Citrix SD-WAN Orchestrator

Seguridad perimetral

Las capacidades de seguridad Citrix SD-WAN Edge permiten una seguridad avanzada en los dispositivos de sucursal Citrix SD-WAN. Simplifica la administración de la seguridad de la información para proteger la red de sucursales de las amenazas de Internet al proporcionar un único panel de administración y generación de informes para diversas funcionalidades de seguridad junto con SD-WAN. Elimina la necesidad de soluciones de varias sucursales, al consolidar las capacidades de enrutamiento, SD-WAN y seguridad en un único dispositivo, y reduce la complejidad y los costes de la red.

La pila de seguridad perimetral incluye la siguiente funcionalidad de seguridad:

  • Filtrado web
  • Antimalware
  • Prevención de intrusiones

La funcionalidad de seguridad perimetral está disponible en los dispositivos Citrix SD-WAN Advanced Edition. Para obtener más información sobre las ediciones, consulte Soporte de software Citrix SD-WAN Platform Editions y Citrix SD-WAN Platform. Para obtener más información sobre los dispositivos compatibles, consulte la hoja de datos de Citrix SD-WAN.

Nota

Citrix SD-WAN Advanced Edition es compatible con el dispositivo Citrix SD-WAN 1100. Los dispositivos Citrix SD-WAN 210 Standard Edition (SE) y 210 SE LTE ahora admiten capacidades avanzadas de seguridad perimetral con licencias adicionales de seguridad avanzada.

Dado que la función de seguridad perimetral es sensible al proceso, Citrix recomienda que utilice el dispositivo Advanced Edition solo en sitios de sucursales que no tengan una solución de firewall de próxima generación.

Al configurar un sitio de sucursal con capacidades de seguridad perimetral, asegúrese de que esté seleccionado un modelodedispositivo compatible con Advanced Edition y Device Edition sea AE. Para obtener más información sobre cómo agregar y configurar un sitio, consulte Configuración básica.

Configuración básica de la configuración del sitio

Citrix SD-WAN Orchestrator le permite definir perfiles de seguridad para las capacidades de seguridad perimetral y asociar estos perfiles de seguridad con directivas de firewall. Las directivas de firewall se han mejorado para aceptar parámetros de perfiles de seguridad que especifican las capacidades de seguridad avanzadas.

Nota

Puede crear perfiles de seguridad y configurar funciones de seguridad perimetral solo mediante SD-WAN Orchestrator.

Perfiles de seguridad

Un perfil de seguridad es un conjunto de opciones de seguridad perimetral específicas que se aplica a un segmento específico de tráfico definido por una directiva de firewall. La intención es proteger el tráfico de amenazas a la seguridad. Por ejemplo, puede definir perfiles de seguridad con diferentes niveles de seguridad y derechos de acceso para diferentes segmentos de la red. Puede habilitar y configurar las opciones de filtrado web, Anti-Malware e Intrusion Prevention para cada perfil de seguridad.

A continuación, los perfiles de seguridad se asocian a las directivas de firewall para establecer los criterios para el tráfico que se va a inspeccionar. Por ejemplo, en una organización, puede crear diferentes perfiles de seguridad para subredes de empleados y zonas de firewall invitados. A continuación, puede asignar el perfil de seguridad a una directiva de firewall adecuada que coincida con el tráfico de empleados e invitados respectivamente.

Para crear un perfil de seguridad, en el nivel de red vaya a Configuración > Seguridad > Perfil de seguridad y haga clic en Nuevo perfil de seguridad.

Perfil de seguridad

Proporcione un nombre y una descripción para el perfil de seguridad. Habilite y configure las opciones de filtrado web, Anti-Malware e Intrusion Prevention según sea necesario.

Perfil de seguridad

Filtrado web

El filtrado web le permite filtrar los sitios web a los que acceden los usuarios de la red a través de una base de datos de categorización que incluye alrededor de 32 mil millones de direcciones URL y 750 millones de dominios. Puede evitar la exposición a sitios inapropiados, spyware, phishing, farmacia, redirección de sitios web y otras amenazas de Internet. También puede hacer cumplir las directivas de Internet, lo que impide el acceso a las redes sociales, la comunicación entre pares, los juegos de azar y otros sitios frecuentemente rechazados por las directivas corporativas. Filtro web supervisa el tráfico de Internet en la red y lo filtra registrando actividades web y marcando o bloqueando contenido inapropiado.

Cuando visita un sitio web y el filtrado web está habilitado, la URL se envía a una base de datos en la nube para su categorización.

Nota

Configure un servidor DNS válido y habilite el acceso HTTPS a Internet a través de la interfaz de administración SD-WAN. Esto hace que la base de datos en la nube sea accesible para que el filtrado web pueda funcionar.

A continuación, el resultado de la categorización se almacena en caché en el dispositivo SD-WAN para aumentar la velocidad de procesamiento de futuras solicitudes. El resultado se utiliza para marcar, bloquear o permitir sitios web sin aumentar el tiempo de carga. Puede agregar reglas para bloquear u omitir sitios que no están categorizados o mal clasificados, o para configurar excepciones. También puede omitir el filtrado web para direcciones IP o subredes de usuario específicas.

Categoría de bloqueo/bandera

Puede marcar o bloquear diferentes categorías de sitios web. El filtrado web clasifica las direcciones URL en seis grupos de categorías, recursos de TI, Misc, Privacidad, Productividad, Seguridad y Sensible. Cada uno de estos grupos tiene diferentes categorías de URL. Cuando elige la opción de bloqueo, marca implícitamente el sitio web también. Cuando intenta acceder a un sitio web de una categoría que está bloqueada, se marca como una infracción y el sitio web se bloquea. Las categorías marcadas le permiten acceder a los sitios web, pero el evento se marca como una infracción. Puede ver los detalles en los registrosoinformes de seguridad.

Categoría de bloqueo/bandera

Bloquear/Bandera sitios

Puede agregar reglas para bloquear o marcar sitios específicos permitidos por la configuración de la sección de categorías. También puede bloquear/marcar sitios no clasificados o mal clasificados. Introduzca el nombre de dominio proporcione una descripción y seleccione Bloquear o Indicar. Las decisiones de las URL de lalistaBloquear/Marcar sitios tienen prioridad sobre las decisiones basadas en la categoría del sitio.

Nota

  • Solo puede agregar nombres de dominio completos (FQDN), por ejemplo, somedomain.com. No puede agregar rutas URL, por ejemplo, somedomain.com/ruta/a/archivo.
  • Cualquier dominio agregado a los sitios de bloqueo/bandera también incluye sus subdominios. Por ejemplo, la adición de dominio.com bloqueará o marcará subdominio1.dominio.com, subdominio2.dominio.com y subdominionivel2.subdominionivel1.dominio.com.

URL de bloqueo/bandera

Sitios de omisión

Puede agregar reglas para permitir sitios específicos dentro de categorías bloqueadas. Se permite cualquier dominio agregado a lalistaOmitir sitios, incluso si está bloqueado por categoría o por URL individual. Introduzca el nombre de dominio y proporcione una descripción. Seleccione Activo para permitir la URL.

Nota

  • Solo puede agregar nombres de dominio completos (FQDN), por ejemplo, somedomain.com. No puede agregar rutas URL, por ejemplo, somedomain.com/ruta/a/archivo.
  • Cualquier dominio agregado para omitir sitios también incluye sus subdominios. Por ejemplo, al agregar dominio.com se omite subdominio1.dominio.com, subdominio2.dominio.comy subdominio2.subdominionivel1.dominio.com.

Sitios de derivación

Omitir IP de cliente

Puede agregar reglas para omitir el filtrado web para direcciones IP o subredes específicas. Puede proporcionar una dirección IP o una notación CIDR de subred y una descripción significativa. El filtro web no bloquea ningún tráfico, independientemente de las categorías o sitios bloqueados. Seleccione Activo para permitir el tráfico de estas direcciones IP.

Nota

Dado que las direcciones IP DHCP pueden cambiar, utilice esta función solo para clientes con direcciones IP estáticas o subredes.

Omitir IP de cliente

Opciones avanzadas

Procesar tráfico HTTPS por indicación de nombre de servidor (SNI)

SNI es una extensión del protocolo de seguridad de capa de transporte (TLS) mediante el cual un cliente indica el nombre del sitio web al que el usuario está intentando conectarse al inicio del proceso de enlace de conexión segura.

Esto no solo permite que el servidor proporcione el certificado correcto, sino que también el dispositivo SD-WAN identifique el sitio web de destino y determine su categoría de URL, incluso si la comunicación de extremo a extremo está cifrada. Si esta opción está habilitada, el tráfico HTTPS se clasifica mediante el SNI en la secuencia de datos HTTPS, si está presente.

Nota

LaopciónProcesar tráfico HTTPS por SNI está habilitada de forma predeterminada.

Opciones de bloque

  • Bloqueo QUIC (puerto UDP 443): El firewall bloquea cualquier comunicación saliente en el puerto UDP 443, que normalmente se utiliza para el protocolo QUIC, que no puede ser procesado por el módulo de filtrado web. El bloqueo de QUIC hace que el explorador vuelva a caer a la comunicación HTTP (S) basada en TCP.

  • Pasar si el referrer coincide con cualquier Omitir sitios: Si se permite una página que contiene contenido externo a través de la URL Omitir, el contenido externo se pasa independientemente de otras directivas de bloqueo.

    Nota

    Aunque esta opción le permite acceder a sitios web externos, expone un riesgo de seguridad. La opción de referencia en el encabezado HTTP puede sobrescribirse mediante complementos y complementos del explorador. Citrix le aconseja usar esta opción juiciosamente.

  • Cerrar la conexión para sesiones HTTPS bloqueadas sin redirigir a la página de bloqueo: El dispositivo SD-WAN emite un redireccionamiento HTTP a una página de bloque personalizada en caso de que la URL esté bloqueada. Sin embargo, esta redirección no es posible para las sesiones HTTPS sin dar como resultado una terminación de sesión Man-in-the-Middle (MitM), mostrando una página de advertencia del explorador de certificados no válida. Esta opción da como resultado que la sesión HTTPS se termine en su lugar, para evitar una advertencia falsa sobre un posible ataque en el sitio web de destino.

    Nota

    Esta opción está habilitada de forma predeterminada.

  • URL personalizada para Bloquear: Establezca una ubicación de servidor externo para redirigir a los usuarios cuando el filtro web les deniegue el acceso a un sitio web. Si se configura una dirección URL personalizada, se pasan las siguientes variables de cadena de consulta para que el sistema receptor pueda personalizar su contenido.

    • razón: La razón por la que se denegó el acceso al usuario. Este es el nombre de la categoría basado en Basado en web+correo electrónico, y una descripción de categoría más larga. Por ejemplo, sitios+oferta+web+basado+correo electrónico+y+correo electrónico+clientes (loscaracteres deespacio se reemplazan por «+”) en caso de que el sitio haya sido bloqueado debido a su categoría. De lo contrario, si está bloqueado debido a “bloquear URL”, está vacío.

    • appname: Aplicación responsable de la denegación (filtrado web).

    • appid: El identificador de la aplicación, un identificador interno para el filtrado web que se puede ignorar).

    • host: El nombre de dominio de la dirección URL a la que se denegó el acceso al usuario final.

    • ClientAddress: Dirección IP del usuario final al que se ha denegado el acceso.

    • url: URL solicitada a la que se denegó el acceso.

Nota

Si no utiliza su propia página web para procesar la denegación, la denegación integrada emite una redirección a una dirección IP no enrutable.

URL personalizada para el bloque

Puede ver informes detallados de filtrado web en Citrix SD-WAN Orchestrator. Para obtener más detalles, consulte Informes: Filtrado web

Prevención de intrusiones

Intrusion Prevention detecta y previene actividades maliciosas en la red. Incluye una base de datos de más de 34.000 detecciones de firmas y firmas heurísticas para escaneos de puertos, lo que le permite supervisar y bloquear eficazmente la mayoría de las solicitudes sospechosas. Puede optar por habilitar o inhabilitar Prevención de intrusiones mientras define un perfil de seguridad, pero las reglas de Prevención de intrusiones son comunes en todos los perfiles de seguridad. Puede crear y administrar reglas de prevención de intrusiones, desde Configuración > Seguridad > Prevención de intrusiones. Para obtener más información, consulte Prevención de intrusiones.

Nota

Intrusion Prevention solo detecta tráfico malintencionado sobre el tráfico capturado por las respectivas directivas de firewall.

URL personalizada para el bloque

Puede ver informes detallados de prevención de intrusiones en Citrix SD-WAN Orchestrator. Para obtener más información, consulte Informes — Prevención de intrusiones.

Antimalware

El antimalware de seguridad perimetral analiza y elimina virus, troyanos y otro tipo de malware. Antimalware puede analizar el tráfico HTTP, FTP y SMTP en la red y examinarlo con una base de datos de firmas conocidas y patrones de archivos para detectar infecciones. Si no se detecta ninguna infección, el tráfico se envía al destinatario. Si se detecta una infección, Antimalware elimina o pone en cuarentena el archivo infectado y lo notifica al usuario.

Anti-Malware utiliza el motor de Bitdefender para escanear los archivos descargados mediante una combinación de base de datos de firmas, heurística para patrones sospechosos y análisis de emuladores dinámicos. Los archivos de descarga se bloquean si alguna de estas pruebas falla.

Omitir direcciones URL sin escanear

Puede omitir el análisis antimalware en busca de sitios internos de confianza o sitios externos que se utilizan para actualizaciones regulares, generan más tráfico y se consideran seguros. Al permitir que los sitios de confianza pasen sin análisis, puede reducir el recurso gastado en escanear estos sitios.

Introduzca la URL, proporcione una breve descripción y agregue la URL a la lista de direcciones URL de omisión.

Omitir URL sin escanear

Analizar por tipos de archivo

El antimalware admite de forma predeterminada el análisis de 41 extensiones de tipo de archivo en el tráfico HTTP. El análisis antimalware implica un análisis en profundidad a través de firmas, heurísticas y emulación, lo que lo convierte en un proceso sensible a la computación. Puede optar por excluir ciertas extensiones de nombre de archivo del análisis antimalware. Borre los tipos de archivo que no es necesario analizar.

Nota

Los tipos de archivo que se seleccionan de forma predeterminada hacen un equilibrio entre la eficacia del antimalware y el rendimiento del sistema. Habilitar más tipos de archivos, aumentar la carga de procesamiento de seguridad perimetral y compromete la capacidad general del sistema.

Analizar por tipos de archivo

Análisis por tipos MIME

Un tipo de extensión de correo de Internet multipropósito (MIME) es un estándar de Internet que describe el contenido de un archivo de Internet basado en la naturaleza y el formato. Al igual que los tipos de archivo, puede elegir excluir ciertos tipos MIME del análisis antimalware. Puede optar por excluir ciertos tipos MIME del análisis borrándolos.

Nota

Los tipos MIME seleccionados de forma predeterminada se eligen para tener un equilibrio entre la eficacia antimalware y la capacidad del sistema. Habilitar más tipos de archivo aumenta la carga de procesamiento de seguridad perimetral y compromete la capacidad general del sistema.

Escanear por tipos MIME

Otras opciones de análisis

Puede optar por habilitar o inhabilitar los análisis antimalware en los siguientes protocolos de Internet:

  • Analizar HTTP: Habilite el análisis antimalware en el tráfico HTTP.

  • Explorar FTP: Habilite el análisis antimalware en descargas FTP.

  • Analizar SMTP: Habilite el análisis antimalware en los archivos adjuntos de mensajes SMTP y elija la acción que se va a realizar.

    • Eliminar infección: Se elimina el archivo adjunto infectado y el correo electrónico se entrega al destinatario.

    • Pasar mensaje: El correo electrónico se entrega al destinatario con el archivo adjunto intacto.

    Nota

    Paralas accionesEliminar infecciónypasar mensaje, la línea de asunto del correo electrónico está precedida con “[VIRUS]”.

    • Bloquear mensaje: El correo electrónico está bloqueado y no se entrega al destinatario.

Otras opciones de análisis

Puede ver informes detallados de análisis antimalware en Citrix SD-WAN Orchestrator. Para obtener más información, consulte Informes: Antimalware.

Directiva de firewall de seguridad perimetral

Las capacidades de seguridad perimetral se activan mediante directivas de firewall. Puede definir una directiva de firewall para el protocolo IP de tipo de coincidencia y asignarla a un perfil de seguridad. Si el tráfico entrante coincide con los criterios de filtrado, se activa una acción de inspección y se aplican las capacidades de seguridad, configuradas según el perfil de seguridad seleccionado.

Citrix SD-WAN evalúa las directivas de firewall de forma “primera coincidencia”, donde la primera directiva coincidente determina la acción. Las directivas de firewall deben configurarse en el orden siguiente:

  1. Protocolo IP, Office 365 y directivas de firewall de aplicaciones DNS con acción no inspeccionada
  2. Directivas de firewall de seguridad perimetral (directivas de firewall de protocolo IP con acción de inspección)
  3. Directivas de firewall de aplicaciones

Para configurar una directiva de firewall y habilitar la seguridad perimetral, vaya a Configuración > Seguridad > Perfiles de firewall y agregue un perfil según sus preferencias. Haga clic en Crear nueva regla. Seleccione el Tipo de coincidencia como protocolo IP y configure los criterios de filtrado. Para obtener más información, consulte Perfiles de firewall. Seleccione laacciónInspeccionar (para Protocolo IP) y seleccione un perfil de seguridad.

Directiva de firewall de seguridad perimetral

Nota

Aunque no hay límite en el número de perfiles de seguridad que puede crear, solo puede asignar hasta 32 directivas de firewall Inspect a un sitio.

Limitaciones

  • El software del dispositivo tarda más tiempo en descargarse para los dispositivos Citrix SD-WAN Standard Edition (SE) que se actualizan a Advanced Edition (AE). El subsistema Edge Security de los dispositivos AE se incluye por separado para evitar cualquier impacto en el tamaño de descarga de los dispositivos SE.
  • El filtrado web de Citrix SD-WAN Edge Security solo puede comprobar la indicación de nombre del servidor (SNI) de los sitios HTTPS para decidir si bloquear, marcar o permitir el tráfico.
  • La compatibilidad con el servidor syslog externo no está disponible a través de Orchestrator for Citrix SD-WAN Edge Security.

Temas relacionados

Seguridad perimetral