Ir al contenido
Avanet

Introducir TLS Inspection en Sophos Firewall

Sophos Firewall

Gran parte del tráfico web actual está cifrado. Sin TLS Inspection, la firewall a menudo solo ve IP de destino, SNI, información de certificados y metadatos, pero no el contenido real de la conexión.

Esto es un problema de seguridad: muchas funciones de protección no pueden analizar payload cifrado, o solo pueden hacerlo de forma muy limitada. Malware-Scanning, Web Protection, análisis Zero-Day, Content-Scanning y partes de la detección de aplicaciones o amenazas solo son realmente eficaces cuando la firewall puede descifrar el tráfico TLS, inspeccionarlo y volver a cifrarlo. IPS y NDR también se benefician de una mayor visibilidad en texto claro. Sin descifrado, muchas señales se limitan a metadatos, certificados, IPs, dominios o información de protocolo.

Sin embargo, TLS Inspection no es una función que deba activarse sin preparación para todos los usuarios. Puede afectar aplicaciones, plantear cuestiones de protección de datos y aumentar la carga de la firewall. Por eso, TLS Inspection debe introducirse de forma planificada, gradual y con una estrategia clara de excepciones.

Licencia y requisitos

Para TLS Inspection y para evaluar de forma útil el tráfico descifrado se necesitan las licencias de protección adecuadas.

Son especialmente importantes:

  • Web Protection: Incluye Web Security, Web Control, Application Control y Web Malware Protection.
  • Network Protection: Incluye, entre otros, IPS, Security Heartbeat y otras funciones de protección de red.
  • Zero-Day Protection: Es importante cuando archivos o descargas deben analizarse adicionalmente mediante Machine Learning o sandbox.

Web Protection está incluida en el paquete de licencias Standard Protection. Xstream Protection y Epic Protection también incluyen Web Protection y otros módulos de protección. Sophos describe los módulos de licencia en la vista general oficial: información de licencias de Sophos Firewall.

Antes del rollout conviene comprobar:

  • Está instalada una versión actual de Sophos Firewall Firmware.
  • Web Protection está licenciada.
  • El certificado CA de la firewall está distribuido en los clientes.
  • Se ha definido un grupo o red de prueba.
  • El rollback está documentado.
  • El proceso de excepciones está aclarado.
  • El logging está activado.

Si el certificado CA aún no está distribuido, ayuda el artículo Instalar el certificado CA de Sophos Firewall para HTTPS Scanning.

⚠️ TLS Inspection puede afectar aplicaciones que usan Certificate Pinning o realizan sus propias comprobaciones de certificados. Empieza siempre con un grupo de prueba, no directamente con todos los usuarios.

¿DPI o Web Proxy?

Sophos Firewall puede implementar HTTPS-Decryption en dos modos de funcionamiento:

  • DPI Mode: La regla de firewall usa el DPI Engine. Las SSL/TLS Inspection Rules en Rules and policies > SSL/TLS inspection rules deciden qué se descifra.
  • Web Proxy Mode: La regla de firewall usa el Web Proxy. HTTPS-Decryption se controla entonces mediante los ajustes de Web Proxy y las Web Policies.

En setups modernos se usa a menudo DPI Mode. Lo importante está en la regla de firewall:

  1. Abre Rules and policies > Firewall rules.
  2. Edita la regla LAN-to-WAN afectada.
  3. Abre Security features > Web filtering.
  4. Activa la Web Policy adecuada.
  5. Activa Scan HTTP and decrypted HTTPS.
  6. Deja Use web proxy instead of DPI engine desactivado si deben aplicarse las SSL/TLS Inspection Rules.

Si Use web proxy instead of DPI engine está activado, el tráfico web pasa por el Web Proxy. Entonces se aplican otros ajustes de decryption para HTTP/HTTPS que en las SSL/TLS Inspection Rules basadas en DPI.

Sophos describe esta diferencia en la guía configurar SSL/TLS inspection and decryption.

Qué tráfico debería descifrarse

No conviene descifrar todo a ciegas. Una buena TLS Inspection empieza con objetivos claros.

Primeros objetivos razonables:

  • LAN > WAN: tráfico web clásico de usuarios hacia Internet.
  • Wi-Fi > WAN: clientes gestionados en la WLAN corporativa.
  • VPN > WAN: usuarios de Remote Access si su tráfico de Internet pasa por la firewall.
  • LAN > DMZ: accesos internos a servidores propios si se desea inspección de seguridad y los certificados están bien distribuidos.

Tratar con cuidado:

  • Banca, salud, administraciones públicas y portales muy sensibles.
  • Password managers e Identity Providers.
  • Servicios de actualización de sistemas operativos y fabricantes.
  • Apps móviles y dispositivos Android.
  • Aplicaciones con Certificate Pinning.
  • Servicios de voz, vídeo y colaboración si se vuelven inestables por decryption.

Para publicaciones de servidores desde Internet hacia la DMZ, TLS Inspection no siempre es automáticamente la mejor solución. En servidores web suele ser más adecuado Web Server Protection / WAF o un Reverse Proxy.

Estrategia de rollout

Ha demostrado ser útil un enfoque por fases:

  1. Distribuir el certificado CA.
  2. Preparar Web Policy y regla de firewall.
  3. Seleccionar Decryption Profile.
  4. Definir un grupo pequeño de prueba.
  5. Activar la SSL/TLS Inspection Rule solo para ese grupo.
  6. Observar Control Center y Log Viewer.
  7. Analizar errores y documentar excepciones correctamente.
  8. Ampliar paso a paso a más grupos de usuarios.

Así se detecta pronto qué aplicaciones generan problemas sin afectar a toda la operación.

Entender Decryption Profiles

Un Decryption Profile define con qué severidad la firewall trata las conexiones TLS. Los perfiles se encuentran en Profiles > Decryption profiles.

Un Decryption Profile responde, entre otras, a estas preguntas:

  • ¿Qué ocurre con certificados no válidos o no confiables?
  • ¿Se bloquean versiones TLS antiguas?
  • ¿Se bloquean Cipher Suites inseguras?
  • ¿Qué ocurre con SSL compression?
  • ¿Qué ocurre con unrecognized cipher suites?
  • ¿Qué ocurre si la firewall no puede descifrar una conexión?
  • ¿Qué CA se usa para volver a firmar?

Para un primer rollout tiene sentido usar un perfil más compatible, por ejemplo Maximum compatibility o un perfil propio conservador. Para reglas de seguridad productivas se puede usar más adelante un perfil más estricto como Block insecure SSL.

Importante: El Decryption Profile se selecciona directamente en la SSL/TLS Inspection Rule. Sophos indica que el perfil puede sobrescribir los ajustes globales de SSL/TLS Inspection para esa regla.

Crear una SSL/TLS Inspection Rule

La ruta de menú es Rules and policies > SSL/TLS inspection rules.

Una primera regla debería ser lo más específica posible:

  • Action: Decrypt
  • Decryption profile: perfil de prueba conservador
  • Source zones: LAN o red de prueba
  • Source networks and devices: grupo de prueba o subred de prueba
  • Destination zones: normalmente WAN
  • Destination networks: inicialmente Any
  • Services: al principio a menudo Any, porque SSL/TLS también puede detectarse en otros puertos TCP
  • Websites / Categories: limitar opcionalmente

Sophos describe que SSL/TLS Inspection Rules pueden detectar conexiones SSL/TLS en cualquier puerto TCP. Las reglas se procesan de arriba abajo. Por eso, las reglas específicas deben estar por encima de las reglas generales.

Documentación oficial: SSL/TLS inspection rules.

Exclusion Lists

No todo el tráfico TLS debería descifrarse. Para ello, Sophos trabaja con Exclusion Rules y TLS Exclusion Lists.

Local TLS Exclusion List

La Local TLS exclusion list es la lista local de excepciones de la firewall. Por defecto está vacía y puede rellenarse mediante troubleshooting en Control Center o Log Viewer.

También puede editarse manualmente:

Web > URL groups > Local TLS exclusion list

Esta lista es útil para dominios que generan problemas en el propio entorno, por ejemplo por Certificate Pinning o aplicaciones cliente especiales.

Managed TLS Exclusion List

La Managed TLS exclusion list contiene excepciones mantenidas por Sophos para servicios problemáticos conocidos. Esta lista se actualiza mediante Firmware updates.

Ejemplos típicos son servicios en los que TLS Inspection suele causar problemas o no tiene sentido técnicamente.

Exclusion Rules propias

Además, se pueden crear SSL/TLS Inspection Rules propias con Action > Don’t decrypt. Estas deberían situarse directamente debajo de la regla de exclusión predeterminada y contener solo tráfico que realmente no debe descifrarse.

Criterios posibles:

  • Web-Kategorien
  • URL Groups
  • Usuarios y grupos
  • Redes de origen y destino
  • Direcciones IP
  • Services

Las excepciones deben documentarse: dominio, motivo, usuarios afectados, fecha y fecha de revisión.

Observar el widget del Dashboard

En Control Center hay un widget para SSL/TLS Inspection. Este widget es muy útil para supervisar el rollout y los errores.

Muestra, entre otros:

  • Porcentaje de SSL/TLS sessions descifradas.
  • Porcentaje de SSL/TLS sessions no descifradas.
  • Otro tráfico.
  • Errores de los últimos días.
  • Top websites o Top users con problemas.
  • Decryption peak y Decryption limit.
Sophos Firewall - Widget SSL/TLS Inspection con tráfico descifrado y no descifrado
Sophos Firewall - Control Center > SSL/TLS Inspection Widget

Si en el widget aparecen muchos errores, no conviene desactivar inmediatamente toda TLS Inspection. Es mejor usar Fix errors para revisar de forma específica los destinos afectados y crear excepciones limpias si es necesario.

Evaluar Log Viewer

En Log Viewer se puede seleccionar el filtro SSL/TLS inspection. Allí se ve qué ha ocurrido con conexiones individuales.

Sophos Firewall - Log Viewer con eventos SSL/TLS Inspection
Sophos Firewall - Log Viewer > SSL/TLS inspection

Los colores ayudan a una primera clasificación:

  • Rojo: Error. La conexión no se pudo descifrar o procesar correctamente. Aquí conviene revisar errores de certificado, Cipher Suites, versiones TLS o aplicaciones incompatibles.
  • Verde: Do not decrypt. La conexión se dejó sin descifrar de forma intencionada, por ejemplo por una Exclusion Rule o una TLS Exclusion List.
  • Azul: Decrypt. La conexión se descifró y después se reenvió cifrada de nuevo.

En el log también se ven Decryption Profile, IP de origen, IP de destino, usuario, categoría y dominio de destino. Esto permite comprobar si coincide la rule correcta y si una excepción realmente se aplica.

Pruebas

Después de activar TLS Inspection conviene comprobar:

  • ¿Se usa el certificado CA de Sophos en el navegador?
  • ¿Funcionan las aplicaciones de negocio importantes?
  • ¿Hay errores TLS en Log Viewer?
  • ¿Se detectan correctamente eventos de Malware o Web Policy?
  • ¿El tráfico aparece como decrypted en el widget de Control Center?
  • ¿El rendimiento de la firewall se mantiene dentro de lo esperado?
  • ¿Hay quejas de usuarios de prueba?

Para troubleshooting son especialmente útiles Log Viewer, Policy Test, la vista de certificados del navegador, Packet Capture y el widget SSL/TLS Inspection.

Rollback

Si se producen incidencias, debe existir un rollback claro:

  • Desactivar la SSL/TLS Inspection Rule.
  • Retirar el grupo de prueba de la regla.
  • Relajar el Decryption Profile.
  • Añadir una excepción para el dominio o la aplicación afectada.
  • Volver a Web Proxy en la regla de firewall si eso se desea conscientemente.

Sophos indica que SSL/TLS Inspection Rules y SSL/TLS Engine deben estar visiblemente activos para que Control Center y Log Viewer muestren los detalles. Si se desactiva SSL/TLS Inspection para troubleshooting, debería volver a activarse después.

Recomendación

TLS Inspection no es un proyecto de un solo clic. Introducida correctamente, ofrece mucha más visibilidad y mejora el efecto de Web Protection, Malware Scanning, IPS, NDR y funciones Zero-Day.

Para entornos productivos recomendamos:

  • Primero LAN-to-WAN para un pequeño grupo de prueba.
  • Distribuir correctamente el certificado CA.
  • Elegir conscientemente el modo DPI/Web Proxy.
  • No empezar con un Decryption Profile demasiado agresivo.
  • Observar Log Viewer y Dashboard a diario.
  • Documentar excepciones y revisarlas regularmente.
  • Ampliar el rollout solo después de pruebas correctas.