Inspección TLS detecta e impide amenazas avanzadas en la red a través de canales TLS cifrados. Este tema incluye conceptos asociados con las funciones de Inspección TLS.
Protocolo TLS
En este tema se describe cómo funciona el protocolo de enlace del protocolo TLS para establecer un canal cifrado entre el cliente y el servidor. La siguiente ilustración del protocolo TLS proporciona los diversos pasos necesarios para formar un canal cifrado.
Para resumir el protocolo TLS:
- TLS inicia una sesión TLS a través de una sesión TCP establecida entre el cliente y el servidor (también conocido como protocolo de enlace de tres vías).
- El cliente envía un mensaje de saludo que incluye la versión y el cifrado de TLS compatibles y la extensión indicación de nombre de servidor (SNI). El SNI en el saludo de cliente TLS es lo que Inspección TLS utiliza para clasificar el tráfico mediante el perfil de contexto para utilizar los perfiles de descifrado internos, externos u omitir.
- El servidor responde con el certificado del servidor para la autenticación e identificación, y un mensaje de saludo de servidor con la versión y el cifrado propuestos por el cliente.
- Una vez que el cliente valida el certificado y verifica la versión y el cifrado finales, genera una clave de sesión simétrica y la envía al servidor.
- Para iniciar el túnel TLS seguro que intercambia datos de la aplicación a través del canal TLS cifrado, el servidor valida la clave de sesión y envía el mensaje finalizado.
De forma predeterminada, el protocolo TLS solo prueba la identidad del servidor para el cliente mediante el certificado X.509 y la autenticación del cliente en el servidor se deja en la capa de aplicaciones.
Tipos de descifrado TLS
La función
Inspección TLS permite a los usuarios definir directivas para descifrar o omitir el descifrado. La función inspección de TLS permite dos tipos de descifrado:
- Descifrado de TLS interno: para el tráfico que se dirige a un servicio interno empresarial en el que se poseen el servicio, el certificado y la clave privada. Esto también se denomina proxy inverso TLS o descifrado entrante.
- Descifrado de TLS externo: para el tráfico que se dirige a un servicio externo (Internet) en el que la empresa no posee el servicio, su certificado y la clave privada. Esto también se denomina proxy de reenvío o descifrado saliente de TLS.
En el siguiente diagrama, se muestra cómo se gestiona el tráfico mediante los tipos de descifrado interno y externo de TLS.
En el diagrama y la tabla siguientes se explica cómo funciona el descifrado externo de TLS con NSX.
Llamada | Flujo de trabajo |
---|---|
1 | El SNI de saludo del cliente TLS coincide con el perfil de contexto de directiva de Inspección TLS. |
2 | NSX intercepta la sesión TLS del cliente e inicia una nueva sesión en el servidor deseado. |
3 | NSX aplica la versión y el cifrado de TLS (que se puede configurar). |
4 | El servidor responde al cliente con un certificado TLS |
5 | NSX valida el certificado del servidor mediante el paquete de CA de confianza, genera un certificado de CA proxy de forma dinámica y lo presenta al cliente. |
En el diagrama y la tabla siguientes se explica cómo funciona el descifrado interno de TLS con NSX.
Llamada | Flujo de trabajo |
---|---|
1 | El SNI de saludo del cliente TLS coincide con el perfil de contexto de directiva de inspección de TLS configurado para el dominio interno. |
2 | NSX intercepta la sesión TLS del cliente e inicia una nueva sesión en el servidor deseado. |
3 | NSX aplica la versión o el cifrado de TLS (configurable). |
4 | El servidor responde con el certificado como parte del protocolo de enlace TLS (validación opcional). |
5 | NSX presenta al cliente el certificado del servidor, que se cargó como parte de la configuración. |