Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration du proxy SSL

Configuration du proxy de transfert SSL

Présentation de la configuration du proxy SSL

La configuration du proxy SSL comprend :

  • Configuration du certificat d’AC racine, consultez Inscrire un certificat

  • Chargement d’un groupe de profils AC, voir Enrôlement d’un certificat

  • Configurer le profil de proxy SSL et associer le certificat d’AC racine et le groupe de profils d’AC

  • Créer une stratégie de sécurité en définissant des critères de correspondance du trafic en entrée

  • Application d’un profil de proxy SSL à une stratégie de sécurité

  • Étapes facultatives telles que la création de listes d’autorisation et la journalisation du proxy SSL

Application d’un profil de proxy SSL à une stratégie de Sécurité

Le proxy SSL est activé en tant que service d’application dans une stratégie de sécurité. Dans une stratégie de sécurité, vous spécifiez le trafic sur lequel vous souhaitez activer le proxy SSL comme critère de correspondance, puis spécifiez le profil d’AC du proxy SSL à appliquer au trafic.

Pour activer le proxy SSL dans une stratégie de sécurité :

Cet exemple suppose que vous avez déjà créé des zones de sécurité approuvées et non approuvées et que vous avez créé une stratégie de sécurité pour le trafic de zone approuvée à zone non approuvée.

  1. Créez une stratégie de sécurité et spécifiez les critères de correspondance de la stratégie. Comme critère de correspondance, spécifiez le trafic pour lequel vous souhaitez activer le proxy SSL.

    Exemple :

  2. Appliquez le profil de proxy SSL à la stratégie de sécurité.

Configuration de la journalisation du proxy SSL

Lors de la configuration du proxy SSL, vous pouvez choisir de définir l’option de réception d’une partie ou de la totalité des journaux. Les journaux du proxy SSL contiennent le nom du système logique, les listes d’autorisation du proxy SSL, les informations de stratégie, les informations du proxy SSL et d’autres informations qui vous aident à résoudre les problèmes en cas d’erreur.

Vous pouvez configurer la journalisation d’événements ou d’événements spécifiques, tels que des événements d’erreur, d’avertissement et d’information all . Vous pouvez également configurer la journalisation des sessions qui sont autorisées, abandonnées, ignorées ou autorisées après qu’une erreur se soit produite.

Vous pouvez utiliser enable-flow-tracing l’option pour activer le suivi de débogage.

Ignorer l’authentification du serveur

Junos OS vous permet de configurer une option permettant d’ignorer complètement l’authentification du serveur. Si vous configurez votre système pour ignorer l’authentification, toutes les erreurs rencontrées lors de la vérification du certificat du serveur au moment de l’établissement de liaison SSL sont ignorées. Parmi les erreurs couramment ignorées, citons l’impossibilité de vérifier la signature de l’AC, des dates d’expiration de certificat incorrectes, etc. Si cette option n’est pas définie, toutes les sessions dans lesquelles le serveur envoie des certificats auto-signés sont supprimées en cas d’erreur.

Nous vous déconseillons d’utiliser cette option pour l’authentification, car sa configuration entraîne l’absence d’authentification des sites Web. Toutefois, vous pouvez utiliser cette option pour identifier efficacement la cause racine de l’interruption de sessions SSL.

En mode configuration, spécifiez d’ignorer l’authentification du serveur :

Proxy inverse SSL

Vue d’ensemble

L’implémentation du modèle de proxy (proxy inverse) améliore la protection des serveurs. Il améliore la poignée de main et prend en charge davantage de versions de protocole. Vous pouvez activer des services de couche 7 tels que la sécurité des applications, l’IPS, la Sécurité du contenu et le trafic déchiffré par proxy inverse ATP Cloud on SSL.

Nous vous recommandons d’utiliser le proxy inverse SSL et la détection et prévention d’intrusion (IDP) plutôt que la fonctionnalité d’inspection SSL d’IDP. Dans les dernières versions Junos OS, l’inspection SSL IDP est obsolète (plutôt que d’être immédiatement supprimée) pour assurer la rétrocompatibilité et permettre de mettre votre configuration en conformité avec la nouvelle configuration.

Caractéristiques du proxy inverse :

  • Termine le SSL client sur le pare-feu et initie une nouvelle connexion SSL avec un serveur. Déchiffre le trafic SSL du client/serveur et le chiffre à nouveau (après inspection) avant de l’envoyer au serveur/client.

  • Prend en charge toutes les versions actuelles des protocoles.

    • Prise en charge de RSA

    • Prise en charge de DHE ou ECDHE

  • Utilise un proxy de transfert SSL existant avec un proxy TCP en dessous.

  • Tout comme le proxy de transfert, le trafic SSL déchiffré est disponible pour tous les services de sécurité.

  • Tous les chiffrements couramment utilisés sont pris en charge.

Vous devez configurer l’un ou root-ca l’autre ou server-certificate dans un profil de proxy SSL. Sinon, la vérification de la validation échoue. Consultez le tableau suivant pour plus de détails sur les configurations prises en charge.

Tableau 1 : configurations de proxy SSL prises en charge

serveur-certificat configuré

configuré en ca racine

Type de profil

Non

Non

La vérification de la validation échoue. Vous devez configurer soit server-certificate ou root-ca.

Oui

Oui

La vérification de la validation échoue. La configuration des deux server-certificate et root-ca dans le même profil n’est pas prise en charge.

Non

Oui

Proxy de transfert

Oui

Non

Proxy inverse

La configuration de plusieurs instances de profils proxy direct et inverse est prise en charge. Cependant, pour une stratégie de pare-feu donnée, un seul profil (profil de proxy direct ou inverse) peut être configuré. La configuration du proxy direct et inverse sur le même périphérique est également prise en charge.

Vous ne pouvez pas configurer l’implémentation précédente du proxy inverse avec la nouvelle implémentation du proxy inverse pour une stratégie de pare-feu donnée. Si les deux sont configurés, vous recevrez un message d’échec de vérification de validation.

Voici les étapes minimales pour configurer le proxy inverse :

  1. Chargez les certificats du serveur et leurs clés dans le référentiel de certificats du pare-feu à l’aide de la commande request security pki local-certificate load filename filename key key certificate-id certificate-id passphrase exmample@1234CLI . Par exemple :
  2. Attachez l’identificateur de certificat du serveur au profil de proxy SSL à l’aide de la commande set services ssl proxy profile profile server-certificate certificate-id passphrase exmample@1234CLI . Par exemple

    user@host# set services ssl proxy profil server-protection-profile server-certificate server2_cert_id

  3. Utilisez le bouton show services ssl CLI pour vérifier votre configuration. Par exemple :

Le proxy de transfert SSL et le proxy inverse nécessitent la configuration d’un profil au niveau des règles de pare-feu. En outre, vous devez également configurer les certificats du serveur avec des clés privées pour le proxy inverse. Lors d’une établissement de liaison SSL, le proxy SSL recherche une clé privée de serveur correspondante dans sa base de données de table de hachage de clé privée de serveur. Si la recherche réussit, l’établissement de liaison continue. Sinon, le proxy SSL met fin à la poignée de main. Le proxy inverse n’interdit pas les certificats de serveur. Il transmet le certificat/la chaîne du serveur réel tel quel au client sans le modifier. L’interception du certificat de serveur se produit uniquement avec le proxy de transfert.

Configuration du proxy inverse SSL

Cet exemple montre comment configurer le proxy inverse pour activer la protection du serveur. Pour la protection des serveurs, des certificats de serveur avec des clés privées doivent également être configurés.

Un proxy inverse protège les serveurs en cachant les détails des serveurs aux clients, là en ajoutant une couche de sécurité supplémentaire.

Pour configurer un proxy inverse SSL, vous devez :

  • Chargez le(s) certificat(s) du serveur et leur(s) clé(s) dans le référentiel de certificats du pare-feu.

  • Attachez le ou les identificateurs de certificat de serveur au profil de proxy SSL.

  • Appliquez le profil de proxy SSL en tant que service d’application dans une stratégie de sécurité.

Pour configurer le proxy inverse SSL :

  1. Chargez le certificat de signature et la clé correspondante pour le profil proxy SSL dans la mémoire PKI.
  2. Attachez le certificat du serveur au profil de proxy SSL.
  3. Créez une stratégie de sécurité et spécifiez les critères de correspondance de la stratégie. Comme critère de correspondance, spécifiez le trafic pour lequel vous souhaitez activer le proxy SSL.
  4. Appliquez le profil de proxy SSL à la stratégie de sécurité. Cet exemple suppose que les zones de sécurité sont créées conformément aux exigences.

Vérification de la configuration du proxy inverse SSL sur l’appareil

Objet

Affichage des statistiques du proxy inverse SSL sur le pare-feu.

Mesures à prendre

Vous pouvez afficher les statistiques du proxy SSL à l’aide de la show services ssl proxy statistics commande.

Configurer le proxy de transfert SSL avec Content Sécurité

Dans cette procédure, vous configurez un profil de proxy de transfert SSL avec Content Sécurité. Lorsque vous configurez Content Sécurité, le proxy SSL agit comme un serveur SSL en mettant fin à la session SSL du client et en établissant une nouvelle session SSL sur le serveur. Le pare-feu déchiffre puis rechiffre tout le trafic proxy SSL. Content Sécurité peut utiliser le contenu déchiffré du proxy SSL.

Générez un certificat local en tant qu’autorité de certification root.

  1. À partir du mode opérationnel, générez une paire de clés pour un certificat numérique local.
  2. Générez un certificat local à l’aide de la paire de clés générée ci-dessus.
  3. À partir du mode configuration, appliquez le certificat chargé en tant qu’autorité racine dans le profil de proxy SSL.
  4. Associez le profil SSL et la stratégie de sécurité du contenu à la stratégie de sécurité.

Configurer le proxy inverse SSL avec Content Sécurité

Dans cette procédure, vous configurez un profil de proxy inverse SSL avec Content Sécurité.

  1. Chargez les certificats du serveur et leurs clés dans le référentiel de certificats du pare-feu.
  2. En mode configuration, attachez l’identificateur de certificat du serveur au profil de proxy SSL.
  3. Associez le profil SSL et la stratégie de Sécurité de contenu à la stratégie de sécurité pour le trafic d’une zone non approuvée vers la zone approuvée.

Création d’une liste d’autorisation de destinations exemptées pour le proxy SSL

Le chiffrement et le déchiffrement SSL peuvent consommer des ressources mémoire sur les pare-feu. Pour limiter cela, vous pouvez ignorer sélectivement le traitement du proxy SSL pour certaines sessions, telles que les sessions qui effectuent des transactions avec des serveurs ou des domaines approuvés familiers. Vous pouvez également exempter les sessions avec des sites financiers et bancaires en raison d’exigences légales.

Pour exempter les sessions du proxy SSL, vous pouvez créer une liste d’autorisation en ajoutant les adresses IP ou les noms de domaine des serveurs. Les listes d’autorisation incluent les adresses que vous souhaitez exempter du traitement du proxy SSL.

Procédez comme suit pour créer une liste d’autorisation :

  • Spécifiez les adresses IP et le nom de domaine dans votre carnet d’adresses global.

  • Reportez-vous au carnet d’adresses global dans le profil de proxy SSL.

Vous pouvez configurer les types suivants d’adresses IP dans le carnet d’adresses global.

  • Adresses IPv4 (texte brut). Par exemple :

  • Plage d’adresses IPv4. Par exemple :

  • Caractère générique IPv4. Par exemple :

  • Nom DNS. Par exemple :

  • Adresse IPv6. Par exemple :

Les listes d’autorisation ne prennent pas en charge les types d’adresses IP suivants :

  • Adresses IP traduites. Les sessions sont autorisées en fonction de l’adresse IP réelle et non de l’adresse IP traduite. Pour cette raison, dans la configuration de la liste d’autorisation du profil de proxy SSL, l’adresse IP réelle doit être fournie et non l’adresse IP traduite.

  • Masques de réseau non contigus. Par exemple :

    • L’adresse IP -203.0.113.0 et le masque 255.255.255.0 c’est-à-dire 203.0.113.0/24 sont pris en charge.

    • L’adresse IP - 203.0.113.9 et le masque 255.0.255.0 ne sont pas pris en charge.

L’exemple suivant vous montre comment utiliser les listes d’autorisation dans le profil de proxy SSL.

Dans cet exemple, vous exemptez toutes les sessions de . www.mycompany.com Pour cela, vous spécifiez d’abord le domaine dans le carnet d’adresses, puis configurez l’adresse dans le profil proxy SSL.

  1. Configurez le domaine dans le carnet d’adresses.
  2. Spécifiez l’adresse globale du carnet d’adresses dans le profil de proxy SSL.

Création d’une liste d’URL d’exception pour le proxy SSL

Vous pouvez configurer des catégories d’URL dans le module de sécurité du contenu pour ignorer l’inspection SSL sur le pare-feu. Pour ce faire, SRX lie le profil de proxy SSL à la fonctionnalité de filtrage Web amélioré (EWF). Après avoir activé cette fonctionnalité, vous pouvez ajouter des catégories d’URL à une liste d’autorisation dans le profil de proxy SSL, ainsi que des carnets d’adresses. Vous pouvez choisir parmi des catégories prédéfinies ou en créer des personnalisées prises en charge par Content Sécurité.

Le périphérique de sécurité utilise le champ Indication du nom du serveur (SNI) extrait par le module Content Sécurité pour déterminer la catégorie d’URL. Le proxy SSL utilise ces informations pour déterminer s’il faut accepter et proxy ou ignorer la session.

La fonctionnalité de liste d’autorisation du proxy SSL inclut des catégories d’URL prises en charge par Content Sécurité, et la fonctionnalité de liste d’autorisation du proxy SSL étend la prise en charge des catégories d’URL personnalisées prises en charge par Content Sécurité.

Les exemples suivants montrent comment configurer les catégories d’URL dans le profil de proxy SSL :

Création d’une liste d’URL autorisées

Procédez comme suit pour configurer les catégories d’URL prédéfinies dans un profil de proxy SSL.

  1. Les catégories d’URL prédéfinies dépendent de Content Sécurité. Pour activer la liste d’autorisation basée sur les URL dans le proxy SSL, les configurations d’URL de base suivantes sont requises :
  2. Spécifiez la catégorie d’URL prédéfinie dans le profil de proxy SSL. Dans cet exemple, vous utilisez la catégorie d’URL Enhanced_Financial_Data_and_Services.
  3. Créez la stratégie de sécurité en spécifiant les conditions de correspondance et joignez la stratégie de Sécurité de contenu à la stratégie de sécurité pour utiliser des catégories d’URL dans la liste d’autorisation SSL.

Création d’une liste d’autorisation de catégories d’URL personnalisées exemptées

Procédez comme suit pour configurer des catégories d’URL personnalisées dans un profil de proxy SSL.

  1. Créez une catégorie d’URL personnalisée.
  2. Configurez une stratégie de Sécurité du contenu pour le protocole HTTP de filtrage Web et associez le profil que vous avez créé à l’étape précédente à la stratégie de Sécurité du contenu.
  3. Spécifiez la catégorie d’URL personnalisée que vous avez créée à l’étape précédente dans le profil de proxy SSL.
  4. Créez une stratégie de sécurité en spécifiant les conditions de correspondance et joignez la stratégie de Sécurité de contenu à la stratégie de sécurité pour utiliser les catégories d’URL dans la liste d’autorisation SSL.

Prise en charge de l’authentification par proxy

Vous pouvez utiliser des profils proxy pour acheminer en toute sécurité le trafic HTTPS sortant via un serveur proxy prenant en charge l’authentification. Vous pouvez configurer l’authentification par proxy directement dans les profils proxy. En définissant un nom d’utilisateur et un mot de passe, vous garantissez un accès sécurisé aux flux et services externes. Ce mécanisme d’authentification prend en charge plusieurs services pour permettre une communication HTTPS sécurisée et authentifiée via un serveur proxy.

Les connexions suivantes qui prennent en charge le proxy HTTP pour la communication serveur incluent désormais la prise en charge de l’authentification proxy :

  • Connexion SecIntel au cloud ATP pour télécharger et charger les flux.
  • Connexion IDP et Application Identification pour le téléchargement de la base de données de signatures.
  • La sécurité du contenu (anciennement connue sous le nom de gestion des menaces unifiée) pour les fonctionnalités suivantes :
    • Connexions de mise à jour de la base de données et du moteur de virus AV Avira.
    • Sophos AV scanne les requêtes vers le cloud.
    • Filtrage Web des requêtes par catégorie d’URL vers le cloud.
    • Mises à jour des catégories de filtrage Web.
    • Filtrage Web Téléchargements de flux URL.

  • Connexion au cloud ATP pour :

    • Processus d’inscription
    • Connexions de soumission de fichiers
    • Mises à jour des signatures antivirus à partir du CDN de Juniper.
    • Flux dynamiques de groupes d’adresses
  • Démon d’infrastructure à clé publique pour :
    • Inscription SCEP via HTTP et HTTPS.
    • Téléchargements CRL via HTTP et HTTPS.

Avantages de la prise en charge de l’authentification par proxy

Fournissez un accès sécurisé aux flux et aux services externes pour améliorer la posture de sécurité globale en empêchant les sources de données non vérifiées d’interagir avec des environnements réseau protégés.

Exemples de configuration

Pour établir des connexions sécurisées et authentifiées, vous devez configurer les paramètres suivants :

Configurer les informations d’authentification dans le profil de proxy

Configurez l’authentification proxy en configurant un nom d’utilisateur et un mot de passe dans le profil proxy :

Spécifier un profil de proxy dans les services de Sécurité

Exemples :

Profil proxy pour l’identification des applications et l’IDP

Créez un profil de proxy et utilisez-le pour télécharger le package de signatures d’application ou le package de signatures IDP via un serveur proxy :

Reportez-vous à la section Installation du package de signatures d’application et du package de signatures IDP de Junos OS via un serveur proxy explicite.

Profil proxy pour la sécurité du contenu

Configurez le profil proxy pour les moteurs antivirus Avira et Sophos pour les mises à jour, et pour le filtrage Web de Juniper pour une communication sécurisée sur le serveur

Voir Exemple : Configurer Avira Antivirus, Configurer Sophos Antivirus Live Protection version 2.0 avec proxy Web et Configuration du filtrage Web de nouvelle génération .

Profil de proxy pour Juniper ATP Cloud

Pour activer l’accès HTTP(S) sortant via un proxy Web sur les pare-feu SRX Series, configurez Juniper ATP Cloud pour utiliser des profils proxy. Ces profils sont appliqués dans les stratégies anti-malware et SecIntel.

Voir Proxy web explicite pour Juniper ATP Cloud pour plus de détails.

PKI

Configurez le profil proxy dans le profil de l’AC. L’appareil se connecte à l’hôte proxy au lieu du serveur de l’AC lors de l’inscription, de la vérification ou de la révocation du certificat

Voir autorité de certification

Remarque :
  • La prise en charge n’est disponible que pour l’authentification de base. Vous devrez fournir un nom d’utilisateur et un mot de passe, qui sont envoyés dans l’en-tête Proxy-Authorization dans un format codé en Base64.
  • Assurez-vous de configurer simultanément le nom d’utilisateur et le mot de passe.
  • Mettez régulièrement à jour les mots de passe et surveillez les tentatives d’accès non autorisé afin de maintenir une sécurité robuste.