À propos de Transport Layer Security (TLS)
Le protocole TLS (Transport Layer Security) assure le chiffrement et la sécurité des données transmises entre un client et un serveur.
TLS Explicite et Implicite
TLS peut être explicite ou implicite. La différence concerne les situations lors desquelles le serveur utilise le chiffrement TLS.
TLS Explicite
En mode TLS explicite, le client envoie une commande (telle que STARTTLS) via une connexion non sécurisée existante de manière à demander que la connexion soit transformée en connexion sécurisée. Lorsque le serveur reçoit la commande et s'il peut prendre en charge TLS de cette manière, il envoie une confirmation au client pour lui indiquer qu'il peut procéder à la négociation TLS.
Fireware prend en charge le mode TLS explicite pour SMTP dans le Proxy SMTP et pour IMAP dans le Proxy IMAP.
TLS Implicite
En mode TLS implicite, le client et le serveur utilisent immédiatement TLS en fonction du port utilisé par la connexion. Fireware prend en charge le mode TLS implicite pour les protocoles et les ports par défaut suivants :
- HTTPS sur le port 443
- IMAPS sur le port 993 (Pris en charge dans Fireware v12.1 et les versions ultérieures)
- SMTPS sur le port 465 (Pris en charge dans Fireware v12.2 et les versions ultérieures)
- POP3S sur le port 995 (Pris en charge dans Fireware v12.2 et les versions ultérieures)
Les proxies HTTPS et POP3 prennent uniquement en charge le mode TLS implicite. Les proxies IMAP et SMTP prennent en charge les modes TLS implicite et explicite.
Profils TLS et Stratégies de Proxy
Les proxies IMAP, SMTP et POP3 prennent en charge les connexions chiffrées et non chiffrées. Pour ces stratégies, l'option Prise en charge TLS des propriétés de la stratégie contrôle les ports écoutés par la stratégie de proxy.
Prise en charge TLS | Ports du Proxy IMAP | Ports du Proxy SMTP | Ports du Proxy POP3 |
---|---|---|---|
Désactivé | Port 143 uniquement | Port 25 uniquement | Port 110 uniquement |
Activé | Port 143 et 993 | Port 25 et 465 | Port 110 et 995 |
Obligatoire | Port 993 uniquement | Port 465 uniquement | Port 995 uniquement |
Pour configurer les paramètres TLS pour l'inspection du contenu dans une action de proxy IMAP, SMTP ou POP3, le paramètre Prise en charge TLS doit être configuré comme Activé ou Obligatoire dans la stratégie de proxy. Dans les modèles de stratégie des stratégies de proxy IMAP, SMTP et POP3, le paramètre Prise en charge TLS est configuré par défaut sur Activé.
Si vous créez une stratégie de proxy IMAP, SMTP ou POP3 avec une version de Fireware ne prenant pas en charge les profils TLS, puis que vous mettez à niveau le Firebox vers une version de Fireware qui les prend en charge, l'option Prise en charge TLS de la stratégie de proxy existante est configurée comme Désactivée suite à la mise à niveau. Avant d'activer l'inspection du contenu, vous devez modifier l'option Prise en charge TLS de la stratégie de proxy en la configurant comme Activée ou Obligatoire.
Pour de plus amples informations concernant la sélection du profil TLS et la configuration de l'inspection du contenu dans les actions de proxy, consultez :
- Proxy HTTPS : inspection du contenu
- Proxy SMTP : Chiffrement TLS
- Proxy SMTP : TLS
- Proxy IMAP : STARTTLS
- Proxy IMAP : TLS
- Proxy POP3 : TLS
Pour de plus amples informations concernant les paramètres de configuration du profil TLS, consultez Configurer les Profils TLS.