Définir une politique de filtrage SSL

Une fois que le certificat du serveur distant a été vérifié, le domaine associé à l'URL demandée est confronté à toutes les règles de la politique de filtrage SSL.

  • Une règle de fitrage SSL décrit l'action que doit effectuer le proxy SSL pour une catégorie d'URL ou de certificats donnés. Vous pouvez faire en sorte par exemple de bloquer toutes les URL qui appartiennent à la catégorie Games (Jeux).
  • Une politique de filtrage SSL est un ensemble de règles qui seront parcourues séquentiellement par le firewall.

Créer une politique de filtrage SSL

  1. Connectez-vous à l'interface Web d'administration.
  2. Choisissez le menu Configuration > Politique de sécurité > Filtrage SSL, et choisissez une politique de filtrage, par exemple SSLFilter_00. Deux règles sont déjà présentes par défaut. La première spécifie de laisser passer sans déchiffrer certains URL-CN. La deuxième spécifie de déchiffrer tous les autres.
  3. Si vous utilisez la méthode de filtrage SANS déchiffrement des flux SSL, supprimez les deux règles déjà présentes.
  4. Cliquez sur Ajouter toutes les catégories prédéfinies.
    Une liste de catégories s'affiche, correspondant à votre base d'URL (Base URL embarquée ou Extended Web Control).
  5. Supprimez toutes les catégories sur lesquelles vous ne souhaitez pas appliquer le traitement SSL.

  6. Pour les catégories restantes, dans la colonne Action, choisissez l'action que le firewall doit effectuer sur chaque catégorie d'URL-CN. Référez-vous à la section Bonnes pratiques de filtrage pour vous aider dans votre choix.

    Exemple de filtrage SSL

    • Bloquer sans déchiffrer : Le firewall refuse l'accès à l'URL-CN demandé sans effectuer d'analyse SSL préalable. Choisissez cette action pour toutes les catégories que vous souhaitez bloquer (e.g., weapons, violence, pornography, peer-to-peer, etc).
    • Passer sans déchiffrer : Le firewall autorise l’accès à l'URL-CN demandé sans effectuer d'analyse SSL préalable. Choisissez cette action pour les catégories que vous n'êtes pas légalement autorisés à déchiffrer (e.g., sites contenant des données personnelles) et pour celles que vous estimez fiables.
    • Déchiffrer : Le firewall déchiffre le flux SSL avant d'accepter ou refuser l'accès à l'URL-CN demandé. Utilisez cette action uniquement si vous avez choisi la méthode de filtrage AVEC déchiffrement des flux SSL.
  7. Dans la colonne URL-CN, choisissez la catégorie d'URL ou le groupe de certificats (CN) concerné, par exemple Violence. S'il vous manque des catégories, vous pouvez les créer via le module Configuration > Objets > URL > onglet URL, puis via le bouton Ajouter des catégories personnalisées. Pour plus d'informations, reportez-vous à la section Catégories personnalisées.
  8. Cliquez sur Ajouter pour créer les autres règles nécessaires à votre politique et ordonnez-les en utilisant les boutons Monter et Descendre ou la fonction de copier-coller. Pour savoir comment les classer, référez-vous à la section Ordre des règles.

  9. Double-cliquez dans la colonne Etat pour activer les règles ainsi créées.

  10. Cliquez sur Appliquer.

La politique de filtrage SSL doit ensuite être associée à la politique de sécurité. Pour plus d'informations, reportez-vous à la section Créer une règle d'inspection SSL dans la politique de filtrage.

Bonnes pratiques de filtrage

Consultez les bonnes pratiques de filtrage lors de l'élaboration de votre politique de filtrage SSL.

Législation

Le déchiffrement des données personnelles étant encadré par la loi dans la majorité des pays, le filtrage SSL doit prendre en compte cette législation. Vous devez exclure les sites qui ne doivent pas être déchiffrés en leur appliquant l'action Passer sans déchiffrer. Pour la France, les aspects juridiques liés au déchiffrement SSL sont détaillés en annexe du document Recommandations de sécurité concernant l’analyse des flux HTTPS de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations).

Catégories personnalisées

Si les catégories de sites web prédéfinies par votre base d'URL ne sont pas exactement adaptées à vos besoins, vous pouvez ajouter des catégories disponibles par défaut sur le firewall, ou créer vos propres catégories.

Par exemple, la catégorie proxyssl_bypass contient une liste de noms de certificats que Stormshield recommande de laisser passer sans déchiffrer. En effet, ces serveurs détectent que le proxy SSL génère un certificat usurpé et sont susceptibles de refuser les connexions.

Vous pouvez aussi créer les catégories suivantes pour faciliter l'élaboration des règles de filtrage SSL :

  • Une catégorie de liste blanche (sslproxy_whitelist) contenant toutes les URL que vous estimez fiables. Par exemple les sites que la législation ne vous autorise pas à déchiffrer, vos sites internes, ainsi que les sites de mise à jour des systèmes et des logiciels (e.g., Microsoft, antivirus etc.). Appliquez à cette nouvelle catégorie l'action Passer sans déchiffrer.
  • Une catégorie de liste noire (sslproxy_blacklist) contenant des URL que vous estimez malveillantes et que vous ne trouvez pas dans les catégories prédéfinies. Appliquez à cette nouvelle catégorie l'action Bloquer sans déchiffrer.

Créez vos nouvelles catégories via le module Configuration > Objets > URL > onglet Nom de Certificat (CN), puis via le bouton Ajouter une catégorie personnalisée. Pour plus d'informations, reportez-vous au Guide d'administration et de configuration.

Ordre des règles

Le proxy SSL parcourt la liste des règles de haut en bas. Vous pouvez organiser vos règles de deux manières :

  • Détailler les catégories autorisées : Créez une règle pour chaque catégorie autorisée avec l'action Passer sans déchiffrer ou Déchiffrer. Ensuite la dernière règle doit bloquer toutes les autres catégories en spécifiant l'action Bloquer sans déchiffrer pour l'URL-CN Any.
  • Détailler les catégories à bloquer : Créez une règle pour chaque catégorie indésirable avec l'action Bloquer sans déchiffrer. Ensuite la dernière règle doit autoriser toutes les autres catégories en spécifiant l'action Passer sans déchiffrer ou Déchiffrer pour l'URL-CN Any.

Notez aussi que dans la base d'URL Extended Web Control, les URL-CN sont parfois répertoriées dans plusieurs catégories. Prêtez donc attention à l'ordre alphabétique des catégories. Par exemple si un site se trouve dans les deux catégories Entertainment (Loisirs) et Nudity (Nudité) et que vous souhaitez bloquer Nudity et autoriser Entertainment, assurez-vous que la catégorie Nudity précède Entertainment dans la liste des règles de filtrage SSL. Dans le cas contraire, le site en question, qui est catégorisé sous Entertainment, sera autorisé.