Proxy HTTPS: Inspección de Contenido

1. Edite la acción de proxy HTTPS que utiliza su política de proxy HTTPS.
   La pestaña Inspección de Contenido está seleccionada de forma predeterminada.

2. En la lista desplegable Perfil TLS, seleccione el perfil TLS que desea usar.
   Los ajustes para el perfil seleccionado se muestran en el Resumen de Inspección de Contenido.

• Versión Mínima del Protocolo — Muestra la versión de protocolo mínima permitida
• OCSP — Muestra si OCSP está configurado como Deshabilitado, Tolerante o Estricto
• Cifrados PFS — Muestra si los Cifrados de Perfect Forward Secrecy están configurados como Permitido, Requerido o Ninguno
• Cumplimiento TLS — Muestra si se impone el Cumplimiento TLS

3. Para editar el perfil TLS, haga clic en Editar. Los perfiles TLS predefinidos no son editables. Para editar un perfil TLS predefinido, primero debe hacer clic en Clonar para hacer una copia editable.

4. Configure los ajustes del Perfil TLS según sea necesario para su red. Para más información, consulte Configurar los Perfiles TLS.
5. Para habilitar la inspección de contenido, seleccione la acción Inspeccionar en las reglas de nombre de dominio o los ajustes de WebBlocker. Para más información, consulte Proxy HTTPS: Reglas de Nombre de Dominio y Proxy HTTPS: WebBlocker.

1. Edite la acción de proxy HTTPS que utiliza su política de proxy HTTPS.
2. En la lista Categorías, seleccione Inspección de Contenido.
   Aparecen los ajustes de Inspección de Contenido.

3. En la lista desplegable Perfil TLS, seleccione el perfil TLS que desea usar.
   Los ajustes para el perfil seleccionado se muestran en el Resumen de Inspección de Contenido.

• Versión Mínima del Protocolo — Muestra la versión de protocolo mínima permitida
• OCSP — Muestra si OCSP está configurado como Deshabilitado, Tolerante o Estricto
• Cifrados PFS — Muestra si los Cifrados PFS están configurados como Permitido, Requerido o Ninguno
• Cumplimiento TLS — Muestra si se impone el Cumplimiento TLS

4. Para editar el perfil TLS, haga clic en . Para editar un perfil TLS predefinido, debe hacer clic en para hacer una copia editable.

5. Configure los ajustes del Perfil TLS según sea necesario para su red. Para más información, consulte Configurar los Perfiles TLS.
6. Para habilitar la inspección de contenido, seleccione la acción Inspeccionar en las reglas de nombre de dominio o los ajustes de WebBlocker. Para más información, consulte Proxy HTTPS: Reglas de Nombre de Dominio y Proxy HTTPS: WebBlocker.

1. En la acción de proxy HTTPS, seleccione Inspección de Contenido.
   La sección Resumen de la Inspección de Contenido muestra la configuración actual de la Inspección de Contenido.

2. En la sección Resumen de Inspección de Contenido, haga clic en Editar.
   Aparece el cuadro de diálogo Configuración de Inspección de Contenido.

Cuadro de diálogo Configuración de Inspección de Contenido para una acción de proxy de cliente HTTPS en Fireware Web UI

Cuadro de diálogo Configuración de Inspección de Contenido en Policy Manager

3. Configure los ajustes de inspección de contenido descritos en la siguiente sección.
4. Agregue reglas de nombre de dominio con la acción Inspeccionar. Para más información, consulte Proxy HTTPS: Reglas de Nombre de Dominio.
5. Guardar la configuración en el Firebox.

En Fireware v12.1 e inferior, puede configurar estos ajustes de inspección de contenido en la acción de proxy, en lugar de en un perfil TLS:

Permitir solamente tráfico que cumpla con SSL

Cuando selecciona esta opción, la política de proxy HTTPS permite solo el tráfico que cumpla con los protocolos SSL V3, TLS 1.0, TLS 1.1 y TLS 1.2.

El tráfico que cumple con SSL se refiere a los mensajes del protocolo SSL que cumplen con los estándares SSL/TLS que se consideran seguros y pueden ser interpretados por el proxy HTTPS. Esta opción se habilita automáticamente cuando habilita la inspección de contenido. Si la inspección de contenido no está habilitada, puede permitir el tráfico de protocolo SSL no conforme (utilizado por algún software de VPN y otras aplicaciones), para habilitar el proxy HTTPS para enviar tráfico por el puerto 443 a través del Firebox.

Cuando la inspección de contenido está habilitada y el tráfico que cumple con SSL establece un túnel seguro a través del proxy HTTPS, si el tráfico tunelizado no utiliza un protocolo HTTP válido, la acción de proxy HTTP utilizada para la inspección solicita al Firebox que envíe un mensaje de registro sobre los errores y que descarte el tráfico.

Habilitar la Inspección de Contenido

Cuando marque la casilla de selección Habilitar Inspección de Contenido, el Firebox puede descifrar el tráfico HTTPS, examinar el contenido y luego cifrar el tráfico nuevamente con un nuevo certificado. Después de habilitar la inspección de contenido, configure las reglas de nombre de dominio y la categoría de WebBlocker para que el proxy las inspeccione. El proxy HTTPS utiliza la acción de proxy HTTP que usted selecciona para cada acción Inspeccionar para examinar el contenido.

Cuando habilita la inspección de contenido, el aspecto del sitio web puede verse afectado porque el proxy HTTP impondrá características como la extensión máxima de la línea de encabezado, y aplicará Gateway AntiVirus y WebBlocker a los elementos de la página.

Para especificar qué dominios y categorías de WebBlocker inspecciona esta acción de proxy HTTPS:

• En la lista Nombres de Dominio en la acción de proxy HTTPS, agregue un dominio con la acción Inspeccionar.
  Para más información, consulte Proxy HTTPS: Reglas de Nombre de Dominio.
• En la configuración WebBlocker en una acción de proxy de cliente HTTPS, edite la acción de WebBlocker. En la lista de categorías de WebBlocker, seleccione las categorías de contenido de WebBlocker para inspeccionar, o marque la casilla de selección Inspeccionar cuando una URL no esté categorizada.
  Para más información, consulte Proxy HTTPS: WebBlocker.

De manera predeterminada, el certificado CA de Autoridad Proxy que el Proxy HTTPS utiliza para cifrar el tráfico es generado automáticamente por su Firebox. Cuando utiliza este certificado, sus usuarios reciben una advertencia en sus exploradores web debido a que este es un certificado firmado automáticamente y no es de confianza. Para evitar estas advertencias, puede importar este certificado en cada dispositivo cliente.

El usuario también puede cargar su propio certificado para usar con este fin. Si elige cargar su propio certificado, le recomendamos que utilice su propia CA interna para firmar el certificado. Si sus usuarios están en su dominio, y usted utiliza un certificado firmado por su propia CA interna, los usuarios se pueden conectar satisfactoriamente sin advertencias en el explorador web.

Un cliente también puede descargar e instalar un certificado de Autoridad Proxy desde el Portal de Certificados en el Firebox en http://<Dirección IP del Firebox>:4126/certportal. Para más información, consulte Portal de Certificados.

Cuando habilita la inspección de contenido, las actualizaciones automáticas del certificado CA de confianza en el Firebox están habilitadas, si no estaban habilitadas antes.

Para información sobre cómo utilizar certificados con inspección de contenido, consulte Usar Certificados con Inspección de Contenido de Proxy HTTPS.

Para información sobre cómo exportar un certificado desde Firebox, consulte Exportar un Certificado desde su Firebox.

Para información sobre cómo importar un certificado en el dispositivo de un cliente, consulte Importar un Certificado en un Dispositivo cliente.

Si el sitio web original o su servidor web tiene un certificado autofirmado o inválido, o si el certificado fue firmado por una CA que Firebox no reconoce (como una CA pública de un tercero), los clientes ven una advertencia de certificado en sus exploradores web. Los certificados que no pueden volver a firmarse correctamente parecen haber sido emitidos por Proxy HTTPS de Fireware: Certificado no Reconocido o Certificado Inválido.

Algunos programas de terceros guardan copias privadas de certificados necesarios y no usan el almacenamiento de certificados del sistema operativo, o bien transmiten otros tipos de datos a través del puerto 443 TCP. Estos programas incluyen:

• Software de comunicaciones (por ejemplo, Google Voice)
• Escritorio remoto y software de presentaciones (por ejemplo, LiveMeeting y WebEx)
• Software financiero y comercial (por ejemplo, iVantage, FedEx y UPS)

Si estos programas no cuentan con un método para importar certificados CA de confianza, no funcionan correctamente cuando se habilita la inspección de contenido. Para obtener más información sobre el uso de certificados o el soporte técnico, comuníquese con su proveedor de software o agregue reglas de dominio con la acción Permitir para direcciones IP de equipos con este software para derivar la inspección de contenido.

Permitir SSLv3

TLSv1 y SSLv3 son protocolos usados para conexiones HTTPS. SSLv3 no es tan seguro como TLSv1. De manera predeterminada, el proxy HTTPS solo permite conexiones que negocien el protocolo TLSv1. Si los usuarios se conectan a aplicaciones de cliente o servidor que solo admiten SSLv3, puede configurar el proxy HTTPS para usar SSLv3 para las conexiones a estos sitios web.

Para habilitar SSLv3, marque la casilla de selección Permitir SSLv3. Esta opción está deshabilitada de forma predeterminada.

Use OCSP para validar certificados

Esta opción se aplica solo a las acciones de proxy de cliente HTTPS. Las acciones de proxy del servidor HTTPS no validan los certificados.

Marque esta casilla de selección si desea habilitar su Firebox para que revise automáticamente las revocaciones de certificados con OCSP (Protocolo en Estado del Certificado en Línea). Cuando se habilita esta característica, su Firebox usa la información del certificado para contactar a un servidor OCSP que mantiene un registro del estado del certificado. Si el servidor OCSP responde que el certificado ha sido revocado, su Firebox deshabilita el certificado.

Si selecciona esta opción, puede ocurrir una demora de varios segundos mientras que Firebox solicita una respuesta del servidor OCSP. Firebox mantiene entre 300 y 3000 respuestas de OCSP en una caché con el fin de mejorar el rendimiento para sitios web que se visitan con frecuencia. El número de respuestas que se guardan en el caché se determina según el modelo de su Firebox.

Esta opción implementa una política OCSP suelta. Si por alguna razón no se puede contactar al servidor OCSP y éste no envía una respuesta, el Firebox no deshabilita el certificado ni rompe la cadena del certificado.

Si no es posible validar un certificado, este se considerará inválido

Cuando esta opción está habilitada, el Firebox impone una política OCSP estricta. Si un respondedor OCSP no envía una repuesta a una solicitud de estado de revocación, Firebox considera el certificado original como inválido o revocado. Esta opción puede hacer que los certificados se consideren no válidos si hay un error de enrutamiento o un problema con la conexión de red.

Cifrados Perfect Forward Secrecy

El proxy HTTPS admite cifrado con capacidad PFS para conexiones TLS. Fireware solo admite el cifrado de Curva Elíptica Efímera Diffie-Hellman (ECDHE) para PFS.

Para controlar si el Firebox utiliza cifrados con capacidad PFS, elija una de estas opciones:

• Ninguno — El Firebox no anuncia ni selecciona cifrados con capacidad de PFS.
• Permitido — El Firebox anuncia y selecciona tanto cifrado con capacidad PFS como sin capacidad FPS.
• Requerido — El Firebox anuncia y selecciona solo cifrados con capacidad PFS.

La configuración que seleccione se aplica a las conexiones TLS del lado del cliente y del servidor. Cuando esta opción se establece en Permitido, el cliente no usa un cifrado PFS a menos que el servidor también use uno.

Los Cifrados Perfect Forward Secrecy requieren recursos significativos y pueden tener un impacto en el rendimiento del sistema en dispositivos Firebox T10, T15, T30, T35, T50, XTM 25, XTM 26 y XTM 33. En Fireware v11.12.1, no puede habilitar cifrados PFS para estos modelos.

El nombre de cifrado utilizado para las sesiones de TLS de cliente/servidor aparece en los mensajes de registro de tráfico de inspección de contenido HTTPS generado por el Firebox. Para obtener más información sobre los mensajes de registro, consulte Tipos de Mensajes de Registro.

Dominios Permitidos de Google Apps

Puede usar el proxy HTTPS (con inspección de contenido habilitada) para bloquear el acceso de los usuarios a servicios personales de Google. Para más información, consulte Restringir Aplicaciones de Google a Dominios Permitidos.

1. En la acción de proxy HTTPS, seleccione Inspección de Contenido.
   La sección Resumen de Inspección de Contenido muestra el estado de la Inspección de Contenido y los ajustes de la configuración actuales.

2. Para deshabilitar todas las inspecciones de contenido predefinidas, desmarque la casilla de selección Habilitar Excepciones de Inspección de Contenido Predefinidas.
3. Para especificar si se debe actualizar la lista de Excepciones de Inspección de Contenido automáticamente, marque o desmarque la casilla de selección Actualizar Automáticamente la Lista de Excepciones HTTPS.
4. Para deshabilitar excepciones de inspección de contenido específicas, debajo de Resumen de Inspección de Contenido, haga clic en Administrar Excepciones.
   Se abre el cuadro de diálogo Administrar Excepciones de Inspección de Contenido.

5. Busque un dominio o seleccione una opción de visualización:
   • Mostrar todos los nombres de dominio
   • Mostrar solo los nombres de dominio habilitados
   • Mostrar solo los nombres de dominio deshabilitados
     
6. Seleccione uno o más dominios.
7. En la lista desplegable Seleccionar Acción, seleccione Habilitar o Deshabilitar.
8. Haga clic en Guardar.

1. En la acción de proxy HTTPS, seleccione Inspección de Contenido.
   La sección Resumen de Inspección de Contenido muestra el estado de la inspección de contenido y los ajustes de configuración actuales.

2. Para deshabilitar todas las inspecciones de contenido predefinidas, desmarque la casilla de selección Habilitar Excepciones de Inspección de Contenido Predefinidas.
3. Para especificar si se debe actualizar la lista de Excepciones de Inspección de Contenido automáticamente, marque o desmarque la casilla de selección Actualizar Automáticamente la Lista de Excepciones HTTPS.
4. Para deshabilitar excepciones de inspección de contenido específicas, debajo de Resumen de Inspección de Contenido, haga clic en Administrar Excepciones.
   Se abre el cuadro de diálogo Administrar Excepciones de Inspección de Contenido.

5. Busque un dominio o seleccione una opción de visualización:
   • Mostrar todos los nombres de dominio
   • Mostrar solo los nombres de dominio habilitados
   • Mostrar solo los nombres de dominio deshabilitados
     
     
6. Seleccione uno o más dominios.
7. En la lista desplegable Seleccionar Acción, seleccione Habilitar o Deshabilitar.
8. Haga clic en Guardar.