Regras de inspeção SSL / TLS

por SN Informáticaem XG Firewallon Postado em

Com as regras de inspeção SSL/TLS, é possível interceptar e descriptografar conexões SSL e TLS por TCP, permitindo que o XG Firewall imponha conexões seguras entre clientes e servidores da web.

A inspeção SSL/TLS permite a prevenção de malware transmitidos através de conexões criptografadas.

Você pode impor conexões e decriptografia orientadas a políticas para o tráfego SSL/TLS de entrada e saída com base no nível de tráfego e risco.

As regras de inspeção SSL TLS não afetam a descriptografia do tráfego tratado pelo proxy da web. Você especifica o método de filtragem da Web (proxy da Web ou mecanismo de DPI) nas regras de firewall. Por padrão, o XG Firewall usa o mecanismo de DPI, aplicando regras de inspeção SSL / TLS ao tráfego que corresponde aos critérios de regra do firewall.

As regras de inspeção SSL/TLS são ativadas por padrão para novas instalações. Para implantações migrando do SFOS v17.5 e versões anteriores, elas são desativadas por padrão. Você pode ativá-los ou desativá-los manualmente.

CUIDADO: Quando as regras de inspeção SSL/TLS estão desativadas, o XG Firewall não as aplica às conexões. O Control Center e o visualizador de logs não mostrarão os detalhes da conexão e decriptografia SSL/TLS.

Atenção: Sabe-se que os dispositivos Android geram erros de certificado SSL/TLS, causando falha na descriptografia. Recomendamos a criação de uma lista de exclusão SSL/TLS para todos os dispositivos Android.

Ações da tabela de regras

  • Você pode filtrar as regras pela origem, destino e ID da regra.
  • Para redefinir o filtro de regras, selecione Reset Filter.

Clique em Mais opções … para especificar as seguintes ações:

  • Para editar ou excluir uma regra, selecione a ação.
  • Para clonar ou adicionar uma regra ao lado de uma regra existente, selecione a ação.
  • Para ativar ou desativar uma regra, selecione a opção.

Para alterar a posição de uma regra, arraste e solte a alça de regra (Botão de manipulação de regras). O XG Firewall avalia regras de cima para baixo até encontrar uma correspondência. Depois de encontrar uma correspondência para o pacote, ele não avalia as regras subseqüentes. Posicione as regras específicas acima das regras menos específicas.

Regras de inspeção SSL/TLS

A inspeção SSL/TLS detecta o tráfego SSL/TLS em qualquer porta TCP. As regras de inspeção se aplicam às conexões SSL/TLS detectadas. Você pode especificar regras para descriptografar o tráfego com base na origem, destino, usuários e grupos, serviços, sites e categorias da web. Para entrar em vigor, a regra deve encontrar uma correspondência em todos os critérios.

Você precisa selecionar um perfil de descriptografia para cada regra para especificar a ação para o tráfego com problemas, como versões de protocolo não seguras, compactação SSL, conjuntos de cifras não reconhecidos, algoritmos de cifra a serem bloqueados, erros de certificado ou conexões que excedam os recursos de descriptografia do firewall. Após descriptografar e inspecionar o tráfego, o XG Firewall criptografa novamente o tráfego com a autoridade de certificação de nova assinatura especificada.

Você pode usar as regras de inspeção SSL/TLS nestes casos:

  • Implemente descriptografia orientada a políticas e atenda aos requisitos de conformidade
  • Impedir a transmissão de malware através do tráfego criptografado.
  • Aplique políticas de conteúdo da web ao tráfego criptografado para impedir uploads e downloads indesejados sem obstruir a navegação geral.

Exclusões para regras de inspeção SSL/TLS

O XG Firewall fornece uma regra de exclusão padrão Exclusions by website ou category que impede que as conexões com determinados sites sejam descriptografadas. A regra tem ação definida como Don´t descripty e o perfil de descriptografia definido como Maximum Compatibility.

A regra está permanentemente posicionada na parte superior da tabela de regras de inspeção SSL/TLS. As regras de inspeção SSL/TLS são avaliadas de cima para baixo na tabela de regras.

A regra de exclusão contém as seguintes listas de exclusão padrão:

  • Local TLS exclusion List: a lista está vazia por padrão. Você pode adicionar sites a esta lista solucionando problemas no Control Center ou no Log Viewer. Para editar esta lista, vá para Web > URL Groups.
  • Managed TLS exclusion List: a lista contém sites que se sabe serem incompatíveis com a inspeção SSL/TLS e é atualizada através de atualizações de firmware.

Dica: Para adicionar sites à regra de exclusão ou removê-los, edite a regra e adicione ou remova as categorias da web ou grupos de URL. Como alternativa, acesse Web > URL Group e edite a Local TLS excluion List do grupo.

Você pode excluir categorias da web, grupos de URL, usuários, endereços IP e redes de origem e destino criando suas próprias regras de exclusão e colocando-as imediatamente abaixo da regra padrão. Adicione apenas conexões que você não deseja que sejam descriptografadas por outras regras de inspeção SSL/TLS a uma regra de exclusão.

As regras de inspeção SSL/TLS são aplicadas independentemente das regras do firewall. As regras de inspeção continuam a aplicar as exclusões especificadas, mesmo se você não selecionar uma política da Web nas regras de firewall.

Você pode usar as exceções da web e as regras de exclusão SSL/TLS para impedir que as conexões sejam descriptografadas. Para obter detalhes de como eles diferem na imposição de exceções relacionadas à descriptografia HTTPS, consulte a tabela abaixo:

Lista de exclusão SSL / TLSExceção da Web
Processos que você pode excluir– Descriptografia HTTPS – Aplicação de protocolo e certificado HTTPS– Descriptografia HTTPS – Validação de certificado HTTPS – Análise de malware e conteúdo – Sandstorm – Verificações de política da Web
Aplica-se neste modoModo DPI– Modo DPI – Modo proxy
Aplica-se a esse tráfegoConexões SSL/TLS em qualquer porta– Modo DPI: conexões SSL/TLS em qualquer porta – Modo proxy: conexões SSL/TLS na porta 443
Critérios de correspondência– Grupo de URLs que contém uma lista de sites (nomes de domínio) em texto sem formatação. Inclui os subdomínios desses domínios.URL Pattern correspondente usando expressões regulares
– Categorias da Web – Zonas de origem e destino, redes e endereços IP – Serviços – Usuários e grupos– Categorias da Web – Endereços IP de origem e destino e intervalos de IP
Onde adicionar a exceção– Adicione domínios e subdomínios à Local TLS exclusão list, solucionando problemas no Control Center ou no Log Viewer. – Vá para Web > URL Groups e adicione sites a um grupo de URLs usado por uma regra de exclusão. – Crie ou edite SSL/TLS inspection rules.– Adicionar à Web > Exceptions.

Configurações de inspeção SSL / TLS

Essas configurações se aplicam a todas as regras de inspeção SSL/TLS. Você pode especificar as autoridades de certificação de nova assinatura, a ação para o tráfego que não descriptografamos e a configuração de downgrade do TLS. As configurações de inspeção também permitem desativar a inspeção SSL/TLS para solucionar erros.

CUIDADO: Recomendamos que você o ligue novamente após a solução de problemas.

O perfil de descriptografia adicionado a uma regra de inspeção substitui as configurações de inspeção.

Regras de firewall e proxy da web

O XG Firewall aplica primeiro as regras do firewall e depois as regras de inspeção SSL/TLS. Aplica as regras de inspeção no modo transparente, com base na seleção de proxy da web que você faz na regra do firewall.

Transparente Mode: na regra do firewall, se você selecionou descriptografia e varredura por proxy da web, o tráfego nas portas 80 e 443 é descriptografado pelo proxy da web. As regras de inspeção SSL/TLS serão implementadas apenas para o tráfego da Web em outras portas.

Explicit Mode: a descriptografia e a verificação são realizadas pelo proxy da web.

Nota: O proxy da web usa o certificado especificado em Web > General Settings.

A inspeção SSL/TLS usa os certificados especificados em SSL/TLS inspection settings e nos Decryption profiles.

Solução de problemas

Para verificar se as conexões SSL/TLS excederam o limite de descriptografia, acesse o Control Center e selecione o widget de SSL/TLS connections.

Para solucionar problemas de erros de SSL / TLS, vá para o Control Center, selecione o widget de SSL / TLS conncetions e selecione Fix Errors no canto superior direito.

Se você não vir os detalhes de conexão e descriptografia no Contro Center ou no Log Viewer, verifique se o seguinte está ativado:

  • SSL/TLS inspection rules: Vá para Rules and policies > SSL/TLS inspection rules e ative a opção de SSL/TLS inspection.
  • SSL/TLS Engine: Vá para Rules and policies > SSL/TLS inspection rules > SSL/TLS inspection settings. Em Advanced settings > SSL/TLS engine, selecione Enabled.

Regras de inspeção SSL/TLS e o mecanismo SSL/TLS

SSL/TLS inspection: você pode ativar ou desativar as regras de inspeção SSL/TLS. Para implantações migrando do SFOS v17.5, as regras de inspeção são desativadas por padrão para evitar possíveis alterações comportamentais durante a atualização.

Você deve ativar a inspeção SSL/TLS para ativar a nova funcionalidade de descriptografia XStream SSL/TLS, incluindo a exibição de estatísticas de conexão SSL/TLS no Control Center.

Quando a SSL/TLS inspection está definida como On, o XG Firewall funciona da seguinte maneira:

  • Inspeciona todo o tráfego e identifica conexões SSL/TLS.
  • Aplica regras de descriptografia SSL/TLS e registra conexões conforme exigido pelas regras.
  • Atualiza as estatísticas de conexão SSL/TLS e as mostra no Control Center.

Quando a SSL/TLS inspection está definida como Off, o XG Firewall funciona da seguinte maneira:

  • Não avalia ou aplica regras de descriptografia SSL/TLS.
  • O mecanismo de DPI não descriptografa as conexões SSL/TLS. O XG Firewall ainda descriptografa as conexões manipuladas pelo proxy da Web com base nas configurações de regra do firewall.
  • Não coleta nenhuma estatística SSL/TLS. Não atualizará mais as estatísticas mostradas no Control Center.
  • Para tráfego que corresponde a regras de firewall que possuem uma política da web especificada e não estão configuradas para usar o proxy da web, o mecanismo de DPI ainda usa a inspeção SSL/TLS para impor a política nas conexões HTTPS não descriptografadas.

SSL/TLS Engine: você pode ativar ou desativar o mecanismo SSL/TLS nas SSL/TLS inspection settings. Quando você desativa o mecanismo, o XG Firewall não usa o mecanismo de inspeção SSL/TLS. Use esta opção apenas para fins de solução de problemas com base nos conselhos do Suporte Sophos. Quando o mecanismo está desativado, o XG Firewall faz o seguinte:

  • Não avaliará nem aplicará regras de descriptografia SSL/TLS.
  • Descriptografa apenas o tráfego tratado pelo proxy da Web, conforme especificado nas regras de firewall.
  • Não coletará nenhuma estatística de conexão SSL/TLS. Não atualizará mais as estatísticas mostradas no Control Center.
  • O mecanismo de DPI não aplicará políticas da web a nenhum tráfego HTTPS. Isso se aplica ao tráfego que corresponde às regras de firewall que possuem uma política da web especificada e não especificam a filtragem de proxy da web.

Do Original em: https://docs.sophos.com/nsg/sophos-firewall/18.0/releasenotes/en-us/nsg/sfos/releasenotes/rn_SSLTLSInspectionRules.html

 
Gostou? Compartilhe:

Deixe um comentário