Configurer les Profils TLS
Les profils TLS (Transport Layer Security) définissent un ensemble de paramètres de sécurité pouvant être utilisés pour l'inspection du contenu par des actions de proxy prenant en charge TLS. Pour de plus amples informations concernant TLS, consultez À propos de Transport Layer Security (TLS).
Les stratégies prenant en charge les profils TLS sont les suivantes :
-
- Proxy HTTPS (pris en charge dans Fireware v12.1.1 et les versions ultérieures)
- Proxy POP3 (pris en charge dans Fireware v12.2 et les versions ultérieures)
- Proxy SMTP (pris en charge dans Fireware v12.2 et les versions ultérieures)
Dans la configuration des Profils TLS, vous pouvez configurer les paramètres du profil TLS et assigner des profils TLS aux actions de proxy.
Paramètres du Profil TLS
Dans un profil TLS, vous pouvez configurer les paramètres suivants :
Version Minimale du Protocole
Les proxies TLS prennent en charge quatre versions du protocole de chiffrement TLS pour les connexions sécurisées. Du moins sécurisé au plus sécurisé, il s'agit de : TLSv1.0, TLSv1.1, TLSv1.2 et TLSv1.3. Le profil TLS autorise les connexions qui négocient au minimum la Version Minimale du Protocole spécifiée. Les options disponibles pour la Version Minimale du Protocole sont TLSv1.0, TLSv1.1 et TLSv1.2. Les profils TLS prédéfinis spécifient une Version Minimale du Protocole TLS v1.0. Pour satisfaire aux exigences de la norme de sécurité de l'industrie des cartes de paiement sur la sécurité des données (PCI DSS), paramétrez la Version Minimale du Protocole TLS v1.1.
Le protocole SSLv3 n'est pas sécurisé et n'est pas pris en charge par Fireware 12.4 et les versions ultérieures.
- Dans Fireware 12.3.1 et les versions antérieures, vous pouvez sélectionner SSLv3 en tant que Version Minimale du Protocole. Nous vous recommandons de ne pas autoriser SSLv3 à moins que cette opération ne soit nécessaire pour assurer la rétrocompatibilité avec les systèmes existants sur les réseaux internes.
- Dans Fireware 12.4 et les versions ultérieures, il est impossible de sélectionner SSLv3 en tant que Version Minimale du Protocole. Lorsqu'un client spécifie le protocole SSLv3, les proxies refusent immédiatement la connexion et n'autorisent pas la négociation avec un autre protocole.
Dans Firewarev12.1.x, ce paramètre se nomme Autoriser SSLv3 et est désactivé par défaut. Lorsque l'option Activer SSLv3 est désactivée, le profil TLS autorise uniquement les connexions qui négocient le protocole TLS v1.0 et les versions ultérieures.
Autoriser uniquement le trafic conforme à TLS
Lorsque cette option est activée, le profil TLS autorise uniquement le trafic conforme aux protocoles TLS1.0, TLS 1.1, TLS 1.2 ou TLS 1.3 (si le protocole n'est pas antérieur à la Version Minimale du Protocole). Seuls les messages du protocole SSL conformes aux normes TLS sont considérés sûrs et peuvent être interprétés par le proxy. Lorsqu'une action de proxy utilise un profil TLS autorisant uniquement le trafic conforme à TLS, ce dernier établit un tunnel sécurisé. Si le trafic transitant par le tunnel n'utilise pas un protocole TLS valide, l'action de proxy utilisée pour l'inspection demande au Firebox d'envoyer un message de journal relatif aux erreurs et d'abandonner le trafic.
Si vous activez cette option, elle applique principalement le trafic HTTPS. Étant donné que les navigateurs web utilisent généralement HTTPS, de nombreuses applications clients peuvent ne pas se connecter au nuage.
Lorsque cette option est désactivée, le profil TLS autorise le trafic non conforme aux protocoles TLS via le proxy sans traitement supplémentaire.
Utiliser OCSP pour valider les certificats
Cette option paramètre le Firebox de manière à vérifier automatiquement les révocations de certificats à l'aide du protocole OSCP (Online Certificate Status Protocol). Lorsque cette fonctionnalité est activée, votre Firebox utilise les informations du certificat pour contacter un serveur OCSP possédant une trace de l'état du certificat. Si le serveur OCSP répond que le certificat a été révoqué, votre Firebox désactive le certificat. Cette option s'applique uniquement aux actions de proxy client. Les actions de proxy serveur ne valident pas les certificats.
Si vous activez cette option, un délai de quelques secondes s'écoule parfois, le temps que le Firebox obtienne la réponse du serveur OCSP. Le Firebox conserve entre 300 et 3 000 réponses OCSP en mémoire cache afin d'améliorer les performances des sites fréquemment consultés. Le nombre de réponses stockées dans le cache est déterminé par le modèle de votre Firebox.
Si un certificat ne peut être validé, il est considéré comme non valide
Cette option s'applique uniquement lorsque la validation OCSP est activée et contrôle si la validation OCSP est Permissive ou Stricte.
- Lorsque cette option est désactivée, le Firebox applique une stratégie OCSP Permissive. Si le serveur OCSP ne peut pas être contacté pour une raison ou une autre et n'envoie pas de réponse, le Firebox ne désactive pas le certificat et n'interrompt pas la chaîne de certificat. Seuls les certificats révoqués sont considérés invalides.
- Lorsque cette option est activée, le Firebox applique une stratégie OCSP Stricte. Si un répondant OCSP n'envoie pas de réponse à une demande d'état de révocation, le Firebox considère que le certificat d'origine est révoqué ou non valide. Cette option peut entrainer un certificat à être considéré comme invalide s'il existe une erreur de routage ou un problème avec votre connexion de réseau. Seuls les certificats présentant un indicateur de réponse correct sont considérés valides.
Chiffrements Perfect Forward Secrecy
Les actions TLS prennent en charge les chiffrements compatibles PFS pour les connexions TLS. Fireware prend en charge uniquement les chiffrements ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) pour PFS.
Afin de contrôler le mode d'utilisation des chiffrements compatibles PFS du Firebox, choisissez l'une des options suivantes :
- Aucun — Le Firebox n'annonce pas et ne sélectionne pas les chiffrements compatibles PFS.
- Autorisé — Le Firebox annonce et sélectionne les chiffrements compatibles et non compatibles PFS.
- Requis — Le Firebox annonce et sélectionne uniquement les chiffrements compatibles PFS.
Le paramètre que vous sélectionnez s'applique aux connexions TLS côté client et serveur. Lorsque Autorisé est sélectionné pour cette option, le client n'utilise pas de chiffrement PFS, à moins que le serveur ne l'utilise.
Les connexions TLS 1.3 emploient toujours des algorithmes de chiffrement compatibles PFS. Lorsque cette option est définie sur Aucun, les connexions ne peuvent pas utiliser TLS 1.3 pour la négociation de l'inspection du contenu du proxy. TLS v1.2 et les versions antérieures peuvent être négociées en fonction de la prise en charge du client/serveur et de la Version Minimale du Protocole du profil TLS.
Afin que vos utilisateurs puissent se connecter via HTTPS aux sites web exigeant TLS v1.3, nous vous recommandons de ne pas définir cette option sur Aucun dans vos Profils TLS.
Les chiffrements Perfect Forward Secrecy exigent des ressources significatives et peuvent nuire aux performances système des périphériques Firebox T10, T15, T30, T35, T50, XTM 25, XTM 26 et XTM 33. Dans Fireware 12.1.2 et les versions inférieures, il est impossible d'activer les algorithmes de chiffrement PFS sur ces modèles.
Le nom du chiffrement utilisé pour les sessions TLS client/serveur figure dans les messages de journal de trafic d'inspection du contenu générés par le Firebox. Pour de plus amples informations concernant les messages de journal, consultez Types de Messages de Journal.
Profils TLS Prédéfinis
Il existe quatre profils TLS prédéfinis. Ce tableau résume les différences des paramètres de chaque profil TLS prédéfini et indique les actions de proxy pouvant utiliser chaque profil.
| Profil TLS | OCSP | Conformité TLS | Utilisé par les Actions de Proxy |
|---|---|---|---|
| Client-TLS.Standard | Désactivé | Non appliqué | Client-IMAP.Standard Client-POP3.Standard SMTP-Sortant.Standard |
| Serveur-TLS.Standard | S/O | Appliqué | Serveur-IMAP.Standard Serveur-POP3.Standard SMTP-Entrant.Standard |
| Client-TLS-HTTPS.Standard | Permissif | Non appliqué | Client-HTTPS.Standard |
| Serveur-TLS-HTTPS.Standard | S/O | Non appliqué | Serveur-HTTPS.Standard |
Gérer les Profils TLS
Dans la page Profils TLS, vous pouvez cloner et modifier les profils TLS. Vous pouvez également sélectionner le profil TLS à utiliser par chaque action de proxy.
Cloner ou Modifier un Profil TLS
Il est impossible de modifier les profils TLS prédéfinis. Pour ajouter un nouveau profil TLS, vous devez cloner un profil existant.
- Sélectionnez Pare-feu > Profils TLS.
La page Profils TLS s'affiche.
- Dans la liste Profils Transport Layer Security, sélectionnez le profil TLS à cloner ou à modifier.
- Cliquez sur Cloner ou sur Modifier.
- Modifiez les paramètres nécessaires à votre profil.
- Sélectionnez Configuration > Actions > Profils TLS.
La boîte de dialogue Profils Transport Layer Security s'affiche.
- Sélectionnez le profil TLS à cloner ou modifier.
- Cliquez sur Cloner ou sur Modifier.
- Modifiez les paramètres nécessaires à votre profil.
Vous pouvez également cloner ou modifier le profil TLS lorsque vous configurez l'inspection du contenu ou les paramètres TLS dans l'action de proxy.
Configurer les Profils TLS pour les Stratégies de Proxy
Par défaut, les actions de proxy prenant en charge les profils TLS utilisent les profils TLS prédéfinis. Pour modifier le profil TLS utilisé par une action de proxy, vous pouvez modifier cette dernière ou le profil TLS assigné dans la liste des Stratégies de la configuration des Profils TLS.
Pour les actions de proxy prenant en charge les modes TLS implicite et explicite, vous pouvez sélectionner séparément les profils TLS à utiliser pour les modes TLS implicite et explicite (également appelés STARTTLS). Pour de plus amples informations concernant les modes TLS implicite et explicite, consultez À propos de Transport Layer Security (TLS).
Il est impossible de modifier le profil TLS assigné à une action de proxy prédéfinie. Vous devez d'abord cloner l'action de proxy. Pour plus d'informations, consultez À propos des Actions de Proxy.
- Sélectionnez Pare-feu > Profils TLS.
La page Profils TLS s'affiche.
- Dans la liste Stratégies Prenant en charge les Profils TLS, sélectionnez une ou plusieurs actions de proxy client ou serveur.
- Pour sélectionner le profil TLS du mode TLS explicite, sélectionnez le profil TLS à utiliser dans la liste déroulante Sélectionner le Profil TLS.
- Pour les actions de proxy prenant en charge le mode TLS implicite, sélectionnez le profil TLS à utiliser dans la liste déroulante Sélectionner le Profil STARTTLS.
- Pour enregistrer les paramètres du profil TLS mis à jour dans les actions de proxy, cliquez sur Enregistrer.
- Sélectionnez Configuration > Actions > Profils TLS.
La boîte de dialogue Profils Transport Layer Security s'affiche. - Cliquez sur l'onglet Stratégies.
- Sélectionnez une ou plusieurs actions de proxy client ou serveur.
- Pour sélectionner le profil TLS du mode TLS explicite, sélectionnez le profil TLS à utiliser dans la liste déroulante Sélectionner le Profil TLS.
- Pour les actions de proxy prenant en charge le mode TLS implicite, sélectionnez le profil TLS à utiliser dans la liste déroulante Sélectionner le Profil STARTTLS.
Activer l'Inspection du Contenu dans une Action de Proxy
De manière à ce qu'une action de proxy utilise le profil TLS assigné pour l'inspection du contenu, vous devez sélectionner l'action Inspecter dans les paramètres de l'action de proxy.
Pour de plus amples informations concernant la sélection du profil TLS et la configuration de l'inspection du contenu dans les actions de proxy, consultez :
- Proxy HTTPS : inspection du contenu
- Proxy SMTP : Chiffrement TLS
- Proxy SMTP : TLS
- Proxy IMAP : STARTTLS
- Proxy IMAP : TLS
- Proxy POP3 : TLS