Contents

Temas Relacionados

Utilizar Certificados con Inspección de Contenido de Proxy HTTPS

Muchos sitios web usan tanto protocolos HTTP como HTTPS para enviar información a usuarios. Mientras que el tráfico HTTP puede ser examinado con facilidad, el tráfico HTTPS está cifrado. Para examinar el tráfico HTTPS solicitado por un usuario en su red, se debe configurar su Firebox para que descifre la información y luego la cifre con un certificado firmado por una CA en la que confía cada cliente de la red.

Para obtener información más detallada sobre la inspección de contenido para el Proxy HTTPS, consulte Proxy HTTPS: Inspección de contenido.

Certificados Proxy HTTPS

Cuando su Firebox escanea una conexión HTTPS, el Proxy HTTPS intercepta la solicitud HTTPS e inicia su propia conexión al servidor HTTPS de destino en nombre del cliente. Después de que Firebox recibe del servidor HTTPS de destino una respuesta y una copia del certificado del servidor remoto, el Firebox presenta al cliente de origen su propio certificado de firma. Los valores CN, SAN, entre otros, se mantienen para la validación de identidad. El certificado para nueva firma puede ser el Certificado de Autoridad Proxy Predeterminado o un Certificado CA importado.

Certificado de Autoridad Proxy Predeterminado

Puede usar el certificado CA autofirmado Autoridad Proxy en el Firebox para usarlo con las funciones de inspección de contenido del Proxy HTTPS. Su dispositivo recifra el contenido que ha inspeccionado con este certificado autofirmado de Autoridad Proxy. Cuando usa este certificado predeterminado, los usuarios finales sin una copia de este certificado ven una advertencia en su explorador web. cuando se conectan a un sitio web seguro con HTTPS. Para evitar estas advertencias, puede exportar el certificado de Autoridad Proxy desde el Firebox e importar el certificado en los dispositivos de su cliente.

Para más información sobre cómo exportar el certificado CA de Autoridad Proxy desde su dispositivo, consulte Exportar un Certificado desde su Firebox.

Para más información sobre cómo importar este certificado en los dispositivos de su cliente, consulte Importar un Certificado en un Dispositivo Cliente.

Un cliente también puede descargar e instalar un certificado CA raíz que firmó el certificado de Autoridad Proxy desde el Portal de Certificados en el Firebox en http://<dirección IP del Firebox>:4126/certportal. Para obtener más información, consulte Portal de Certificados.

Certificado CA

Si su organización ya cuenta con una PKI (Infraestructura de Llave Pública) instalada con una CA de confianza, puede importar un certificado que esté firmado por la CA interna de su organización en su Firebox. Si el certificado CA no es automáticamente de confianza, debe importar cada certificado anterior en la cadena de confianza para que esta característica funcione correctamente.

Los proveedores de CA públicos no otorgarán un certificado CA con permiso para firmar otros certificados. Como resultado, si intenta usar un certificado firmado por una CA pública de terceros, sus usuarios reciben una advertencia de certificado en sus exploradores. Recomendamos que use un certificado firmado por su propia CA interna.

Por ejemplo, si su organización usa servicios de Certificado de Microsoft Active Directory, puede:

Debe crear un Certificado CA que pueda volver a firmar otros certificados. Si crea una CSR con Firebox System Manager y es firmada por una CA (Autoridad de Certificación) relevante, ésta no puede ser usada como un certificado CA. Si el sitio web remoto usa un certificado expirado, o si ese certificado está firmado por una CA que su dispositivo no reconoce, el dispositivo firma nuevamente el contenido como Proxy HTTPS de Fireware: Certificado no reconocido o simplemente Certificado Inválido.

Examinar Contenido de los Servidores HTTPS Externos

Antes de habilitar esta función, recomendamos que provea los certificados usados para firmar el tráfico HTTPS para todos los clientes en su red. Puede adjuntar los certificados a un correo electrónico con las instrucciones, o usar el software de administración de red para instalar los certificados automáticamente. También le recomendamos que pruebe el Proxy HTTPS con una pequeña cantidad de usuarios para asegurarse de que funciona correctamente antes de aplicarlo al tráfico en una red grande.

Para información más detallada sobre cómo importar certificados a clientes, consulte Importar un Certificado en un Dispositivo Cliente.

Si tiene otro tráfico que usa el puerto HTTPS, tal como tráfico VPN SSL, recomendamos que evalúe cuidadosamente la función de inspección de contenido. Para asegurar que otras fuentes de tráfico funcionan correctamente, le recomendamos que agregue reglas de nombre de dominio mediante la acción Permitir para evitar la inspección de esas direcciones IP. Para obtener más información, consulte Proxy HTTPS: Reglas de Nombre de Dominio.

En Fireware v12.1 o anterior, debe habilitar la inspección de contenido en el proxy HTTPS antes de poder seleccionar la acción Inspeccionar. Para obtener más información, consulte Proxy HTTPS: Inspección de contenido.

Para agregar una política de proxy que examine contenido de los servidores HTTPS externos, desde Policy Manager:Closed
  1. Haga clic en el icono Agregar Política.
    O bien, seleccione Editar > Agregar Política.
    Se muestra el cuadro de diálogo Agregar Política.
  2. Seleccione proxy HTTPS. Haga clic en Agregar Política.
    Aparece el cuadro de diálogo Propiedades de la Nueva Política, con la pestaña Política seleccionada.
  3. Adyacente a la lista desplegable Acción de proxy , haga clic en Botón Ver/Editar proxy.
    Aparece el cuadro de diálogo Configuración de Acción de Proxy HTTPS, con la categoría Inspección de Contenido seleccionada.
  4. Configure reglas de nombre de dominio desde Inspeccionar y seleccione la acción proxy HTTP para usar en la inspección.
    Para obtener más información, consulte Proxy HTTPS: Reglas de Nombre de Dominio.
  5. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de Acción de Proxy HTTPS.
    Aparece el cuadro de diálogo Clonar Objeto Predefinido o Creado por DVCP.
  6. En el cuadro de texto Nombre, ingrese un nombre para la acción de proxy.
    Por ejemplo, ingrese Inspeccionar-Cliente-HTTPS.
  7. Haga clic en Aceptar.
  8. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de Nuevas Políticas.
  9. En el cuadro de diálogo Agregar Política, haga clic en Cerrar.
Para agregar una política de proxy que examine contenido de los servidores HTTPS externos, desde Fireware Web UI:Closed
  1. Seleccione Firewall > Políticas de Firewall.
    Aparece la página Políticas de Firewall.
  2. Haga clic en Agregar Política.
    Aparece la página Agregar Política de Firewall.
  3. Seleccione el tipo de política Proxies.
  4. En la lista desplegable Proxies, seleccione Proxy HTTPS y la acción de proxy HTTPS-Cliente.Estándar.
  5. Haga clic en Agregar Política.
    Aparece la página Agregar para el proxy HTTPS.
  6. Seleccione la pestaña Acción de Proxy.
  7. Desde la lista desplegable Acción de Proxy, seleccione Clonar la acción de proxy actual.
  8. En el cuadro de texto Nombre, ingrese un nombre para esta acción de proxy.
    Por ejemplo, ingrese Inspeccionar-Cliente-HTTPS.
  9. Configure reglas de nombre de dominio desde Inspeccionar y seleccione la acción proxy HTTP para usar en la inspección.
    Para obtener más información, consulte Proxy HTTPS: Reglas de Nombre de Dominio.
  10. Haga clic en Guardar.

Cuando selecciona la acción Inspeccionar en el proxy HTTPS, selecciona una acción proxy HTTP para utilizar en la inspección. Puede seleccionar la acción Inspeccionar en las reglas de nombre de dominio y habilitar la inspección de categorías WebBlocker permitidas en la acción proxy HTTPS.

Para obtener más información sobre las Reglas de Nombre de Dominio en el proxy HTTPS, consulte Proxy HTTPS: Reglas de Nombre de Dominio.

Para obtener más información acerca de la configuración de WebBlocker en el proxy HTTPS, consulte Proxy HTTPS: WebBlocker.

Proteger un Servidor HTTPS Privado

Para proporcionar una mejor experiencia de usuario, el proxy HTTPS no valida los certificados de solicitudes entrantes a un servidor HTTPS privado en su red. Los exploradores del cliente ven el certificado de Servidor Proxy configurado después de realizar la inspección de contenido.

Como seguridad adicional, recomendamos que importe el certificado de CA que se usa para firmar el certificado de servidor HTTPS, y luego importe este último con su llave privada asociada. Si el certificado CA usado para firmar el certificado del servidor HTTPS no es automáticamente de confianza, debe importar cada certificado de confianza en secuencia para que esta característica funcione correctamente. Después de haber importado todos los certificados, configure el Proxy HTTPS.

En Fireware v12.2 y posterior, cuando configura las reglas de Nombre de Dominio para la inspección de contenido en el Proxy HTTPS entrante, puede elegir el certificado del Servidor Proxy para usar para ese dominio o usar el certificado del Servidor Proxy predeterminado. Esto le permite alojar varios servidores y aplicaciones web públicos diferentes detrás de un Firebox, y permite que diferentes aplicaciones usen diferentes certificados para el tráfico HTTPS entrante.

Para agregar una política para inspeccionar las solicitudes a un servidor HTTPS privado, desde Policy Manager:Closed
  1. Haga clic en el icono Agregar Política.
    O bien, seleccione Editar > Agregar Política.
    Aparece el cuadro de diálogo Agregar Políticas.
  2. Seleccione proxy HTTPS. Haga clic en Agregar Política.
    Aparece el cuadro de diálogo Propiedades de la Nueva Política con la pestaña Política seleccionada.
  3. Desde la lista desplegable acción de Proxy, seleccione Servidor-HTTPS.Estándar.
  4. Adyacente a la lista desplegable Acción de proxy , haga clic en Botón Ver/Editar proxy.
    Aparece el cuadro de diálogo Configuración de Acción de Proxy HTTPS, con la categoría Inspección de Contenido seleccionada.
  5. Configure las reglas de nombre de dominio con la acción Inspeccionar. Debe seleccionar la acción de proxy HTTP o la acción de contenido que se usará para la inspección, y seleccionar el certificado que se usará para esta regla de dominio. Este puede ser el certificado de Servidor Proxy predeterminado u otro certificado.
    Para obtener más información, consulte Proxy HTTPS: Reglas de Nombre de Dominio.
  6. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de Acción de Proxy HTTPS.
    Aparece el cuadro de diálogo Clonar Objeto Predefinido o Creado por DVCP.
  7. En el cuadro de texto Nombre, ingrese un nombre para la acción de proxy.
    Por ejemplo, ingrese Inspeccionar-Servidor-HTTPS.
  8. Haga clic en Aceptar.
  9. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de Nuevas Políticas.
  10. En el cuadro de diálogo Agregar Política, haga clic en Cerrar.
Para añadir una política para inspeccionar las solicitudes a un servidor HTTPS privado, desde Fireware Web UI:Closed
  1. Seleccione Firewall > Políticas de Firewall.
    Aparece la página Políticas de Firewall.
  2. Haga clic en Agregar Política.
    Aparece la página Agregar Política de Firewall.
  3. Seleccione el tipo de política Proxies.
  4. En la lista desplegable Proxies, seleccione proxy HTTPS y la acción Servidor-HTTPS.Estándar.
  5. Haga clic en Agregar Política.
    Aparece la página Agregar para el proxy HTTPS.
  6. Seleccione la pestaña Acción de Proxy.
  7. Desde la lista desplegable Acción de Proxy, seleccione Clonar la acción de proxy actual.
  8. En el cuadro de texto Nombre, ingrese un nombre para esta acción de proxy.
    Por ejemplo, ingrese Inspeccionar-Servidor-HTTPS.
  9. Configure las reglas de nombre de dominio con la acción Inspeccionar. Debe seleccionar la acción de proxy HTTP o la acción de contenido que se usará para la inspección, y seleccionar el certificado que se usará para esta regla de dominio. Este puede ser el certificado de Servidor Proxy predeterminado u otro certificado.
    Para obtener más información, consulte Proxy HTTPS: Reglas de Nombre de Dominio.
  10. Haga clic en Guardar.

Solución de Problemas con Inspección de Contenido HTTPS.

Su dispositivo crea mensajes de registro de tráfico cuando hay un problema con un certificado usado para la inspección de contenido de HTTPS. Recomendamos que verifique estos mensajes de registro para obtener más información.

Si las conexiones a los servidores web remotos se interrumpen frecuentemente, asegúrese de haber hecho lo siguiente:

  • Importar todos los certificados necesarios para confiar en el certificado CA utilizado para volver a cifrar el contenido HTTPS
  • Importar los certificados necesarios para confiar en el certificado del servidor web original

Debe importar todos estos certificados a su dispositivo y al dispositivo de cada cliente para que las conexiones sean exitosas.

Ver también

Acerca de los Certificados

Acerca del Proxy HTTPS

Administrar Certificados del Dispositivo (WSM)

Administrar Certificados del Dispositivo (Web UI)

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.