Configuration du proxy SSL
L’équipement SRX Series prend en charge le proxy de transfert SSL et le proxy inverse SSL.
Configuration du proxy de transfert SSL
- Présentation de la configuration du proxy SSL
- Configuration d’un certificat d’autorité de certification racine
- Générer un certificat d’autorité de certification racine avec cli
- Configuration d’un groupe de profils ca
- Importation d’un certificat d’autorité de certification racine dans un navigateur
- Application d’un profil de proxy SSL à une stratégie de sécurité
- Configuration de la journalisation proxy SSL
- Configuration des profils d’autorité de certification
- Exportation de certificats vers un emplacement spécifié
- Ignorer l’authentification du serveur
Présentation de la configuration du proxy SSL
La configuration du proxy de transfert SSL affiche une vue d’ensemble de la configuration du proxy SSL. La configuration du proxy SSL comprend :
-
Configuration du certificat d’autorité de certification racine
-
Chargement d’un groupe de profils CA
-
Configurer le profil de proxy SSL et associer le certificat d’autorité de certification racine et le groupe de profils d’AC
-
Créer une stratégie de sécurité en définissant des critères de correspondance du trafic d’entrée
-
Application d’un profil proxy SSL à une stratégie de sécurité
-
Étapes facultatives telles que la création de listes d’autorisation et la journalisation du proxy SSL
Configuration d’un certificat d’autorité de certification racine
Une autorité de certification peut émettre plusieurs certificats sous la forme d’une arborescence. Un certificat racine est le certificat le plus haut de l’arbre, dont la clé privée est utilisée pour sign les autres certificats. Tous les certificats immédiatement en dessous du certificat racine héritent de la signature ou de la fiabilité du certificat racine. C’est un peu comme une notarizing identité.
Vous pouvez configurer un certificat d’autorité de certification racine en obtenant d’abord un certificat d’autorité de certification racine (en générant un certificat auto-signé ou en l’important), puis en l’appliquant à un profil de proxy SSL. Vous pouvez obtenir un certificat d’autorité de certification racine à l’aide de l’interface cli Junos OS
Générer un certificat d’autorité de certification racine avec cli
Pour définir un certificat auto-signé en CLI, vous devez fournir les détails suivants :
Identifiant de certificat (généré à l’étape précédente)
Nom de domaine complet (FQDN) du certificat
adresse e-mail de l’entité propriétaire du certificat
Nom commun et organisation concernée
Générez un certificat d’autorité de certification racine à l’aide de l’interface CLI Junos OS :
Configuration d’un groupe de profils ca
Le profil de l’autorité de certification définit les informations de certificat à des fins d’authentification. Il inclut la clé publique que le proxy SSL utilise lors de la génération d’un nouveau certificat. Junos OS vous permet de créer un groupe de profils d’autorité de certification et de charger plusieurs certificats en une seule action, d’afficher des informations sur tous les certificats d’un groupe et de supprimer les groupes d’autorité de certification indésirables.
Vous pouvez charger un groupe de profils d’AC en obtenant une liste de certificats d’AUTORITÉ de certification de confiance, en définissant un groupe d’AC et en attachant le groupe de CA au profil de proxy SSL.
Vous pouvez facilement afficher des informations sur tous les certificats dans un groupe de profils ca :
user@host> show security pki ca-certificates ca-profile-group group-name
Vous pouvez supprimer un groupe de profils ca. N’oubliez pas que la suppression d’un groupe de profils ca supprime tous les certificats qui appartiennent à ce groupe :
user@host> clear security pki ca-certificates ca-profile-group group-name
Importation d’un certificat d’autorité de certification racine dans un navigateur
Pour que votre navigateur ou votre système fie automatiquement tous les certificats signés par l’autorité de certification racine configurée dans le profil de proxy SSL, vous devez demander à votre plate-forme ou navigateur de faire confiance au certificat racine de l’AUTORITÉ de certification.
Pour importer un certificat d’autorité de certification racine :
Application d’un profil de proxy SSL à une stratégie de sécurité
Le proxy SSL est activé en tant que service applicatif dans le cadre d’une stratégie de sécurité. Dans une stratégie de sécurité, vous spécifiez le trafic sur lequel vous souhaitez que le proxy SSL soit activé comme critère de correspondance, puis le profil d’autorité de certification du proxy SSL à appliquer au trafic. La figure 1 affiche une vue graphique du profil du proxy SSL et de la configuration des stratégies de sécurité.
Pour activer le proxy SSL dans une stratégie de sécurité :
Cet exemple part du principe que vous avez déjà créé des zones de sécurité fiables et non fiables, ainsi qu’une stratégie de sécurité pour le trafic de zone de confiance à zone non fiable.
Configuration de la journalisation proxy SSL
Lors de la configuration du proxy SSL, vous pouvez choisir de définir l’option de recevoir tout ou partie des journaux. Les journaux de proxy SSL contiennent le nom du système logique, les listes d’autorisation de proxy SSL, les informations de stratégie, les informations de proxy SSL et d’autres informations qui vous aident à dépanner en cas d’erreur.
Vous pouvez configurer la journalisation ou des all événements spécifiques, tels que les événements d’erreur, d’avertissement et d’information. Vous pouvez également configurer la journalisation des sessions autorisées, abandonnées, ignorées ou autorisées après une erreur.
[edit] user@host# set services ssl proxy profile profile-name actions log all user@host# set services ssl proxy profile profile-name actions log sessions-whitelisted user@host# set services ssl proxy profile profile-name actions log sessions-allowed user@host# set services ssl proxy profile profile-name actions log errors
Vous pouvez utiliser cette enable-flow-tracing option pour activer le traçage de débogage.
Configuration des profils d’autorité de certification
Une configuration de profil d’autorité de certification (CA) contient des informations spécifiques à une autorité de certification. Vous pouvez avoir plusieurs profils d’autorité de certification sur un équipement SRX Series. Par exemple, vous pouvez avoir un profil pour orgA et un pour orgB. Chaque profil est associé à un certificat de CA. Si vous souhaitez charger un nouveau certificat d’autorité de certification sans supprimer l’ancien, créez un nouveau profil d’autorité de certification (par exemple, Microsoft-2008). Vous pouvez regrouper plusieurs profils d’autorité de certification dans un groupe de CA de confiance pour une topologie donnée.
Dans cet exemple, vous créez un profil de CA appelé ca-profile-security avec l’identité ca microsoft-2008. Vous créez ensuite un profil proxy vers le profil de CA.
Exportation de certificats vers un emplacement spécifié
Lorsqu’un certificat auto-signé est généré à l’aide d’une commande PKI, le nouveau certificat est stocké dans un emplacement prédéfini (var/db/certs/common/local).
Utilisez la commande suivante pour exporter le certificat vers un emplacement spécifique (au sein de l’équipement). Vous pouvez spécifier l’ID de certificat, le nom de fichier et le type de format de fichier (DER/PEM) :
user@host> request security pki local-certificate export certificate-id certificate-id filename filename type der
Ignorer l’authentification du serveur
Junos OS vous permet de configurer une option pour ignorer complètement l’authentification du serveur. Si vous configurez votre système pour ignorer l’authentification, toutes les erreurs rencontrées lors de la vérification du certificat serveur au moment de la négociation SSL sont ignorées. Les erreurs souvent ignorées incluent l’incapacité de vérifier la signature de l’autorité de certification, les dates d’expiration incorrectes des certificats, etc. Si cette option n’est pas définie, toutes les sessions où le serveur envoie des certificats auto-signés sont abandonnées en cas d’erreurs.
Nous ne recommandons pas d’utiliser cette option pour l’authentification, car la configuration de celle-ci entraîne une absence d’authentification des sites Web. Toutefois, vous pouvez utiliser cette option pour identifier efficacement la cause racine de l’interruption des sessions SSL.
À partir du mode de configuration, spécifiez pour ignorer l’authentification du serveur :
[edit] user@host# set services ssl proxy profile profile-name actions ignore-server-auth-failure
Proxy inverse SSL
- Aperçu
- Configuration du proxy inverse SSL
- Vérification de la configuration du proxy inverse SSL sur l’équipement
Aperçu
L’implémentation du modèle proxy pour la protection des serveurs (souvent appelé proxy inverse) est prise en charge sur les équipements SRX Series pour améliorer la négociation et la prise en charge d’un plus grand nombre de versions de protocole. Vous pouvez activer les services de couche 7 (sécurité des applications, IPS, UTM, SKY ATP) sur le trafic déchiffré par le proxy inverse SSL.
À partir des versions 15.1X49-D80 et 17.3R1 de Junos OS, le proxy inverse SSL est pris en charge sur les équipements SRX5000 Series, SRX4100, SRX4200 et SRX1500.
À partir des versions 15.1X49-D80 et 17.3R1 de Junos OS, nous recommandons d’utiliser le proxy inverse SSL et la détection et la prévention des intrusions (IDP) au lieu d’utiliser la fonctionnalité d’inspection SSL IDP.
À partir de Junos OS 15.1X49-D80 et 17.3R1, l’inspection SSL IDP est obsolète (plutôt qu’immédiatement supprimée) pour fournir une rétrocompatibilité et une chance de mettre votre configuration en conformité avec la nouvelle configuration.
#id-overview__rp-compare1 fournit les modifications applicables aux équipements SRX Series après les versions 15.1X48-D80 et 17.3R1.
Fonction |
Avant 15.1X49-D80 |
15.1X49-D80 et 17.3R1 ultérieures |
|---|---|---|
Modèle de proxy |
S’exécute uniquement en mode tap Au lieu de participer à la négociation SSL, il écoute la négociation SSL, calcule les clés de session et déchiffre ensuite le trafic SSL. |
Termine le protocole SSL du client sur l’équipement SRX Series et initie une nouvelle connexion SSL avec un serveur. Déchiffre le trafic SSL du client/serveur et chiffre à nouveau (après inspection) avant de l’envoyer au serveur/client. |
Version du protocole |
Ne prend pas en charge TLS versions 1.1 et 1.2. |
Prend en charge toutes les versions de protocole actuelles. |
Méthodes d’échange de clés |
|
|
Système d’écho |
Étroitement associé au moteur IDP et à son détecteur. |
Utilise le proxy de transfert SSL existant avec proxy TCP en dessous. |
Services de sécurité |
Le trafic SSL déchiffré ne peut être inspecté que par IDP. |
Tout comme le proxy de transfert, le trafic SSL déchiffré est disponible pour tous les services de sécurité. |
Chiffrements pris en charge |
Un ensemble limité de chiffrements sont pris en charge. |
Tous les chiffrements couramment utilisés sont pris en charge. |
Vous devez configurer l’un root-ca ou l’autre server-certificate des profils de proxy SSL. Sinon, la vérification de validation échoue. Voir #id-overview__profile-type1.
certificat serveur configuré |
configuration root-ca |
Type de profil |
|---|---|---|
Non |
Non |
Échec de la vérification de validation. Vous devez configurer l’un |
Oui |
Oui |
Échec de la vérification de validation. La configuration à la fois |
Non |
Oui |
Proxy de transfert |
Oui |
Non |
Reverse Proxy |
La configuration de plusieurs instances de profils proxy de transfert et d’inverse est prise en charge. Mais pour une stratégie de pare-feu donnée, un seul profil (un profil proxy avant ou inversé) peut être configuré. La configuration du proxy avant et inverse sur le même équipement est également prise en charge.
Vous ne pouvez pas configurer l’implémentation précédente de proxy inverse avec la nouvelle implémentation de proxy inverse pour une stratégie de pare-feu donnée. Si les deux sont configurés, vous recevrez un message d’échec de vérification de validation.
Les étapes suivantes sont les étapes minimales pour configurer le proxy inverse :
Le proxy de transfert SSL et le proxy inverse nécessitent un profil à configurer au niveau des règles de pare-feu. En outre, vous devez également configurer les certificats de serveur avec des clés privées pour le proxy inverse. Lors d’une négociation SSL, le proxy SSL effectue une recherche d’une clé privée de serveur correspondante dans sa base de données de table de hachage de clés privées de serveur. Si la recherche réussit, la poignée de main se poursuit. Sinon, le proxy SSL met fin à la poignée de main. Le proxy inverse n’interdit pas les certificats de serveur. Il transmet le certificat/la chaîne de serveur réel au client sans le modifier. L’interception du certificat du serveur n’est effectuée qu’avec le proxy de transfert.
L’exemple ci-dessous montre des configurations de profil proxy de transfert et d’inverse.
# show services ssl
...
proxy {
  profile ssl-inspect-profile-dut { # For forward proxy. No server cert/key is needed.
trusted-ca all;
    root-ca ssl-inspect-ca;
    actions {
      ignore-server-auth-failure;
      log {
        all;
      }
    }
  }
  profile ssl-1 {
trusted-ca all;
    root-ca ssl-inspect-ca;
    actions {
      ignore-server-auth-failure;
      log {
        all;
      }
    }
  }
profile ssl-2 {
trusted-ca all;
    root-ca ssl-inspect-ca;
    actions {
      ignore-server-auth-failure;
      log {
        all;
      }
    }
  }
  profile ssl-server-protection { # For reverse proxy. No root-ca is needed.
    server-certificate ssl-server-protection;
    actions {
      log {
        all;
      }
    }
  }
}
...
Configuration du proxy inverse SSL
Cet exemple montre comment configurer le proxy inversé pour assurer la protection des serveurs. En outre, pour protéger les serveurs, vous devez configurer un ou plusieurs certificats de serveur avec clé(s) privée(s).
Un reverse proxy protège les serveurs en cachant les détails des serveurs aux clients, en y ajoutant une couche de sécurité supplémentaire.
Pour configurer un proxy inverse SSL, vous devez :
Chargez le ou les certificats du serveur et leurs clés dans le référentiel de certificats de l’équipement SRX Series.
Joignez l’identifiant de certificat de serveur au profil de proxy SSL.
Appliquez le profil de proxy SSL en tant que services d’application dans une stratégie de sécurité.
Pour configurer le proxy inverse SSL :
Vérification de la configuration du proxy inverse SSL sur l’équipement
But
Affichage des statistiques de proxy inverse SSL sur l’équipement SRX Series.
Action
Vous pouvez consulter les statistiques du proxy SSL à l’aide de la show services ssl proxy statistics commande.
root@host> show services ssl proxy statistics PIC:spu-1 fpc[0] pic[1] ------ sessions matched 0 sessions whitelisted 0 sessions bypassed:non-ssl 0 sessions bypassed:mem overflow 0 sessions bypassed:low memory 0 sessions created 0 sessions ignored 0 sessions active 0 sessions dropped 0
Configurer le proxy SSL avec UTM
Les équipements SRX Series prennent en charge la protection des clients (proxy de transfert) et la protection des serveurs (proxy inverse). Vous pouvez configurer le profil de proxy SSL pour le proxy de transfert et le proxy inverse avec la gestion unifiée des menaces (UTM) activée.
Configurer le proxy de transfert SSL avec UTM
Dans cette procédure, vous configurez un profil de proxy de transfert SSL avec UTM. Lorsque vous configurez l’UTM, le proxy SSL agit comme un serveur SSL en mettant fin à la session SSL du client et en établissant une nouvelle session SSL vers le serveur. L’équipement SRX Series déchiffre puis rechiffre tout le trafic proxy SSL. L’UTM peut utiliser le contenu déchiffré du proxy SSL.
Générez un certificat local en tant que root-ca.
Configurer le proxy inverse SSL avec UTM
Dans cette procédure, vous configurez un profil de proxy inverse SSL avec UTM.
Création d’une liste d’autorisation des destinations exemptées pour le proxy SSL
Le chiffrement et le déchiffrement SSL peuvent consommer des ressources mémoire sur les équipements SRX Series. Pour limiter cela, vous pouvez contourner sélectivement le traitement par proxy SSL pour certaines sessions, telles que les sessions qui effectuent des transactions avec des serveurs ou des domaines de confiance familiers. Vous pouvez également exempter les sessions des sites financiers et bancaires en raison d’exigences légales.
Pour exempter les sessions du proxy SSL, vous pouvez créer une liste d’autorisation en ajoutant des adresses IP ou des noms de domaine des serveurs. Les listes d’autorisation incluent les adresses que vous souhaitez exempter du traitement par proxy SSL.
Pour créer une liste d’autorisation, procédez comme suit :
Spécifiez les adresses IP et le nom de domaine dans votre carnet d’adresses global.
Reportez-vous au carnet d’adresses global dans le profil de proxy SSL.
Vous pouvez configurer les types d’adresses IP suivants dans le carnet d’adresses global.
Adresses IPv4 (texte brut). Par exemple :
set security address-book global address address-4 192.0.2.117
Plage d’adresses IPv4. Par exemple :
set security address-book global address address-2 range-address 192.0.2.117 to 192.0.2.199
Wildcard IPv4. Par exemple :
set security address-book global address address-3 wildcard-address 203.0.113.0/24
Nom DNS. Par exemple :
set security address-book global address address-1 dns-name www.abc.com
Adresse IPv6. Par exemple :
set security address-book global address address-5 FE80::/10
Les listes d’autorisation ne prennent pas en charge les types d’adresses IP suivants :
Adresses IP traduites. Les sessions sont autorisées en fonction de l’adresse IP réelle et non de l’adresse IP traduite. Pour cette raison, dans la configuration de liste d’autorisation du profil de proxy SSL, l’adresse IP réelle doit être fournie et non l’adresse IP traduite.
Masques de réseau non-contigus. Par exemple :
L’adresse IP -203.0.113.0 et le masque 255.255.255.0 qui est 203.0.113.0/24 sont pris en charge.
L’adresse IP - 203.0.113.9 et le masque 255.0.255.0 ne sont pas pris en charge.
L’exemple suivant vous montre comment utiliser des listes d’autorisation dans le profil de proxy SSL.
Dans cet exemple, vous exemptez toutes les sessions de . www.mycompany.com Pour cela, vous spécifiez d’abord le domaine dans le carnet d’adresses, puis configurez l’adresse dans le profil de proxy SSL.
Création d’une liste d’autorisation des catégories d’URL exemptées pour le proxy SSL
Vous pouvez configurer les catégories d’URL prises en charge dans le module UTM pour exempter de l’inspection SSL sur les équipements SRX Series. Pour utiliser les catégories d’URL de l’UTM, l’équipement SRX Series intègre le profil de proxy SSL à la fonctionnalité EWF. Avec cela, vous pouvez désormais configurer une liste de catégories d’URL sous un profil de proxy SSL en tant que liste d’autorisation ainsi que des carnets d’adresses. Vous pouvez configurer la liste à partir d’un ensemble prédéfini de catégories d’URL ou de catégories d’URL personnalisées prises en charge par l’UTM.
L’équipement de sécurité utilise le champ SNI (Server Name Indication) extrait par le module UTM pour déterminer la catégorie d’URL. Le proxy SSL utilise ces informations pour déterminer s’il faut accepter et proxy, ou ignorer la session.
Cette fonctionnalité est prise en charge sur les instances SRX340, SRX345, SRX5400, SRX5600, SRX5800 et vSRX.
À partir de la version 15.1X49-D80 de Junos OS et de la version 17.3R1 de Junos OS, la fonctionnalité d’autorisation de proxy SSL inclut des catégories d’URL prises en charge par UTM.
À partir de la version 17.4R1 de Junos OS, la fonctionnalité d’autorisation de proxy SSL étend la prise en charge aux catégories d’URL personnalisées prises en charge par l’UTM.
Les exemples suivants montrent comment configurer les catégories d’URL dans le profil de proxy SSL :
- Création d’une liste d’autorisation des catégories d’URL exemptées
- Création d’une liste d’autorisation des catégories d’URL personnalisées exemptées
Création d’une liste d’autorisation des catégories d’URL exemptées
Suivez les étapes suivantes pour configurer les catégories d’URL prédéfinies dans un profil de proxy SSL.
Création d’une liste d’autorisation des catégories d’URL personnalisées exemptées
Procédez comme suit pour configurer des catégories d’URL personnalisées dans un profil de proxy SSL.