Configuração do proxy SSL
O dispositivo da Série SRX oferece suporte a proxy SSL e proxy reverso SSL.
Configuração do proxy de encaminhamento SSL
- Visão geral da configuração de proxy SSL
- Configuração de um certificado de CA raiz
- Gere um certificado de CA raiz com CLI
- Configuração de um grupo de perfil ca
- Importando um certificado de CA raiz em um navegador
- Aplicar um perfil de proxy SSL a uma política de segurança
- Configuração do registro de proxy SSL
- Configuração de perfis de autoridade de certificados
- Certificados de exportação para um local especificado
- Ignorando a autenticação do servidor
Visão geral da configuração de proxy SSL
A configuração do SSL Forward Proxy exibe uma visão geral de como o proxy SSL está configurado. A configuração do proxy SSL inclui:
-
Configurando o certificado de CA raiz
-
Carregando um grupo de perfil ca
-
Configure o perfil de proxy SSL e o certificado de CA raiz associado e o grupo de perfil ca
-
Crie uma política de segurança definindo critérios de correspondência de tráfego de entrada
-
Aplicar um perfil de proxy SSL a uma política de segurança
-
Etapas opcionais, como a criação de listas de permitidores e registro de proxy SSL
Configuração de um certificado de CA raiz
Uma CA pode emitir vários certificados na forma de uma estrutura de árvore. Um certificado raiz é o certificado mais alto da árvore, da qual a chave privada é usada para sign outros certificados. Todos os certificados imediatamente abaixo do certificado raiz herdam a assinatura ou confiabilidade do certificado raiz. Isso é um pouco como a notarizing de uma identidade.
Você pode configurar um certificado ca raiz primeiro obtendo um certificado ca raiz (gerando um auto-assinado ou importando um) e, em seguida, aplicando-o a um perfil de proxy SSL. Você pode obter um certificado ca raiz usando o Junos OS CLI
Gere um certificado de CA raiz com CLI
Para definir um certificado auto-assinado na CLI, você deve fornecer os seguintes detalhes:
Identificador de certificado (gerado na etapa anterior)
Nome de domínio totalmente qualificado (FQDN) para o certificado
endereço de e-mail da entidade que possui o certificado
Nome comum e a organização envolvida
Gere um certificado ca raiz usando o Junos OS CLI:
Configuração de um grupo de perfil ca
O perfil da CA define as informações do certificado para autenticação. Ele inclui a chave pública que o proxy SSL usa ao gerar um novo certificado. O Junos OS permite criar um grupo de perfis de CA e carregar vários certificados em uma ação, visualizar informações sobre todos os certificados em um grupo e excluir grupos de CA indesejados.
Você pode carregar um grupo de perfis de CA obtendo uma lista de certificados de CA confiáveis, definindo um grupo de CA e anexando o grupo CA ao perfil de proxy SSL.
Você pode exibir facilmente informações sobre todos os certificados em um grupo de perfil da CA:
user@host> show security pki ca-certificates ca-profile-group group-name
Você pode excluir um grupo de perfil da CA. Lembre-se que excluir um grupo de perfil da CA exclui todos os certificados que pertencem a esse grupo:
user@host> clear security pki ca-certificates ca-profile-group group-name
Importando um certificado de CA raiz em um navegador
Para que seu navegador ou sistema confie automaticamente em todos os certificados assinados pelo CA raiz configurados no perfil de proxy SSL, você deve instruir sua plataforma ou navegador a confiar no certificado raiz do CA.
Para importar um certificado de CA raiz:
Aplicar um perfil de proxy SSL a uma política de segurança
O proxy SSL é habilitado como um serviço de aplicativo dentro de uma política de segurança. Em uma política de segurança, você especifica o tráfego em que deseja que o proxy SSL seja ativado como critério de correspondência e depois especifique o perfil de CA proxy SSL a ser aplicado ao tráfego. A Figura 1 exibe uma visão gráfica do perfil de proxy SSL e configuração de políticas de segurança.
Para habilitar o proxy SSL em uma política de segurança:
Este exemplo pressupõe que você já cria zonas de segurança confiáveis e não confiáveis e cria uma política de segurança para o tráfego da zona de confiança até a zona não confiável.
Configuração do registro de proxy SSL
Ao configurar o proxy SSL, você pode optar por definir a opção de receber alguns ou todos os logs. Os registros de proxy SSL contêm o nome do sistema lógico, listas de proxy SSL, informações de políticas, informações de proxy SSL e outras informações que ajudam você a solucionar problemas quando há um erro.
Você pode configurar o registro de all eventos ou eventos específicos, como erros, avisos e eventos de informações. Você também pode configurar o registro de sessões que são permitidas listadas, retiradas, ignoradas ou permitidas após a ocorrência de um erro.
[edit] user@host# set services ssl proxy profile profile-name actions log all user@host# set services ssl proxy profile profile-name actions log sessions-whitelisted user@host# set services ssl proxy profile profile-name actions log sessions-allowed user@host# set services ssl proxy profile profile-name actions log errors
Você pode usar enable-flow-tracing a opção para habilitar o rastreamento de depuração.
Configuração de perfis de autoridade de certificados
Uma configuração de perfil de autoridade de certificado (CA) contém informações específicas de um CA. Você pode ter vários perfis de CA em um dispositivo da Série SRX. Por exemplo, você pode ter um perfil para orgA e outro para orgB. Cada perfil está associado a um certificado ca. Se você quiser carregar um novo certificado de CA sem remover o mais antigo, crie um novo perfil de CA (por exemplo, Microsoft-2008). Você pode agrupar vários perfis de CA em um grupo de CA confiável para uma determinada topologia.
Neste exemplo, você cria um perfil de CA chamado ca-profile-security com identidade CA microsoft-2008. Em seguida, você cria um perfil de proxy para o perfil da CA.
Certificados de exportação para um local especificado
Quando um certificado auto-assinado é gerado usando um comando PKI, o certificado recém-gerado é armazenado em um local predefinido (var/db/certs/common/local).
Use o seguinte comando para exportar o certificado para um local específico (dentro do dispositivo). Você pode especificar o certificado ID, o nome do arquivo e o tipo de formato de arquivo (DER/PEM):
user@host> request security pki local-certificate export certificate-id certificate-id filename filename type der
Ignorando a autenticação do servidor
O Junos OS permite configurar uma opção de ignorar completamente a autenticação do servidor. Se você configurar seu sistema para ignorar a autenticação, todos os erros encontrados durante a verificação do certificado de servidor no momento do aperto de mão SSL são ignorados. Erros comumente ignorados incluem a incapacidade de verificar a assinatura do CA, datas de expiração incorretas do certificado e assim por diante. Se essa opção não for definida, todas as sessões em que o servidor envia certificados autografados são retiradas quando erros são encontrados.
Não recomendamos o uso dessa opção de autenticação porque configurá-la resulta em sites que não estão sendo autenticados. No entanto, você pode usar essa opção para identificar efetivamente a causa raiz das sessões de SSL derrubadas.
Do modo de configuração, especifique para ignorar a autenticação do servidor:
[edit] user@host# set services ssl proxy profile profile-name actions ignore-server-auth-failure
Proxy reverso SSL
- Visão geral
- Configurando o proxy reverso SSL
- Verificando a configuração de proxy reverso SSL no dispositivo
Visão geral
A implementação do modelo de proxy para proteção de servidor (muitas vezes chamada de proxy reverso) é suportada em dispositivos da Série SRX para fornecer handshaking aprimorado e suporte para mais versões de protocolo. Você pode habilitar serviços de Camada 7 (segurança de aplicativos, IPS, UTM, SKY ATP) no tráfego descriptografado pelo proxy reverso SSL.
A partir do Junos OS Release 15.1X49-D80 e 17.3R1, o proxy reverso SSL é suportado nos dispositivos SRX5000 Series, SRX4100, SRX4200, SRX1500.
A partir do Junos OS Release 15.1X49-D80 e 17.3R1, recomendamos o uso do proxy reverso SSL e detecção e prevenção de invasões (IDP) em vez de usar a funcionalidade de inspeção de SSL IDP.
A partir do Junos OS 15.1X49-D80 e 17.3R1, o IDP SSL Inspection é preterido — em vez de imediatamente removido — para fornecer compatibilidade reversa e uma chance de colocar sua configuração em conformidade com a nova configuração.
#id-overview__rp-compare1 fornece as alterações aplicáveis em dispositivos da Série SRX após versões 15.1X48-D80 e 17.3R1.
Recurso |
Antes do 15.1X49-D80 |
15,1X49-D80 e 17.3R1 depois |
|---|---|---|
Modelo de proxy |
É executado apenas no modo tap Em vez de participar do aperto de mão SSL, ele ouve o aperto de mão SSL, computa chaves de sessão e, em seguida, descriptografa o tráfego SSL. |
Encerra a SSL do cliente no dispositivo da Série SRX e inicia uma nova conexão SSL com um servidor. Descriptografa o tráfego SSL do cliente/servidor e criptografa novamente (após inspeção) antes de enviar para o servidor/cliente. |
Versão do protocolo |
Não oferece suporte a TLS versões 1.1 e 1.2. |
Oferece suporte a todas as versões de protocolo atuais. |
Principais métodos de troca |
|
|
Sistema Echo |
Acoplado ao mecanismo IDP e ao detector. |
Usa o proxy SSL avançado existente com proxy TCP por baixo. |
Serviços de segurança |
O tráfego SSL descriptografado só pode ser inspecionado pelo IDP. |
Assim como o proxy avançado, o tráfego SSL descriptografado está disponível para todos os serviços de segurança. |
Cifras suportadas |
Um conjunto limitado de cifras é suportado. |
Todas as cifras comumente usadas são suportadas. |
Você deve configurar um root-ca ou outro server-certificate perfil de proxy SSL. Caso contrário, a verificação de compromisso falha. Consulte #id-overview__profile tipo1.
certificado de servidor configurado |
configurado root-ca |
Tipo de perfil |
|---|---|---|
Não |
Não |
A verificação de confirmação falha. Você deve configurar ou |
Sim |
Sim |
A verificação de confirmação falha. A configuração de ambos |
Não |
Sim |
Encaminhe o proxy |
Sim |
Não |
Proxy reverso |
A configuração de várias instâncias de perfis de proxy avançados e reversos é suportada. No entanto, para uma determinada política de firewall, apenas um perfil (seja um perfil de proxy avançado ou reverso) pode ser configurado. A configuração de proxy avançado e reverso no mesmo dispositivo também é suportada.
Você não pode configurar a implementação anterior de proxy reverso com a nova implementação de proxy reverso para uma determinada política de firewall. Se ambos estiverem configurados, você receberá uma mensagem de falha de verificação de compromisso.
As seguintes são as etapas mínimas para configurar o proxy reverso:
O proxy de encaminhamento ESL e o proxy reverso exigem que um perfil seja configurado no nível de regra do firewall. Além disso, você também deve configurar certificados de servidor com chaves privadas para proxy reverso. Durante um aperto de mão SSL, o proxy SSL realiza uma busca por uma chave privada de servidor correspondente em seu banco de dados de tabela de hash de chave privada do servidor. Se a busca for bem sucedida, o aperto de mão continua. Caso contrário, o proxy SSL encerra o aperto de mão. O proxy reverso não proíbe certificados de servidor. Ele encaminha o certificado/cadeia real do servidor como é para o cliente sem modificá-lo. A interceptação do certificado do servidor ocorre apenas com proxy avançado.
Os seguintes mostram configurações de perfil de proxy reverso e avançado.
# show services ssl
...
proxy {
  profile ssl-inspect-profile-dut { # For forward proxy. No server cert/key is needed.
trusted-ca all;
    root-ca ssl-inspect-ca;
    actions {
      ignore-server-auth-failure;
      log {
        all;
      }
    }
  }
  profile ssl-1 {
trusted-ca all;
    root-ca ssl-inspect-ca;
    actions {
      ignore-server-auth-failure;
      log {
        all;
      }
    }
  }
profile ssl-2 {
trusted-ca all;
    root-ca ssl-inspect-ca;
    actions {
      ignore-server-auth-failure;
      log {
        all;
      }
    }
  }
  profile ssl-server-protection { # For reverse proxy. No root-ca is needed.
    server-certificate ssl-server-protection;
    actions {
      log {
        all;
      }
    }
  }
}
...
Configurando o proxy reverso SSL
Este exemplo mostra como configurar o proxy reverso para habilitar a proteção do servidor. Para a proteção do servidor, além disso, o(s) certificado(s) do servidor com(s) chave(s) privada deve ser configurado.
Um proxy reverso protege os servidores escondendo os detalhes dos servidores dos clientes, adicionando uma camada extra de segurança.
Para configurar um proxy reverso SSL, você deve:
Carregue o(s) certificado(s) do servidor e a(s) chave(s) no repositório de certificados do dispositivo da Série SRX.
Anexe o(s) identificador(s) de certificados de servidor ao perfil de proxy SSL.
Aplique o perfil de proxy SSL como serviços de aplicativo em uma política de segurança.
Para configurar o proxy reverso SSL:
Verificando a configuração de proxy reverso SSL no dispositivo
Propósito
Visualizando as estatísticas de proxy reverso de SSL no dispositivo da Série SRX.
Ação
Você pode ver as estatísticas de proxy SSL usando o show services ssl proxy statistics comando.
root@host> show services ssl proxy statistics PIC:spu-1 fpc[0] pic[1] ------ sessions matched 0 sessions whitelisted 0 sessions bypassed:non-ssl 0 sessions bypassed:mem overflow 0 sessions bypassed:low memory 0 sessions created 0 sessions ignored 0 sessions active 0 sessions dropped 0
Configure o proxy SSL com UTM
Os dispositivos da Série SRX oferecem suporte à proteção do cliente (proxy avançado) e proteção de servidor (proxy reverso). Você pode configurar o perfil de proxy SSL para proxy avançado e proxy reverso com o gerenciamento unificado de ameaças (UTM) habilitado.
Configure o proxy de encaminhamento SSL com UTM
Nesse procedimento, você configura um perfil de proxy de encaminhamento SSL com UTM. Quando você configura a UTM, o proxy SSL atua como um servidor SSL, encerrando a sessão SSL do cliente e estabelecendo uma nova sessão SSL para o servidor. O dispositivo da Série SRX descriptografa e rescriptografa todo o tráfego proxy SSL. A UTM pode usar o conteúdo descriptografado do proxy SSL.
Gere certificado local como root-ca.
Configure o proxy reverso SSL com UTM
Nesse procedimento, você configura um perfil de proxy reverso SSL com UTM.
Criação de uma lista de destinos isentos para proxy SSL
A criptografia e a descriptografia SSL podem consumir recursos de memória nos dispositivos da Série SRX. Para limitar isso, você pode contornar seletivamente o processamento de proxy SSL para algumas sessões, como sessões que fazem transações com servidores ou domínios confiáveis familiares. Você também pode isentar as sessões com sites financeiros e bancários devido a requisitos legais.
Para isentar as sessões do proxy SSL, você pode criar uma lista de habilitação adicionando endereços IP ou nomes de domínio dos servidores. As listas de permitem incluir endereços que você deseja isentar de passar por processamento de proxy SSL.
Use as seguintes etapas para criar a lista de permitidores:
Especifique endereços IP e nome de domínio em sua lista de endereços global.
Consulte a lista de endereços global no perfil de proxy SSL.
Você pode configurar os seguintes tipos de endereços IP na lista de endereços global.
Endereços IPv4 (texto simples). Por exemplo:
set security address-book global address address-4 192.0.2.117
Faixa de endereço IPv4. Por exemplo:
set security address-book global address address-2 range-address 192.0.2.117 to 192.0.2.199
Curinga IPv4. Por exemplo:
set security address-book global address address-3 wildcard-address 203.0.113.0/24
Nome da DNS. Por exemplo:
set security address-book global address address-1 dns-name www.abc.com
Endereço IPv6. Por exemplo:
set security address-book global address address-5 FE80::/10
As listas de permitem não dar suporte aos seguintes tipos de endereços IP:
Endereços IP traduzidos. As sessões são permitidas listadas com base no endereço IP real e não no endereço IP traduzido. Por causa disso, na configuração de lista de habilitação do perfil de proxy SSL, o endereço IP real deve ser fornecido e não o endereço IP traduzido.
Máscaras de rede nãotiguosas. Por exemplo:
É suportado endereço IP -203.0.113.0 e máscara 255.255.255.0 que é 203.0.113.0/24.
Endereço IP - 203.0.113.9 e máscara 255.0.255.0 não é suportado.
O exemplo a seguir mostra como usar listas de acesso no perfil de proxy SSL.
Neste exemplo, você isenta todas as sessões para www.mycompany.com. Para isso, primeiro você especifica o domínio na lista de endereços e, em seguida, configura o endereço no perfil de proxy SSL.
Criação de uma lista de categorias de URL isentas para proxy SSL
Você pode configurar as categorias de URL suportadas no módulo UTM para isentar a inspeção de SSL no dispositivo da Série SRX. Para usar categorias de URL da UTM, o dispositivo da Série SRX integra o perfil de proxy SSL com o recurso EWF. Com isso agora, você pode configurar uma lista de categorias de URL em um perfil de proxy SSL como allowlist, juntamente com os livros de endereços. Você pode configurar a lista a partir do conjunto predefinido de categorias de URL ou categorias de URL personalizadas suportadas pela UTM.
O dispositivo de segurança usa o campo De indicação de nome do servidor (SNI) extraído pelo módulo UTM para determinar a categoria URL. O proxy SSL usa essas informações para determinar se aceita e procuração ou ignora a sessão.
Esse recurso é suportado em instâncias SRX340, SRX345, SRX5400, SRX5600, SRX5800 e vSRX.
Começando com o Junos OS Release 15.1X49-D80 e o Junos OS Release 17.3R1, o recurso de lista de proxy SSL inclui categorias de URL suportadas pela UTM.
A partir do Junos OS Release 17.4R1, o recurso de proxy SSL permite que a lista estenda o suporte a categorias de URL personalizadas suportadas pela UTM.
Exemplos a seguir mostram como configurar as categorias de URL no perfil de proxy SSL:
- Criação de uma lista de categorias de URL isentas
- Criação de uma lista de categorias de URL personalizadas isentas
Criação de uma lista de categorias de URL isentas
Use as etapas a seguir para configurar as categorias de URL predefinidas em um perfil de proxy SSL.
Criação de uma lista de categorias de URL personalizadas isentas
Use as etapas a seguir para configurar categorias de URL personalizadas em um perfil de proxy SSL.