Selon Google, plus de 70 % de toutes les pages Web en 2019 sont servies via HTTPS, le protocole de transfert hypertexte sécurisé. HTTP est le protocole utilisé par les navigateurs web et les serveurs web pour échanger des données, et le "S" à la fin de HTTPS signifie que les données sont chiffrées par TLS, Transport Layer Security. TLS est excellent pour assurer la confidentialité et la confidentialité des données, c’est la raison pour laquelle il est adopté si largement sur Internet.
Malheureusement, cette garantie de confidentialité et de confidentialité ne s'applique pas uniquement au trafic légitime. Les logiciels malveillants et les menaces peuvent se cacher aussi bien sur les sites HTTPS que sur les sites HTTP. À mesure que la popularité de HTTPS augmente, il n’est pas surprenant que les chercheurs en sécurité trouvent de plus en plus de menaces de logiciels malveillants sur les sites Web HTTPS. Pour aggraver les choses, HTTPS rend les moteurs antivirus et IPS moins efficaces car ils ne peuvent pas analyser les menaces dans le trafic crypté par TLS.
Lorsque l'inspection TLS est activée, le PoP Cato agit en tant qu'homme du milieu entre le navigateur Web et le serveur Web :
-
Le PoP déchiffre le trafic TLS qu’il reçoit du client ou du serveur.
-
Le PoP analyse le trafic déchiffré avec les moteurs Anti-Malware et IPS.
-
Le PoP chiffre à nouveau le trafic.
-
Le PoP envoie les paquets chiffrés à la destination.
L'inspection TLS en combinaison avec Anti-Malware et IPS protège votre réseau contre les menaces malveillantes chiffrées et non chiffrées. Si vous utilisez une protection contre les menaces sans inspection TLS, votre réseau est vulnérable aux attaques provenant de sources chiffrées. Par conséquent, nous vous recommandons vivement d'activer l'inspection TLS si vous utilisez Anti-Malware ou IPS.
Ce guide vous guide à travers un déploiement progressif de l'inspection TLS. Commencez par activer l'inspection TLS pour quelques utilisateurs et observez son fonctionnement pour eux. Ensuite, vous pouvez activer la fonctionnalité pour l'ensemble du compte.
Pour en savoir plus sur le certificat Cato, consultez Installation du certificat racine pour l'inspection TLS.
Activer l'inspection TLS pour un petit groupe d'utilisateurs vous permet d'effectuer des tests et de détecter les problèmes d'installation de certificats ou de compatibilité des sites Web avant de déployer la fonctionnalité à tous vos utilisateurs finaux. Votre base de test peut être aussi large qu'un site ou aussi petite qu'un ordinateur individuel. Vous pouvez choisir d'activer l'inspection TLS sur les éléments suivants :
-
Sites
-
Réseaux au sein d'un site
-
Utilisateurs VPN
-
Ordinateurs individuels (hôtes)
-
Toute combinaison des options ci-dessus
Les tests doivent être effectués sur chaque appareil et système d'exploitation utilisés par votre organisation. Les utilisateurs de test doivent effectuer des activités professionnelles normales et signaler toutes les anomalies à l'administrateur réseau ou système pour une enquête plus approfondie.
Lorsque vous activez l’inspection TLS, la politique par défaut est d’inspecter tout le trafic HTTPS par défaut. Pour effectuer les tests uniquement sur des utilisateurs spécifiques, vous devez d'abord configurer une règle de contournement avec la source définie comme n'importe. Ensuite, créez une règle d’inspection avec une priorité plus élevée et ajoutez les utilisateurs de test au champ source. Voici un exemple de politique d’inspection TLS pour tester des utilisateurs spécifiques :
Pour plus d'informations sur l'activation de la politique d'inspection TLS pour les utilisateurs de test, consultez Configuration de la politique d’inspection TLS pour le compte.
Les navigateurs modernes affichent une icône de cadenas dans la barre d'URL si un site est chiffré avec TLS. Cliquer sur l’icône du cadenas révèle une option qui vous permet de voir les détails du certificat, y compris l'autorité de certification racine. L'inspection TLS est active lorsque vous voyez Cato Networks suivi du nom du PoP comme émetteur ou vérificateur du certificat.
Pour plus d'informations sur l'installation d'une autorité de certification racine, consultez Vérification du certificat de l'autorité de certification racine de Cato.
-
Cliquez sur l'icône de cadenas, puis cliquez sur Certificat.
-
Vérifiez le champ "Émis par".
Pendant les tests, vous pouvez constater que certains sites Web ou applications ne fonctionnent pas avec l’inspection TLS activée. Vous pouvez exempter les domaines de destination, les adresses IP et même les catégories d'URL complètes de l'inspection TLS en créant une nouvelle règle avec l'action de contournement dans la politique d'inspection TLS. Il peut être nécessaire d'ajouter un site Web aux destinations de confiance pour l'une des raisons suivantes :
-
Épinglage des certificats : le serveur ordonne au client de vérifier la clé publique qu'il reçoit du serveur avec un hash fourni de la vraie clé publique. Cela atténue la méthode de l'homme du milieu utilisée par l'inspection TLS car la clé publique envoyée au client depuis le PoP ne correspond pas au hash.
-
Authentification du client : le serveur Web exige que le client s'authentifie avec un certificat client. L'inspection TLS échoue parce que le PoP n'a pas le certificat client.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.