Configuration de la politique d'inspection TLS pour le compte

Cet article explique comment configurer et personnaliser la politique d'inspection TLS pour répondre aux exigences spécifiques de votre réseau.

Aperçu de la politique d'inspection TLS de Cato

Aujourd'hui, la plupart du trafic réseau est chiffré (TLS, HTTPS), ce qui réduit souvent l'efficacité de l'analyse du trafic avec les moteurs de sécurité tels que les pare-feu Internet, la politique de contrôle des applications et le trafic anti-malware. Si le trafic contient du contenu malveillant, il est également chiffré et les moteurs de sécurité Cato ne peuvent pas l'inspecter ni le scanner.

Lorsque vous activez l'inspection TLS pour votre compte, Cato déchiffre en toute sécurité le trafic qui passe par un PoP et les moteurs de sécurité Cato l'inspectent pour détecter les logiciels malveillants et analysent les fichiers téléchargés. Si le contenu du trafic est confirmé comme sûr, Cato rechiffre alors le trafic et le transmet à la destination. Cependant, si le contenu contient des logiciels malveillants réels ou suspectés, alors les moteurs de sécurité Cato bloquent le trafic.

Vous pouvez choisir d'utiliser la politique Cato par défaut qui inspecte tout le trafic. Vous pouvez également créer des règles d'inspection TLS spécifiques qui définissent quel trafic est inspecté et quel trafic contourne l'inspection TLS.

tlsinspection.png

Remarque

Note : Par défaut, l'inspection TLS est contournée pour ces systèmes d'exploitation :

  • Android (en raison de problèmes liés à l'épinglage des certificats)

  • Linux

  • Systèmes d'exploitation inconnus

Règles de contournement par défaut de Cato pour les applications

Cato inclut plusieurs applications dans une règle de contournement implicite qui sont automatiquement exclues de l'inspection TLS. Pour une liste de ces applications, voir ci-dessous Règles de contournement par défaut.

Latence pour l'inspection TLS

Une latence minimale est attendue à la connexion initiale en raison des processus d'établissement TCP et TLS qui se produisent avant que les données puissent circuler vers le moteur réseau ou de sécurité approprié dans le PoP. Cette latence peut atteindre 8 millisecondes par paquet.

Travailler avec une base de règles d'inspection TLS ordonnée

Le moteur d'inspection TLS inspecte les connexions de manière séquentielle et vérifie si la connexion correspond à une règle. La règle finale dans la base de règles est une règle implicite par défaut ANY - ANY Inspect - donc si une connexion ne correspond pas à une règle, elle est automatiquement inspectée.

Vous pouvez examiner les paramètres de règle par défaut dans la section Règles par défaut à la fin de la base de règles. Les paramètres de règle ne peuvent pas être modifiés, sauf pour l'action Certificat de serveur non fiable. Pour en savoir plus sur l'action du certificat de serveur non approuvé, voir ci-dessous Ajouter des règles pour personnaliser la politique d'inspection TLS.

Les règles en haut de la base de règles ont une priorité plus élevée car elles sont appliquées aux connexions avant les règles plus bas dans la base de règles. Par exemple, si une connexion correspond à la règle n°2, l'action pour cette règle est appliquée à la connexion et le moteur d'inspection TLS cesse d'appliquer la politique à cette connexion. Cela signifie que les règles n°3 et au-dessous ne sont pas appliquées à la connexion.

Comprendre les actions pour les règles d'inspection TLS

Les règles d'inspection TLS vous permettent d'utiliser une action d'inspection ou de contournement pour le trafic TLS.

Utiliser des règles qui inspectent le trafic TLS

Utilisez l'action Inspect pour définir des règles d'inspection TLS qui déchiffrent les connexions et permettent aux moteurs de sécurité pertinents d'inspecter le trafic pour des contenus malveillants.

Utiliser des règles qui contournent le trafic TLS

Utilisez l'action Bypass pour définir le trafic qui contourne les règles d'inspection TLS. Le trafic contourné n'est pas déchiffré pour inspection par les moteurs de sécurité Cato. N'oubliez pas qu'une règle de contournement exclut uniquement une connexion qui ne correspond pas à une règle d'inspection plus élevée dans la base de règles.

Vous pouvez changer la priorité d'une règle de contournement afin qu'elle ait une priorité plus élevée qu'une règle d'inspection.

Configuration de la politique d'inspection TLS

Utilisez la fenêtre Politique d'inspection TLS pour configurer la politique d'inspection TLS pour tout le trafic de votre compte. Vous pouvez choisir d'utiliser la politique par défaut qui inspecte tout le trafic, ou ajouter des règles d'inspection et de contournement pour créer une politique personnalisée.

Travailler avec plusieurs éléments

Lorsqu'il y a plusieurs éléments dans un champ Source ou What, tels que deux groupes ou catégories, il y a une relation OU entre ces éléments.

multi-tlsrules.png

Installation du certificat racine Cato sur les appareils des utilisateurs finaux

Le certificat racine Cato doit être installé en tant que certificat de confiance sur chaque appareil et ordinateur qui se connecte au Cato Cloud. Pour plus d'informations sur l'installation du certificat Cato, voir Installation du certificat racine pour l'inspection TLS.

  • Le certificat Cato ne peut pas être installé sur la plupart des systèmes d'exploitation intégrés (OS), par conséquent, de nombreux appareils utilisant un OS intégré perdent la connectivité lorsque l'inspection TLS est activée. Pour plus d'informations sur les OS pris en charge par Cato pour l'inspection TLS, voir Meilleures pratiques pour l'inspection TLS.

Blocage du trafic QUIC et GQUIC pour l'inspection TLS

QUIC et GQUIC sont des protocoles de transport développés par Google qui n'opèrent pas sur des connexions TCP, et le trafic utilisant ces protocoles ne peut pas être inspecté par le service d'inspection TLS. Par conséquent, nous recommandons que les comptes qui activent l'inspection TLS bloquent le trafic QUIC et GQUIC en utilisant des règles de pare-feu Internet. Les règles qui bloquent ce trafic forcent le flux à ne se connecter qu'en utilisant des protocoles pouvant être inspectés par le service d'inspection TLS. Si vous autorisez le trafic utilisant les protocoles QUIC et GQUIC, les flux ne peuvent pas être inspectés et sont inutilement bloqués.

La première fois que vous activez la politique d'inspection TLS, des règles pour bloquer le trafic QUIC et GQUIC sont automatiquement ajoutées à la politique de pare-feu Internet. Si la politique de pare-feu Internet bloque déjà le trafic QUIC pour qu'il puisse être inspecté correctement, alors aucune nouvelle règle n'est ajoutée.

Pour plus d'informations sur le trafic QUIC et GQUIC, voir Internet et politiques de firewall WAN - Meilleures pratiques.

Utiliser la politique d'inspection TLS par défaut

La politique d'inspection TLS de Cato par défaut inspecte tout le trafic (sauf pour les applications qui sont automatiquement contournées). Vous pouvez utiliser la politique par défaut en activant l'inspection TLS et il n'est pas nécessaire d'ajouter de règles à la politique.

Il y a une règle implicite finale qui correspond à tout le trafic avec l'action Inspect.

Pour utiliser la politique d'inspection TLS par défaut de Cato :

  1. Dans le menu de navigation, cliquez sur Sécurité > Inspection TLS.

  2. Cliquez sur le curseur Activer l'inspection TLS.

  3. Cliquez sur Sauvegarder. L'inspection TLS est activée en utilisant la politique par défaut.

Ajouter des règles pour personnaliser la politique d'inspection TLS

Vous pouvez personnaliser la politique d'inspection TLS pour n'inspecter que les types de trafic spécifiques selon les besoins de votre organisation. Ajoutez des règles à la politique avec les actions Inspect et Bypass pour définir quel trafic est déchiffré et inspecté.

  • Créez des règles avec l'action Inspect pour définir le trafic que le Cato Cloud inspecte pour des contenus suspects et malveillants.

  • Créez des règles avec l'action Bypass pour exclure le trafic spécifique des moteurs d'inspection TLS de Cato. Par exemple, vous pouvez ajouter une règle de contournement pour l'application RingCentral afin d'exclure le trafic RingCentral de l'inspection TLS.

Lors de la création de règles, utilisez Source et What pour définir la portée du trafic TLS et Action pour configurer si la règle inspecte ou contourne le trafic. Assurez-vous que la règle de contournement a une priorité plus élevée (plus proche du haut de la base de règles) qu'une règle d'inspection qui correspond au même trafic. Le trafic qui correspond à une règle de contournement d'inspection TLS est également exclu des analyses de sécurité par les moteurs Anti-Malware.

Lorsque vous configurez une règle avec l'action Inspect, vous devez également définir le comportement pour la gestion des certificats de serveur non fiables.

TLSi_Untrusted_Cert_New.png

Voici les options pour ce paramètre :

  • Autoriser - Le trafic est autorisé vers le site avec un certificat non fiable, et inspecté (c'est le paramètre par défaut).

  • Demande - Les utilisateurs reçoivent une demande leur demandant de confirmer qu'ils souhaitent continuer et aller sur le site avec un certificat non fiable. Si l'utilisateur continue vers le site, le trafic est inspecté

  • Bloquer - Le trafic vers le site avec un certificat non fiable est bloqué

Remarque

Note : Pour les applications qui utilisent l'épinglage des certificats pour empêcher l'inspection TLS, ajoutez-les à une règle de contournement pour qu'elles fonctionnent correctement pour les utilisateurs finaux.

Pour ajouter des règles à la politique d'inspection TLS :

  1. Dans le menu de navigation, cliquez sur Sécurité > Inspection TLS.

  2. Cliquez sur Nouveau.

  3. Entrez un Nom pour la règle.

  4. Utilisez le bascule Activé pour activer ou désactiver la règle.

    Le basculeur est vert toggle.png lorsqu'il est activé.

  5. Configurez l'Ordre des règles pour cette règle.

  6. Développez Source et sélectionnez le type de source.

    • Sélectionnez le type (par exemple : Hôte, Interface réseau, IP, Tout). La valeur par défaut est Tout.

    • Si nécessaire, sélectionnez un objet spécifique dans la liste déroulante pour ce type.

  7. Dans la section Appareil, configurez les Plateformes, Pays, Profils de posture d'appareil et Origine de connexion requis pour correspondre à cette règle.

    Pour plus d'informations sur les conditions de l'appareil, voir Ajout de conditions de l'appareil pour l'inspection TLS.

  8. Définissez What à quoi la règle s'applique. Par exemple, un service, une application, une catégorie personnalisée ou prédéfinie.

  9. Configurez l'Action en sélectionnant Inspect ou Bypass.

    • Si vous sélectionnez Inspect, dans le menu déroulant Certificats de serveur non fiables, sélectionnez l'action pour le trafic avec des certificats problématiques : Autoriser, Bloquer ou Demande. La valeur par défaut est Autoriser.

  10. Cliquez sur Appliquer.

  11. Cliquez sur Sauvegarder. La règle d'inspection TLS est enregistrée dans la base de règles.

Gestion de la politique d'inspection TLS

Cette section explique comment gérer les règles dans la politique d'inspection TLS, y compris : changer la priorité de la règle, activer et supprimer des règles.

Modification de la priorité des règles

Changez la priorité d'une règle pour déterminer quand l'action de la règle est appliquée à une connexion correspondante. Les règles sont appliquées séquentiellement à chaque connexion, une fois qu'une connexion correspond à une règle, les règles de priorité inférieure ne lui sont pas appliquées.

Pour modifier la priorité d'une règle :

  1. Survolez la colonne # de la règle spécifique. Cliquer sur move.png et faire glisser la règle vers le haut pour augmenter ou vers le bas pour diminuer la priorité de la règle.

  2. Cliquez sur Enregistrer.

Activer et désactiver les règles d'inspection TLS

Utilisez le curseur pour activer ou désactiver des règles individuelles dans la politique d'inspection TLS.

Pour activer ou désactiver une règle :

  1. À la fin de la règle, cliquer sur More_icon.png. Le menu déroulant de la règle apparaît.

  2. Cliquez sur Activer ou Désactiver.

  3. Cliquez sur Enregistrer.

Suppression des règles

Vous pouvez supprimer une ou plusieurs règles de la base de règles d'inspection TLS. Après avoir supprimé les règles, vous ne pouvez pas les annuler ou les restaurer.

Pour supprimer des règles de la base de règles :

  1. Cliquer sur More_icon.png à la fin de la règle. Le menu déroulant de la règle s'ouvre.

  2. Cliquez sur Supprimer la règle.

  3. Dans la fenêtre de confirmation, cliquez sur Supprimer. La règle est supprimée.

  4. Cliquez sur Enregistrer. La règle est supprimée.

Règles de contournement par défaut

Cato gère des règles d'inspection TLS par défaut qui contournent des applications, systèmes d'exploitation et clients spécifiques qui peuvent causer des problèmes. Ces règles sont positionnées en haut de la base de règles et ne peuvent pas être modifiées. Pour vous aider à planifier et à prendre des décisions pour la politique d'inspection TLS, vous pouvez voir les paramètres de ces règles dans la section Règles de contournement par défaut.

TLSi_Default_Bypass_Rules.png

Ressources associées

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 6 sur 8

0 commentaire