Les niveaux de chiffrement du trafic réseau continuent d’augmenter régulièrement. L’année dernière, le pourcentage de pages chargées via HTTPS, tel que rapporté par Google, est passé de 82% à 87% sur la plateforme Windows. Ce pourcentage est encore plus élevé sur les Mac avec 93%. À ce rythme, nous ne sommes pas loin d’un Internet 100% chiffré TLS.
Dans ce deuxième article de notre série sur la manière de profiter au maximum des nouvelles fonctionnalités de XG Firewall v18, nous allons nous concentrer spécifiquement sur les ressources à votre disposition afin d’exploiter au maximum la nouvelle solution d’inspection Xstream TLS 1.3 présente dans XG Firewall v18.
Inspection Xstream TLS
Dans notre dernier article, nous avons abordé l’architecture Xstream et le nouveau moteur Xstream DPI dans XG Firewall v18. La nouvelle solution d’inspection TLS est un composant clé de cette nouvelle architecture et assure le déchiffrement du trafic chiffré TLS/SSL avec une prise en charge native de la dernière norme TLS 1.3.
La plupart des flux de trafic transitant par le pare-feu étant désormais chiffrés, l’inspection TLS est absolument essentielle pour traiter cet énorme angle mort afin de permettre au pare-feu de faire son travail et d’inspecter le contenu entrant sur le réseau. Comme nous le verrons dans le prochain article de notre série, le moteur DPI peut être extrêmement efficace pour identifier de nouvelles variantes zero-day de ransomwares et d’autres menaces, mais seulement s’il est capable d’inspecter le trafic non chiffré.
Comment cette fonctionnalité fonctionne ?
Les flux de trafic chiffrés destinés à être examinés par le nouveau moteur DPI sont transmis au moteur d’inspection TLS pour déchiffrement avant d’être inspectés. Après inspection, le flux est rechiffré et envoyé vers sa destination finale. Si vous souhaitez en savoir plus sur le fonctionnement du chiffrement et de l’inspection TLS, et pourquoi ils sont si importants, je vous suggère de passer en revue ces deux excellentes ressources sur le sujet :
Le nouveau moteur d’inspection Xstream TLS de XG Firewall v18 offre un certain nombre d’avantages majeurs qui en font la solution idéale pour l’Internet chiffré moderne d’aujourd’hui :
- Des hautes performances avec une capacité de connexion élevée.
- Une visibilité inégalée sur les flux de trafic chiffrés et les erreurs de surface.
- Des outils simples pour traiter les erreurs et gérer les exceptions en quelques clics seulement.
- Une prise en charge TLS 1.3 sans rétrogradation.
- Une prise en charge de toutes les suites modernes de chiffrement avec une validation robuste du certificat.
- Une inspection de tout le trafic, indépendamment de l’application et du port utilisés.
- Des outils de politique puissants et flexibles, permettant ainsi un équilibre parfait entre performances, confidentialité et protection.
Premiers pas avec l’inspection TLS
Comme nous l’avons mentionné dans notre dernier article, bénéficier du nouveau moteur d’inspection TLS dans XG Firewall v18 est très simple. Il faut tout simplement cocher une case dans votre pare-feu pour l’activer, puis créer une règle dans le nouvel onglet ‘SSL/TLS Inspection Rules’ comme indiqué ci-dessous :
Pour découvrir en cinq minutes seulement comment créer vos propres règles d’inspection SSL/TLS, visionnez cette courte vidéo explicative :
Pour obtenir une explication détaillée et bénéficier d’un guidage pas à pas pour créer des règles d’inspection SSL/TLS et des profils de déchiffrement, parcourez la documentation en ligne listée ci-dessous :
- Règles d’inspection SSL/TLS.
- Profils de déchiffrement.
- Paramètres d’inspection SSL/TLS.
- Déploiement du certificat CA SSL.
Nous vous recommandons de commencer progressivement avec le chiffrement TLS, tout d’abord en vous limitant à un sous-ensemble de votre réseau ou bien à quelques systèmes de test. Une telle approche vous permettra de développer votre expertise avec cette nouvelle solution d’inspection TLS et d’explorer les nouvelles options de règles, de journalisation, de création de rapports et de gestion des erreurs.
Toutes les applications et tous les serveurs ne prennent pas intégralement et correctement en charge l’inspection TLS, n’hésitez donc pas à surveiller le Centre de Contrôle (Control Center) à la recherche d’éventuelles erreurs et profitez des outils pratiques intégrés pour exclure les sites ou services problématiques. Votre XG Firewall est livré avec deux règles d’inspection TLS intégrées et prêtes à l’emploi qui faciliteront les exclusions. Par défaut, elles excluent les domaines de confiance connus pour être incompatibles avec le déchiffrement TLS tels que iCloud, certains domaines Microsoft et d’autres encore. Vous pouvez facilement personnaliser ces règles directement via le widget du Centre de Contrôle (Control Center) à mesure que des problèmes apparaîtront, ou en mettant à jour ces règles d’exclusion directement.
Le nouveau widget du Centre de Contrôle (Control Center) fournit un aperçu synthétique des informations sur vos flux de trafic chiffrés et sur les problèmes éventuels.
Explorez en détail la cause des problèmes et traitez-les en quelques clics seulement.
Une fois que vous serez à l’aise avec le moteur DPI et l’inspection TLS, nous vous recommandons de le mettre en œuvre plus largement au niveau de votre réseau. Lorsque vous êtes prêt pour une inspection TLS plus large et que vous souhaitez étendre le certificat CA à plus de systèmes, nous vous recommandons d’utiliser l’assistant intégré aux outils d’administration des stratégies de groupe de Microsoft Active Directory pour rendre cette tâche rapide et simple.
Au fur et à mesure que vous déplorez plus largement l’inspection TLS, surveillez attentivement les mesures de performances de votre système de pare-feu pour vous assurer que votre matériel ne s’avère pas être en réalité un goulot d’étranglement. Alors que l’architecture Xstream de XG Firewall v18 offre d’énormes gains en termes de performances pour l’inspection TLS, passer de 0% de trafic chiffré inspecté à 80-90% de trafic TLS peut avoir un impact sur vos performances en fonction de la charge actuelle de votre pare-feu.
Si vous souhaitez donner à votre pare-feu une marge de manœuvre supplémentaire, envisagez une mise à jour matérielle en passant à un modèle plus récent de plus grande capacité. Vous ne voulez certainement pas risquer de NE PAS inspecter le trafic TLS étant donné la vitesse à laquelle les hackers et les cybercriminelles utilisent cet énorme angle mort à leur avantage.
Voici un résumé des ressources disponibles pour vous aider à profiter au maximum des nouvelles fonctionnalités de XG Firewall v18, y compris l’inspection Xstream TLS :
- Guide de démarrage de XG Firewall.
- Documentation XG Firewall complète en ligne.
- Vidéos explicatives sur les nouveautés de la v18.
- Différences détaillées entre le proxy hérité et la protection Xstream DPI.
- Une liste complète d’articles de la communauté à lire concernant la v18.
Billet inspiré de Making the most of XG Firewall v18 – Part 2, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.