Saque el máximo partido de XG Firewall v18 – 2ª parte

ProductsXG Firewall

Inspección TLS de Xstream para una Internet cifrada moderna

29 Jul 2020 Por

Los niveles de cifrado del tráfico de red siguen aumentando constantemente.  Según ha informado Google, en el último año, el porcentaje de páginas cargadas a través de HTTPS ha aumentado del 82 % al 87 % en la plataforma Windows. Y en los Macs el porcentaje es aún mayor: 93 %. A este ritmo, no estamos muy lejos de una Internet 100 % cifrada por TLS.

En esta segunda parte de una serie de artículos sobre cómo sacar el máximo partido de las grandes novedades de XG Firewall v18, nos centraremos específicamente en los recursos disponibles para ayudarle a usted y a sus clientes a aprovechar al máximo la nueva solución de inspección TLS 1.3 de Xstream de XG Firewall v18.


Inspección TLS de Xstream

En nuestro último artículo, tratamos la arquitectura de Xstream y el nuevo motor DPI de Xstream en XG Firewall v18.  La nueva solución de inspección TLS es un componente clave de la nueva arquitectura y ofrece descifrado para el tráfico cifrado por TLS/SSL con soporte nativo para el estándar TLS 1.3 más reciente.

Puesto que la mayoría de flujos de tráfico que pasan por el firewall ahora están cifrados, la inspección TLS es absolutamente crítica para eliminar ese enorme punto ciego a fin de permitir al firewall hacer su trabajo e inspeccionar el contenido que entra en la red. Como veremos en el próximo artículo de esta serie, el motor DPI puede ser sumamente eficaz a la hora de identificar nuevas variantes de ransomware de día cero y otras amenazas, pero solo si es capaz de inspeccionar el tráfico sin cifrar.


Cómo funciona

Los flujos de tráfico cifrados destinados a ser examinados por el nuevo motor DPI se pasan al motor de inspección TLS para descifrarse antes de inspeccionarse. Tras la inspección, el flujo se vuelve a cifrar y se envía a su destino. Si le interesa saber más sobre cómo funciona el cifrado y la inspección TLS y por qué es importante, le sugiero consultar estos dos fantásticos recursos sobre el tema:

El nuevo motor de inspección TLS de Xstream en XG Firewall v18 ofrece una serie de convincentes ventajas que lo convierten en la solución ideal para la Internet cifrada moderna de hoy en día:

  • Alto rendimiento, con una alta capacidad de conexión
  • Visibilidad inigualable sobre los flujos de tráfico cifrado y los errores que se produzcan
  • Herramientas sencillas para ocuparse de los errores y gestionar las excepciones con solo unos clics
  • Compatibilidad con TLS 1.3 sin repercutir en el rendimiento
  • Soporte para todos los conjuntos de cifrado modernos con una validación de certificados robusta
  • Inspección de todo el tráfico, independiente de aplicaciones y puertos
  • Potentes y flexibles herramientas de políticas que permiten el equilibrio perfecto entre rendimiento, privacidad y protección

 

Introducción a la inspección TLS

Como mencionamos en el último artículo, beneficiarse del nuevo motor de inspección TLS en XG Firewall v18 es muy fácil. Básicamente requiere marcar una casilla en el firewall para activarlo y luego crear una regla en la nueva pestaña Reglas de inspección SSL/TLS, tal como se muestra a continuación.

 

Para ver un resumen de cómo crear reglas de inspección SSL/TLS, vea este vídeo de 5 minutos de duración:

Para obtener una explicación detallada y una guía paso a paso para crear reglas de inspección SSL/TLS y perfiles de descifrado, consulte la documentación online siguiente:

Se recomienda que los clientes empiecen gradualmente con el cifrado TLS, con un subentorno limitado de su red o unos pocos sistemas de prueba. Esto les permitirá adquirir experiencia con la nueva solución de inspección TLS y explorar las nuevas reglas, el registro, la generación de informes y las opciones de gestión de errores.

No todas las aplicaciones y servidores admiten plena y adecuadamente la inspección TLS, por lo que aconsejamos a los administradores que supervisen el centro de control para comprobar si hay errores y utilizar las prácticas herramientas integradas para excluir los sitios o servicios problemáticos. XG Firewall incluye dos reglas de inspección TLS predefinidas que facilitan las exclusiones. Por defecto, excluyen los dominios de confianza que no son incompatibles con el descifrado TLS, como icloud y algunos dominios de Microsoft, entre otros. Los administradores pueden personalizar fácilmente esas reglas de exclusión a través del widget del centro de control cuando sea necesario o bien actualizándolas directamente.

El nuevo widget del centro de control proporciona una visión general de
los flujos de tráfico cifrados y de cualquier problema.

 

Profundice para identificar la causa de los problemas y resolverlos con solo unos clics.

 

Una vez que usted y sus clientes se hayan familiarizado con el motor DPI y la inspección TLS, recomendamos aplicarlo más ampliamente en sus redes. Cuando esté listo para una inspección TLS más amplia y desee imponer el certificado de CA a más sistemas, le recomendamos usar el asistente incorporado en las herramientas de administración de directivas de grupo de Microsoft Active Directory para que este paso sea rápido y sencillo.

A medida que despliegue la inspección TLS de forma más amplia, monitorice detenidamente la métrica del rendimiento del sistema del firewall para asegurarse de que el hardware no se esté convirtiendo en un cuello de botella. Mientras que la arquitectura de Xstream en XG Firewall v18 ofrece tremendas ventajas de rendimiento para la inspección TLS, pasar de examinar el 0 % del tráfico cifrado al 80-90 % de su tráfico TLS puede repercutir en el rendimiento en función de la carga normal de sus firewalls. Si el firewall puede mejorar con algo de espacio adicional, plantéese actualizar el hardware a un modelo de mayor capacidad. Definitivamente no vale la pena correr el riesgo de NO inspeccionar el tráfico TLS habida cuenta de la velocidad con que los hackers y atacantes utilizan este enorme punto ciego en su propio beneficio.

Este es un resumen de los recursos disponibles para ayudarle a sacar el máximo partido de las nuevas funciones de XG Firewall v18, incluida la inspección TLS de Xstream:

 

Vender XG Firewall

En el portal para partners de Sophos, le ofrecemos una gran cantidad de recursos de ventas. Para filtrar la lista de recursos, seleccione una categoría para reducir los resultados. Y no olvide comprobar si hay alguna promoción de ventas disponible para su región. Vale la pena comprobarlo de vez en cuando para asegurarse de que no se está perdiendo una gran oportunidad.

Acerca del autor

Chris McCormack is a network security specialist at Sophos where he has been focused on firewall and network protection since joining Sophos in 2008. When not evangelizing Sophos network security products, Chris specializes in providing advice and insight into the latest threats and network protection technologies and strategies.