Inspección SSL y servicios de seguridad - Mejores prácticas para cortafuegos

El artículo proporciona una guía paso a paso sobre la configuración de la inspección SSL en los firewalls Zyxel [USG FLEX, ATP Series], asegurando que el tráfico SSL es descifrado, escaneado y re-cifrado, seguido de las mejores prácticas de inspección SSL. Estas prácticas incluyen la activación de la inspección SSL, la determinación de criterios de excepción, la identificación de sitios web críticos y la actualización periódica de la lista de sitios de confianza.

Introducción

La inspección SSL, también conocida como descifrado SSL/TLS o descifrado SSL, es una técnica de seguridad empleada para supervisar el tráfico de red cifrado en busca de posibles amenazas. Con la adopción generalizada de HTTPS, el tráfico cifrado se ha convertido en la norma, lo que supone un reto para las medidas de seguridad tradicionales a la hora de detectar y mitigar amenazas. La Inspección SSL supera esta limitación descifrando los datos cifrados SSL, inspeccionándolos en busca de contenido malicioso y volviéndolos a cifrar para una entrega segura.

Zyxel ofrece Inspección SSL y una gama de servicios de seguridad, incluido el filtrado de reputación IP, para mejorar la seguridad de la red y protegerla contra las ciberamenazas en evolución. Configurando adecuadamente estos servicios y creando una lista de excepciones para determinados sitios, puede conseguir el equilibrio adecuado entre eficiencia y seguridad en su entorno de red.

1) Configurar la inspección SSL

La inspección SSL le permite comprobar los paquetes cifrados con SSL para que otros perfiles UTM funcionen correctamente con el tráfico HTTPS. Este vídeo le guiará a través de una configuración genérica.

En los cortafuegos Zyxel, puede excluir Categorías de filtro de contenido de la Inspección SSL.

Para ello, desplácese hasta la parte inferior de la "Lista de exclusión" y haga clic en "Avanzado".

Pasos a seguir:

1. Acceda a su dispositivo introduciendo su dirección IP en la línea de dirección del navegador e inicie sesión utilizando las credenciales del dispositivo
2. 2. Vaya a Configuración > Objeto > Certificado
3. Edita el certificado autofirmado por defecto y expórtalo
4. En Windows, debe ejecutar certmgr.msc e importar el certificado en Entidades emisoras de certificados raíz de confianza > Certificados.
5. 5. En el USG, vaya a Configuración > Perfil UTM > Inspección SSL.
6. Añada un nuevo perfil y seleccione el perfil que ha exportado anteriormente
7. Seleccione la acción que debe aplicarse al tráfico SSL
8. Vaya a Configuración > Política de seguridad > Control de políticas
9. 9. Añada una nueva regla con la opción Inspección SSL marcada
10. 10. Si, por ejemplo, utiliza Application Patrol, puede establecer la regla de LAN a WAN y seleccionar el perfil de Application Patrol que desea utilizar.

Cualquier tráfico SSL saliente de LAN a WAN será descifrado, analizado y eliminado o cifrado de nuevo.

Seleccione las categorías que desea excluir y haga clic en "Aplicar":

2) Buenas prácticas de inspección SSL

1. Activación de la inspección SSL: Antes de crear una lista de excepciones, asegúrese de que la Inspección SSL está correctamente habilitada en su dispositivo de seguridad Zyxel. Este paso puede implicar la generación e instalación de certificados SSL para evitar advertencias de seguridad en los dispositivos cliente (consulte este artículo).
2. Determinar los Criterios de Excepción: Defina criterios claros para añadir sitios web a la lista de excepciones. Normalmente, estos criterios deben incluir una evaluación exhaustiva de la reputación, el propósito y el nivel de confianza del sitio. Sólo deben considerarse excepciones los sitios web de confianza.
3. Sitios web y servicios críticos: Identifique los sitios web y servicios críticos que deben permanecer exentos de la inspección SSL para garantizar una funcionalidad ininterrumpida. Puede tratarse de aplicaciones empresariales esenciales, portales financieros o pasarelas de pago en línea.
4. Actualizar periódicamente los sitios de confianza: Las ciberamenazas evolucionan constantemente, y los sitios web que hoy son seguros pueden verse comprometidos mañana. Revise y actualice continuamente la lista de sitios de confianza para garantizar la seguridad de su entorno de red.
5. Listas blancas y listas negras: Utilice tanto listas blancas como negras para el filtrado de la reputación IP. Ponga en la lista blanca los sitios de confianza para evitar la inspección SSL, y en la lista negra los sitios maliciosos conocidos para mejorar las medidas de seguridad.
6. Recursos internos: Excluya los recursos de red internos, como sitios de intranet y servidores de confianza, de la inspección SSL para evitar una sobrecarga innecesaria de descifrado y recodificación.
7. Exención para datos confidenciales: Los sitios que manejan datos sensibles, como historiales médicos o información personal, deben ser considerados para la exención para proteger la privacidad del usuario y cumplir con las regulaciones de protección de datos.
8. Colaboración con los usuarios: Involucre a las partes interesadas clave y a los usuarios finales a la hora de crear la lista de excepciones. Recoger las opiniones y puntos de vista de los empleados puede ayudar a identificar los sitios web esenciales y mejorar la eficiencia general de la red.
9. Revisiones periódicas: Revise periódicamente la lista de excepciones para garantizar su pertinencia y eficacia. Elimine las entradas innecesarias y añada nuevos sitios de confianza según sea necesario.
10. Registro y supervisión: Habilite el registro y la supervisión detallados de SSL Inspection y los servicios de seguridad para detectar cualquier posible anomalía o intento de acceso no autorizado.

3) Recomendaciones sobre la lista de excepciones de sitios web de SSL Inspection

Dado que una lista de sitios web de confianza debe supervisarse y revisarse constantemente por motivos de seguridad, podemos sugerir algunas categorías de sitios web que suelen considerarse excepciones en la inspección SSL:

1. Instituciones financieras: Sitios web de bancos, cooperativas de crédito y otras instituciones financieras que manejan transacciones financieras sensibles y datos personales.
2. Sitios web gubernamentales y oficiales: Sitios web gubernamentales, portales oficiales y servicios públicos que requieren una comunicación segura.
3. Proveedores sanitarios: Sitios web de hospitales, clínicas y proveedores de atención sanitaria que manejan información médica confidencial.
4. Instituciones educativas: Sitios web de escuelas, universidades y plataformas educativas donde los estudiantes acceden a materiales y recursos de aprendizaje.
5. Recursos de redes internas: Sitios de intranet, servidores internos y otros recursos de confianza utilizados exclusivamente por la organización.
6. Herramientas de colaboración y comunicación: Herramientas de comunicación de confianza, como plataformas de videoconferencia o sistemas de mensajería para toda la empresa.
7. Sitios web jurídicos y de cumplimiento de la ley: Sitios web de bufetes de abogados, servicios jurídicos y cuerpos de seguridad que manejan información sensible.
8. Medios de comunicación y noticias reputados: Sitios web de noticias y medios de comunicación conocidos y consolidados.
9. Servidores de actualización de software y sistemas: Sitios web que proporcionan actualizaciones de software y parches de fuentes oficiales.
10. Proveedores de software como servicio (SaaS): Servicios de confianza basados en la nube que son fundamentales para las operaciones empresariales.

Recuerde que la lista de sitios web de confianza variará en función de las necesidades y requisitos específicos de su organización. Involucre siempre a las partes interesadas clave, como administradores de TI, jefes de departamento y usuarios finales, en el proceso de creación y mantenimiento de la lista de excepciones. Revise y actualice periódicamente la lista para garantizar su pertinencia y eficacia a la hora de proporcionar un equilibrio entre la eficiencia y la seguridad de la red.