TLSi (Inspection TLS) - Trafic inspecté malgré être désactivé/contourné

Problème

Vous pouvez observer des événements où TLSi semble activé bien que :

  • L'inspection TLS globale est désactivée, ou
  • Le trafic correspond à une règle de contournement TLS, ou
  • Le système d'exploitation source est l'un des types d'OS par défaut contournés (par exemple : Android, Linux, système d'exploitation inconnu).

Ce comportement est généralement identifié dans Sécurité / Événements Internet, où les détails de l'événement montrent inspection TLS = 1 et, dans certains cas, une page Bloquer, Inviter, ou Portail captif liée au TLS est présentée.

Environnement

Une ou plusieurs des conditions suivantes peuvent s'appliquer :

  • Inspection TLS désactivée globalement ou contournée par OS (par exemple : Android, Linux, système d'exploitation inconnu)
  • Règles de pare-feu avec les actions Bloquer ou Inviter
  • Authentification par portail captif en utilisation
  • Accès sans client (Accès par navigateur)
  • Trafic classé comme haut risque ou interdit par les contrôles de sécurité du système
  • Inspection TLS – enforce des paramètres globaux pour des applications spécifiques

Note : L'inspection TLS dans les événements peut refléter une inspection requise par le système pour le contrôle, l'application ou la sécurité, pas nécessairement seulement l'inspection par politique configurée.

Comprendre le comportement

Les paramètres d'Inspection TLS définissent l'inspection basée sur la politique, mais certains flux de trafic nécessitent une inspection au niveau du système effectuée par l'architecture sécuritaire de Cato pour fonctionner correctement. Dans ces cas, l'inspection TLS peut avoir lieu même lorsqu'elle est désactivée ou contournée au niveau de la politique locataire.

Selon l'Accord de service maître (MSA) de Cato et les exigences globales de sécurité et conformité, l'accès à certaines destinations malveillantes, dangereuses ou interdites est bloqué par défaut. Pour appliquer ces protections de base et répondre aux obligations réglementaires, Cato peut intercepter et évaluer le trafic à l'aide de son architecture sécuritaire. Par conséquent, les fonctions d'inspection TLS peuvent être signalées comme actives sur certains événements de blocage, même lorsque l'inspection TLS configurée par le client est désactivée.

Ce comportement est attendu et par conception. Cela n'indique pas que l'inspection TLS a été activée par la politique client ou que les règles de contournement ont été ignorées. Au lieu de cela, il reflète les contrôles de sécurité obligatoires imposés par le système requis pour classer et bloquer avec précision le trafic à haut risque tout en maintenant la sécurité de la plateforme et la conformité.

Le comportement ci-dessus sera reflété dans l'événement avec inspection TLS = 1

Scénarios où l'Inspection TLS est appliquée

Scénario 1 : Le trafic du Portail captif est toujours inspecté

Le trafic utilisé pour la détection et l'authentification du portail captif est géré par les règles système.

Le PoP doit :

  • Détecter les exigences d'authentification
  • Injecter la page de portail captif
  • Gérer temporairement le comportement d'accès (par exemple, gestion Toujours actif)

Pour soutenir cela, le trafic passe toujours par le moteur d'inspection TLS, même lorsque :

  • Le système d'exploitation source est normalement contourné, ou
  • L'inspection TLS du locataire est désactivée ou contournée

Ce comportement est attendu et n'indique pas que la politique TLSi du locataire a été ignorée.

Scénario 2 : Le trafic d'accès sans client (Portail d'accès par navigateur) est toujours inspecté

Le trafic pour Accès sans client (Portail d'accès par navigateur) provient d'Internet public et entre dans le Cloud Cato comme trafic entrant non fiable.

Pour des raisons de sécurité :

  • Ce trafic est toujours inspecté par les règles système, y compris l'Inspection TLS
  • La configuration de l'Inspection TLS du locataire ne s'applique pas à ces flux

Par conséquent, les événements liés à l'Accès par navigateur peuvent afficher inspection TLS = 1 même lorsque :

  • L'inspection TLS globale est désactivée, ou
  • La même destination serait normalement contournée pour le trafic utilisateur via le client SDP

Scénario 3 : Règles de pare-feu avec des actions Bloquer ou Inviter

Pour le trafic HTTPS, les règles de pare-feu configurées avec des actions Bloquer ou Inviter nécessitent l'Inspection TLS pour :

  • Classer avec précision le trafic chiffré
  • Injecter des pages de blocage ou de demande vers l'utilisateur

Cette terminaison TLS est effectuée par les règles système, non pas par la politique d'inspection TLS du locataire.

Par conséquent, les événements pour les flux correspondant aux règles Bloquer ou Inviter peuvent afficher inspection TLS = 1 même lorsque :

  • L'inspection TLS est globalement désactivée, ou
  • Une règle de contournement TLS s'applique à la destination

Ce comportement est requis pour appliquer correctement des actions de blocage/demande pour le trafic HTTPS.

(Voir aussi : Accéder à un site Web non fiable est bloqué Même Bien que l'Inspection TLS soit désactivée.)

Scénario 4 : Politiques globales d'inspection TLS pour des applications spécifiques

En plus des règles d'inspection TLS définies par le locataire, Cato applique des politiques globales d'inspection TLS pour certaines applications, telles que Dropbox et WhatsApp.

Ces politiques sont utilisées pour :

  • Assurer une sécurité cohérente et une application CASB
  • Gérer le verrouillage des certificats et le comportement spécifique de l'application

Par conséquent, le trafic vers certaines applications peut être inspecté même lorsque :

  • L'inspection TLS est désactivée dans la politique du locataire, ou
  • Le système d'exploitation source serait normalement contourné

Dans les événements, cela semble être inspection TLS = 1, même si aucune règle TLSi définie par le locataire n'est visible.

Ce comportement est attendu et guidé par les politiques de sécurité globales de Cato.

Quand enquêter davantage

Si des problèmes de performance sont observés (par exemple, des temps de chargement de l'application lents) et que contourner Cato offre de meilleures performances, des données supplémentaires peuvent être requises pour le support afin de mener à bien l'investigation, veuillez donc vous assurer de fournir les éléments suivants :

  • Quel est l'impact sur la performance ? Est-ce le temps de chargement des données ou des problèmes lors du chargement du contenu lui-même ? 
  • Fichier HAR du navigateur client
  • Fournissez un SSS pour que le support valide

 

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire