Rubriques Connexes
HTTPS-Proxy : inspection du contenu
Une action de proxy HTTPS vous permet d'activer l'inspection de contenu et de configurer les règles de nom de domaine. Lorsque l'inspection de contenu est activée, le Firebox peut déchiffrer le trafic HTTPS, examiner son contenu puis chiffrer à nouveau le trafic avec un nouveau certificat. Le proxy HTTP inspecte le contenu des requêtes correspondant aux règles de nom de domaine configurées avec l'action Inspecter et pour les catégories WebBlocker que vous avez choisi d'inspecter.
Les paramètres d'inspection de contenu disponibles diffèrent si l'action de proxy HTTPS porte sur les requêtes HTTPS entrantes ou sortantes.
Action de proxy client HTTPS
Une action de proxy client HTTPS spécifie les paramètres d'inspection des requêtes HTTPS sortantes. Lorsque vous sélectionnez l'action Inspecter dans une action de proxy client HTTPS, vous sélectionnez l'action de proxy HTTP que le proxy HTTPS utilise pour examiner le contenu.
Action de proxy serveur HTTPS
Une action de proxy serveur HTTPS spécifie les paramètres d'inspection et de routage des requêtes HTTPS entrantes d'un serveur Web interne. Lorsque vous sélectionnez l'action Inspecter pour une règle de nom de domaine d'une action de proxy client HTTPS, vous sélectionnez l'action de proxy HTTP ou l'action de contenu HTTP que le proxy HTTPS utilise pour examiner le contenu.
Pour obtenir un exemple de configuration de l'inspection de contenu avec une action de contenu HTTP, consultez Exemple : Action de Proxy HTTPS avec une Action de Contenu HTTP.
Activer l'Inspection de Contenu
Pour activer l'inspection de contenu :
- Dans l'action Proxy HTTPS, sélectionnez Inspection de Contenu.
La section Résumé de l'Inspection de Contenu indique les paramètres de configuration actuels de l'Inspection de Contenu. - Dans la section Résumé de l'Inspection de Contenu, cliquez sur Modifier.
La boîte de dialogue Paramètres de l'Inspection de Contenu s'affiche.
- Configurez les paramètres décrits à la section suivante.
- Ajoutez les règles de nom de domaine comprenant l'action Inspecter. Pour plus d'informations, voir Proxy HTTPS : Règles de Nom de Domaine.
- Enregistrez la configuration sur le Firebox.
Paramètres de l'Inspection de Contenu
La boîte de dialogue Paramètres d'Inspection de Contenu vous permet de configurer les paramètres suivants :
Autoriser uniquement le trafic conforme à SSL
Cette option configure la stratégie de proxy HTTPS de manière à autoriser uniquement le trafic conforme aux protocoles SSL V3, TLS 1.0, TLS 1.1 et TLS 1.2.
Le terme « trafic conforme au SSL » renvoie aux messages du protocole SSL conformes aux normes SSL/TLS, considérés sûrs et pouvant être interprétés par le proxy HTTPS. Cette option est automatiquement activée lorsque vous activez l'inspection de contenu. Si l'inspection de contenu n'est pas activée, vous pouvez autoriser le trafic du protocole SSL non conforme (utilisé par certains logiciels VPN et d'autres applications) de manière à autoriser le proxy HTTPS à envoyer le trafic sur le port 443 via le Firebox.
Lorsque l'inspection de contenu est activée et que le trafic SSL conforme établit un tunnel sécurisé via le proxy HTTPS, si le trafic transitant par le tunnel n'utilise pas un protocole HTTP valide, l'action de proxy HTTP utilisée pour l'inspection demande au Firebox d'envoyer un message de journal concernant les erreurs et d'abandonner le trafic.
Activer l'Inspection de Contenu
Lorsque vous cochez la case Activer l'Inspection de Contenu, le Firebox déchiffre le trafic HTTPS, examine son contenu puis le chiffre à nouveau avec un nouveau certificat. Après avoir activé l'inspection de contenu, configurez les règles de nom de domaine et les catégories WebBlocker devant être inspectées par le proxy. Le proxy HTTPS utilise l'action de proxy HTTP que vous sélectionnez pour chaque action Inspecter de manière à examiner le contenu.
Pour spécifier les domaines et les catégories WebBlocker que cette action de proxy HTTPS doit inspecter :
- Dans la liste des Noms de Domaine de l'action de proxy HTTPS, ajoutez un domaine avec l'action Inspecter.
Pour plus d'informations, voir Proxy HTTPS : Règles de Nom de Domaine. - Dans les paramètres WebBlocker d'une action de proxy client HTTPS, modifiez l'action WebBlocker. Dans la liste des catégories WebBlocker, sélectionnez les catégories de contenu WebBlocker à inspecter ou cochez la case Inspecter lorsqu'une URL n'est pas catégorisée.
Pour plus d'informations, voir Proxy HTTPS : WebBlocker.
Par défaut, le certificat d'autorité de certification Autorité Proxy utilisé par le proxy HTTPS pour chiffrer le trafic est généré automatiquement par votre Firebox. Lorsque vous utilisez ce certificat, vos utilisateurs reçoivent un avertissement dans leurs navigateurs étant donné qu'il s'agit d'un certificat autosigné non approuvé. Vous pouvez importer ce certificat sur chaque périphérique client pour éviter ces avertissements.
Vous pouvez également charger votre propre certificat à utiliser dans le même objectif. Si vous choisissez de charger votre propre certificat, nous vous recommandons d'utiliser votre propre Autorité de certification interne afin de signer le certificat. Si vos utilisateurs sont sur votre domaine et que vous utilisez un certificat signé par votre propre Autorité de certification interne, les utilisateurs peuvent se connecter avec succès sans aucun avertissements de la part du navigateur.
Un client peut télécharger et installer le certificat de l'Autorité Proxy sur le Portail de Certificats du Firebox à l'adresse http://<adresse IP du Firebox>:4126/certportal. Pour plus d'informations, voir Portail de Certificats.
Lorsque vous activez l'inspection de contenu, les mises à jour automatiques du Certificat d'Autorité de Certification approuvé sur le Firebox sont activées si elles ne l'étaient pas déjà.
Pour plus d'informations sur l'utilisation des certificats avec l'inspection du contenu, voir Utiliser les Certificats avec l'Inspection du Contenu du Proxy HTTPS.
Pour plus d'informations sur la façon d'exporter un certificat depuis un Firebox, voir Exporter un Certificat à Partir de Votre Firebox.
Pour plus d'informations sur la façon d'importer un certificat sur un périphérique client, voir Importer un certificat sur un client périphérique.
Si le site Web d'origine ou votre serveur Web dispose d'un certificat auto-signé ou non valide, ou si le certificat a été signé par une Autorité de Certification non reconnue par le Firebox (telle qu'une Autorité de Certification publique tierce), les clients voient s'afficher dans leur navigateur un avertissement concernant le certificat. Les certificats ne pouvant pas être correctement signés à nouveau semblent avoir été émis par Proxy HTTPS Fireware : Certificat Non Reconnu ou Certificat Invalide.
Certains programmes tiers conservent des copies privées des certificats nécessaires et n'utilisent pas le magasin de certificats du système d'exploitation, ou transmettent d'autres types de données via le port TCP 443. Ces programmes comportent :
- Logiciels de communication (tel que Google Voice)
- Logiciels de bureau à distance et de présentation tels que LiveMeeting et WebEx
- Logiciels financiers et professionnels tels qu'iVantage, FedEx et UPS
Si ces programmes ne disposent pas d'une méthode permettant d'importer des certificats d'Autorité de Certification approuvés, ils ne fonctionnent pas correctement lorsque l'Inspection de Contenu est activée. Pour de plus amples informations concernant l'utilisation des certificats ou obtenir une assistance technique, contactez le fournisseur de votre logiciel ou ajoutez des règles de domaine comprenant l'action Autoriser pour les adresses IP des ordinateurs sur lesquels ces logiciels sont installés afin de contourner l'inspection de contenu.
Autoriser SSLv3
TLSv1 et SSLv3 sont des protocoles utilisés pour les connexions HTTPS. SSLv3 offre une sécurité inférieure à TLSv1. Par défaut, le proxy HTTPS autorise uniquement les connexions capables de négocier le protocole TLSv1. Si vos utilisateurs se connectent aux applications serveur ou client prenant uniquement en charge le protocole SSLv3, vous pouvez configurer le proxy HTTPS de manière à utiliser le protocole SSLv3 pour les connexions à ces sites Web.
Pour activer SSLv3, cochez la case Autoriser SSLv3. Cette option est désactivée par défaut.
Utiliser OCSP pour valider les certificats
Cette option s'applique uniquement aux action de proxy client HTTPS. Les action de proxy serveur HTTPS ne valident pas les certificats.
Cochez cette case de manière à ce que le Firebox vérifie automatiquement les révocations de certificats à l'aide du protocole OSCP (protocole de vérification en ligne de l'état du certificat). Lorsque cette fonctionnalité est activée, votre Firebox utilise les informations du certificat pour contacter un serveur OCSP qui conserve une trace de l'état du certificat. Si le serveur OCSP répond que le certificat a été révoqué, votre Firebox désactive le certificat.
Si vous sélectionnez cette option, un délai de quelques secondes s'écoule parfois, le temps que le Firebox demande une réponse du serveur OCSP. Le Firebox conserve entre 300 et 3 000 réponses OCSP en mémoire cache afin d'améliorer les performances des sites Web fréquemment consultés. Le nombre de réponses stockées dans le cache est déterminé par le modèle de votre Firebox.
Cette option met en œuvre une stratégie OCSP souple. Si le serveur OCSP ne peut pas être contacté pour une raison ou une autre et n'envoie pas de réponse, le Firebox ne désactive pas le certificat et n'interrompt pas la chaîne de certificat.
Si un certificat ne peut être validé, il est considéré comme non valide
Lorsque cette option est activée, le Firebox applique une stratégie OCSP stricte. Si un répondant OCSP n'envoie pas de réponse à une demande d'état de révocation, le Firebox considère que le certificat d'origine est révoqué ou non valide. Cette option peut entrainer un certificat à être considéré comme invalide s'il existe une erreur de routage ou un problème avec votre connexion de réseau.
Chiffrements Perfect Forward Secrecy
Le proxy HTTPS prend en charge les chiffrements compatibles PFS pour les connexions TLS. Fireware prend en charge uniquement les chiffrements ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) pour PFS.
Afin de contrôler le mode d'utilisation des chiffrements compatibles PFS du Firebox, choisissez l'une des options suivantes :
- Aucun — Le Firebox n'annonce pas et ne sélectionne pas les chiffrements compatibles PFS.
- Autorisé — Le Firebox annonce et sélectionne les chiffrements compatibles et non compatibles PFS.
- Requis — Le Firebox annonce et sélectionne uniquement les chiffrements compatibles PFS.
Le paramètre que vous sélectionnez s'applique aux connexions TLS côté client et serveur. Lorsque Autorisé est sélectionné pour cette option, le client n'utilise pas de chiffrement PFS, à moins que le serveur ne l'utilise.
Les chiffrements Perfect Forward exigent des ressources significatives et peuvent nuire aux performances système des périphériques Firebox T10, T30, T50, XTM 25, XTM 26 et XTM 33.
Le nom du chiffrement utilisé pour les sessions TLS client/serveur figure dans les messages de journal de trafic d'inspection de contenu HTTPS générés par le Firebox. Pour de plus amples informations concernant les messages de journal, consultez Types de messages de journal.
Domaines Google Apps autorisés
Vous pouvez utiliser le proxy HTTPS (avec l'inspection du contenu activée) pour bloquer l'accès des utilisateurs aux services personnels de Google. Pour plus d'informations, voir Restreindre Google Apps aux domaines autorisés.