Intercepción SSL
Un dispositivo Citrix Secure Web Gateway (SWG) configurado para la intercepción SSL actúa como proxy. Puede interceptar y descifrar el tráfico SSL/TLS, inspeccionar la solicitud no cifrada y permitir que un administrador aplique las reglas de cumplimiento y las comprobaciones de seguridad. Intercepción SSL utiliza una directiva que especifica qué tráfico interceptar, bloquear o permitir. Por ejemplo, el tráfico hacia y desde sitios web financieros, como los bancos, no debe ser interceptado, pero se puede interceptar otro tráfico, y los sitios de la lista negra pueden identificarse y bloquearse. Citrix recomienda configurar una directiva genérica para interceptar tráfico y directivas más específicas para omitir parte del tráfico.
El cliente y el proxy Citrix SWG establecen un protocolo de enlace HTTPS/TLS. El proxy SWG establece otro protocolo de enlace HTTPS/TLS con el servidor y recibe el certificado del servidor. El proxy verifica el certificado del servidor en nombre del cliente y también comprueba la validez del certificado del servidor mediante el Protocolo de estado del certificado en línea (OCSP). Regenera el certificado de servidor, lo firma mediante la clave del certificado de CA instalado en el dispositivo y lo presenta al cliente. Por lo tanto, se utiliza un certificado entre el cliente y el dispositivo Citrix ADC, y otro certificado entre el dispositivo y el servidor back-end.
Importante
El certificado de CA que se utiliza para firmar el certificado de servidor debe estar preinstalado en todos los dispositivos cliente, de modo que el cliente confíe en el certificado de servidor regenerado.
Para el tráfico HTTPS interceptado, el servidor proxy SWG descifra el tráfico saliente, accede a la solicitud HTTP de texto claro y puede utilizar cualquier aplicación de Capa 7 para procesar el tráfico, por ejemplo, mirando la URL de texto sin formato y permitiendo o bloqueando el acceso sobre la base de la directiva corporativa y la reputación de URL. Si la decisión de directiva es permitir el acceso al servidor de origen, el servidor proxy reenvía la solicitud recifrada al servicio de destino (en el servidor de origen). El proxy descifra la respuesta del servidor de origen, accede a la respuesta HTTP de texto sin cifrar y, opcionalmente, aplica cualquier directiva a la respuesta. A continuación, el proxy vuelve a cifrar la respuesta y la reenvía al cliente. Si la decisión de directiva es bloquear la solicitud al servidor de origen, el proxy puede enviar una respuesta de error, como HTTP 403, al cliente.
Para realizar la interceptación SSL, además del servidor proxy configurado anteriormente, debe configurar lo siguiente en un dispositivo SWG:
- Perfil SSL
- Directiva SSL
- Almacén de certificados de CA
- Almacenamiento automático y almacenamiento en caché de errores SSL