SSL

Onglet « IPS »

Cet écran va permettre valider le fonctionnement du protocole SSL à travers le firewall.

Certaines options permettent de renforcer la sécurité de ce protocole. Par exemple, il est possible d’interdire des négociations d’algorithmes cryptographiques considérés comme faibles, de détecter des logiciels utilisant le SSL pour passer outre les politiques de filtrage (SKYPE, proxy HTTPS,…).

AVERTISSEMENTS

Le protocole SSL (Secure Sockets Layer), devenu Transport Layer Security (TLS) en 2001, est supporté en version 3 (1996). Les sites utilisant une version antérieure (présentant des défauts de sécurité) ou ne supportant pas un début de négociation en TLS seront bloqués.

Le navigateur Internet Explorer en version 7 ou 8 n'active pas, par défaut, le support du protocole TLS 1.0. Pour des raisons de sécurité, il est donc recommandé d'activer le support de TLS 1.0 via un objet Active Directory définissant les configurations machines (group policy object ou GPO).

La validation par un serveur ICAP des requêtes HTTPS déchiffrées par le proxy SSL n’est pas supportée.

 

Détecter et inspecter automatiquement le protocole

Si le protocole est activé, l'inspection sera automatiquement appliquée à la découverte d'un trafic correspondant, autorisé par le filtrage.

Négociation SSL

Autoriser les chiffrements non supportés

Cochez cette case si l’algorithme de chiffrement que vous souhaitez utiliser n’est pas supporté par le protocole SSL.

Autoriser les données non chiffrées après une négociation SSL

Cette option permet de transmettre les données en clair après une négociation SSL.

AVERTISSEMENT

Laisser transiter les données en clair représente un risque de sécurité.

Autoriser les algorithmes cryptographiques de signalement (SCSV)

Les attaques par repli consistent à intercepter une communication et à imposer une variante cryptographique la plus faible possible. En activant cette option, le firewall annoncera un pseudo-algorithme cryptographique permettant de signaler une tentative d’attaque par repli (RFC 7507).

Niveaux de chiffrements autorisés

Plus l’algorithme de chiffrement utilisé est fort, et le mot de passe complexe, plus le niveau est considéré comme « haut ».

 

Exemple

L’algorithme de chiffrement AES doté d’une force de 256 bits, associé à un mot de passe d’une dizaine de caractères fait de lettres, de chiffres et de caractères spéciaux.

 

Trois choix sont proposés, vous pouvez autoriser les niveaux de chiffrement :

 

  • Bas, moyen et haut : par exemple, DES (force de 64 bits), CAST128 (128 bits) et AES. Quel que soit le niveau de sécurité du mot de passe, le niveau de chiffrement sera autorisé.
  • Moyen et haut : Seuls les algorithmes de moyenne et haute sécurité seront tolérées.
  • Haut uniquement : Seuls les algorithmes forts et les mots de passe dotés d’un haut niveau de sécurité seront tolérés.

Détection des données non chiffrées (trafic en clair)

Méthode de détection
  • Ne pas détecter : les données non chiffrées ne seront pas analysées.
  • Inspecter tout le flux : tous les paquets reçus seront analysés par le protocole SSL afin de détecter du trafic en clair
  • Échantillonnage (7168 octets) : Seuls les 7168 premiers octets du flux seront analysés afin de détecter du trafic en clair.

Support

Désactiver la prévention d'intrusion

En cochant cette option, l'analyse du protocole SSL sera désactivée et le trafic sera autorisé si la politique de filtrage le permet.

Tracer chaque requête SSL

Active ou désactive les logs permettant de tracer les requêtes SMTP.

Onglet « Proxy »

Connexion

Conserver l’adresse IP source originale

Lorsqu’une requête est effectuée par un client web (navigateur) vers le serveur, le firewall l’intercepte et vérifie que celle-ci soit conforme aux règles de filtrage d’URL puis il relaie la demande.

 

Si cette option est cochée, cette nouvelle requête utilisera l’adresse IP source originale du client web qui a émis le paquet. Dans le cas contraire, c’est l’adresse du firewall qui sera utilisée.

Inspection de contenu

Certificats auto-signés

Ces certificats sont à usage interne et signés par votre serveur local. Ils permettent de garantir la sécurité de vos échanges, et, entre autres, d’authentifier les utilisateurs.

 

Cette option détermine l’action à effectuer lorsque vous rencontrez des certificats auto-signés :

  • Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
  • Continuer l’analyse : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent et sont analysés par le moteur de prévention d'intrusion.
  • Bloquer : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.
Certificats expirés

Les certificats expirés sont antérieurs ou postérieurs à la date en cours et ne sont donc pas « valides ». Pour y remédier, ils doivent être renouvelés par une autorité de certification.

AVERTISSEMENT

Les certificats expirés peuvent présenter un risque de sécurité. Après expiration d’un certificat, la CA l’ayant émis n’est plus responsable d’une utilisation malveillante de celui-ci.

 

Cette option détermine l’action à effectuer lorsque vous rencontrez des certificats expirés :

  • Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
  • Continuer l’analyse : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent et sont analysés par le moteur de prévention d'intrusion.
  • Bloquer : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.
Certificats inconnus

Cette option va déterminer l’action à effectuer lorsque vous rencontrez des certificats inconnus :

  • Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
  • Ne pas déchiffrer : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent transitent sans être analysés par le moteur de prévention d'intrusion.
  • Bloquer : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.

Type de certificat incorrect

Ce test valide le type du certificat. Un certificat est considéré conforme s’il est utilisé dans le cadre défini par sa signature. Ainsi, un certificat utilisateur employé par un serveur est non conforme.

 

Cette option va déterminer l’action à effectuer lorsque vous rencontrez des certificats non conformes :

  • Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
  • Continuer l’analyse : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent et sont analysés par le moteur de prévention d'intrusion.
  • Bloquer : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.

Certificat avec FQDN incorrect

Cette option va déterminer l’action à effectuer lorsque vous rencontrez des certificats dont le format du nom de domaine (FQDN) est invalide :

  • Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
  • Continuer l’analyse : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent et sont analysés par le moteur de prévention d'intrusion.
  • Bloquer : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.
Lorsque le FQDN du certificat diffère du nom de domaine SSL

Cette option va déterminer l’action à effectuer lorsque vous rencontrez des certificats dont le nom de domaine (FQDN) est différent du nom de domaine SSL attendu :

  • Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
  • Continuer l’analyse : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent et sont analysés par le moteur de prévention d'intrusion.
  • Bloquer : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.
Autoriser les adresses IP dans les noms de domaine SSL

Cette option permet d’autoriser ou non l'accès à un site par son adresse IP et non par son nom de domaine SSL.

Support

Si le déchiffrement échoue

Cette option va déterminer l’action à effectuer lorsque le déchiffrement échoue: vous pouvez choisir de Bloquer le trafic ou de Passer sans déchiffrer. En choisissant cette deuxième possibilité, le trafic ne sera pas inspecté.

Lorsque le certificat n'a pas pu être classifié

Le choix est l’action Passer sans déchiffrer ou Bloquer. Si un certificat n’est pas répertorié dans une catégorie de certificat, cette action détermine si le trafic est autorisé ou non.