Certificado inspección profunda SSL (DPI SSL)

23 octubre 2018
Josep Ma Solanes 0

Hoy en día, ya no es una opción disponer de un cortafuegos sin la inspección profunda SSL (DPI SSL), a fin de poder defender la red interna de las amenazas externas. Y más cuando las últimas actualizaciones de los navegadores modernos indican como insegura cualquier web que no utilice el protocolo SSL, casi obligando a traspasar todas las comunicaciones de HTTP a HTTPS.

Esta entrada trata de como crear un certificado de entidad subordinada, mediante la entidad certificadora de Microsoft Windows Server, para poder hacer una inspección profunda SSL (DPI SSL) en un dispositivo de análisis de tráfico, como ahora un cortafuegos con servicios avanzados de seguridad.

Introducción a la inspección profunda SSL (DPI SSL)

A grandes rasgos y para mejor comprensión, el HTTPS es un protocolo de comunicaciones que crea un túnel entre el servidor (la web donde nos conectamos) y el cliente (desde donde nos conectamos).

Este túnel se crea mediante un certificado instalado en el servidor. Al conectarse por primera vez, el servidor le proporciona una clave pública al cliente, con la que éste cifra los datos que va enviando al servidor. Por lo tanto, los datos viajan cifrados, por lo que si un atacante malo quiere visualizar la comunicación con el servidor no lo hace en claro (se puede entender lo que dice), necesita la clave privada del servidor para descifrar la comunicación o rebentar por la fuerza bruta esta comunicación.

La clave privada sólo la tiene, y debe tenerla, el servidor, así debe ser y bajo ningún concepto debe entregarse a un cliente.

Remarco bajo ningún concepto, porque por estos mundos, he visto como algún administrador, repartía erróneamente el certificado generado para cifrar las comunicaciones del servidor a los usuarios, para que lo instalasen en su equipo.

En cuánto a la inspección profunda SSL tenéis que saber que se trata de un ataque man-in-the-middle en todos los sentidos. El dispositivo descifra las comunicaciones y puede ver todo el contenido en claro.

Nos sirve para defendernos, pero si lo utilizan malas manos también puede servir para lo contrario.

Si disponéis de información sensible dentro de la empresa para diferentes departamentos, aconsejo poner como excepción los dominios más sensibles de los que podemos tener una certeza de confianza, que no nos colarán programas maliciosos, a fin de que no haya malentendidos por una mala práctica de alguien. Es más una cuestión política que técnica.

Volviendo al apartado técnico de la inspección profunda SSL (DPI SSL). En el caso que no se hiciese inspección del tránsito, el usuario se conecta al servidor, creando un túnel entre ambos.

Todo lo que pasa por el túnel, sea correcto o no (malware, webs no permitidas, aplicaciones denegadas, etc…), el dispositivo de filtrado lo deja pasar porque realmente no sabe que lo tiene que parar.

En cambio, si se hace la inspección profunda SSL (DPI SSL), el dispositivo de filtrado puede analizar todos los datos que pasan, ya que realmente se generan dos túneles. Uno entre el servidor y el propio dispositivo de filtrado. Y el otro entre el dispositivo de filtrado y el cliente.

Y aquí es dónde tenemos el “pequeño problema”, que el cliente visualizará un error de certificado o advertencia grave en las comunicaciones con el servidor. Ya que es así, se ha colado un dispositivo en medio de la comunicación (para este caso es para hacer el bien, pero puede ser el caso contrario también) que está revisando todo lo que pasa.

Por lo tanto, se ha roto el túnel original y el trabajo del navegador es levantar la mano para avisar que esto no está bien.

Como responsables de la seguridad de la red se tiene que dar la tranquilidad a los usuarios de que sus conexiones son correctas y seguras. Toca gestionar correctamente la estructura de certificados.

Que nos conocemos y no sirve decir al usuario que no pasa nada porque le sale el mensaje de advertencia de conexión insegura, poner un certificado auto-firmado generado por los propios dispositivos, además a niveles de cifrado bajos o fechas de caducidad a 99 años, etc… Si hiciésemos esto estaríamos haciendo mal nuestro trabajo, que es garantizar al máximo la seguridad y privacidad dentro de nuestra red.

¿Qué necesitamos para hacer la inspección profunda SSL (DPI SSL) en cuanto a certificados?

Básicamente se necesitan certificados con clave públicas y privadas para crear y mantener los túneles, entre el cliente y el dispositivo de inspección profunda del protocolo SSL (DPI SSL).

Concretamente, un certificado que permita actuar al dispositivo como una entidad certificadora subordinada o intermedia, ya que cada vez generará certificados nuevos para las conexiones entre el cliente y el servidor donde se quiera conectar.

Si habéis seguido correctamente la entrada sobre la instalación de la entidad certificadora de Microsoft Windows Server y como migrar el cifrado de la entidad certificadora a SHA2, podéis continuar.

En caso contrario, revisad que vuestra entidad certificadora dispone de las configuraciones mencionadas (sobre todo con el cifrado de SHA2), ya que podéis generar correctamente los certificados, pero con un nivel de cifrado bajo (SHA1), que los navegadores bloquearán al ser un cifrado obsoleto.

Abrir el administrador de la Entidad Certificadora de Microsoft Windows Server. Botón derecho sobre la entidad certificadora y seleccionar Propiedades.

Validar la configuración de cifrado:

  • Proveedor Microsoft Software Key Storage Provider
  • Algoritmo de firma SHA512 (a fecha de la entrada, también os sirve el SHA256)

Botón derecho sobre plantillas de certificado y seleccionar Administrar.

Localizar la plantilla Entidad Certificadora Subordinada. Botón derecho y seleccionar Duplicar Plantilla.

En la pestaña Compatibilidad, entendiendo que el sistema operativo del servidor de la entidad certificadora es como mínimo un Microsoft Windows Server 2016 (id actualizando los sistemas si todavía no lo habéis hecho), seleccionar tanto en entidad certificadora como en certificado la versión Microsoft Windows Server 2016.

Seleccionar la pestaña General. indicar el nombre de la plantilla (DPI-SSL Subordinate Certification Authority), el período de validez del certificado (5 años) y el período de renovación (6 semanas).

Seleccionar la pestaña Requerimientos por emisión. Como que no es un certificado que se pueda hacer servidor de forma indiscriminada para todos, recomiendo limitar la emisión a la aprobación de un administrador. No se dé el caso que alguien quiere hacer un ataque de los malos tipo man-in-the-middle y pida un certificado correcto para hacerlo.

Marcar el checkbox de Se necesita la aprobación de un administrador de CA. Y dejar marcada la opción de seguir el mismo criterio para la renovación del certificado.

Seleccionar la pestaña Extensiones. A priori no hay que modificar ninguno de estos parámetros, se pueden dejar por defecto a no ser que se quiera hacer alguna cosa más concreta.

Seleccionar la pestaña Seguridad. Para poder pedir el certificado se requieren permisos para hacerlo. Hay que añadir el servidor de la entidad certificadora que se utilizará para crear este nuevo certificado a la lista de equipos autorizados para pedir certificados. Hacer clic en el botón Añadir.

Hacer clic en el botón tipo de objetos para desmarcar todos los tipos de objetos marcar Equipos. Hacer clic en el botón Ok.

Escribir el nombre del servidor desde el que se pedirá crear el nuevo certificado y hacer clic en el botón Comprobar nombres para validarlo. Una vez validado, hacer clic en el botón OK para añadirlo a la lista de permisos.

Seleccionar la cuenta del equipo habilitar el checkbox de permitir pedir el certificado. Hacer clic en OK para aceptar las modificaciones.

En la lista de plantillas de certificados aparece la nueva plantilla. Cerrar la consola de plantillas de certificados.

Volviendo a la consola de administración de la entidad certificadora, seleccionar plantillas de certificado. Botón derecho y hacer clic en Nueva y Plantilla de Certificado a emitir.

Seleccionar la plantilla que se ha creado en el paso anterior y hacer clic en el botón OK.

El servidor ya dispone de la nueva plantilla para entidad certificadora subordinada.

Abrir una consola de administraciónInicio – Ejecutar (o tecla Windows + R) y escribir mmc

En el menú Archivo, seleccionar Añadir o quitar complemento.

Seleccionar Certificados y pulsar el botón Añadir.

El complemento pide por el tipo de almacén a gestionar, para el caso que nos ocupa, hay que selecionar la cuenta de equipo. Hacer clic en el botón Siguiente.

Indicar que equipo tiene que gestionar. Dejar seleccionado el local o seleccionar el que corresponda. Hacer clic en el botón Finalizar.

Volviendo al cuadro de diálogo anterior, hacer clic en el botón OK para cargar el complemento.

Desplegar el almacén de certificados en Personal > Certificados. Botón derecho sobre Certificados. Hacer clic en la opción Todas las tareasNueva petición de certificado.

Se inicia el asistente para un nuevo certificado. Hacer clic en el botón Siguiente para continuar.

En que entidad certificadora hará la petición, por defecto la indicada en la directiva del Active Directory. Hacer clic en el botón Siguiente para continuar.

Localizar la plantilla de la entidad certificadora subordinada creada anteriormente. Debe salir una advertencia, pidiendo más información para poder emitir el certificado. Hacer clic sobre el texto de la advertencia para indicar estos datos necesarios.

Pestaña Tema. Indicar el Common Name de la entidad, para no mezclarla con la raíz, me gusta utilizar la nomenclatura DPI-SSL. Hacer clic en el botón Añadir.

Añadir el resto de datos habituales en los certificados:

  • Organización
  • Localidad (Locality)
  • Provincia (State)
  • País (Country). Recordad que debéis escribir el código ISO del país.

Hacer clic en la pestaña General para indicar el nombre descriptivo del certificado.

No hay que hacer ninguna modificación en la pestaña Extensions, se puede dejar por defecto.

En la pestaña Clave Privada, se puede aumentar el nivel de la clave de cifrado a 4096. Todo depende de la confianza dentro de la red interna y las capacidades del dispositivo. Como más grande la clave, más fuerte la comunicación entre el cliente y el dispositivo de inspección profunda SSL (DPI SSL), que no con el servidor donde establece la comunicación; pero también se necesita más potencia de cálculo.

A la pregunta de si se permite exportar la clave privada, dejar el checkbox marcado, ya que se tiene que exportar el certificado para poder instalarlo en el dispositivo de inspección profunda SSL (DPI SSL).

Hacer clic en el botón OK, para registrar todos los datos proporcionales.

En el listado de plantillas desaparece la advertencia. Marcar el checkbox de la plantilla y hacer clic en el botón Enroll.

Se genera la petición, pero queda a la espera (carpeta peticiones de certificados) de que el administrador lo autorice. Hacer clic en el botón Finalizar.

Volviendo a la consola de administración de la entidad certificadora como Administrador de la misma. Seleccionar la carpeta peticiones pendientes. Se visualiza la petición del nuevo certificado para la entidad certificadora subordinada.

Botón derecho en la petición de certificado, seleccionar Todas las tareas y Emitir.

Volviendo a la consola de certificados, desde donde se ha hecho la petición del certificado, seleccionar la carpeta Peticiones de Certificados (Certificate Enrollment Requests), Certificados. Comprobar que se ha generado el nuevo certificado.

Fijaos que no se confía en este certificado ya que ha sido emitido por una nueva entidad certificadora en la que no se confía. (JMSolanes DPI-SSL)

Hacer clic en la pestaña Detalles para guardar una copia con la clave privada de este certificado.

Esta copia sólo debe utilizarse para instalar en el dispositivo de inspección profunda SSL (DPI SSL).

En ningún caso debe utilizarse la copia de este certificado con la clave privada para añadirlo como entidad de confianza.

Hacer clic en el botón Copiar a archivo.

Se inicia el asistente para exportar el certificado. Hacer clic en el botón  Siguiente  para continuar.

En esta ocasión, seleccionar Exportar la clave privada, para crear la copia del certificado a instalar en el dispositivo de inspección profunda SSL (DPI SSL). Hacer clic en el botón Siguiente.

Dejar las opciones por defecto en el formato de exportación del certificado. Hacer clic en el botón Siguiente.

Marcar el checkbox de Contraseña para poder exportar el certificado con la clave privada, indicar una contraseña que se utiliza para la importación y seleccionar el tipo de cifrado que consideréis oportuno. Hacer clic en el botón Siguiente.

Indicar la ruta y el nombre del archivo. Recordar que este es el archivo que se tiene que importar al dispositivo de inspección profunda y no como certificado de confianza. Hacer clic en el botón Siguiente.

Resumen de la exportación que debe ser satisfactoria. Hacer clic en el botón Finalizar.

Repetir el proceso, pero esta vez sin exportar la clave privada.

Esta copia de certificado es el que se tiene que distribuir a todos los equipos que estén en la parte interna del dispositivo de inspección profunda SSL (DPI SSL).

Con los dos certificados generados, hay que repartirlos a sus respectivos dispositivos:

  • El de la clave pública. Genera una política de grupo que lo añada como entidad Certificadora Intermedia de confianza.
  • El de la clave privada. Instalar en el dispositivo de inspección profunda SSL (DPI SSL).

GPO certificado entidad certificadora intermedia de confianza

Para añadir el certificado de la entidad raíz de confianza se puede editar o crear la política de grupo de certificados a tal efecto.

Sí, habéis leído bien, se tiene que añadir el certificado de la entidad certificadora subordinada como raíz de confianza para que los equipos confíen en los certificados que generará esta entidad.

Desde el administrador de Políticas de GrupoCarpeta Objetos de Política de Grupo. Crear o editar la de Certificados.

En las opciones de configuración de máquina, seleccionar Configuración de WindowsConfiguración de SeguridadPolíticas de Clave publicaEntidad de Certificación Raíces de confianza. Botón derecho y hacer clic en Importar.

Se inicia el asistente para poder importar un nuevo certificado con la clave pública, ¡que no la privada! Hacer clic en el botón Siguiente.

Indicar el nombre del archivo que se ha exportado en el paso anterior y que sólo contiene la clave pública. Hacer clic en el botón Siguiente.

Por defecto queda seleccionado el almacén de entidades de certificación raíces de confianza. Hacer clic en el botón Siguiente para continuar.

Resumen del asistente para la importación. Hacer clic en el botón Finalizar. Si todo está correcto aparece un mensaje indicando que la importación ha sido correcta. Hacer clic en el botón OK.

En el listado de entidades aparece la entidad acabada de crear.

Esperar unos cinco minutos para la réplica de políticas del Active Directory. Yendo a la consola de administración de certificados, a Entidades de Certificación Raíces de confianza, aparece el nuevo certificado de la entidad para la inspección profunda SSL (DPI SSL).

Si accedemos a la carpeta de Entidades de Certificación IntermediasCertificados; y abrimos el certificado se tiene que validar como de confianza, sin el error de antes.

Toto listo para que los equipos confíen en los certificados emitidos por la nueva entidad de certificación intermedia.

Sólo queda instalar el certificado con la clave privada en el dispositivo de inspección profunda SSL (DPI SSL) que corresponda.

 

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!

Similar Posts by The Author:

 

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.