Ispezione TLS rileva e impedisce minacce avanzate nella rete sui canali TLS crittografati. Questo argomento include i concetti associati alle funzionalità di Ispezione TLS.
Protocollo TLS
In questo argomento viene descritto come funziona l'handshake del protocollo TLS per stabilire un canale crittografato tra il client e il server. La seguente illustrazione relativa al protocollo TLS illustra i vari passaggi necessari per formare un canale crittografato.
Figura 1. Protocollo TLS
Per riepilogare il protocollo TLS:
TLS avvia una sessione TLS su una sessione TCP stabilita tra il client e il server (ossia un handshake a tre vie).
Il client invia un Hello del client che include la versione e la crittografia TLS supportate e l'estensione SNI (Server Name Indication). SNI in Hello del client TLS è ciò che Ispezione TLS utilizza per classificare il traffico utilizzando il profilo contesto per utilizzare i profili di decrittografia interni, esterni o ignora decrittografia.
Il server risponde con il certificato del server per l'autenticazione e l'identificazione e un Hello del server con la versione e la crittografia proposta dal client.
Una volta che il client convalida il certificato e verifica la versione finale e la crittografia, genera una chiave di sessione simmetrica e la invia al server.
Per avviare il tunnel TLS sicuro che scambia i dati delle applicazioni sul canale TLS crittografato, il server convalida la chiave della sessione e invia il messaggio completato.
Per impostazione predefinita, il protocollo TLS prova l'identità del server al client solo utilizzando il certificato X.509 e l'autenticazione del client nel server viene lasciata al livello dell'applicazione.
Tipi di decrittografia TLS
La funzionalità di
Ispezione TLS consente agli utenti di definire criteri per decrittografare o ignorare la decrittografia. La funzionalità di ispezione TLS consente due tipi di decrittografia:
Decrittografia TLS interna: per il traffico che va verso un servizio interno dell'azienda in cui si è proprietari del servizio, del certificato e della chiave privata. Si tratta anche di un proxy inverso o decrittografia in entrata TLS.
Decrittografia TLS esterna: per il traffico che va verso un servizio esterno (Internet) in cui Enterprise non possiede il servizio, il relativo certificato e la chiave privata. Questo proxy è anche denominato proxy di inoltro TLS o decrittografia in uscita.
Il diagramma seguente illustra in che modo il traffico viene gestito dai tipi di decrittografia interna ed esterna di TLS.
Figura 2. NSX tipi di decrittografia TLS
Il diagramma e la tabella seguenti illustrano come funziona NSX decrittografia esterna TLS con NSX.
Figura 3. Funzionamento della decrittografia esterna
Callout
Workflow
1
SNI hello del client TLS corrisponde al profilo contesto del criterio di Ispezione TLS.
2
NSX intercetta la sessione TLS dal client e avvia una nuova sessione nel server previsto.
3
NSX applica la versione e la crittografia TLS (configurabile).
4
Il server risponde al client con un certificato TLS
5
NSX convalida il certificato del server utilizzando il bundle CA attendibile, genera dinamicamente un certificato CA proxy e lo presenta al client.
Il diagramma e la tabella seguenti illustrano come NSX la decrittografia interna di TLS funziona con NSX.
Figura 4. Funzionamento della decrittografia interna
Callout
Workflow
1
SNI hello del client TLS corrisponde al profilo contesto del criterio di ispezione TLS configurato per il dominio interno.
2
NSX intercetta la sessione TLS dal client e avvia una nuova sessione nel server previsto.
3
NSX applica la versione o la crittografia TLS (configurabile).
4
Il server risponde con il certificato come parte dell'handshake TLS (convalida facoltativa).
5
NSX presenta il certificato del server, caricato come parte della configurazione, al client.
