Onglet IPS

Cet écran va permettre valider le fonctionnement du protocole SSL à travers le firewall.

Certaines options permettent de renforcer la sécurité de ce protocole. Par exemple, il est possible d’interdire des négociations d’algorithmes cryptographiques considérés comme faibles, de détecter des logiciels utilisant le SSL pour passer outre les politiques de filtrage (SKYPE, proxy HTTPS,…).

 

Détecter et inspecter automatiquement le protocole Si le protocole est activé, l'inspection sera automatiquement appliquée à la découverte d'un trafic correspondant, autorisé par le filtrage.

Négociation SSL

Autoriser les chiffrements non supportés Cochez cette case si l’algorithme de chiffrement que vous souhaitez utiliser n’est pas supporté par le protocole SSL.
Autoriser les données non chiffrées après une négociation SSL Cette option permet de transmettre les données en clair après une négociation SSL.

AVERTISSEMENT
Laisser transiter les données en clair représente un risque de sécurité.

Autoriser les algorithmes cryptographiques de signalement (SCSV) Les attaques par repli consistent à intercepter une communication et à imposer une variante cryptographique la plus faible possible. En activant cette option, le firewall annoncera un pseudo-algorithme cryptographique permettant de signaler une tentative d’attaque par repli (RFC 7507).
Niveaux de chiffrements autorisés Plus l’algorithme de chiffrement utilisé est fort, et le mot de passe complexe, plus le niveau est considéré comme « haut ».

EXEMPLE
L’algorithme de chiffrement AES doté d’une force de 256 bits, associé à un mot de passe d’une dizaine de caractères fait de lettres, de chiffres et de caractères spéciaux.


Trois choix sont proposés, vous pouvez autoriser les niveaux de chiffrement :
  • Bas, moyen et haut : par exemple, DES (force de 64 bits), CAST128 (128 bits) et AES. Quel que soit le niveau de sécurité du mot de passe, le niveau de chiffrement sera autorisé.
  • Moyen et haut : Seuls les algorithmes de moyenne et haute sécurité seront tolérées.
  • Haut uniquement : Seuls les algorithmes forts et les mots de passe dotés d’un haut niveau de sécurité seront tolérés.

Détection des données non chiffrées (trafic en clair)

Méthode de détection
  • Ne pas détecter : les données non chiffrées ne seront pas analysées.
  • Inspecter tout le flux : tous les paquets reçus seront analysés par le protocole SSL afin de détecter du trafic en clair
  • Échantillonnage (7168 octets) : Seuls les 7168 premiers octets du flux seront analysés afin de détecter du trafic en clair.

Support

Désactiver la prévention d'intrusion En cochant cette option, l'analyse du protocole SSL sera désactivée et le trafic sera autorisé si la politique de filtrage le permet.
Tracer chaque requête SSL Active ou désactive les logs permettant de tracer les requêtes SMTP.