Cet article explique comment configurer et personnaliser la politique d'inspection TLS pour répondre aux exigences spécifiques de votre réseau.
Aujourd'hui, la plupart du trafic réseau est chiffré (TLS, HTTPS), ce qui minimise souvent les bénéfices d'une analyse du trafic avec IPS, le Pare-feu Internet, la Politique de contrôle d'application et le trafic Anti-Malware. Si le trafic contient du contenu malveillant, celui-ci est également chiffré et les moteurs de sécurité de Cato ne peuvent pas l'inspecter ou l'analyser.
Lorsque vous activez l'Inspection TLS pour votre compte, Cato déchiffre en toute sécurité le trafic qui passe par un PoP et les moteurs de sécurité de Cato l'inspectent pour détecter les logiciels malveillants et analyser les fichiers téléchargés. Si le contenu du trafic est confirmé comme sûr, Cato le re-chiffre puis le transfère vers la destination. Cependant, si le contenu contient des logiciels malveillants réels ou suspectés, les moteurs de sécurité de Cato bloquent le trafic.
Vous pouvez choisir d'utiliser la politique par défaut de Cato qui inspecte tout le trafic. Vous pouvez également créer des règles spécifiques d'Inspection TLS qui définissent quel trafic est inspecté et quel trafic contourne l'Inspection TLS.
Remarque
Note : Par défaut, l'Inspection TLS est contournée pour ces systèmes d'exploitation :
- Android (en raison de problèmes liés à l'ancrage des certificats)
- Linux
- Systèmes d'exploitation inconnus
Cato inclut plusieurs applications dans une règle de contournement implicite qui sont automatiquement exclues de l'Inspection TLS. Pour une liste de ces applications, voir ci-dessous Règles de contournement par défaut.
Une latence minimale est attendue à la connexion initiale en raison des handshakes TCP et TLS qui se produisent avant que les données puissent circuler vers le réseau ou le moteur de sécurité approprié dans le PoP. Cette latence peut atteindre 10 millisecondes par paquet.
Le moteur d'Inspection TLS inspecte les connexions de manière séquentielle et vérifie si la connexion correspond à une règle. La règle finale dans la base de règles est une règle Inspect ANY - ANY implicite par défaut, donc si une connexion ne correspond PAS à une règle, elle est automatiquement inspectée.
Vous pouvez consulter les paramètres de règle par défaut dans la section Règles par défaut à la fin de la base de règles. Les paramètres de règle ne peuvent pas être modifiés sauf pour l'action du Certificat Serveur Non Fiable. Pour plus d'informations sur l'action du Certificat Serveur Non Fiable, voir ci-dessous Ajouter des règles pour personnaliser la Politique d'Inspection TLS.
Les règles qui se trouvent en haut de la base de règles ont une priorité plus élevée car elles sont appliquées aux connexions avant les règles situées plus bas dans la base de règles. Par exemple, si une connexion correspond à la règle n°2, l'action pour cette règle est appliquée à la connexion et le moteur d'Inspection TLS cesse d'appliquer la politique à cette connexion. Cela signifie que les règles n°3 et suivantes ne sont pas appliquées à la connexion.
La Politique d'Inspection TLS permet à différents administrateurs de modifier la politique en parallèle. Chaque administrateur peut modifier les règles et enregistrer les modifications dans la base de règles dans leur propre révision privée, puis les publier dans la politique de compte (la révision publiée). Pour plus d'informations sur la gestion des révisions de politique, voir Travailler avec les révisions de politique.
Travailler avec l'Assistant de Configuration de l'Inspection TLS
L'Assistant de Configuration de l'Inspection TLS examine de manière autonome votre politique à l'aide de ces contrôles et aperçus. Lorsque un contrôle échoue, vous pouvez consulter et mettre à jour votre politique directement dans l'assistant sans modifier les règles individuelles. Cela vous aide à rester en sécurité tout en simplifiant la gestion des politiques. Pour plus d'informations, voir Utilisation de l'Assistant de Configuration.
Utilisez la page Politique d'inspection TLS pour configurer la politique d'inspection TLS pour tout le trafic de votre compte.
Travailler avec plusieurs éléments
Lorsque plusieurs éléments se trouvent dans un champ Source ou un champ Quoi, comme deux groupes ou catégories, il y a une relation OU entre ces éléments.
Installer le certificat racine de Cato sur les dispositifs des utilisateurs finaux
Le certificat racine de Cato doit être installé comme un certificat de confiance sur chaque appareil et ordinateur qui se connecte à la Cato Cloud. Pour plus d'informations sur l'installation du certificat Cato, voir Installation du certificat racine pour l'inspection TLS.
- Le certificat de Cato ne peut pas être installé sur la plupart des systèmes d'exploitation embarqués (OS), donc de nombreux appareils utilisant un OS embarqué perdent la connectivité lorsque l'inspection TLS est activée. Pour plus d'informations sur les systèmes d'exploitation pris en charge par Cato pour l'inspection TLS, voir Meilleures pratiques pour l'inspection TLS.
Par défaut, toutes les versions TLS et suites de chiffrement sont autorisées. Pour bloquer les versions TLS obsolètes et non sécurisées ou empêcher l'utilisation de suites de chiffrement faibles dans le trafic crypté, la politique d'inspection TLS peut imposer les versions minimales du protocole TLS et la force des suites de chiffrement pour le trafic de votre compte.
Les options de configuration des suites de chiffrement sont divisées en trois niveaux, basés sur les paramètres recommandés par Mozilla. Certaines versions TLS ne sont pas compatibles avec certains niveaux. Pour plus d'informations et une liste des suites de chiffrements à chaque niveau, voir la documentation Mozilla.
QUIC et GQUIC sont des protocoles de transport développés par Google qui ne fonctionnent pas sur des connexions TCP, et le trafic utilisant ces protocoles ne peut pas être inspecté par le service d'inspection TLS. C'est pourquoi nous recommandons que les comptes activant l'inspection TLS bloquent le trafic QUIC et GQUIC en utilisant des règles du pare-feu Internet. Les règles qui bloquent ce trafic forcent le flux à se connecter uniquement en utilisant des protocoles qui peuvent être inspectés par le service d'inspection TLS. Si vous autorisez le trafic utilisant les protocoles QUIC et GQUIC, les flux ne peuvent pas être inspectés et sont inutilement bloqués.
La première fois que vous activez la politique d'inspection TLS, des règles pour bloquer le trafic QUIC et GQUIC sont automatiquement ajoutées à la politique de pare-feu Internet. Si la politique de pare-feu Internet bloque déjà le trafic QUIC pour qu'il puisse être correctement inspecté, alors aucune nouvelle règle n'est ajoutée.
Pour plus d'informations sur le trafic QUIC et GQUIC, voir Politiques de pare-feu Internet et WAN – Meilleures pratiques.
Lorsque vous configurez la politique d'inspection TLS, vous pouvez activer la politique d'inspection TLS par défaut de Cato ou personnaliser la politique en ajoutant vos propres règles.
La politique d'inspection TLS par défaut de Cato inspecte tout le trafic (à l'exception des applications automatiquement contournées). Vous pouvez utiliser la politique par défaut en activant l'inspection TLS et il n'est pas nécessaire d'ajouter des règles à la politique.
Il existe une règle implicite finale qui correspond à tout le trafic avec l'action Inspecter.
Vous pouvez personnaliser la politique d'inspection TLS pour n'inspecter que les types de trafic spécifiques en fonction des besoins de votre organisation. Ajoutez des règles à la politique avec des actions Inspecter et Contourner pour définir quel trafic est déchiffré et inspecté.
- Create rules with the Inspect action to define the traffic that the Cato Cloud inspects for suspicious and malicious content.
- Créez des règles avec l'action Contourner pour exclure du trafic spécifique des moteurs d'inspection TLS de Cato. Par exemple, vous pouvez ajouter une règle de contournement pour l'application RingCentral afin d'exclure le trafic RingCentral de l'inspection TLS.
Lors de la création des règles, utilisez Source et Quoi pour définir la portée du trafic TLS et Action pour configurer si la règle inspecte ou contourne le trafic. Assurez-vous que la règle de contournement a une priorité supérieure (plus proche du haut de la base de règles) qu'une règle d'inspection qui correspond au même trafic. Le trafic correspondant à une règle de contournement d'inspection TLS est également exclu des analyses de sécurité des moteurs Anti-Malware.
Lorsque vous configurez une règle avec l'action Inspecter, vous devez également définir le comportement de la règle pour les certificats de serveur non fiables.
Voici les options pour ce paramètre :
- Autoriser - Le trafic est autorisé vers le site avec un certificat non fiable et inspecté (ce paramètre est par défaut).
- Inviter - Les utilisateurs voient une invitation leur demandant de confirmer qu'ils veulent continuer et aller sur le site avec un certificat non fiable. Si l'utilisateur continue vers le site, le trafic est inspecté
- Bloquer - Le trafic vers le site avec un certificat non fiable est bloqué
Remarque
Remarque : Pour les applications qui utilisent la fixation de certificat pour empêcher l'inspection TLS, ajoutez-les à une règle de contournement pour qu'elles fonctionnent correctement pour les utilisateurs finaux.
Pour ajouter des règles à la politique d'inspection TLS :
- Dans le menu de navigation, cliquez sur Sécurité > Inspection TLS.
- Cliquez sur Nouveau.
- Entrez un Nom pour la règle.
-
Utilisez le basculement Activé pour activer ou désactiver la règle.
Le bouton est vert
lorsqu'il est activé.
- Configurez l'Ordre des Règles pour cette règle.
-
Développez Source et sélectionnez le type de source.
- Sélectionnez le type (par exemple : Hôte, Interface Réseau, IP, Tout). La valeur par défaut est Tout.
- Si nécessaire, sélectionnez un objet spécifique dans la liste déroulante pour ce type.
-
Dans la section Critères, configurez les Plateformes, Pays, Profils de posture des appareils, et Origine de la connexion nécessaires pour correspondre à cette règle.
Pour en savoir plus sur les conditions des appareils, consultez Ajout de conditions d'appareil pour l'inspection TLS.
- Définissez la Destination à laquelle la règle s'applique. Par exemple, un service, une application, une catégorie personnalisée ou prédéfinie.
-
Choisissez la version TLS et suites de chiffrement minimum.
Remarque : Certaines versions TLS sont incompatibles avec les niveaux de suites de chiffrement. Pour plus d'informations, consultez Imposer les versions de TLS et les suites de chiffrement
-
Configurez l'Action en sélectionnant Inspecter ou Contournement.
- Si vous sélectionnez Inspecter, dans le menu déroulant Certificats de Serveur Non Fiables, sélectionnez l'action pour le trafic avec des certificats problématiques : Autoriser, Bloquer ou Inviter. La valeur par défaut est Autoriser.
- Cliquez sur Appliquer.
- Cliquez sur Sauvegarder. La règle d'inspection TLS est enregistrée dans la base de règles.
Cato gère les règles d'inspection TLS par défaut qui contournent les Applications spécifiques, systèmes d'exploitation et Clients qui peuvent causer des Problèmes. Ces règles sont positionnées en haut de la base de Règle et ne peuvent pas être modifiées. Pour vous aider à Planifier et à prendre des décisions pour la Politique de Déploiement de l'Inspection TLS, vous pouvez Voir les Paramètres de ces Règles dans la section de Contournement par défaut des règles.
Lorsque plusieurs éléments sont présents dans le champ Quoi, comme une Application et un Nom de domaine complet, alors il existe une relation ET entre ces Articles.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.