URL Filtering con HTTPs

Pubilicado 2019-2-12 23:41:05 26 0 0 0

 

·         Existen dos protocolos para las paginas web: HTTP y HTTPs.

·         La diferencia es que HTTPs incluye Autenticacion y Anti-Replay. Mecanismos de seguridad para evitar fraudes al navegar en sitios WEB. Que intentes accesar a la pagina del banco pero enrealidad sea algun Hacker haciendose pasar por el banco y proporciones tu informacion bancaria.

·         Cuando un usuario accesa a una pagina web realiza una peticion HTTP o HTTPs al servidor remoto digase google.com, youtube.com, etc.

·         Este servidor responde con un paquete HTTP/HTTPs de respuesta con la pagina solicitada.

·         En el caso de HTTP el paquete viene sin cifrado/encriptacion por lo cual el USG analiza el paquete, determina la categoria del paquete y en base a la Traffic Policy permite o deniega el paguete.

·         Para poder procesar las paginas HTTPs, se necesita desencriptar los paquetes HTTPs, para esto se crea un Encrypted Traffic Detection, en caso contrario NO SE ANALIZARA PAQUETES HTTPs y no se filtrara ningun sitio HTTPs sea Porno, Streaming o cualquier otro.

·         Para el caso de HTTPs  existe un problema por la logica del mismo protocolo HTTPs. Para poder analizar el paquete, el USG necesita desencriptar dicho paquete, analizar su contenido (su URL), determinar su categoria y decidir si permitirlo o bloqueardo acorde a las politicas.

Si el paquete es permitido, es encriptado nuevamente en HTTPs y mandado al dispositivo final (PC/Laptop/Celular) el problema es que el HASH del paquete cambio, pues se desencripto y el certificado original del paquete se descarto. Ya que el USG no tiene dicho certificado no puede usarlo para encriptarlo de nuevo asi que vuelve a encriptarlo en HTTPs usando ahora el certificado local del USG. Al ser entregado al dispositivo final, este detecta que el paquete no es de la fuente esperada por el certificado. Detecta que hubo un cambio y determina que se debe a un intento de fraude por lo cual en la mayoria de los casos descartara el paquete y negara el acceso a la pagina web. (Algunas paginas permiten continuar bajo tu propio riesgo).

 

·         Existen 3 soluciones para este comportamiento:

1.       Se descarga el certificado del USG y se instala en cada PC/LAPTOP/CELULAR esto para que el dispositivo final, al analizar el paquete HTTPs, detectara que fue modificado pero verificando el certificado identificara el USG como un dispositivo confiable. Ya que el Certificado del USG esta en su lista de certificados de confianza, no descartara el paquete y accedera a la pagina web sin problemas. El problema de eso es instalar el certificado en cada dispositivo lo cual en algunos escenarios es imposible. Adjunto un manual del proceso.

2.       Los paquetes HTTPs tienen una categoria visible sin tener que desencriptarlo, digase una categoria publica. La cual el mismo paquete indentifica a que tipo de WEB Pertenece. Las paginas web tienen que elegir una categoria al  hacerse publicas. Entonces en base a esta categoria que la misma pagina informa generamos una Detection Policy e indicamos al USG NO DESENCRIPTAR este trafico. Esto para evitar modificar el paquete. Entonces el USG recibira trafico HTTPs, verificara que categoria dice ser, si es una caterogia permitida, no desencriptara el paquete y sera entregado a la PC/Celular/etc. Ya que no se desencripto el paquete no existe ningun problema. El unico problema de esto es que se confia en la categoria a la cual dice pertenecer el paquete, pues como no se desencripto, no se sabe con certeza cual es su contenido. Es muy raro una pagina de adultos que no se identifica como una en su categoria, pero puede haber el caso. En dicho escenario solamente es agregar esa URL en la parte de URL BLACKLIST de la Traffic Policy.

3.       Se compra un Certificado publico por alguna empresa certificadora. Estas empresas generaran un Certificado, este certificado es instalado en el USG y el USG lo utiliza al momento de desencriptar y encriptar los HTTPs. Los exploradores Google Chrome, Mozila tienen en sus bases de datos la lista de empresas certificadoras de confianza por lo cual confian como en la opcion 1 en el traffico proveniente de dicho certificado sin necesidad de instalarlo (pues ya lo tiene en su lista de confianza). El tema de esta opcion es que se incurre en un gasto extra y en el servicio de una empresa certificadora agena de los servicios de Huawei.

[Solucion]

·         La opcion más sencilla en la mayoria de los escenarios es la opcion 2, evitando desencriptar el trafico HTTPs de la mayoria de las caterogias, unicamente desencriptamos por ejemplo para Porn Category, Violence, Drugs y algunas otras.

·         El USG dejara pasar el resto de HTTPs sin ningun problema al no desencriptarlo.

·         El USG desencriptara el HTTPs que sea de estas categorias, los analizara y en caso de ser algo no permitido no lo mostrara. (No se mostrara el mensaje de Deny Access for Pornography Category, porque el USG manda dicho mensaje al Cliente PC/Celular pero nuevamente el equipo no tiene el certificado asi que no confia la pagina recibida y no lo muestra. Unicamente indicara que la pagina no se puede abrir).



Las opciones recomendadas por medidas de seguridad es la opcion 1 o 3. Para ello se debe instalar el certificado o comprar un ceritifcado publico.


Este artículo contiene más recursos

Es necesario Iniciar sesión para descargar o consultar. ¿Sin cuenta?Registrarse.

x
  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba