Skip to main content
  • EN

AD_4nXdUQKfOTis3W5RIPV3OqDM7tr-LGmePXDyqlyc_EV8-7FE5n6Prl8lFdGyFmE-wMTZ997ubia1wowcj0mGFOkCpcrGe0iql-KjPM7XREDelX9StuUQfU4qHEgzLiZflXlJ8aS_KjY2LEHTgiLqxR2Y?key=Pt2hYPNQNSQch-GwSAHZJVd3

Netskope Global Technical Success (GTS)

[Spanish Language] Mejores prácticas para gestionar el tráfico de invitados con Netskope

 

 

Netskope Cloud Version - 122

 

Objetivo

Gestionar el tráfico de usuarios invitados de forma transparente

 

Prerrequisito

Se requiere licencia de Netskope SWG

 

Contexto

En este contexto, sugerimos dirigir el tráfico de Invitados a Netskope Cloud Proxy a traves del tunel de IPSec/GRE! El direccionamiento de IPSEC/GRE es utilizado cuando el cliente/agente de Netskope no puede ser instalado en la estación de trabajo (ver KB relacionado aqui). 

Un escenario válido es controlar y filtrar el tráfico de usuarios invitados, tales como redes Wifi de invitados, solo para este caso de uso  las redes Wifi de invitados deben insertarse en el túnel IPSEC/GRE.

⚠️En este caso de uso si las políticas de descifrado no están bien configuradas, los usuarios pueden encontrarse con los errores típicos de SSL:The untrusted certificate!
Esto pasa cuando la aplicación o el OS del cliente no confia en la CA de Netskope, a continuación dos ejemplos de errores ssl:

AD_4nXeZ7gNbidT0IcVvBHBRtb7j7p5GC_QaHLGvnm30hdPvZ7ntlqjYDK2YAPkRRsy8Hck1JqkdTx1JmapliljmFkj3BulQ0wtgKdzMJRju3Zb-_etZ98dPMzP58Z2-IB8nkjZ8MwpRoOkGTJAvB4HWxrQ?key=Pt2hYPNQNSQch-GwSAHZJVd3

AD_4nXe-e42emw679VHuUceK1vXl6iA9vsf3vYYtkpggz_CHkcRQBIOtZd7Q-71KuInDLacgkfjO7-jVqXrB8eqZjdBStFTXSMDwn_s5ZBKdrXXm1iE8VIhMK5fdYKkpDS-dJYIFNxF0jXWuJXxu0HfvxA?key=Pt2hYPNQNSQch-GwSAHZJVd3

 

Para evitar estos errores SSL, deshabilitaremos el descifrado (inspección de contenido Web) para el tráfico de Invitados y lo controlaremos (con algunas limitaciones) realizando la búsqueda de URL del SNI (Indicación del nombre del servidor) en las transacciones SSL.

AD_4nXcHU-YfiS1GpktdaA1DeX_dkCSBjtRpdLFyZyajriucJwGOmUDHMlvJWKQ9zYWwCkoJEiNwfNWeVvvpD44s5C_rS9iuUdyyVScEb-Z49AkwdtgQukNs3f5zRzN3-FnCGNDQqDBP33wPhqc8zLvEljg?key=Pt2hYPNQNSQch-GwSAHZJVd3

 

Limitaciones

Como se mencionó anteriormente, la desactivación de la inspección de contenido web introduce algunas limitaciones, en detalle:

  • No se puede determinar la actividad de la aplicación >>> Tendremos que trabajar solo en la actividad de “Browse”
  • No se puede inspeccionar la descarga de archivos (incluyendo archivos de Malware y archivos confidenciales comerciales)
  • No se puede inspeccionar la carga de archivos (incluyendo archivos de Malware y archivos confidenciales comerciales)
  • No se pueden inspeccionar las cadenas o los comentarios publicados, etc.
  • No se puede personalizar la página de Alerta de usuario con el logotipo de la empresa o un aviso personalizado (los usuarios recibirán un error genérico como se muestra más adelante en la sección de Prueba)

 

Configuración

Paso #1. Defina una ubicación de red en el menú “Policies > Profiles > Network Location” para identificar las redes de Invitados

AD_4nXc5Fk0qqO7DdCkV-zXXEq7qEM-LgQLx1Sl4Jlyy4YeKCbf0zO6K8nZewihp_3wIJYr5xnWC0fvt5bn6a5835HX6vW4I7t8fHZDv94I2BxxvJRepiC1Vo0O13aObYgMnNU8_Gh2Db0p4RT-szHSItNo?key=Pt2hYPNQNSQch-GwSAHZJVd3

 

Ingrese una o más redes de Invitados en el formado CIDR format como se indica a continuación

AD_4nXdoTHyyeAEZehXFr0xz0G7G2QmhrFE9kkWPRh2PZABcaaJuZOK_5i_NpOibraPuXPA0dDd6ruyyRF1iPjHWWJf3ZN9UsCWJlsCMSFpvmER71OvVppeXi70K5pdkq36xZZchGJPa1OsZC9xhSjMLUw?key=Pt2hYPNQNSQch-GwSAHZJVd3

 

Asigne un nombre a la ubicación de red como se indica a continuación y luego Aplique los cambios

AD_4nXe0ArFJb_mgMP45KIDK3Ow07-IV4Sl97wcKueCNhjpCQXnSPXT0niGPL2_qf50iofZNeXde5g_WHa8iJT-f0xwxQ6mtnluVZml9TjQdbu_Fw37pboiLm6JiXTUVmAr1RqVLqoxjW37BrbtGE4_Szls?key=Pt2hYPNQNSQch-GwSAHZJVd3

 

Paso #2. Defina una politica de descifrado SSL con la acción Do Not Decrypt (DND) en el menú “Policies > SSL Decryption” con la “Source IP” como criterio de origen como se indica abajo, para deshabilitar la inspección del tráfico de Invitados, esto será muy útil para evitar introducir errores SSL a clientes “Invitados” que no confían en la CA de Netskope.

AD_4nXcMLbETXjtFpkXpnueqomzABVO0da0HzbXHExlLGS1WBjkKIO-UhUWprw4Z5I_s6-MLPpoIaeyLLd8zRQee7URej8SVc01NmCt9VQtpnx-UG7o9NAFO2cRCCEDj71q8vk3Yq-d6Sal90XX7ZDdYPmw?key=Pt2hYPNQNSQch-GwSAHZJVd3

 

Paso #3. Defina una política de protección de tiempo real en el menú “Policies > Real-time Protection” con el “Source IP” como criterio de origen y las categorías que desee bien sea permitir o bloquear.

AD_4nXdYBlDFDjIcmy-EltNdg2-lpiDV_X4BZOUTJeksgyyAm8KF2HU52hIugpDhjUI8_2syzlB33hS0K6TS6DNrAG5jR7tjmI7aQet1zTWtwehRV7BZs7zrTo7Z8Dr5dsCkycxrj3LPcBur1NkKDHyaoxw?key=Pt2hYPNQNSQch-GwSAHZJVd3

 

Paso #4. Si usted tiene habilitado SAML Forward proxy, deshabilite la autenticación (authentication bypass) desde el menú “Settings >>> Security Cloud Platform >>> Forward Proxy >>> SAML” como se muestra abajo

AD_4nXcjuv1Edvx3JL9gxiNK9j3_3TShKiO0G1x9JTPImkLSgF4iPYynlkHuC7oxXvmZpqduhxCtD_SMTDuHoLXRHDnGPmaAp7rLNB5qtk4toYjHcZwBAYVgEQa4k_GJilNMTtw2N71QFBNpIRbdReFGTKk?key=Pt2hYPNQNSQch-GwSAHZJVd3

AD_4nXdLj_KkvqttwJWjdQkUpsnZCMaPLQ7u2r2Ev6Hy3jTnxeX64aZPlPkFgTG6gG2IImQYc2x4ZXJ-tz0JGWqGZwMtyWf-IJH6IFzWx9Op7j_UE0m7OWkI7CGk3X1zy20zyK1OETSv4XnOslVgPIvlwA?key=Pt2hYPNQNSQch-GwSAHZJVd3

 

⚠️ RECOMENDACIONES: Dado que no hay visibilidad completa del contenido web (ver Limitaciones más arriba) recomendamos lo siguiente:

  • Deje el criterio de “Actividad” vacío para que coincida con todas las actividades de “Browse” (no hay visibilidad de la Actividad debido a que la inspección está deshabilitada)
  • Bloquee todas las categorías de "Security Risk" y otras categorías bloqueadas normales como "Adultos", "Drogas", "Armas", etc
  • Evite dar acceso a categorías como “File repositories”, ”File converters”, “File/Software Download Sites” y “Chat, IM & other communication” para evitar cualquier incidente de pérdida de datos.
  • Permitir únicamente categorías confiables que no puedan presentar ningún riesgo de pérdida o amenaza de datos.

 

Prueba

Cuando un sitio web está bloqueado, el usuario verá una página como la que se muestra a continuación. Sin la habilitación del descifrado, no podemos redirigir al usuario a la página de bloqueo clásica.

AD_4nXd9gmoYIejjQEyPreGQAd7TVBookK1vfJQZrNudVJCzim3LqxQkK50HoIYFzcgSvBEw05YzsVKGR6ZRoTBV6YP9J2JbVd9Kb3Jg-tG9KN39pcC9rDQZGriXdwBiX5VvDcc1hKZgHlJ6HAObw1iJjrc?key=Pt2hYPNQNSQch-GwSAHZJVd3

Notas

  • Este artículo está escrito por Netskope Global Technical Success (GTS).
  • Para cualquier consulta adicional relacionada con este artículo, comuníquese con Netskope GTS enviando un caso de soporte con 'Tipo de caso: – How To Questions'.
Be the first to reply!

Badges Winner

Show all badges

Not finding what you're looking for?

Don't be shy and let us know about your challenge.

Ask your question here!
Terms & ConditionsCookie settings