SSL

Si le protocole est activé, l'inspection sera automatiquement appliquée à la découverte d'un trafic correspondant, autorisé par le filtrage.

Cochez cette case si l’algorithme de chiffrement que vous souhaitez utiliser n’est pas supporté par le protocole SSL.

Cette option permet de transmettre les données en clair après une négociation SSL.

AVERTISSEMENT

Laisser transiter les données en clair représente un risque de sécurité.

Les attaques par repli consistent à intercepter une communication et à imposer une variante cryptographique la plus faible possible. En activant cette option, le firewall annoncera un pseudo-algorithme cryptographique permettant de signaler une tentative d’attaque par repli (RFC 7507).

Plus l’algorithme de chiffrement utilisé est fort, et le mot de passe complexe, plus le niveau est considéré comme « haut ».

Exemple

L’algorithme de chiffrement AES doté d’une force de 256 bits, associé à un mot de passe d’une dizaine de caractères fait de lettres, de chiffres et de caractères spéciaux.

Trois choix sont proposés, vous pouvez autoriser les niveaux de chiffrement :

• Bas, moyen et haut : par exemple, DES (force de 64 bits), CAST128 (128 bits) et AES. Quel que soit le niveau de sécurité du mot de passe, le niveau de chiffrement sera autorisé.
• Moyen et haut : Seuls les algorithmes de moyenne et haute sécurité seront tolérées.
• Haut uniquement : Seuls les algorithmes forts et les mots de passe dotés d’un haut niveau de sécurité seront tolérés.

• Ne pas détecter : les données non chiffrées ne seront pas analysées.
• Inspecter tout le flux : tous les paquets reçus seront analysés par le protocole SSL afin de détecter du trafic en clair
• Échantillonnage (7168 octets) : Seuls les 7168 premiers octets du flux seront analysés afin de détecter du trafic en clair.

En cochant cette option, l'analyse du protocole SSL sera désactivée et le trafic sera autorisé si la politique de filtrage le permet.

Active ou désactive les logs permettant de tracer les requêtes SMTP.

Lorsqu’une requête est effectuée par un client web (navigateur) vers le serveur, le firewall l’intercepte et vérifie que celle-ci soit conforme aux règles de filtrage d’URL puis il relaie la demande.

Si cette option est cochée, cette nouvelle requête utilisera l’adresse IP source originale du client web qui a émis le paquet. Dans le cas contraire, c’est l’adresse du firewall qui sera utilisée.

Ces certificats sont à usage interne et signés par votre serveur local. Ils permettent de garantir la sécurité de vos échanges, et, entre autres, d’authentifier les utilisateurs.

Cette option détermine l’action à effectuer lorsque vous rencontrez des certificats auto-signés :

• Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
• Continuer l’analyse : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent et sont analysés par le moteur de prévention d'intrusion.
• Bloquer : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.

Les certificats expirés sont antérieurs ou postérieurs à la date en cours et ne sont donc pas « valides ». Pour y remédier, ils doivent être renouvelés par une autorité de certification.

AVERTISSEMENT

Les certificats expirés peuvent présenter un risque de sécurité. Après expiration d’un certificat, la CA l’ayant émis n’est plus responsable d’une utilisation malveillante de celui-ci.

Cette option détermine l’action à effectuer lorsque vous rencontrez des certificats expirés :

• Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
• Continuer l’analyse : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent et sont analysés par le moteur de prévention d'intrusion.
• Bloquer : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.

Cette option va déterminer l’action à effectuer lorsque vous rencontrez des certificats inconnus :

• Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
• Ne pas déchiffrer : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent transitent sans être analysés par le moteur de prévention d'intrusion.
• Bloquer : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.

Ce test valide le type du certificat. Un certificat est considéré conforme s’il est utilisé dans le cadre défini par sa signature. Ainsi, un certificat utilisateur employé par un serveur est non conforme.

Cette option va déterminer l’action à effectuer lorsque vous rencontrez des certificats non conformes :

• Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
• Continuer l’analyse : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent et sont analysés par le moteur de prévention d'intrusion.
• Bloquer : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.

Cette option va déterminer l’action à effectuer lorsque vous rencontrez des certificats dont le format du nom de domaine (FQDN) est invalide :

• Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
• Continuer l’analyse : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent et sont analysés par le moteur de prévention d'intrusion.
• Bloquer : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.

Cette option va déterminer l’action à effectuer lorsque vous rencontrez des certificats dont le nom de domaine (FQDN) est différent du nom de domaine SSL attendu :

• Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
• Continuer l’analyse : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent et sont analysés par le moteur de prévention d'intrusion.
• Bloquer : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.

Cette option permet d’autoriser ou non l'accès à un site par son adresse IP et non par son nom de domaine SSL.

Cette option va déterminer l’action à effectuer lorsque le déchiffrement échoue: vous pouvez choisir de Bloquer le trafic ou de Passer sans déchiffrer. En choisissant cette deuxième possibilité, le trafic ne sera pas inspecté.

Le choix est l’action Passer sans déchiffrer ou Bloquer. Si un certificat n’est pas répertorié dans une catégorie de certificat, cette action détermine si le trafic est autorisé ou non.