Temas Relacionados
Configurar los Perfiles TLS
Los perfiles de la Seguridad de Capa de Transporte (TLS) definen un conjunto de ajustes de seguridad que se pueden usar para la inspección de contenido mediante acciones de proxy compatibles con TLS. Para obtener más información sobre TLS, consulte Acerca de la Seguridad en Capa de Transporte (TLS).
Las políticas compatibles con perfiles TLS son las siguientes:
-
- Proxy HTTPS (compatible con Fireware v12.1.1 o posterior)
- Proxy POP3 (compatible con Fireware v12.2 o posterior)
- Proxy SMTP (compatible con Fireware v12.2 o posterior)
En la configuración de Perfiles TLS, puede configurar los ajustes del perfil TLS y asignar perfiles TLS a las acciones de proxy.
Ajustes del Perfil TLS
En un perfil TLS, puede configurar estos ajustes:
Versión Mínima de protocolo
Los perfiles TLS son compatibles con tres protocolos de encryption (cifrado) para conexiones seguras. De menos seguro a más seguro, estos son: SSL v3, TLSv1.0 y TSLv1.1. El perfil TLS permite conexiones que negocian el valor mínimo del protocolo especificado. Los perfiles TLS predefinidos especifican una Versión Mínima de Protocolo de TLS v1.0. Para cumplir con los requisitos del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), configure la Versión Mínima de Protocolo en TLS v1.1.
Recomendamos que no permita SSLv3 a menos que sea necesario para la compatibilidad con sistemas anteriores en redes internas.
En Fireware v12.1.x, este ajuste se llama Permitir SSLv3 y está deshabilitado de forma predeterminada. Con la opción Permitir SSLv3 deshabilitada, el perfil TLS permite solo las conexiones que negocian el protocolo TLS v1.0 o posterior.
Permitir solo el tráfico compatible con TLS
Cuando esta opción está habilitada, el perfil TLS solo permite el tráfico que cumple con los protocolos TLS 1.0, TLS 1.1 o TLS 1.2 (si el protocolo no es inferior a la Versión Mínima de Protocolo). Solo los mensajes del protocolo TLS que cumplen con los estándares TLS se consideran seguros y pueden ser interpretados por el proxy. Cuando una acción de proxy usa un perfil TLS que solo permite el tráfico compatible con TLS, el tráfico compatible con TLS establece un túnel seguro. Si el tráfico por túnel no utiliza un protocolo TLS válido, la acción de proxy que se usa para la inspección solicita al Firebox que envíe un mensaje de registro sobre los errores y descarte el tráfico.
Usar OCSP para validar certificados
Esta opción habilita su Firebox para revisar automáticamente las revocaciones de certificados con OCSP (Protocolo en Estado del Certificado en Línea). Cuando se habilita esta característica, su Firebox usa la información del certificado para contactar a un servidor OCSP que tiene un registro del estado del certificado. Si el servidor OCSP responde que el certificado ha sido revocado, su Firebox deshabilita el certificado. Esta opción se aplica solo a las acciones de proxy de cliente. Las acciones de proxy del servidor no validan los certificados.
Si habilita esta opción, puede ocurrir una demora de varios segundos mientras que su Firebox solicita una respuesta del servidor OCSP. Firebox mantiene entre 300 y 3000 respuestas de OCSP en una caché con el fin de mejorar el rendimiento para sitios que se visitan con frecuencia. El número de respuestas que se guardan en el caché se determina según el modelo de su Firebox.
Si no es posible validar un certificado, el se considerará inválido.
Esta opción solo se aplica cuando la validación de OCSP está habilitada y controla si la validación de OCSP es Tolerante o Estricta.
- Cuando esta opción está deshabilitada, el Firebox impone una política OCSP Tolerante. Si por alguna razón no se puede contactar al servidor OCSP y no envía una respuesta, Firebox no deshabilita el certificado ni romperá la cadena del certificado. Solo los certificados revocados se consideran inválidos.
- Cuando esta opción está habilitada, el Firebox impone una política OCSP Estricta. Si un respondedor OCSP no envía una repuesta a una solicitud de estado de revocación, su Firebox considera al certificado original como inválido o revocado. Esta opción puede hacer que los certificados se consideren no válidos si hay un error de enrutamiento o un problema con la conexión de red. Solo los certificados con un indicador de buena respuesta se consideran válidos.
Cifrados Perfect Forward Secrecy
Las acciones TLS son compatibles con cifrados con capacidad PFS para conexiones TLS. Fireware solo admite el cifrado de Curva Elíptica Efímera Diffie-Hellman (ECDHE) para PFS.
Para controlar si el Firebox utiliza cifrados con capacidad PFS, elija una de estas opciones:
- Ninguno — El Firebox no anuncia ni selecciona cifrados con capacidad de PFS.
- Permitido — El Firebox anuncia y selecciona tanto cifrado con capacidad PFS como sin capacidad FPS.
- Requerido — El Firebox anuncia y selecciona solo cifrados con capacidad PFS.
La configuración que seleccione se aplica a las conexiones TLS del lado del cliente y del servidor. Cuando esta opción se establece en Permitido, el cliente no usa un cifrado PFS a menos que el servidor también use uno.
Los Cifrados Perfect Forward Secrecy requieren de recursos significativos y pueden impactar el rendimiento del sistema en dispositivos Firebox T10, T15, T30, T35, T50, XTM 25, XTM 26 y XTM 33. Usted no puede habilitar cifrados PFS para estos modelos.
El nombre de cifrado que se utiliza para las sesiones de TLS de cliente/servidor aparece en los mensajes de registro de tráfico de inspección de contenido generado por el Firebox. Para obtener más información sobre los mensajes de registro, consulte Tipos de Mensajes de Registro.
Perfiles TLS Predefinidos
Hay cuatro perfiles TLS predefinidos. Esta tabla resume las diferencias en los ajustes de cada perfil TLS predefinido, así como las acciones de proxy que puede usar cada perfil.
| Perfil TLS | OCSP | Conformidad con TLS | Utilizado por las Acciones de Proxy |
|---|---|---|---|
| TLS-Client.Standard | Deshabilitado | No aplicado |
IMAP-Client.Standard |
| TLS-Server.Standard | N/D | Aplicado | IMAP-Server.Standard POP3-Server.Standard SMTP-Incoming.Standard |
| TLS-Client-HTTPS.Standard | Permisible | No aplicado | HTTPS-Client.Standard |
| TLS-Server-HTTPS.Standard | N/D | No aplicado | HTTPS-Server.Standard |
Administrar Perfiles TLS
Desde la página de Perfiles TLS, puede clonar y editar los perfiles TLS. También puede seleccionar qué perfil TLS se usa para cada acción de proxy.
Clonar o Editar un Perfil TLS
Usted no puede editar perfiles TLS predefinidos. Para agregar un nuevo perfil TLS, debe clonar un perfil existente.
- Seleccione Firewall > Perfiles TLS.
Aparece la página Perfiles TLS.
- En la lista Perfiles de Seguridad de Capa de Transporte, seleccione el perfil TLS que desea clonar o editar.
- Haga clic en Clonar o Editar.
- Edite los ajustes para su perfil según sea necesario.
- Seleccione Ajustes > Acciones > Perfiles TLS.
Aparece el cuadro de diálogo Perfiles de Seguridad de Capa de Transporte.
- Seleccione el perfil TLS que desea clonar o editar.
- Haga clic en Clonar o Editar.
- Edite los ajustes para su perfil según sea necesario.
También puede clonar o editar el perfil TLS cuando configura la inspección de contenido o los ajustes TLS en la acción de proxy.
Configurar Perfiles TLS para Políticas de Proxy
De forma predeterminada, las acciones de proxy compatibles con perfiles TLS usan perfiles TLS predefinidos. Para cambiar el perfil TLS que usa una acción de proxy, puede editar la acción de proxy, o puede cambiar el perfil TLS asignado de la lista Políticas en la configuración de Perfiles TLS.
Para las acciones de proxy compatibles con la TLS implícita y explícita, puede seleccionar perfiles de TLS separados para la TLS implícita y la TLS explícita (también conocida como STARTTLS). Para obtener más información sobre la TLS implícita y explícita, consulte Acerca de la Seguridad en Capa de Transporte (TLS).
Usted no puede cambiar el perfil TLS asignado a una acción de proxy predefinida. Primero debe clonar una acción de proxy. Para obtener más información, consulte Acerca de las Acciones de Proxy.
- Seleccione Firewall > Perfiles TLS.
Aparece la página Perfiles TLS.
- En la lista Políticas Compatibles con Perfiles TLS, seleccione una o más acciones de proxy de cliente o servidor.
- Para seleccionar el perfil TLS para la TLS explícita, en la lista desplegable Seleccionar el Perfil TLS, seleccione el perfil TLS que desea usar.
- Para acciones de proxy compatibles con TLS implícita, en la lista desplegable Seleccionar el Perfil STARTTLS, seleccione el perfil TLS que desea usar.
- Para guardar los ajustes actualizados del perfil TLS en las acciones de proxy, haga clic en Guardar.
- Seleccione Ajustes > Acciones > Perfiles TLS.
Aparece el cuadro de diálogo Perfiles de Seguridad de Capa de Transporte. - Haga clic en la pestaña Políticas.
- Seleccione una o más acciones de proxy de cliente o servidor.
- Para seleccionar el perfil TLS para la TLS explícita, en la lista desplegable Seleccionar el Perfil TLS, seleccione el perfil TLS que desea usar.
- Para acciones de proxy compatibles con TLS implícita, en la lista desplegable Seleccionar el Perfil STARTTLS, seleccione el perfil TLS que desea usar.
Habilitar la Inspección de Contenido en la Acción de Proxy
Para que una acción de proxy use el perfil TLS asignado para la inspección de contenido, debe seleccionar la acción Inspeccionar en los ajustes de la acción de proxy.
Para obtener información sobre cómo seleccionar el perfil TLS y configurar la inspección de contenido en acciones de proxy, consulte:
- Proxy HTTPS: Inspección de contenido
- Proxy SMTP: Encryption (Cifrado) STARTTLS
- Proxy SMTP: TLS
- Proxy IMAP: TLS
- Proxy POP3: TLS
Ver también
Acerca de la Seguridad en Capa de Transporte (TLS)