Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL Proxy

Le proxy SSL agit en tant qu’intermédiaire, effectuant le cryptage et le déchiffrement SSL entre le client et le serveur. Une meilleure visibilité sur l’utilisation des applications peut être obtenue lorsque le proxy de transfert SSL est activé.

Présentation du proxy SSL

Pour obtenir la liste complète des fonctionnalités et plates-formes prises en charge, consultez Proxy SSL dans l’Explorateur de fonctionnalités.

SSL (Secure Sockets Layer) est un protocole applicatif qui fournit une technologie de chiffrement pour Internet. Le protocole SSL, également appelé protocole TLS (couche transport security), garantit la transmission sécurisée de données entre un client et un serveur grâce à une combinaison de confidentialité, d’authentification, de confidentialité et d’intégrité des données. SSL s’appuie sur des certificats et des paires d’échange de clés privées-publiques pour ce niveau de sécurité.

Le proxy SSL est un proxy transparent qui effectue le cryptage et le déchiffrement SSL entre le client et le serveur.

Comment fonctionne le proxy SSL ?

Le proxy SSL assure une transmission sécurisée des données entre un client et un serveur grâce à une combinaison des éléments suivants :

  • Authentification : l’authentification du serveur protège contre les transmissions frauduleuses en permettant à un navigateur Web de valider l’identité d’un serveur Web.

  • Confidentialité - SSL applique la confidentialité en cryptant les données afin d’empêcher les utilisateurs non autorisés d’écouter les communications électroniques ; garantit ainsi la confidentialité des communications.

  • Intégrité : l’intégrité des messages garantit que le contenu d’une communication n’est pas altéré.

Le pare-feu SRX Series agissant comme proxy SSL gère les connexions SSL entre le client à une extrémité et le serveur à l’autre extrémité et effectue les actions suivantes :

  • Session SSL entre le client et SRX Series : met fin à une connexion SSL à partir d’un client, lorsque les sessions SSL sont initiées du client vers le serveur. Le pare-feu SRX Series déchiffre le trafic, l’inspecte pour détecter les attaques (dans les deux sens) et établit la connexion au serveur au nom des clients.

  • Session SSL entre le serveur et SRX Series : met fin à une connexion SSL à partir d’un serveur, lorsque les sessions SSL sont lancées du serveur externe vers le serveur local. Le pare-feu SRX Series reçoit du texte clair du client, chiffre et transmet les données sous forme de texte chiffré au serveur SSL. De l’autre côté, la SRX Series déchiffre le trafic du serveur SSL, l’inspecte pour détecter les attaques et envoie les données au client sous forme de texte clair.

  • Permet d’inspecter le trafic chiffré.

Le serveur proxy SSL assure une transmission sécurisée des données grâce à la technologie de cryptage. SSL s’appuie sur des certificats et des paires d’échange de clés privées-publiques pour assurer la communication sécurisée. Pour plus d’informations, reportez-vous à la section Certificats SSL.

Pour établir et maintenir une session SSL entre le pare-feu SRX Series et son client/serveur, le pare-feu SRX Series applique une stratégie de sécurité au trafic qu’il reçoit. Lorsque le trafic correspond aux critères de la stratégie de sécurité, le proxy SSL est activé en tant que service d’application dans une stratégie de sécurité.

Proxy SSL avec services de sécurité applicative

La figure 1 illustre le fonctionnement du proxy SSL sur une charge utile chiffrée.

Figure 1 : proxy SSL sur une charge SSL Proxy on an Encrypted Payload utile chiffrée

Lorsque les services de sécurité avancée tels que le pare-feu d’application (AppFW), la détection et prévention d’intrusion (IDP), le suivi des applications (AppTrack), la sécurité du contenu et ATP Cloud sont configurés, le proxy SSL agit comme un serveur SSL en mettant fin à la session SSL du client et en établissant une nouvelle session SSL sur le serveur. Le pare-feu SRX Series déchiffre puis rechiffre tout le trafic du proxy SSL.

IDP, AppFW, AppTracking, le routage avancé basé sur des politiques (APBR), la sécurité du contenu, ATP Cloud et la redirection de service ICAP peuvent utiliser le contenu déchiffré à partir du proxy SSL. Si aucun de ces services n’est configuré, les services de proxy SSL sont ignorés, même si un profil de proxy SSL est attaché à une stratégie de pare-feu.

Types de proxy SSL

Le proxy SSL est un proxy transparent qui effectue le cryptage et le déchiffrement SSL entre le client et le serveur. SRX agit en tant que serveur du point de vue du client et il agit en tant que client du point de vue du serveur. Sur les pare-feu SRX Series, la protection du client (proxy direct) et la protection du serveur (proxy inverse) sont prises en charge à l’aide du même système d’écho SSL-T-SSL [terminateur côté client] et SSL-I-SSL [initiateur côté serveur]).

Le pare-feu SRX Series prend en charge les types de proxy SSL suivants :

  • Proxy SSL de protection du client, également appelé proxy de transfert : le pare-feu SRX Series réside entre le client interne et le serveur externe. Session sortante par proxy, c’est-à-dire session SSL initiée localement vers Internet. Il décrypte et inspecte le trafic des utilisateurs internes vers le Web.

  • Proxy SSL de protection serveur, également appelé proxy inverse : le pare-feu SRX Series réside entre le serveur interne et le client externe. Session entrante par proxy, c’est-à-dire sessions SSL initiées en externe depuis Internet vers le serveur local.

Pour plus d’informations sur le proxy de transfert SSL et le proxy inverse, consultez Configuration du proxy SSL.

Protocoles SSL pris en charge

Les protocoles SSL suivants sont pris en charge sur les pare-feu SRX Series pour le service d’initiation et de terminaison SSL :

  • TLS version 1.0 : fournit l’authentification et sécurise les communications entre les applications qui communiquent.

  • TLS version 1.1 : cette version améliorée de TLS offre une protection contre les attaques CBC (Cipher Block Chaining).

  • TLS version 1.2 : cette version améliorée de TLS offre une plus grande flexibilité pour la négociation d’algorithmes cryptographiques.

  • TLS version 1.3 : cette version améliorée de TLS améliore la sécurité et les performances.

À partir de Junos OS version 15.1X49-D30 et Junos OS version 17.3R1, les protocoles TLS version 1.1 et TLS version 1.2 sont pris en charge sur les pare-feu SRX Series avec TLS version 1.0.

À partir de Junos OS version 15.1X49-D20 et Junos OS version 17.3R1, la prise en charge du protocole SSL 3.0 (SSLv3) est obsolète.

À partir de la version 21.2R1 de Junos OS, sur les pare-feu SRX Series, le proxy SSL prend en charge TLS version 1.3.

Lorsque vous utilisez TLS 1.3, le pare-feu SRX Series prend en charge le groupe secp256r1 pour l’échange de clés afin d’établir la connexion avec le serveur. Si le serveur ne prend en charge que secp384r1, la connexion sera interrompue.

À partir de Junos OS version 24.2R1, les pare-feu SRX Series prennent en charge le processus d’initiation SNI pour SSL (SSL-I). L'indication du nom du serveur (SNI) est une extension de l'en-tête SSL/TLS, qui porte le nom d'hôte du serveur de destination pendant l'échange HTTPS « Client Hello » en texte clair avant la fin de l'établissement de liaison SSL.

Avantages du proxy SSL

  • Déchiffre le trafic SSL pour obtenir des informations granulaires sur les applications, vous permettre d’appliquer des services de sécurité avancés, de vous protéger et de détecter les menaces.

  • Applique l’utilisation de protocoles et de chiffrements forts par le client et le serveur.

  • Fournit une visibilité et une protection contre les menaces intégrées dans le trafic chiffré SSL.

  • Contrôle ce qui doit être déchiffré à l’aide du proxy SSL sélectif.

Prise en charge des systèmes logiques

Il est possible d’activer le proxy SSL sur les stratégies de pare-feu configurées à l’aide de systèmes logiques. Notez toutefois les limitations suivantes :

  • La catégorie « services » n’est actuellement pas prise en charge dans la configuration des systèmes logiques. Étant donné que le proxy SSL se trouve sous « services », vous ne pouvez pas configurer les profils de proxy SSL par système logique.

  • Étant donné que les profils proxy configurés au niveau global (au sein du « proxy Services SSL ») sont visibles dans les configurations des systèmes logiques, il est possible de configurer des profils proxy au niveau global, puis de les attacher aux politiques de pare-feu d’un ou plusieurs systèmes logiques.

Limitations

Sur tous les pare-feu SRX Series, l’implémentation actuelle du proxy SSL présente les limitations de connectivité suivantes :

  • La prise en charge du protocole SSLv3.0 est obsolète.

  • Le protocole SSLv2 n’est pas pris en charge. Les sessions SSL utilisant SSLv2 sont abandonnées.

  • Seul le certificat X.509v3 est pris en charge.

  • L’authentification client de l’établissement de liaison SSL n’est pas prise en charge.

  • Les sessions SSL pour lesquelles l’authentification par certificat client est obligatoire sont abandonnées.

  • Les sessions SSL pour lesquelles une renégociation est demandée sont abandonnées.

  • Sur les pare-feu SRX Series, le proxy SSL n’est activé que si une fonctionnalité pertinente liée au trafic SSL est également activée pour une session donnée. Les fonctionnalités liées au trafic SSL sont l’IDP, l’identification des applications, le pare-feu des applications, le suivi des applications, le routage avancé basé sur des stratégies, la sécurité du contenu, ATP Cloud et le service de redirection ICAP. Si aucune de ces fonctionnalités n’est active sur une session, le proxy SSL contourne la session et les journaux ne sont pas générés dans ce scénario.
  • Les pare-feu SRX Series fonctionnant en configuration haute disponibilité multinœud ne prennent pas en charge la fonctionnalité de proxy SSL.

Voir aussi