Cómo crear un perfil de seguridad de inspección de SSL y cómo aplicarlo a una política de cortafuegos en Fortigate. Mostramos cómo descargar el certificado e instalarlo en los equipos para aplicar la inspección HTTPS.
La inspección completa de SSL en el tráfico saliente permite a un cortafuegos inspeccionar el tráfico de Internet cifrado y aplicar perfiles de seguridad a ese tráfico. Este servicio protege la red y a los usuarios finales de posibles malwares que podrían provenir de sitios web seguros, como sitios HTTPS, que visitan los usuarios internos.
FortiGate emplea una técnica de man-in-the-midle (MITM) para inspeccionar el tráfico y aplicar perfiles de seguridad, como antivirus, filtro web y control de aplicaciones. En este estudio de caso se configurará y habilitará la inspección completa de SSL en todo el tráfico saliente.
Por defecto, FortiGate incluye varios perfiles de seguridad para la inspección SSL/SSH: inspección de certificados, inspección profunda personalizada, inspección profunda y sin inspección. Solo se puede modificar la configuración del perfil de inspección profunda personalizada. El resto de perfiles son de solo lectura.
Para configurar la inspección SSL, accederemos a la consola de gestión web de Fortigate y pulsaremos en Security Profiles – SSL/SSH Inspection, desde aquí, crearemos un nuevo perfil pulsando en «Create New»:
Estableceremos los siguientes valores para el pefil, en este caso, usaremos el propio certificado autofirmado que incluye Fortigate (Fortinet_CA_SSL):
En la opción «Common Options» – «Invalid SSL Certificates», seleccionaremos «Custom» y dejaremos los siguientes valores marcados:
- Expired certificates: Block.
- Revoked certificates: Block.
- Validation timed-out certificates: Keep Untrusted & Allow.
- Validation failed certificates: Block.
Editaremos la regla que tengamos de acceso a Internet, desde Policy & Objects – Firewall Policy, en este caso, la regla «Acceso_Internet»:
En «Security Profiles» – «SSL Inspection», elegiremos el perfil creado anteriormente «Inspeccion_SSL_Profunda_ProyectoA» y en «Loggin Options» – «Log Alloweb Traffic», marcaremos «All Sessions». Para que se aplique el pefil de inspección de SSL, deberemos activar el perfil «Web Filter», en este caso, elegiremos el de defecto (si tenemos alguno personalizado lo elegiremos):
Nos mostrará una advertencia indicando que los equipos de los usuarios deberán tener instalado el certificado del perfil, de lo contrario, les aparecerá una advertencia cada vez que naveguen a un sitio web HTTPS:
Si ahora navegamos a Internet desde cualquier equipo de la red LAN, sin instalar el certificado de Fortigate, se accederá a las webs pero no se inspeccionará el tráfico y se mostrará un mensaje de advertencia al usuario:
FortiGate incluye un certificado SSL, llamado Fortinet_CA_SSL, que se puede usar para la inspección completa de SSL. Por supuesto, se puede subir y usar un certificado propio.
El perfil de inspección SSL que creó anteriormente utiliza el certificado de Fortinet. Este certificado está firmado por una autoridad certificadora (CA) llamada FortiGate CA, que no es pública. Debido a que la CA no es pública, cada vez que un usuario se conecta a un sitio web seguro, el navegador muestra una advertencia de certificado. Esto se debe a que el navegador recibe tráfico cifrado por certificados firmados por FortiGate, usando una CA que no conoce ni en la que confía. Para evitar esta advertencia, descargaremos el certificado Fortinet_CA_SSL desde el perfil aplicado, pulsando en «Download»:
Una vez descargado, lo instalaremos en todos los equipos de la red LAN, bien manualmente o bien por directiva de AD DS u otro medio de automatización:
Si navegamos a algún sitio web HTTPS con el certificado instalado, ahora sí que navegará correctamente. En este caso, Fortigate rompe el túnel SSL, puesto que tiene el certificado en origen y en destino, analiza el tráfico y vuelve a montar el túnel para que el usuario «no lo note», esto es lo que se llama man-in-the-midle. El usuario verá en cada sitio web el certificado de Fortigate:
Si no se aplica esta inspección, el tráfico HTTPS no será analizado y tampoco funcionará el servicio de seguridad de App Control (Application Control).
