What is TLS Inspection

Secure Sockets Layer/Transport Layer Security (SSL/TLS) es el protocolo de red que cifra y autentica la mayor parte del tráfico de red. Es la diferencia entre la navegación web HTTP y HTTPS y se utiliza para proteger la información confidencial que viaja por la red, como las credenciales de acceso o los datos de la tarjeta de crédito.

Sin embargo, SSL/TLS también se puede utilizar para ocultar contenido malicioso en el tráfico web. La inspección TLS consiste en desenvolver SSL/TLS del tráfico web para buscar malware, exfiltración de datos y otras amenazas potenciales.

Solicite una demostración Benchmark de seguridad NGFW 2024 de Miercom

La necesidad de la inspección TLS

En los últimos años, la proporción de tráfico de Internet que utiliza HTTPS cifrado ha crecido drásticamente, proporcionando importantes beneficios de privacidad y seguridad. Sin embargo, uno de los tipos de tráfico cifrado que crece con mayor rapidez es el tráfico malicioso, que utiliza SSL/TLS para ocultarse de las herramientas de seguridad de la red.

La inspección TLS es necesaria para identificar el tráfico de comando y control (C2) de malware , intentos de exfiltración de datos y otro tipo de tráfico malicioso en la red de una empresa. Al despojarse de la protección proporcionada por SSL/TLS, las soluciones de seguridad rojas corporativas pueden identificar y bloquear las amenazas a nivel rojo.

¿Cómo funciona la inspección TLS?

SSL/TLS encripta de forma segura el tráfico de red, imposibilitando que se pueda espiar. Para habilitar la inspección TLS, muchas empresas configurarán un proxy web con un certificado digital comodín. Cada equipo propiedad de la empresa se configurará para confiar en ese certificado digital para autenticarse en cualquier sitio web de Internet.

Cuando un usuario intenta navegar por un sitio web, el servidor proxy recibirá la solicitud y creará una conexión cifrada SSL/TLS entre él y el cliente mediante el certificado comodín. A continuación, creará su conexión con el sitio web solicitado. Los datos que fluyen entre el cliente y el servidor fluirán a través de una conexión cifrada, serán descifrados por el servidor proxy y, a continuación, se volverán a cifrar y fluirán a través de la otra conexión cifrada hasta su destino.

 

Al descifrar el tráfico en ruta, el servidor proxy puede leer el contenido del tráfico web. Esto le permite identificar contenido malicioso en el tráfico aunque se trate de una conexión SSL/TLS cifrada.

Beneficios de la inspección TLS

La inspección TLS proporciona algunas ventajas para una organización, entre las que se incluyen:

  • Seguridad mejorada: La inspección TLS permite a una organización identificar contenido malicioso en el tráfico de red cifrado. Al bloquear las comunicaciones de malware o los intentos de explotación de software vulnerable, mejora la postura de seguridad general de la empresa.
  • Aplicación de políticas: El cifrado SSL/TLS puede permitir violaciones de las políticas de seguridad corporativas, como la navegación por sitios web no aprobados. La inspección TLS permite a una organización realizar el filtrado de URL y aplicar sus políticas de seguridad.
  • Cumplimiento normativo: Las leyes de privacidad de datos obligan a las empresas a proteger y controlar el acceso a la información sensible. La inspección TLS permite a las organizaciones identificar y bloquear el intento de robo de datos confidenciales de clientes o empresas.

Impacto en el rendimiento de la inspección TLS

La inspección TLS tiene sus ventajas, pero también puede repercutir en el rendimiento del tráfico de la red. La inspección TLS añade pasos adicionales que un dispositivo debe realizar antes de enrutar un paquete de red hacia su destino.

Con la inspección TLS, un dispositivo debe descifrar el tráfico, inspeccionarlo en busca de amenazas y volver a cifrarlo antes de enviarlo. Todos estos pasos requieren tiempo y recursos y crean latencia en la red, especialmente cuando se realizan a velocidad de línea en conexiones de red de gran ancho de banda.

Prácticas recomendadas para configurar la inspección TLS

Algunas prácticas recomendadas para configurar la inspección TLS son las siguientes:

  • Inspección de entrada vs. salida: El tráfico entrante y saliente conlleva diferentes riesgos potenciales para el negocio. Las empresas pueden configurar uno o ambos en función del papel que desempeñe el dispositivo en la organización y del tipo de amenazas que pretenda gestionar.
  • Respete las preocupaciones de privacidad: Según PCI DSS, HIPAA, GDPR y leyes similares, es posible que una organización no tenga la necesidad o el derecho de inspeccionar ciertos tipos de datos (PII, PHI, etc.). La inspección TLS debe configurarse para omitir el tráfico a sitios como instituciones financieras, proveedores de atención médica, etc.
  • Lista de derivación: Es posible que la organización confíe en algunos sitios web y el tráfico a estos sitios no requiere inspección. Configurar la inspección TLS para ignorar estos sitios evita la latencia potencial de la red.
  • Certificado proxy: La importación de un certificado proxy en los dispositivos propiedad de la empresa permite conexiones cifradas entre éstos y la puerta de enlace y elimina las advertencias en el navegador para los usuarios. Hacerlo mejora la experiencia del usuario y puede mejorar la seguridad de la red.

Inspección TLS con Quantum

La inspección TLS es una capacidad básica de un cortafuegos de última generación (NGFW). Sin esta funcionalidad, un NGFW carece de la visibilidad necesaria para aplicar sus otras funciones de seguridad integradas, como el filtrado URL, el sistema de prevención de intrusiones (IPS), el control de acceso, etc. Obtenga más información sobre qué buscar en un NGFW en esta guía del comprador de NGFW.

Check Point Quantum ofrece inspección TLS a la vez que minimiza la latencia de la red y los impactos en el rendimiento. Obtenga más información sobre sus capacidades en el Índice de referencia de seguridad NGFW 2024 de Miercom. A continuación, vea lo que puede hacer por usted mismo registrándose para una demostración gratuita.

x
  Comentarios
Este sitio web utiliza cookies para optimizar su funcionalidad y para fines de análisis y marketing. Al seguir usando este sitio web, usted acepta el uso de cookies. Para obtener más información, lea nuestro Aviso de cookies.