La majorité du trafic Internet est chiffrée via HTTPS, cependant les logiciels malveillants utilisent HTTPS comme technique d'évasion. Ces types de menaces peuvent causer des dommages aux données de votre organisation.
Cato Networks fournit une inspection de la Sécurité de la Couche de Transport (TLS) pour le trafic WAN et Internet HTTPS. Cato prend en charge les versions TLS 1.1, 1.2 et 1.3. Lorsque l'inspection TLS est activée, les PoP de Cato décryptent le trafic HTTPS et l'inspectent pour détecter tout contenu malveillant. Nous vous recommandons d'utiliser l'inspection TLS pour les services de protection contre les menaces de Cato tels que le système de prévention des intrusions (IPS), Anti-Malware et la détection et réponse gérées aux menaces (MDR).
Cet article explique comment l'inspection TLS offre une protection contre ce type de menaces et décrit les meilleures pratiques pour la protection contre les menaces et le trafic TLS.
Remarque
Remarque : En raison de problèmes liés au verrouillage des certificats, l'inspection TLS n'est pas prise en charge pour les appareils Android.
Utilisez l'application de gestion Cato pour activer l'inspection TLS pour l'ensemble du compte. Dans le cadre de la mise en œuvre de l'inspection TLS, vous devez installer le certificat Cato en tant que certificat racine sur les hôtes et appareils des utilisateurs finaux. Utilisez la politique d'inspection TLS pour définir des règles permettant d'inspecter ou de contourner le trafic de l'inspection TLS. Lorsque l'inspection TLS est activée pour votre compte, la politique par défaut est d'inspecter tout le trafic HTTPS par défaut.
Lorsqu'un client (par exemple, un navigateur Web) se connecte à un serveur, le PoP envoie le certificat Cato au navigateur dans le cadre de la négociation TLS. Pour que le client vérifie que ce certificat est signé par une autorité de certification de confiance, vous devez installer le certificat de Cato sur tous vos clients et appareils. Le certificat est disponible au téléchargement depuis l'application de gestion Cato ou depuis le portail de téléchargement des clients. Ensuite, le PoP peut déchiffrer le trafic HTTPS et l'inspecter pour détecter d'éventuelles menaces pour la sécurité.
L'installation du certificat Cato vous permet également d'utiliser la page de blocage Cato pour les sites Web HTTPS. Si le trafic TLS est bloqué par les règles de filtrage d'URL ou de pare-feu Internet, le certificat Cato permet d'accéder à la page de blocage Cato. L'inspection TLS n'est pas requise pour bloquer l'accès aux sites Web HTTPS, mais si le certificat Cato n'est pas installé sur l'ordinateur de vos utilisateurs, un avertissement de certificat s'affiche au lieu de la page de blocage Cato. Par conséquent, nous vous recommandons d'installer le certificat Cato sur les appareils clients. Pour plus d'informations sur le certificat et les pages de blocage, consultez Avertissements de certificat avec les sites Web HTTPS bloqués.
Vous pouvez exclure des éléments spécifiques de l'inspection TLS en utilisant la fenêtre unifiée d'inspection TLS. Cela peut inclure des services ou des destinations considérés comme légitimes ou de confiance. Pour plus d'informations sur l'exclusion du trafic de l'inspection TLS, consultez Configuration de la politique d'inspection TLS pour le compte.
Remarques :
-
L'inspection TLS est contournée pour Android, Linux et les systèmes d'exploitation non identifiés. Les journaux d'événements pour ces systèmes d'exploitation incluent le Type de système d'exploitation comme :
-
OS_ANDROID
-
OS_LINUX
-
OS_UNKNOWN
-
-
L'activation de l'inspection TLS active la fonction d'accélération TCP pour tout le trafic TLS. Lorsque l'accélération TCP est activée, les Points de présence agissent en tant que serveurs proxy pour inspecter le trafic à la recherche de fichiers malveillants et de menaces. Pour en savoir plus sur le mode de proxy TCP, voir Explication de l'accélération TCP de Cato et meilleures pratiques.
Cato Networks recommande vivement d'activer l'inspection TLS pour votre compte. Si vous souhaitez la protection complète des services avancés de sécurité et de détection de Cato, il est important de savoir que certaines de ces capacités ne peuvent inspecter que des données non chiffrées. Par exemple, si vous n'utilisez pas l'inspection TLS, cela réduit l'efficacité des services de sécurité tels que MDR qui utilise un système de chasse aux menaces automatisé.
Un autre exemple est le service IPS qui utilise une détection basée sur des signatures. Lorsque l'inspection TLS est activée, l'IPS peut appliquer une inspection approfondie des paquets et permet des capacités supplémentaires sur la gamme de signatures de sécurité. Et ainsi, cela offre une meilleure protection pour votre réseau.
Certains sites et applications utilisent le verrouillage des certificats pour des raisons de sécurité. Le verrouillage des certificats oblige le client à utiliser un certificat spécifique pour prévenir les attaques de type homme du milieu. Ces applications ne fonctionnent pas lorsque l'inspection TLS est activée. Par conséquent, vous devez les ajouter comme règle de contournement dans la fenêtre de politique d'inspection TLS.
Pour plus d'informations concernant la configuration de l'inspection TLS, consultez Configuration de la politique d'inspection TLS pour le compte.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.