Introducción
Este documento describe la fijación de certificados y la fijación de claves públicas en Cisco Umbrella.
Prerequisites
Requirements
No hay requisitos específicos para este documento.
Componentes Utilizados
La información de este documento se basa en Cisco Umbrella.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Overview
La fijación de certificados es un mecanismo de seguridad de Internet que permite a las aplicaciones resistir la suplantación contra servidores HTTPS que utilizan certificados digitales mal emitidos o fraudulentos de otro modo. Para ello, asocia un servidor a un conjunto definido de claves públicas, que pueden ser las únicas de confianza para las conexiones a ese servidor. Existen dos técnicas para fijar certificados:
- La fijación de clave pública (PKP RFC7469) es un mecanismo obsoleto para activar la fijación de certificados en los navegadores web. Los certificados anclados se envían al explorador mediante encabezados HTTP.
- La fijación de certificados estáticos es el lugar donde una aplicación está codificada para esperar certificados específicos o autoridades de certificados. Algunas aplicaciones de escritorio/móvil utilizan un mecanismo estático de fijación de certificados para ofrecer seguridad adicional.
Cuando estas aplicaciones web son procesadas como proxy por Umbrella, la clave pública proporcionada por Umbrella no coincide, lo que hace que la aplicación cierre la conexión HTTPS. La fijación de certificados se aplica normalmente sólo a aplicaciones de escritorio/móviles porque los exploradores web modernos han eliminado la compatibilidad con PKP.
Compatibilidad con Umbrella SWG
Umbrella omite las direcciones URL conocidas del descifrado SSL para resolver los problemas de fijación de certificados en determinadas circunstancias. La tabla 1 incluye aplicaciones que se han omitido globalmente para todos los clientes de Umbrella. La tabla 1 también incluye otras aplicaciones que se sabía que utilizaban el anclaje de certificados en el momento de escribir este documento. Si está utilizando cualquiera de estas aplicaciones, puede considerar la posibilidad de utilizar los métodos descritos más adelante, por las razones dadas, para omitir la aplicación de la inspección HTTPS. La tabla 2 proporciona más detalles sobre los servicios de aplicación que se tratan en la tabla 1.
Otras aplicaciones de fijación de certificados
Las aplicaciones se pueden omitir por cliente (por política) para resolver los problemas de fijación de certificados mediante la función Descifrado selectivo de Umbrella. Estas excepciones se pueden implementar fácilmente en función del dominio, el nombre de la aplicación o la categoría; Umbrella SWG incluye una gran biblioteca de aplicaciones en nuestra base de datos de aplicaciones.
En la mayoría de los casos, la decisión de omitir la aplicación corresponde al administrador de TI. La adición de una excepción de descifrado es una contrapartida de seguridad, ya que impide la inspección de archivos y seguridad del contenido web. Se trata de una decisión individual que depende del tipo de aplicación y de las necesidades empresariales. Por ejemplo, si el problema de fijación de certificados afecta únicamente a una aplicación móvil/de escritorio, el administrador puede agregar una excepción para que la aplicación móvil funcione o, en su lugar, puede optar por pedir a los usuarios que utilicen la versión web de la aplicación.
Esta es una tabla de aplicaciones que se omiten globalmente para los clientes de Umbrella y no se requiere ninguna acción o se sabe que se usa el anclaje de certificados en el momento de escribir y no se omite por Umbrella de forma predeterminada. Si utiliza las aplicaciones que no se omiten de forma predeterminada, puede considerar el uso de los métodos descritos anteriormente, por las razones dadas, para omitir la aplicación de la inspección HTTPS.
Tabla 1 - Aplicaciones que pueden utilizar fijación de certificados
|
Nombre de aplicación
|
Cobertura general de Cisco
|
|
Servicios de Adobe
|
Omitido globalmente para los clientes de Umbrella
|
|
Airbnb
|
Compatible con el control de aplicaciones
|
|
Amazon Alexa
|
Compatible con el control de aplicaciones
|
|
Amazon Drive
|
Compatible con el control de aplicaciones
|
|
Amazon Kindle
|
Compatible con el control de aplicaciones
|
|
Espacios de trabajo de Amazon
|
Compatible con el control de aplicaciones
|
|
Amplitud
|
Omitido globalmente para los clientes de Umbrella
|
|
Dinámica de aplicaciones
|
Omitido globalmente para los clientes de Umbrella
|
|
iMessage de Apple
|
Compatible con el control de aplicaciones
|
|
Correo de Apple
|
Compatible con el control de aplicaciones
|
|
Servicios de Apple (consulte la tabla 2 para obtener más información)
|
Omitido globalmente para los clientes de Umbrella
|
|
Servicios de Cisco (consulte la tabla 2 para obtener más información)
|
Omitido globalmente para los clientes de Umbrella
|
|
Citrix Workspace
|
Compatible con el control de aplicaciones
|
|
Crashlytics
|
Omitido globalmente para los clientes de Umbrella
|
|
Halcón CrowdStrike
|
Compatible con el control de aplicaciones
|
|
Diligent.com
|
Compatible con el control de aplicaciones
|
|
Chat de discordia
|
Omitido globalmente para los clientes de Umbrella
|
|
Nube de acuerdo de DocumentumSign
|
Compatible con el control de aplicaciones
|
|
DropBox
|
Compatible con el control de aplicaciones
|
|
Druva Cloud Backup
|
Compatible con el control de aplicaciones
|
|
Conexión del motor
|
Compatible con el control de aplicaciones
|
|
Evernote
|
Compatible con el control de aplicaciones
|
|
Messenger de Facebook
|
Compatible con el control de aplicaciones
|
|
Facebook
|
Compatible con el control de aplicaciones
|
|
Correo electrónico
|
Compatible con el control de aplicaciones
|
|
Cuadrado
|
Compatible con el control de aplicaciones
|
|
Giphy
|
Omitido globalmente para los clientes de Umbrella
|
|
GitHub
|
Compatible con el control de aplicaciones
|
|
Google Drive
|
Compatible con el control de aplicaciones
|
|
Google Play Store
|
Compatible con el control de aplicaciones
|
|
Servicios de Google (consulte la tabla 2 para obtener más información)
|
Omitido globalmente para los clientes de Umbrella
|
|
Google Workspace
|
Compatible con el control de aplicaciones
|
|
IrAreunión
|
Compatible con el control de aplicaciones
|
|
Máquina de publicidad
|
Compatible con el control de aplicaciones
|
|
Instagram
|
Compatible con el control de aplicaciones
|
|
LogMein Pro
|
Compatible con el control de aplicaciones
|
|
Microsoft Defender para terminales
|
Compatible con el control de aplicaciones
|
|
Microsoft Intune
|
Compatible con el control de aplicaciones
|
|
Servicios de Microsoft (consulte la tabla 2 para obtener más información)
|
Omitido globalmente para los clientes de Umbrella
|
|
Microsoft Xbox Live
|
Compatible con el control de aplicaciones
|
|
Netflix
|
Compatible con el control de aplicaciones
|
|
OpenDrive
|
Compatible con el control de aplicaciones
|
|
PayPal
|
Compatible con el control de aplicaciones
|
|
Identidad de PingOne
|
Compatible con el control de aplicaciones
|
|
Servicios de Cloud Drive/Rackspace
|
Omitido globalmente para los clientes de Umbrella
|
|
CRM de Salesforce
|
Compatible con el control de aplicaciones
|
|
Segmento
|
Omitido globalmente para los clientes de Umbrella
|
|
Plataforma de señal
|
Compatible con el control de aplicaciones
|
|
Skype Empresarial
|
Compatible con el control de aplicaciones
|
|
Snapchat
|
Compatible con el control de aplicaciones
|
|
Soundcloud
|
Compatible con el control de aplicaciones
|
|
RobleAraña
|
Compatible con el control de aplicaciones
|
|
Spotify
|
Compatible con el control de aplicaciones
|
|
TeamViewer
|
Compatible con el control de aplicaciones
|
|
TikTok
|
Compatible con el control de aplicaciones
|
|
Todolista
|
Compatible con el control de aplicaciones
|
|
Twitter
|
Compatible con el control de aplicaciones
|
|
Vimeo
|
Compatible con el control de aplicaciones
|
|
Workday HCM
|
Compatible con el control de aplicaciones
|
|
Reuniones con zoom
|
Omitido globalmente para los clientes de Umbrella
|
Tabla 2: Detalle deServicios omitidos globalmente, como se muestra en la tabla 1
| Servicios de Apple |
- Comprobación del portal cautivo de Apple
- Apple iTunes y App Store
- Servicios adicionales de la plataforma Apple
|
|
Servicios de Cisco
|
- Servicios Cisco Umbrella y OpenDNS
- Equipos de Cisco Webex y Webex
- WebUI de Cisco Cloud Email Security
- servicio de terminales de AMP
- Duo Security 2FA
|
| Servicios de Google |
- Google Hangouts
- Mensajes de Google en la Web
- Servicios adicionales de la plataforma Google
|
| Servicios de Microsoft |
- Indicador de estado de conectividad de red Microsoft
- Windows Update
- servicio de traducción de Windows
- Servicios adicionales de la plataforma Microsoft/Windows
|
Para obtener ayuda adicional, consulte Solución de problemas de aplicaciones que no son de navegador o póngase en contacto con el servicio de asistencia técnica de Umbrella. Las solicitudes pueden ser consideradas para ser agregadas a nuestra lista global de desvío después de haber sido revisadas por el equipo de ingeniería.
Comentarios