Onglet IPS

Cet écran va permettre valider le fonctionnement du protocole SSL à travers le firewall.

Certaines options permettent de renforcer la sécurité de ce protocole. Par exemple, il est possible d’interdire des négociations d’algorithmes cryptographiques considérés comme faibles, de détecter des logiciels utilisant le SSL pour passer outre les politiques de filtrage (SKYPE, proxy HTTPS,…).

 

Détecter et inspecter automatiquement le protocole Si le protocole est activé, l'inspection sera automatiquement appliquée à la découverte d'un trafic correspondant, autorisé par le filtrage.

TLS v1.3

Autoriser le mécanisme 0-RTT

En cochant cette case, le moteur d'analyse IPS autorise les requêtes TLS utilisant le mécanisme 0-RTT (Zero Round Trip Time - Temps Aller Retour Zero) qui réduit le Handshake (poignée de mains) à zéro échange afin d'augmenter les performances pour les flux TLS.
Le mécanisme 0-RTT permet au client d’envoyer des données applicatives dès le premier échange lorsque le client et le serveur partagent une clé pré-partagée, importée manuellement ou calculée lors d’un précédent Handshake.

Valeurs / Extensions inconnues

Sélectionnez dans la liste le type de valeurs ou extensions TLS à autoriser :

  • Valeurs / extensions RFC TLS 1.3, GREASE (Generate Random Extensions And Sustain Extensibility) ou inconnues,
  • Valeurs / extensions RFC TLS 1.3 et GREASE,
  • Valeurs / extensions RFC TLS 1.3 et inconnues (sauf GREASE),
  • Valeurs / extensions RFC TLS 1.3 uniquement.

Négociation SSL

Autoriser les chiffrements non supportés Cochez cette case si l’algorithme de chiffrement que vous souhaitez utiliser n’est pas supporté par le protocole SSL.
Autoriser les données non chiffrées après une négociation SSL Cette option permet de transmettre les données en clair après une négociation SSL.

AVERTISSEMENT
Laisser transiter les données en clair représente un risque de sécurité.

Autoriser les algorithmes cryptographiques de signalement (SCSV) Les attaques par repli consistent à intercepter une communication et à imposer une variante cryptographique la plus faible possible. En activant cette option, le firewall annoncera un pseudo-algorithme cryptographique permettant de signaler une tentative d’attaque par repli (RFC 7507).
Niveaux de chiffrements autorisés Plus l’algorithme de chiffrement utilisé est fort, et le mot de passe complexe, plus le niveau est considéré comme « haut ».

EXEMPLE
L’algorithme de chiffrement AES doté d’une force de 256 bits, associé à un mot de passe d’une dizaine de caractères fait de lettres, de chiffres et de caractères spéciaux.


Trois choix sont proposés, vous pouvez autoriser les niveaux de chiffrement :
  • Bas, moyen et haut : par exemple, DES (force de 64 bits), CAST128 (128 bits) et AES. Quel que soit le niveau de sécurité du mot de passe, le niveau de chiffrement sera autorisé.
  • Moyen et haut : Seuls les algorithmes de moyenne et haute sécurité seront tolérées.
  • Haut uniquement : Seuls les algorithmes forts et les mots de passe dotés d’un haut niveau de sécurité seront tolérés.

Gestion des extensions SSL

Onglet Extensions nommées

Cette grille permet d'autoriser / interdire les extensions nommées du protocole TLS v1.3.
Toutes les extensions nommées connues (cf. la liste des extensions TLS de l'IANA) sont listées par défaut : une ligne de la grille comprend ainsi l'identifiant (compris entre 0 et 56), le nom de l'extension et l'action qui lui est appliquée.

Il est possible :

  • D’autoriser ou d'interdire unitairement une extension en cliquant sur son action associée,
  • D'autoriser ou d'interdire une sélection d'extensions (touche Maj. enfoncée et sélection de lignes contiguës ou touche Ctrl. enfoncée et sélection de lignes non contiguës) et de leur appliquer une action commune à l'aide des boutons Autoriser la sélection et Interdire la sélection,
  • De sélectionner toutes les extensions avec le bouton Tout sélectionner et de leur appliquer une action commune à l'aide des boutons Autoriser la sélection et Interdire la sélection.

Un champ de recherche permet également de filtrer l'affichage des extensions.

Onglet Plages en liste noire

Cette grille est destinée à interdire les extensions connues du protocole TLS v1.3 autres que celles définies dans l'onglet Extensions nommées. L'identifiant de ces extensions doit être compris entre 57 et 65535).

Il est possible d'y ajouter (bouton Ajouter) ou d'en supprimer (bouton Supprimer après sélection de la ligne concernée) des extensions définies unitairement à l'aide de leur identifiant (exemple : 59) ou des plages d'extensions (exemples : 59-62, 92-1001).

Un champ de recherche permet également de filtrer l'affichage des identifiants placés en liste noire.

Détection des données non chiffrées (trafic en clair)

Méthode de détection
  • Ne pas détecter : les données non chiffrées ne seront pas analysées.
  • Inspecter tout le flux : tous les paquets reçus seront analysés par le protocole SSL afin de détecter du trafic en clair
  • Échantillonnage (7168 octets) : Seuls les 7168 premiers octets du flux seront analysés afin de détecter du trafic en clair.

Support

Désactiver la prévention d'intrusion En cochant cette option, l'analyse du protocole SSL sera désactivée et le trafic sera autorisé si la politique de filtrage le permet.
Tracer chaque requête SSL Active ou désactive les logs permettant de tracer les requêtes SMTP.