Procesamiento de solicitudes CONNECT

Durante el procesamiento del tráfico HTTPS, el resultado de la aplicación de las acciones Bloquear y Redireccionar difiere del resultado de la aplicación de estas acciones en el tráfico HTTP. El usuario no verá ninguna página de bloqueo ni será redirigido a la URL especificada; se cancelará la conexión.

La razón es que, para establecer conexiones HTTPS cifradas, el equipo del usuario solicita al servidor proxy una conexión con el servidor web a través de un mensaje HTTP que incluye el método CONNECT (en lo sucesivo también denominado «una solicitud CONNECT»). La capacidad que tienen los servidores proxy para procesar las solicitudes CONNECT y responder a ellas está limitada al nivel del protocolo HTTP. El servidor proxy puede notificar al usuario una conexión correcta o cancelar la conexión.

Para que las acciones Bloquear y Redireccionar se apliquen correctamente, debe activar el descifrado de las conexiones TLS y SSL, y agregar el método CONNECT a las exclusiones o crear un regla de bypass para este. Si no hay reglas de procesamiento de tráfico que permitan las solicitudes CONNECT, la conexión se terminará.

Al permitir las solicitudes CONNECT se podría reducir la seguridad de la infraestructura de TI corporativa. Se recomienda añadir el método CONNECT a las exclusiones solo en las reglas de procesamiento de tráfico para las que la visualización de la página de bloqueo o las redirecciones sean críticas.

Este artículo también incluye los detalles y las diferencias entre el procesamiento del tráfico HTTP transmitido a través de mensajes HTTP estándar y el tráfico HTTPS cuando se utilizan solicitudes CONNECT para establecer conexiones cifradas.

Procesamiento de mensajes HTTP estándar

La finalidad de la mayoría de los métodos HTTP (por ejemplo, GET, POST, DELETE, HEAD, OPTIONS, PATCH, PUT y TRACE) es intercambiar mensajes HTTP entre el cliente (equipo de usuario) y el servidor web en el que se almacena el recurso web solicitado. Kaspersky Web Traffic Security puede analizar esos mensajes HTTP y puede aplicar todas las acciones disponibles para esos mensajes. En la siguiente figura, se detallan los principios del procesamiento de mensajes HTTP en Kaspersky Web Traffic Security.

kwts_http_traffic

Principios del procesamiento de mensajes HTTP

Los números de la figura corresponden a las siguientes etapas del procesamiento de mensajes HTTP estándar:

  1. Un usuario solicita acceso a un recurso web. Esta solicitud se reenvía a un servidor proxy.
  2. La aplicación verifica si el recurso web solicitado cumple con los criterios de las reglas de acceso.
  3. Si la aplicación de una regla de acceso resulta en la acción Bloquear, el usuario ve la página de bloqueo. Si se aplica la acción Redireccionar, el usuario es redirigido a la URL especificada.
  4. Si la aplicación de una regla de acceso resulta en la acción Permitir, la aplicación pasa a analizar el tráfico usando reglas de protección o la directiva de protección predeterminada. Si no se detecta ninguna amenaza, la solicitud del usuario es redirigida al servidor web.
  5. Los módulos de protección también analizan la respuesta que envía el servidor web en busca de virus u otras amenazas. Si se detectan amenazas, la aplicación bloquea el tráfico. Si no se detecta ninguna amenaza, la aplicación reenvía la respuesta del servidor web al equipo del usuario.
  6. Durante un intento de acceso no autorizado, los intrusos pueden interceptar datos debido a que el tráfico se transmite sin cifrar.

Detalles del procesamiento de solicitudes CONNECT

Cuando se intenta acceder a un recurso web a través del protocolo HTTPS, el equipo del usuario envía una solicitud CONNECT al servidor proxy para solicitar una conexión al servidor web. Como resultado del intercambio de configuración de cifrado y certificados de seguridad, se establece una conexión segura de túnel a través del protocolo TLS entre el equipo del usuario y el servidor web. Dentro de este túnel, el cliente y el servidor web intercambian mensajes HTTP mediante métodos HTTP estándar (GET, POST, etc.). De forma predeterminada, el servidor proxy no puede analizar el contenido de la conexión cifrada ni interferir con el intercambio de mensajes dentro del túnel. En la siguiente figura, se detalla el mecanismo de procesamiento de las conexiones cifradas predeterminadas.

kwts_https_without_bumping

Mecanismo de procesamiento de las conexiones cifradas predeterminadas

Los números de la figura corresponden a las siguientes etapas del procesamiento de las conexiones cifradas predeterminadas:

  1. El equipo del usuario envía una solicitud CONNECT al servidor proxy para solicitar un canal de datos cifrados con el servidor web.
  2. La aplicación verifica si el recurso web solicitado cumple con los criterios de las reglas de acceso.
  3. Si la aplicación de las reglas resulta en la acción Bloquear o Redireccionar, se cancela la conexión. El usuario no verá la página de bloqueo ni será redirigido a la URL determinada.
  4. Si la aplicación de las reglas de acceso resulta en la acción Permitir, la aplicación envía una solicitud CONNECT para que los módulos de protección continúen con el procesamiento.
  5. Una vez que los módulos de protección analizan correctamente la solicitud CONNECT, el servidor proxy establece un canal de datos cifrados entre el equipo del usuario y el servidor web.
  6. El equipo del usuario intercambia mensajes HTTP estándar con el servidor web dentro del canal de datos cifrados. El servidor proxy no puede acceder a dichos mensajes y solicitar que los módulos de protección los analicen porque los datos transmitidos están cifrados.
  7. La respuesta del servidor web también se reenvía directamente al equipo del usuario sin ser analizada por los módulos de protección. Esto reduce el nivel de protección de la infraestructura de TI corporativa, dado que el equipo del usuario puede recibir tráfico que incluya amenazas.
  8. Durante un intento de acceso no autorizado, los intrusos no pueden interceptar datos debido a que el tráfico se transmite dentro de un canal cifrado.

Para permitir que la aplicación analice el tráfico que se transmite dentro de un canal de datos cifrados a través de los módulos de protección, debe configurar el descifrado de las conexiones TLS y SSL. En la siguiente figura, se detalla el mecanismo de procesamiento de las conexiones cifradas con descifrado activado de las conexiones TLS y SSL.

kwts_https_with_bumping

Mecanismo de procesamiento de conexiones cifradas con descifrado activado de las conexiones TLS y SSL

Los números de la figura corresponden a las siguientes etapas del procesamiento de las conexiones cifradas con descifrado activado de las conexiones TLS y SSL:

  1. El equipo del usuario envía una solicitud CONNECT al servidor proxy para solicitar un canal de datos cifrados con el servidor web.
  2. La aplicación verifica si el recurso web solicitado cumple con los criterios de las reglas de acceso.
  3. Si la aplicación de una regla de acceso resulta en la acción Bloquear o Redireccionar, se cancela la conexión. El usuario no verá la página de bloqueo ni será redirigido a la URL determinada.
  4. Si la aplicación de las reglas de acceso resulta en la acción Permitir, la aplicación envía una solicitud CONNECT para que los módulos de protección continúen con el procesamiento.
  5. Una vez que los módulos de protección analizan correctamente la solicitud CONNECT, se establecen canales de datos cifrados entre el equipo del usuario y el servidor proxy, y entre el servidor proxy y el servidor web.
  6. El equipo del usuario intercambia solicitudes HTTP estándar con el servidor web dentro del canal de datos cifrados. La aplicación recibe acceso a todos los datos transmitidos y puede aplicarles reglas de protección.
  7. La aplicación verifica si el recurso web solicitado cumple con los criterios de las reglas de acceso.
  8. Si la aplicación de una regla de acceso resulta en la acción Bloquear, el usuario ve la página de bloqueo. Si se aplica la acción Redireccionar, el usuario es redirigido a la URL especificada.
  9. Si la aplicación de una regla de acceso resulta en la acción Permitir, la aplicación pasa a analizar el tráfico usando reglas de protección o la directiva de protección predeterminada. Si no se detecta ninguna amenaza, la solicitud del usuario es redirigida al servidor web.
  10. Los módulos de protección también analizan la respuesta que envía el servidor web en busca de virus u otras amenazas. Si se detectan amenazas, la aplicación bloquea el tráfico. Si no se detecta ninguna amenaza, la aplicación reenvía la respuesta del servidor web al equipo del usuario a través de un canal de datos cifrados.
  11. Durante un intento de acceso no autorizado, los intrusos no pueden interceptar datos debido a que el tráfico se transmite dentro de un canal de datos cifrados.

En esta sección:

Configuración de las exclusiones de las reglas de procesamiento de tráfico

Creación de una regla de bypass
Inicio de página