTPS, el Proxy HTTPS intercepta la solicitud HTTPS e inicia su propia conexión al servidor de destino HTTPS. El Proxy HTTPS en su dispositivo presenta su propio certificado para nueva firma al cliente original y se conecta con el servidor de destino HTTPS de parte del cliente. El certificado para nueva firma puede ser el Certificado de Autoridad Proxy Predeterminado o un Certificado CA importado.

Certificado de Autoridad Proxy Predeterminado

Puede usar el certificado CA autofirmado Autoridad Proxy en el Firebox para usarlo con las funciones de inspección de contenido del Proxy HTTPS. Su dispositivo recifra el contenido que ha inspeccionado con este certificado autofirmado de Autoridad Proxy. Cuando usa este certificado predeterminado, los usuarios finales sin una copia de este certificado ven una advertencia en su explorador web. cuando se conectan a un sitio web seguro con HTTPS. Para evitar estas advertencias, puede exportar el certificado de Autoridad Proxy desde el Firebox e importar el certificado en los dispositivos de su cliente.

Para más información sobre cómo exportar el certificado CA de Autoridad Proxy desde su dispositivo, consulte Exportar un Certificado desde su Firebox.

Para más información sobre cómo importar este certificado en los dispositivos de su cliente, consulte Importar un Certificado en un Dispositivo Cliente.

Un cliente también puede descargar e instalar un certificado de Autoridad Proxy desde el Portal de Certificados en Firebox en http://<dirección IP del Firebox>:4126/certportal. Para obtener más información, consulte Portal de Certificados.

Certificado CA

Si su organización ya cuenta con una PKI (Infraestructura de Llave Pública) instalada con una CA de confianza, puede importar un certificado que esté firmado por la CA interna de su organización en su Firebox. Si el certificado CA no es automáticamente de confianza, debe importar cada certificado anterior en la cadena de confianza para que esta característica funcione correctamente.

Los proveedores de CA públicos no otorgarán un certificado CA con permiso para firmar otros certificados. Como resultado, si intenta usar un certificado firmado por una CA pública de terceros, sus usuarios reciben una advertencia de certificado en sus exploradores. Recomendamos que use un certificado firmado por su propia CA interna.

Por ejemplo, si su organización usa servicios de Certificado de Microsoft Active Directory, puede:

Debe crear un Certificado CA que pueda volver a firmar otros certificados. Si crea una CSR con Firebox System Manager y es firmada por una CA relevante, ésta no puede ser usada como un certificado CA. Si el sitio web remoto usa un certificado expirado, o si ese certificado está firmado por una CA (Autoridad de Certificación) que su dispositivo no reconoce, el dispositivo firma nuevamente el contenido como Proxy HTTPS Fireware: Certificado No Reconocido o simplemente Certificado Inválido.

Examinar Contenido de los Servidores HTTPS Externos

Antes de habilitar esta función, recomendamos que provea los certificados usados para firmar el tráfico HTTPS para todos los clientes en su red. Puede adjuntar los certificados a un correo electrónico con las instrucciones, o usar el software de administración de red para instalar los certificados automáticamente. También le recomendamos que pruebe el Proxy HTTPS con una pequeña cantidad de usuarios para asegurarse de que funciona correctamente antes de aplicarlo al tráfico en una red grande.

Para información más detallada sobre cómo importar certificados a clientes, consulte Importar un Certificado en un Dispositivo Cliente.

Si tiene otro tráfico que usa el puerto HTTPS, tal como tráfico VPN SSL, recomendamos que evalúe cuidadosamente la función de inspección de contenido. Para asegurar que otras fuentes de tráfico funcionan correctamente, le recomendamos que agregue reglas de nombre de dominio mediante la acción Permitir para evitar la inspección de esas direcciones IP.
Para obtener más información, consulte Proxy HTTPS: Reglas de Nombre de Dominio.

Para agregar una política de proxy que examine contenido de los servidores HTTPS externos, desde Policy Manager:Closed
  1. Haga clic en el icono Agregar Política
    O bien, seleccione Editar > Agregar Política.
    Se muestra el cuadro de diálogo Agregar Política.
  2. Seleccione proxy HTTPS. Haga clic en Agregar Política.
    Aparece el cuadro de diálogo Propiedades de la Nueva Política, con la pestaña Política seleccionada.
  3. Adyacente a la lista desplegable Acción de proxy , haga clic en Botón Ver/Editar proxy.
    Aparece el cuadro de diálogo Configuración de Acción de Proxy HTTPS, con la categoría Inspección de Contenido seleccionada.
  4. En la sección Resumen de Inspección de Contenido, haga clic en Editar.
  5. Marque la casilla de selección Habilitar Inspección de Contenido.
  6. Seleccione las opciones para la validación del certificado de OCSP.
  7. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de Inspección de Contenido.
  8. Configure reglas de nombre de dominio desde Inspeccionar y seleccione la acción proxy HTTP para usar en la inspección.
    Para obtener más información, consulte Proxy HTTPS: Reglas de Nombre de Dominio.
  9. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de Acción de Proxy HTTPS.
    Aparece el cuadro de diálogo Clonar Objeto Predefinido o Creado por DVCP.
  10. En el cuadro de texto Nombre, ingrese un nombre para la acción de proxy.
    Por ejemplo, ingrese Inspeccionar-Cliente-HTTPS.
  11. Haga clic en Aceptar.
  12. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de Nuevas Políticas.
  13. En el cuadro de diálogo Agregar Política, haga clic en Cerrar.
Para agregar una política de proxy que examine contenido de los servidores HTTPS externos, desde Fireware Web UI:Closed
  1. Seleccione Firewall > Políticas de Firewall.
    Aparece la página Políticas de Firewall.
  2. Haga clic en Agregar Política.
    Aparece la página Agregar Política de Firewall.
  3. Seleccione el tipo de política Proxies.
  4. En la lista desplegable Proxies, seleccione Proxy HTTPS y la acción de proxy HTTPS-Cliente.Estándar.
  5. Haga clic en Agregar Política.
    Aparece la página Agregar para el proxy HTTPS.
  6. Seleccione la pestaña Acción de Proxy.
  7. Desde la lista desplegable Acción de Proxy, seleccione Clonar la acción de proxy actual.
  8. En el cuadro de texto Nombre, ingrese un nombre para esta acción de proxy.
    Por ejemplo, ingrese Inspeccionar-Cliente-HTTPS.
  9. En la sección Resumen de Inspección de Contenido, haga clic en Editar.
  10. Marque la casilla de selección Habilitar Inspección de Contenido.
  11. Seleccione las opciones para la validación del certificado de OCSP.
  12. Haga clic en Aceptar.
  13. Configure reglas de nombre de dominio desde Inspeccionar y seleccione la acción proxy HTTP para usar en la inspección.
    Para obtener más información, consulte Proxy HTTPS: Reglas de Nombre de Dominio.
  14. Haga clic en Guardar.

Cuando habilita la inspección de contenido y selecciona la acción Inspeccionar en el proxy HTTPS, selecciona una acción proxy HTTP para utilizar en la inspección. Puede seleccionar la acción Inspeccionar en las reglas de nombre de dominio y habilitar la inspección de categorías WebBlocker permitidas en la acción proxy HTTPS.

Para obtener más información acerca de la configuración de WebBlocker en el proxy HTTPS, consulte Proxy HTTPS: WebBlocker.

Proteger un Servidor HTTPS Privado

Para proporcionar una mejor experiencia de usuario, el proxy HTTPS no valida los certificados de solicitudes entrantes a un servidor HTTPS privado en su red. Los navegadores del cliente ven el certificado de Servidor Proxy una vez que se realizó la inspección de contenido.

Como seguridad adicional, le recomendamos que importe el certificado de CA usado para firmar el certificado de servidor HTTPS, y luego importarlo con su llave privada asociada. Si el certificado CA usado para firmar el certificado del servidor HTTPS no es automáticamente de confianza, debe importar cada certificado de confianza en secuencia para que esta característica funcione correctamente. Después de haber importado todos los certificados, configure el Proxy HTTPS.

Para agregar una política para inspeccionar las solicitudes a un servidor HTTPS privado, desde Policy Manager:Closed
  1. Haga clic en el icono Agregar Política
    O bien, seleccione Editar > Agregar Política.
    Aparece el cuadro de diálogo Agregar Políticas.
  2. Seleccione proxy HTTPS. Haga clic en Agregar Política.
    Aparece el cuadro de diálogo Propiedades de la Nueva Política con la pestaña Política seleccionada.
  3. Desde la lista desplegable acción de Proxy, seleccione Servidor-HTTPS.Estándar.
  4. Adyacente a la lista desplegable Acción de proxy , haga clic en Botón Ver/Editar proxy.
    Aparece el cuadro de diálogo Configuración de Acción de Proxy HTTPS, con la categoría Inspección de Contenido seleccionada.
  5. En la sección Resumen de Inspección de Contenido, haga clic en Editar.
  6. Marque la casilla de selección Habilitar Inspección de Contenido.
  7. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de Inspección de Contenido.
  8. Configure reglas de nombre de dominio desde Inspeccionar y seleccione la acción proxy HTTP para usar en la inspección.
    Para obtener más información, consulte Proxy HTTPS: Reglas de Nombre de Dominio.
  9. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de Acción de Proxy HTTPS.
    Aparece el cuadro de diálogo Clonar Objeto Predefinido o Creado por DVCP.
  10. En el cuadro de texto Nombre, ingrese un nombre para la acción de proxy.
    Por ejemplo, ingrese Inspeccionar-Servidor-HTTPS.
  11. Haga clic en Aceptar.
  12. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de Nuevas Políticas.
  13. En el cuadro de diálogo Agregar Política, haga clic en Cerrar.
Para añadir una política para inspeccionar las solicitudes a un servidor HTTPS privado, desde Fireware Web UI:Closed
  1. Seleccione Firewall > Políticas de Firewall.
    Aparece la página Políticas de Firewall.
  2. Haga clic en Agregar Política.
    Aparece la página Agregar Política de Firewall.
  3. Seleccione el tipo de política Proxies.
  4. En la lista desplegable Proxies, seleccione proxy HTTPS y la acción Servidor-HTTPS.Estándar.
  5. Haga clic en Agregar Política.
    Aparece la página Agregar para el proxy HTTPS.
  6. Seleccione la pestaña Acción de Proxy.
  7. Desde la lista desplegable Acción de Proxy, seleccione Clonar la acción de proxy actual.
  8. En el cuadro de texto Nombre, ingrese un nombre para esta acción de proxy.
    Por ejemplo, ingrese Inspeccionar-Servidor-HTTPS.
  9. En la sección Resumen de Inspección de Contenido, haga clic en Editar.
  10. Marque la casilla de selección Habilitar Inspección de Contenido.
  11. Haga clic en Aceptar.
  12. Configure reglas de nombre de dominio desde Inspeccionar y seleccione la acción proxy HTTP para usar en la inspección.
    Para obtener más información, consulte Proxy HTTPS: Reglas de Nombre de Dominio.
  13. Haga clic en Guardar.

Solución de Problemas con Inspección de Contenido HTTPS.

Su dispositivo crea mensajes de registro de tráfico cuando hay un problema con un certificado usado para la inspección de contenido de HTTPS. Recomendamos que verifique estos mensajes de registro para obtener más información.

Si las conexiones hacia los servidores web remotos se interrumpen a menudo, asegúrese de haber importado todos los certificados necesarios para confiar en el certificado CA usado para cifrar nuevamente el contenido HTTPS, así como también los certificados necesarios para confiar en el certificado del servidor web original. Debe importar todos estos certificados en su dispositivo y en el dispositivo de cada cliente para que las conexiones sean exitosas.

Vea también

Acerca de los Certificados

Acerca del Proxy HTTPS

Administrar Certificados del Dispositivo (WSM)

Administrar Certificados del Dispositivo (Web UI)

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2018 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.