Proxy HTTPS: Inspección de contenido

En una acción de proxy HTTPS, puede habilitar la inspección de contenido y configurar reglas de nombre de dominio. Cuando la inspección de contenido está habilitada, Firebox puede descifrar tráfico HTTPS, examinar el contenido y luego cifrar el tráfico nuevamente con un nuevo certificado. El proxy HTTPS inspecciona el contenido en busca de solicitudes que coinciden con las reglas configuradas de nombre de dominio con la acción Inspeccionar y para las categorías WebBlocker que haya seleccionado para inspeccionar.

La configuración de inspección de contenido disponible depende de si la acción de proxy HTTPS es para solicitudes HTTPS salientes o entrantes.

Acción de proxy de cliente HTTPS

Una acción de proxy de cliente HTTPS especifica la configuración para la inspección de las solicitudes HTTPS salientes. Cuando selecciona la acción Inspeccionar en una acción de proxy de cliente HTTPS, selecciona la acción de proxy HTTP que el proxy HTTPS utiliza para examinar el contenido.

Acción de proxy de servidor HTTPS

Una acción de proxy de servidor HTTPS especifica la configuración para la inspección y el enrutamiento de solicitudes HTTPS entrantes a un servidor web interno. Cuando selecciona la acción Inspeccionar para una regla de nombre de dominio en una acción de proxy de servidor HTTPS, selecciona la acción de proxy HTTP o la acción de contenido HTTP que el proxy HTTPS utiliza para examinar el contenido.

Para ver un ejemplo de cómo configurar la inspección de contenido con una acción de contenido HTTP, consulte Ejemplo: Acción de Proxy HTTPS con una Acción de Contenido HTTP.

Habilitar la Inspección de Contenido

Para habilitar la inspección de contenido:

1. En la acción de Proxy HTTPS, seleccione Inspección de Contenido.
   La sección Resumen de la Inspección de Contenido muestra la configuración actual de la Inspección de Contenido.
2. En la sección Resumen de la Inspección de Contenido, haga clic en Editar.
   Aparece el cuadro de diálogo Configuración de Inspección de Contenido.

3. Configure los ajustes descritos en la siguiente sección.
4. Agregue reglas de nombre de dominio con la acción Inspeccionar. Para obtener más información, consulte Proxy HTTPS: Reglas de Nombre de Dominio.
5. Guardar la configuración en el Firebox.

Ajustes de Inspección de Contenido

En el cuadro de diálogo Configuración de Inspección de Contenido, puede configurar estos ajustes:

Permitir solamente tráfico que cumpla con SSL

Esta opción habilita la política de proxy HTTPS para permitir solo el tráfico que cumpla con los protocolos SSL V3, TLS 1.0, TLS 1.1, TLS 1.2.

El tráfico que cumple con SSL se refiere a los mensajes del protocolo SSL que cumplen con los estándares SSL/TLS que se consideran seguros y pueden ser interpretados por el proxy HTTPS. Esta opción se habilita automáticamente cuando habilita la inspección de contenido. Si la inspección de contenido no está habilitada, puede permitir el tráfico de protocolo SSL no conforme (utilizado por algunos software de VPN y otras aplicaciones), para habilitar el proxy HTTPS para enviar tráfico por el puerto 443 a través del Firebox.

Cuando la inspección de contenido está habilitada y el tráfico que cumple con SSL establece un túnel seguro a través del proxy HTTPS, si el tráfico tunelizado no utiliza un protocolo HTTP válido, la acción de proxy HTTP utilizada para la inspección solicita al Firebox que envíe un mensaje de registro sobre los errores y que descarte el tráfico.

Habilitar la Inspección de Contenido

Cuando marque la casilla de selección Habilitar Inspección de Contenido, el Firebox puede descifrar el tráfico HTTPS, examinar el contenido y luego cifrar el tráfico nuevamente con un nuevo certificado. Después de habilitar la inspección de contenido, configure las reglas de nombre de dominio y la categoría de WebBlocker para que el proxy las inspeccione. El proxy HTTPS utiliza la acción de proxy HTTP que selecciona para cada acción Inspeccionar para examinar el contenido.

Para especificar qué dominios y categorías de WebBlocker inspecciona esta acción de proxy HTTPS:

• En la lista Nombres de Dominio en la acción de proxy HTTPS, agregue un dominio con la acción Inspeccionar.
  Para obtener más información, consulte Proxy HTTPS: Reglas de Nombre de Dominio.
• En la configuración WebBlocker en una acción de proxy de cliente HTTPS, edite la acción de WebBlocker. En la lista de categorías de WebBlocker, seleccione las categorías de contenido de WebBlocker para inspeccionar, o marque la casilla de selección Inspeccionar cuando una URL no esté categorizada.
  Para obtener más información, consulte Proxy HTTPS: WebBlocker.

De manera predeterminada, el certificado CA de Autoridad Proxy que el Proxy HTTPS utiliza para cifrar el tráfico es generado automáticamente por su Firebox. Cuando utiliza este certificado, sus usuarios reciben una advertencia en sus exploradores web debido a que este es un certificado firmado automáticamente y no es de confianza. Para evitar estas advertencias, puede importar este certificado en cada dispositivo cliente.

El usuario también puede cargar su propio certificado para usar con este fin. Si elige cargar su propio certificado, le recomendamos que utilice su propia CA interna para firmar el certificado. Si sus usuarios están en su dominio, y usted utiliza un certificado firmado por su propia CA interna, los usuarios se pueden conectar satisfactoriamente sin advertencias en el explorador web.

Un cliente puede descargar e instalar el certificado de Autoridad de Proxy desde el Portal de Certificados en el Firebox en http://<dirección IP del Firebox>:4126/certportal. Para obtener más información, consulte Portal de Certificados.

Cuando habilita la inspección de contenido, las actualizaciones automáticas del certificado CA de confianza en el Firebox están habilitadas, si no estaban habilitadas antes.

Para información sobre cómo utilizar certificados con inspección de contenido, consulte Utilizar Certificados con Inspección de Contenido de Proxy HTTPS.

Para información sobre cómo exportar un certificado desde Firebox, consulte Exportar un Certificado desde su Firebox.

Para información sobre cómo importar un certificado en el dispositivo de un cliente, consulte Importar un Certificado en un Dispositivo Cliente.

Si el sitio web original o su servidor web tiene un certificado autofirmado o inválido, o si el certificado fue firmado por una CA que Firebox no reconoce (como una CA pública de un tercero), los clientes ven una advertencia de certificado en su exploradores web. Los certificados que no pueden volver a firmarse correctamente parecen haber sido emitidos por Proxy HTTPS de Fireware: Certificado no Reconocido o Certificado Inválido.

Algunos programas de terceros guardan copias privadas de certificados necesarios y no usan el almacenamiento de certificados del sistema operativo, o bien transmiten otros tipos de datos a través del puerto 443 TCP. Estos programas incluyen:

• Software de comunicaciones (por ejemplo, Google Voice)
• Escritorio remoto y software de presentaciones (por ejemplo, LiveMeeting y WebEx)
• Software financiero y comercial (por ejemplo, iVantage, FedEx y UPS)

Si estos programas no cuentan con un método para importar certificados CA de confianza, no funcionan correctamente cuando se habilita la Inspección de Contenido. Para obtener más información sobre el uso de certificados o el soporte técnico, comuníquese con su proveedor de software o agregue reglas de dominio con la acción Permitir para direcciones IP de equipos con este software para derivar la inspección de contenido.

Permitir SSLv3

TLSv1 y SSLv3 son protocolos usados para conexiones HTTPS. SSLv3 no es tan seguro como TLSv1. De manera predeterminada, el proxy HTTPS solo permite conexiones que negocien el protocolo TLSv1. Si sus usuarios se conectan a aplicaciones de cliente o servidor que solo admiten SSLv3, puede configurar el proxy HTTPS para usar SSLv3 para las conexiones a estos sitios web.

Para habilitar SSLv3, marque la casilla de selección Permitir SSLv3. Esta opción está desactivada en forma predeterminada.

Usar OCSP para validar certificados

Esta opción se aplica solo a las acciones de proxy de cliente HTTPS. Las acciones de proxy del servidor HTTPS no validan los certificados.

Marque esta casilla de selección para habilitar a su Firebox para revisar automáticamente las revocaciones de certificados con OCSP (Protocolo en Estado del Certificado en Línea). Cuando se habilita esta característica, su Firebox usa la información del certificado para contactar a un servidor OCSP que mantiene un registro del estado del certificado. Si el servidor OCSP responde que el certificado ha sido revocado, su Firebox deshabilita el certificado.

Si selecciona esta opción, puede ocurrir una demora de varios segundos mientras que su Firebox solicita una respuesta del servidor OCSP. Firebox mantiene 300 y 3000 respuestas de OCSP en una caché con el fin de mejorar el rendimiento para sitios web visitados con frecuencia. El número de respuestas que se guardan en el caché se determina según el modelo de su Firebox.

Esta opción implementa una política OCSP suelta. Si por alguna razón no se puede contactar al servidor OCSP y no envía una respuesta, Firebox no deshabilita el certificado ni romperá la cadena del certificado.

Si no es posible validar un certificado, el se considerará inválido.

Cuando esta opción está habilitada, el Firebox impone una política OCSP estricta. Si un respondedor OCSP no envía una repuesta a una solicitud de estado de revocación, su Firebox considera al certificado original como inválido o revocado. Esta opción puede hacer que los certificados se consideren no válidos si hay un error de enrutamiento o un problema con la conexión de red.

Cifrados Perfect Forward Secrecy

El proxy HTTPS admite cifrado con capacidad PFS para conexiones TLS. Fireware solo admite el cifrado de Curva Elíptica Efímera Diffie-Hellman (ECDHE) para PFS.

Para controlar si el Firebox utiliza cifrados con capacidad PFS, elija una de estas opciones:

• Ninguno — El Firebox no anuncia ni selecciona cifrados con capacidad de PFS.
• Permitido — El Firebox anuncia y selecciona tanto cifrado con capacidad PFS como sin capacidad FPS.
• Requerido — El Firebox anuncia y selecciona solo cifrados con capacidad PFS.

La configuración que seleccione se aplica a las conexiones TLS del lado del cliente y del servidor. Cuando esta opción se establece en Permitido, el cliente no usa un cifrado PFS a menos que el servidor también use uno.

Los Cifrados Perfect Forward Secrecy requieren de recursos significativos y pueden impactar el rendimiento del sistema en dispositivos Firebox T10, T30, T50, XTM 25, XTM 26 y XTM 33.

El nombre de cifrado utilizado para las sesiones de TLS de cliente/servidor aparece en los mensajes de registro de tráfico de inspección de contenido HTTPS generado por el Firebox. Para obtener más información sobre los mensajes de registro, consulte Tipos de Mensajes de Registro.

Dominios Permitidos de Google Apps

Puede usar el proxy HTTPS (con inspección de contenido habilitada) para bloquear el acceso de los usuarios a servicios personales de Google. Para obtener más información, consulte Restringir Aplicaciones de Google a Dominios Permitidos.

Vea también

Acerca de Políticas de Proxy y ALG

Acerca del Proxy HTTPS

Danos tu Opinión  •   Obtener Soporte  •   Toda la Documentación del Producto  •   Búsqueda Técnica

© 2018 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.