Onglet IPS

Cet écran va permettre valider le fonctionnement du protocole SSL à travers le firewall.

Certaines options permettent de renforcer la sécurité de ce protocole. Par exemple, il est possible d’interdire des négociations d’algorithmes cryptographiques considérés comme faibles, de détecter des logiciels utilisant le SSL pour passer outre les politiques de filtrage (SKYPE, proxy HTTPS,…).

 

Détecter et inspecter automatiquement le protocole Si le protocole est activé, l'inspection sera automatiquement appliquée à la découverte d'un trafic correspondant, autorisé par le filtrage.

TLS v1.3

Autoriser le mécanisme 0-RTT

En cochant cette case, le moteur d'analyse IPS autorise les requêtes TLS utilisant le mécanisme 0-RTT (Zero Round Trip Time - Temps Aller Retour Zero) qui réduit le Handshake (poignée de mains) à zéro échange afin d'augmenter les performances pour les flux TLS.
Le mécanisme 0-RTT permet au client d’envoyer des données applicatives dès le premier échange lorsque le client et le serveur partagent une clé pré-partagée, importée manuellement ou calculée lors d’un précédent Handshake.

Valeurs / Extensions inconnues

Sélectionnez dans la liste le type de valeurs ou extensions TLS à autoriser :

  • Valeurs / extensions RFC TLS 1.3, GREASE (Generate Random Extensions And Sustain Extensibility) ou inconnues,
  • Valeurs / extensions RFC TLS 1.3 et GREASE,
  • Valeurs / extensions RFC TLS 1.3 et inconnues (sauf GREASE),
  • Valeurs / extensions RFC TLS 1.3 uniquement.
Activer l'analyse de certificats serveur

Lorsque vous sélectionnez cette option, le moteur de prévention d'intrusion tente de récupérer le certificat serveur pour chaque flux TLS 1.3 traversant le firewall, afin d'analyser les éventuelles failles de sécurité liées à ce certificat.

NOTE
Afin d'optimiser les performances de l'analyse de certificats serveur, un mécanisme de cache permet ne pas déclencher la récupération d'un certificat lorsque celui-ci est déjà connu du moteur de prévention d'intrusion. Configurez ce mécanisme dans la Configuration globale du protocole SSL, onglet IPS.

Lorsque la récupération du certificat échoue

Sélectionnez l'action appliquée au flux TLS analysé lorsque le firewall ne parvient pas à récupérer le certificat serveur :

  • Continuer l'analyse : le moteur de prévention d'intrusion laisse passer le message `ClientHello` et poursuit les analyses protocolaires sur le flux TLS 1.3.
  • Bloquer le trafic : le firewall génère une alarme et bloque le flux TLS 1.3 concerné en fermant la connexion.
Lorsque le type de certificat est incorrect

Sélectionnez l'action appliquée au flux TLS analysé lorsque le certificat serveur récupéré présente une anomalie :

  • Continuer l'analyse : le moteur de prévention d'intrusion poursuit l'analyse du certificat et les analyses protocolaires sur le flux TLS 1.3 concerné.
  • Bloquer le trafic : le certificat est rejeté, le firewall génère une alarme et bloque le flux TLS 1.3 concerné en fermant la connexion.
Lorsque le SNI est absent

Sélectionnez l'action appliquée au flux TLS analysé lorsque le certificat ne comporte pas de SNI (Server Name Indication) :

  • Continuer l'analyse : le moteur de prévention d'intrusion poursuit l'analyse du certificat et les analyses protocolaires sur le flux TLS 1.3 concerné.
  • Bloquer le trafic : le certificat est rejeté, le firewall génère une alarme et bloque le flux TLS 1.3 concerné en fermant la connexion.
Lorsque la CA n'est pas de confiance

Sélectionnez l'action appliquée au flux TLS lorsque la CA ayant signé le certificat serveur n'est pas définie dans la liste des CA de confiance :

  • Continuer l'analyse : le moteur de prévention d'intrusion poursuit l'analyse du certificat et les analyses protocolaires sur le flux TLS 1.3 concerné.
  • Bloquer le trafic : le certificat est rejeté, le firewall génère une alarme et bloque le flux TLS 1.3 concerné en fermant la connexion.
Lorsque le certificat est auto-signé

Ces certificats sont à usage interne et signés par votre serveur local. Ils permettent de garantir la sécurité de vos échanges, et, entre autres, d’authentifier les utilisateurs.

Sélectionnez l’action à effectuer lorsque vous rencontrez des certificats auto-signés :

  • Continuer l’analyse : le moteur de prévention d'intrusion poursuit l'analyse du certificat et les analyses protocolaires sur le flux TLS 1.3 concerné.
  • Bloquer le trafic : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.
Lorsque la date de validité est incorrecte

Les certificats concernés par ce champ de configuration ont une date de validité antérieure ou postérieure à la date en cours et ne sont donc pas "valide".

Sélectionnez l’action à effectuer lorsque vous rencontrez des certificats dont la date de validité n'est pas conforme :

  • Continuer l’analyse : le moteur de prévention d'intrusion poursuit l'analyse du certificat et les analyses protocolaires sur le flux TLS 1.3 concerné.
  • Bloquer le trafic : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.
Lorsque la vérification de la CRL échoue

Sélectionnez l’action à effectuer lorsque la vérification automatique de la CRL n'a pas pu aboutir :

  • Continuer l’analyse : le moteur de prévention d'intrusion poursuit l'analyse du certificat et les analyses protocolaires sur le flux TLS 1.3 concerné.
  • Bloquer le trafic : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.
Lorsque la CRL est invalide

Sélectionnez l’action à effectuer lorsque la CRL à vérifier est expirée :

  • Continuer l’analyse : le moteur de prévention d'intrusion poursuit l'analyse du certificat et les analyses protocolaires sur le flux TLS 1.3 concerné.
  • Bloquer le trafic : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.

Négociation SSL

Autoriser les chiffrements non supportés Cochez cette case si l’algorithme de chiffrement que vous souhaitez utiliser n’est pas supporté par le protocole SSL.
Autoriser les données non chiffrées après une négociation SSL Cette option permet de transmettre les données en clair après une négociation SSL.

AVERTISSEMENT
Laisser transiter les données en clair représente un risque de sécurité.

Autoriser les algorithmes cryptographiques de signalement (SCSV) Les attaques par repli consistent à intercepter une communication et à imposer une variante cryptographique la plus faible possible. En activant cette option, le firewall annoncera un pseudo-algorithme cryptographique permettant de signaler une tentative d’attaque par repli (RFC 7507).
Niveaux de chiffrements autorisés Plus l’algorithme de chiffrement utilisé est fort, et le mot de passe complexe, plus le niveau est considéré comme « haut ».

EXEMPLE
L’algorithme de chiffrement AES doté d’une force de 256 bits, associé à un mot de passe d’une dizaine de caractères fait de lettres, de chiffres et de caractères spéciaux.


Trois choix sont proposés, vous pouvez autoriser les niveaux de chiffrement :
  • Bas, moyen et haut : par exemple, DES (force de 64 bits), CAST128 (128 bits) et AES. Quel que soit le niveau de sécurité du mot de passe, le niveau de chiffrement sera autorisé.
  • Moyen et haut : Seuls les algorithmes de moyenne et haute sécurité seront tolérées.
  • Haut uniquement : Seuls les algorithmes forts et les mots de passe dotés d’un haut niveau de sécurité seront tolérés.

Gestion des extensions SSL

Onglet Extensions nommées

Cette grille permet d'autoriser / interdire les extensions nommées du protocole TLS v1.3.
Toutes les extensions nommées connues (cf. la liste des extensions TLS de l'IANA) sont listées par défaut : une ligne de la grille comprend ainsi l'identifiant (compris entre 0 et 56), le nom de l'extension et l'action qui lui est appliquée.

Il est possible :

  • D’autoriser ou d'interdire unitairement une extension en cliquant sur son action associée,
  • D'autoriser ou d'interdire une sélection d'extensions (touche Maj. enfoncée et sélection de lignes contiguës ou touche Ctrl. enfoncée et sélection de lignes non contiguës) et de leur appliquer une action commune à l'aide des boutons Autoriser la sélection et Interdire la sélection,
  • De sélectionner toutes les extensions avec le bouton Tout sélectionner et de leur appliquer une action commune à l'aide des boutons Autoriser la sélection et Interdire la sélection.

Un champ de recherche permet également de filtrer l'affichage des extensions.

Onglet Plages d'extensions en liste noire

Cette grille est destinée à interdire les extensions connues du protocole TLS v1.3 autres que celles définies dans l'onglet Extensions nommées. L'identifiant de ces extensions doit être compris entre 57 et 65535).

Il est possible d'y ajouter (bouton Ajouter) ou d'en supprimer (bouton Supprimer après sélection de la ligne concernée) des extensions définies unitairement à l'aide de leur identifiant (exemple : 59) ou des plages d'extensions (exemples : 59-62, 92-1001).

Un champ de recherche permet également de filtrer l'affichage des identifiants placés en liste noire.

Détection des données non chiffrées (trafic en clair)

Méthode de détection
  • Ne pas détecter : les données non chiffrées ne seront pas analysées.
  • Inspecter tout le flux : tous les paquets reçus seront analysés par le protocole SSL afin de détecter du trafic en clair
  • Échantillonnage (7168 octets) : Seuls les 7168 premiers octets du flux seront analysés afin de détecter du trafic en clair.

Support

Désactiver la prévention d'intrusion En cochant cette option, l'analyse du protocole SSL sera désactivée et le trafic sera autorisé si la politique de filtrage le permet.
Tracer chaque requête SSL Active ou désactive les logs permettant de tracer les requêtes SMTP.