El protocolo TLS proporciona un túnel de seguridad sobre cualquier comunicación en la red. Es un protocolo maduro y consolidado para la seguridad, y la mayoría de los protocolos industriales modernos ofrecen una opción TLS. Sin embargo, no todos los dispositivos finales admiten cifrado TLS, y la gestión de certificados suele ser demasiado compleja para desplegarse ampliamente en instalaciones.
Access Gate dispone de capacidades integradas para crear túneles transparentes sobre activos críticos, lo que resulta especialmente útil para exponer un dispositivo a través de una red más amplia.
Requisito previo
Access Gate debe estar instalado y tanto su puerto Admin como el puerto Secure Twin deben estar configurados. También necesita un cliente compatible con TLS.
La mayoría de los protocolos pueden protegerse mediante TLS, pero en esta guía nos centraremos en HTTP, por ser una opción ampliamente disponible. Vamos a proteger el acceso a la interfaz administrativa de un router gestionado Linksys, que carece de cifrado (y por tanto es vulnerable a la interceptación de contraseñas).
Activos en Access Gate
El switch gestionado y los clientes deben registrarse como activos en las vnets correspondientes (no es necesario que estén en la misma vnet, siempre que ambos estén gestionados por Access Gate).
Con ambos dispositivos (Lab Switch y Tester en este ejemplo) registrados y añadidos al mismo enclave, es necesario configurar el cifrado TLS.
Gestión de certificados TLS
Uso de la PKI nativa de Access Gate
De forma predeterminada, Access Gate ejecuta una PKI. Vaya a Configuración -> Gestión de PKI y haga clic en Descargar certificado TLS. Este certificado puede instalarse en su equipo para gestionar los túneles seguros.
Generación de un certificado TLS intermedio
Access Gate necesita certificados para crear el túnel TLS. Para mayor seguridad, Access Gate gestiona una lista de certificados de dos niveles:
- un certificado intermedio firmado por su autoridad de certificación, que nunca abandona el dispositivo
- los certificados terminales se generan dinámicamente gracias al certificado intermedio y se envían a los dispositivos de la red para establecer comunicaciones seguras.
Los túneles TLS se habilitan en la página Configuración > Redes. Haga clic en "Generate CSR" (CSR = solicitud de firma de certificado) para obtener el documento de firma, y fírmelo con su autoridad raíz. Cargue el certificado intermedio resultante mediante "Upload SCA".
Exigir cifrado para el acceso
Vuelva a la página del Enclave, habilite el acceso y seleccione la opción avanzada "TLS only". La pantalla se actualiza para reflejar su elección.
En este punto, TLS está completamente configurado y listo para su uso. Por ejemplo, navegue a la página web y compruebe el icono de candado en la barra del navegador para verificarlo.
Pasos para la resolución de problemas
El cifrado TLS es muy sensible a una configuración correcta de los certificados. Debe asegurarse de que su autoridad de certificación tenga:
- Validez temporal suficiente (normalmente 10 años) para firmar la solicitud de certificado
- La profundidad correcta para emitir certificados terminales (debe ser al menos 2: uno para el intermedio y uno para el certificado final)
- Si utiliza restricciones de dominio en la autoridad de certificación (una buena práctica), compruebe que todos los nombres de vnets estén cubiertos por el límite de dominio
- The
De forma predeterminada, el proxy TLS de Access Gate está configurado para lograr un equilibrio razonable entre algoritmos modernos (y seguros) y una amplia compatibilidad. Si tiene requisitos específicos (dispositivos muy antiguos, cumplimiento NIST), contacte con su representante de ventas para analizar niveles de licencia más avanzados.