Intercepción SSL
Un dispositivo Citrix Secure Web Gateway (SWG) configurado para la intercepción SSL actúa como un proxy. Puede interceptar y descifrar el tráfico SSL/TLS, inspeccionar la solicitud sin cifrar y permitir que un administrador aplique reglas de cumplimiento y comprobaciones de seguridad. La intercepción SSL utiliza una política que especifica qué tráfico interceptar, bloquear o permitir. Por ejemplo, el tráfico hacia y desde sitios web financieros, como bancos, no debe interceptarse, pero otro tráfico puede interceptarse y los sitios en la lista negra pueden identificarse y bloquearse. Citrix te recomienda que configures una política genérica para interceptar el tráfico y políticas más específicas para omitir parte del tráfico.
El cliente y el proxy de Citrix SWG establecen un protocolo de enlace HTTPS/TLS. El proxy SWG establece otro protocolo de enlace HTTPS/TLS con el servidor y recibe el certificado del servidor. El proxy verifica el certificado del servidor en nombre del cliente y también comprueba la validez del certificado del servidor mediante el Protocolo de estado de certificados en línea (OCSP). Regenera el certificado del servidor, lo firma con la clave del certificado de CA instalado en el dispositivo y lo presenta al cliente. Por lo tanto, se utiliza un certificado entre el cliente y el dispositivo Citrix ADC, y otro certificado entre el dispositivo y el servidor back-end.
Importante
El certificado de CA que se utiliza para firmar el certificado del servidor debe preinstalarse en todos los dispositivos cliente para que el certificado del servidor regenerado sea de confianza para el cliente.
Para el tráfico HTTPS interceptado, el servidor proxy SWG descifra el tráfico saliente, accede a la solicitud HTTP de texto sin cifrar y puede usar cualquier aplicación de capa 7 para procesar el tráfico, por ejemplo, examinando la URL de texto sin formato y permitiendo o bloqueando el acceso según la política corporativa y la reputación de la URL. Si la decisión de la política es permitir el acceso al servidor de origen, el servidor proxy reenvía la solicitud recifrada al servicio de destino (en el servidor de origen). El proxy descifra la respuesta del servidor de origen, accede a la respuesta HTTP de texto sin cifrar y, opcionalmente, aplica cualquier política a la respuesta. Luego, el proxy vuelve a cifrar la respuesta y la reenvía al cliente. Si la decisión de la política es bloquear la solicitud al servidor de origen, el proxy puede enviar una respuesta de error, como HTTP 403, al cliente.
Para realizar la intercepción SSL, además del servidor proxy configurado anteriormente, debes configurar lo siguiente en un dispositivo SWG:
- Perfil SSL
- Política SSL
- Almacén de certificados de CA
- Aprendizaje automático y almacenamiento en caché de errores SSL