Intercepción SSL

Un dispositivo Citrix Secure Web Gateway (SWG) configurado para la interceptación SSL actúa como un proxy. Puede interceptar y descifrar el tráfico SSL/TLS, inspeccionar la solicitud no cifrada y habilitar a un administrador para hacer cumplir las reglas de cumplimiento y las comprobaciones de seguridad. La intercepción SSL utiliza una directiva que especifica qué tráfico debe interceptar, bloquear o permitir. Por ejemplo, el tráfico hacia y desde sitios web financieros, como los bancos, no debe ser interceptado, pero puede interceptarse otro tráfico, y los sitios de la lista negra pueden identificarse y bloquearse. Citrix recomienda configurar una directiva genérica para interceptar el tráfico y directivas más específicas para omitir cierto tráfico.

El cliente y el proxy SWG de Citrix establecen un protocolo de enlace HTTP/TLS. El proxy SWG establece otro protocolo de enlace HTTPS/TLS con el servidor y recibe el certificado del servidor. El proxy verifica el certificado de servidor en nombre del cliente y también comprueba la validez del certificado de servidor mediante el Protocolo de estado de certificados en línea (OCSP). Regenera el certificado de servidor, lo firma mediante la clave del certificado de CA instalado en el dispositivo y lo presenta al cliente. Por lo tanto, se utiliza un certificado entre el cliente y el dispositivo Citrix ADC, y otro certificado entre el dispositivo y el servidor back-end.

Importante

El certificado de CA que se utiliza para firmar el certificado de servidor debe estar preinstalado en todos los dispositivos cliente, de modo que el cliente confíe en el certificado de servidor regenerado.

Para el tráfico HTTPS interceptado, el servidor proxy SWG descifra el tráfico saliente, accede a la solicitud HTTP de texto sin cifrar y puede utilizar cualquier aplicación de capa 7 para procesar el tráfico, por ejemplo, buscando la URL de texto sin formato y permitiendo o bloqueando el acceso en función de la directiva corporativa y la reputación de URL. Si la decisión de directiva es permitir el acceso al servidor de origen, el servidor proxy reenvía la solicitud recifrada al servicio de destino (en el servidor de origen). El proxy descifra la respuesta desde el servidor de origen, accede a la respuesta HTTP de texto sin cifrar y, opcionalmente, aplica cualquier directiva a la respuesta. A continuación, el proxy vuelve a cifrar la respuesta y la reenvía al cliente. Si la decisión de directiva es bloquear la solicitud al servidor de origen, el proxy puede enviar una respuesta de error, como HTTP 403, al cliente.

Para realizar la interceptación SSL, además del servidor proxy configurado anteriormente, debe configurar lo siguiente en un dispositivo SWG:

  • Perfil SSL
  • Política SSL
  • Almacén de certificados de CA
  • SSL error de autoaprendizaje y almacenamiento en caché

Intercepción SSL