Configurar los Perfiles TLS

Los perfiles de la Seguridad de Capa de Transporte (TLS) definen un conjunto de ajustes de seguridad que se pueden usar para la inspección de contenido mediante acciones de proxy compatibles con TLS. Para obtener más información sobre TLS, consulte Acerca de la Seguridad en Capa de Transporte (TLS).

Las políticas compatibles con perfiles TLS son las siguientes:

  • Proxy IMAP (compatible con Fireware v12.1 o superior)
  • Proxy HTTPS (compatible con Fireware v12.1.1 o superior)
  • Proxy POP3 (compatible con Fireware v12.2 o superior)
  • Proxy SMTP (compatible con Fireware v12.2 o superior)

En la configuración de Perfiles TLS, puede configurar los ajustes del perfil TLS y asignar perfiles TLS a las acciones de proxy.

Ajustes del Perfil TLS

En un perfil TLS, puede configurar estos ajustes:

Versión Mínima de protocolo

Los servidores proxy TLS admiten cuatro versiones de protocolo de encryption (cifrado) TLS para conexiones seguras. De menos seguro a más seguro, estos son: TLSv1.0, TLSv1.1, TLSv1.2, y TLSv1.3. El perfil TLS permite conexiones que negocian al menos la Versión de Protocolo Mínima especificada. Las opciones disponibles para la Versión Mínima de Protocolo son TLSv1.0, TLSv1.1 y TLSv1.2. Los perfiles TLS predefinidos especifican una Versión Mínima de Protocolo de TLS v1.0. Para cumplir con los requisitos del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), configure la Versión Mínima de Protocolo en TLS v1.1.

El protocolo SSLv3 no es seguro, y no es compatible con Fireware 12.4 y superior.

  • En Fireware 12.3.1 e inferior, puede seleccionar SSLv3 como la Versión Mínima de Protocolo. Recomendamos que no permita SSLv3 a menos que sea necesario para la compatibilidad con sistemas anteriores en redes internas.
  • En Fireware 12.4 y superior, no puede seleccionar SSLv3 como la Versión Mínima de Protocolo. Cuando un cliente especifica el protocolo SSLv3, los servidores proxy deniegan la conexión inmediatamente y no permiten la negociación a un protocolo diferente.

En Fireware v12.1.x, este ajuste se llama Permitir SSLv3 y está deshabilitado de forma predeterminada. Con la opción Permitir SSLv3 deshabilitada, el perfil TLS permite solo las conexiones que negocian el protocolo TLS v1.0 o superior.

Permitir solo el tráfico compatible con TLS

Cuando esta opción está habilitada, el perfil TLS solo permite el tráfico que cumple con los protocolos TLS 1.0, TLS 1.1, TLS 1.2, o TLS 1.3 (si el protocolo no es inferior a la Versión Mínima de Protocolo). Solo los mensajes del protocolo TLS que cumplen con los estándares TLS se consideran seguros y pueden ser interpretados por el proxy. Cuando una acción de proxy usa un perfil TLS que solo permite el tráfico compatible con TLS, el tráfico compatible con TLS establece un túnel seguro. Si el tráfico por túnel no utiliza un protocolo TLS válido, la acción de proxy que se usa para la inspección solicita al Firebox que envíe un mensaje de registro sobre los errores y descarte el tráfico.

Si habilita esta opción, principalmente aplica el tráfico HTTPS. Como los exploradores web suelen utilizar HTTPS, es posible que muchas aplicaciones cliente no se conecten a la nube.

Cuando esta opción está deshabilitada, el perfil TLS permite el tráfico que no cumple con los protocolos TLS a través del proxy sin más procesamiento.

Usar OCSP para validar certificados

Esta opción habilita su Firebox para revisar automáticamente las revocaciones de certificados con OCSP (Protocolo en Estado del Certificado en Línea). Cuando se habilita esta característica, su Firebox usa la información del certificado para contactar a un servidor OCSP que tiene un registro del estado del certificado. Si el servidor OCSP responde que el certificado ha sido revocado, su Firebox deshabilita el certificado. Esta opción se aplica solo a las acciones de proxy de cliente. Las acciones de proxy del servidor no validan los certificados.

Si habilita esta opción, puede ocurrir una demora de varios segundos mientras que su Firebox solicita una respuesta del servidor OCSP. Firebox mantiene entre 300 y 3000 respuestas de OCSP en una caché con el fin de mejorar el rendimiento para sitios que se visitan con frecuencia. El número de respuestas que se guardan en el caché se determina según el modelo de su Firebox.

Si no es posible validar un certificado, este se considerará inválido

Esta opción solo se aplica cuando la validación de OCSP está habilitada y controla si la validación de OCSP es Tolerante o Estricta.

  • Cuando esta opción está deshabilitada, el Firebox impone una política OCSP Tolerante. Si por alguna razón no se puede contactar al servidor OCSP y no envía una respuesta, Firebox no deshabilita el certificado ni romperá la cadena del certificado. Solo los certificados revocados se consideran inválidos.
  • Cuando esta opción está habilitada, el Firebox impone una política OCSP Estricta. Si un respondedor OCSP no envía una repuesta a una solicitud de estado de revocación, su Firebox considera al certificado original como inválido o revocado. Esta opción puede hacer que los certificados se consideren no válidos si hay un error de enrutamiento o un problema con la conexión de red. Solo los certificados con un indicador de buena respuesta se consideran válidos.

Cifrados Perfect Forward Secrecy

Las acciones TLS son compatibles con cifrados con capacidad PFS para conexiones TLS. Fireware solo admite el cifrado de Curva Elíptica Efímera Diffie-Hellman (ECDHE) para PFS.

Para controlar si el Firebox utiliza cifrados con capacidad PFS, elija una de estas opciones:

  • Ninguno — El Firebox no anuncia ni selecciona cifrados con capacidad de PFS.
  • Permitido — El Firebox anuncia y selecciona tanto cifrado con capacidad PFS como sin capacidad FPS.
  • Requerido — El Firebox anuncia y selecciona solo cifrados con capacidad PFS.

La configuración que seleccione se aplica a las conexiones TLS del lado del cliente y del servidor. Cuando esta opción se establece en Permitido, el cliente no usa un cifrado PFS a menos que el servidor también use uno.

Las conexiones TLS 1.3 siempre utilizan cifradores con capacidad PFS. Cuando esta opción se establece en Ninguno, las conexiones no pueden usar TLS 1.3 para la negociación de inspección de contenido proxy. TLS v1.2 y anterior se puede negocia basándose en el soporte de cliente/servidor y la Versión Mínima de Protocolo en el perfil TLS.

Para asegurarse de que sus usuarios puedan conectarse a través de HTTPS a sitios web que requieren TLS v1.3, recomendamos que no configure esta opción en Ninguno en sus Perfiles TLS.

Los Cifrados Perfect Forward Secrecy requieren recursos significativos y pueden tener un impacto en el rendimiento del sistema en dispositivos Firebox T10, T15, T30, T35, T50, XTM 25, XTM 26 y XTM 33. En Fireware 12.1.2 e inferior, no puede habilitar cifrados PFS para estos modelos.

El nombre de cifrado que se utiliza para las sesiones de TLS de cliente/servidor aparece en los mensajes de registro de tráfico de inspección de contenido generado por el Firebox. Para obtener más información sobre los mensajes de registro, consulte Tipos de Mensajes de Registro.

Perfiles TLS Predefinidos

Hay cuatro perfiles TLS predefinidos. Esta tabla resume las diferencias en los ajustes de cada perfil TLS predefinido, así como las acciones de proxy que puede usar cada perfil.

Perfil TLS OCSP Conformidad con TLS Utilizado por las Acciones de Proxy
TLS-Client.Standard Deshabilitado No aplicado IMAP-Client.Standard
POP3-Client.Standard
SMTP-Outgoing.Standard
TLS-Server.Standard N/D Aplicado IMAP-Server.Standard
POP3-Server.Standard
SMTP-Incoming.Standard
TLS-Client-HTTPS.Standard Permisible No aplicado HTTPS-Client.Standard
TLS-Server-HTTPS.Standard N/D No aplicado HTTPS-Server.Standard

Administrar Perfiles TLS

Desde la página de Perfiles TLS, puede clonar y editar los perfiles TLS. También puede seleccionar qué perfil TLS se usa para cada acción de proxy.

Clonar o Editar un Perfil TLS

Usted no puede editar perfiles TLS predefinidos. Para agregar un nuevo perfil TLS, debe clonar un perfil existente.

  1. Seleccione Firewall > Perfiles TLS.
    Aparece la página Perfiles TLS.

Screen shot of the TLS Profiles page in Fireware Web UI

  1. En la lista Perfiles de Seguridad de Capa de Transporte, seleccione el perfil TLS que desea clonar o editar.
  2. Haga clic en Clonar o Editar.

Screen shot of a client TLS profile

  1. Edite los ajustes para su perfil según sea necesario.
  1. Seleccione Ajustes > Acciones > Perfiles TLS.
    Aparece el cuadro de diálogo Perfiles de Seguridad de Capa de Transporte.

Screen shot of the Transport Layer Security Profiles dialog box in Policy Manager

  1. Seleccione el perfil TLS que desea clonar o editar.
  2. Haga clic en Clonar o Editar.

Screen shot of the Clone TLS Profile dialog box

  1. Edite los ajustes para su perfil según sea necesario.

También puede clonar o editar el perfil TLS cuando configura la inspección de contenido o los ajustes TLS en la acción de proxy.

Configurar Perfiles TLS para Políticas de Proxy

De forma predeterminada, las acciones de proxy compatibles con perfiles TLS usan perfiles TLS predefinidos. Para cambiar el perfil TLS que usa una acción de proxy, puede editar la acción de proxy, o puede cambiar el perfil TLS asignado de la lista Políticas en la configuración de Perfiles TLS.

Para las acciones de proxy compatibles con la TLS implícita y explícita, puede seleccionar perfiles de TLS separados para la TLS implícita y la TLS explícita (también conocida como STARTTLS). Para obtener más información sobre la TLS implícita y explícita, consulte Acerca de la Seguridad en Capa de Transporte (TLS).

Usted no puede cambiar el perfil TLS asignado a una acción de proxy predefinida. Primero debe clonar una acción de proxy. Para más información, consulte Acerca de las Acciones de Proxy.

  1. Seleccione Firewall > Perfiles TLS.
    Aparece la página Perfiles TLS.

Screen shot of the Policies that Support TLS Profiles list in the TLS Profiles page

  1. En la lista Políticas Compatibles con Perfiles TLS, seleccione una o más acciones de proxy de cliente o servidor.
  2. Para seleccionar el perfil TLS para la TLS explícita, en la lista desplegable Seleccionar el Perfil TLS, seleccione el perfil TLS que desea usar.
  3. Para acciones de proxy compatibles con TLS implícita, en la lista desplegable Seleccionar el Perfil STARTTLS, seleccione el perfil TLS que desea usar.
  4. Para guardar los ajustes actualizados del perfil TLS en las acciones de proxy, haga clic en Guardar.
  1. Seleccione Ajustes > Acciones > Perfiles TLS.
    Aparece el cuadro de diálogo Perfiles de Seguridad de Capa de Transporte.
  2. Haga clic en la pestaña Políticas.

Screen shot of the TLS Profiles dialog Policies tab in Policy Manager

  1. Seleccione una o más acciones de proxy de cliente o servidor.
  2. Para seleccionar el perfil TLS para la TLS explícita, en la lista desplegable Seleccionar el Perfil TLS, seleccione el perfil TLS que desea usar.
  3. Para acciones de proxy compatibles con TLS implícita, en la lista desplegable Seleccionar el Perfil STARTTLS, seleccione el perfil TLS que desea usar.

Habilitar la Inspección de Contenido en la Acción de Proxy

Para que una acción de proxy use el perfil TLS asignado para la inspección de contenido, debe seleccionar la acción Inspeccionar en los ajustes de la acción de proxy.

Para obtener información sobre cómo seleccionar el perfil TLS y configurar la inspección de contenido en acciones de proxy, consulte:

Ver También

Acerca de la Seguridad en Capa de Transporte (TLS)

Acerca de las Acciones de Proxy

Acerca de las Propiedades de las Políticas