Vai al contenuto
Avanet

TLS Inspection su Sophos Firewall: rollout sicuro

Sophos Firewall

Gran parte del traffico web moderno e cifrato. Senza TLS Inspection, la Firewall spesso vede solo IP di destinazione, SNI, informazioni sul certificato e metadati, ma non il contenuto effettivo della connessione.

Questo e un problema di sicurezza: molte funzioni di protezione non possono controllare il payload cifrato, oppure possono farlo solo in modo molto limitato. Malware scanning, Web Protection, Zero-Day analysis, Content scanning e parti del rilevamento applicativo o delle minacce diventano davvero efficaci solo quando la Firewall puo decifrare il traffico TLS, controllarlo e poi cifrarlo di nuovo. Anche IPS e NDR beneficiano di maggiore visibilita in chiaro. Senza decryption, molti segnali restano limitati a metadati, certificati, IP, domini o informazioni di protocollo.

TLS Inspection pero non e una funzione da attivare senza preparazione per tutti gli utenti. Puo disturbare applicazioni, toccare aspetti di protezione dei dati e aumentare il carico sulla Firewall. Per questo TLS Inspection dovrebbe essere introdotta in modo pianificato, graduale e con una chiara strategia di eccezioni.

Licenza e prerequisiti

Per TLS Inspection e per una valutazione utile del traffico decifrato servono le licenze di protezione corrette.

Sono importanti soprattutto:

  • Web Protection: include Web Security, Web Control, Application Control e Web Malware Protection.
  • Network Protection: include tra l’altro IPS, Security Heartbeat e altre funzioni di protezione di rete.
  • Zero-Day Protection: diventa importante se file o download devono essere analizzati anche tramite Machine Learning o Sandbox.

Web Protection e inclusa nel bundle Standard Protection. Anche Xstream Protection ed Epic Protection includono Web Protection e altri moduli di protezione. Sophos descrive i moduli di licenza nella panoramica ufficiale: Sophos Firewall licensing info.

Prima del rollout occorre verificare:

  • E installato il firmware Sophos Firewall attuale.
  • Web Protection e licenziata.
  • Il certificato CA della Firewall e distribuito ai client.
  • E definito un gruppo o una rete di test.
  • Il rollback e documentato.
  • Il processo di eccezione e chiaro.
  • Il logging e attivo.

Se il certificato CA non e ancora distribuito, puo aiutare l’articolo KB Installare il certificato CA di Sophos Firewall per HTTPS Scanning.

⚠️ TLS Inspection puo disturbare applicazioni che usano Certificate Pinning o controlli certificato propri. Inizia sempre con un gruppo di test e non direttamente con tutti gli utenti.

DPI o Web Proxy?

Sophos Firewall puo implementare HTTPS-Decryption in due modalita:

  • DPI Mode: la Firewall rule usa il DPI Engine. Le SSL/TLS Inspection Rules in Rules and policies > SSL/TLS inspection rules decidono cosa viene decifrato.
  • Web Proxy Mode: la Firewall rule usa il Web Proxy. HTTPS-Decryption viene gestita tramite le impostazioni Web Proxy e le Web Policies.

Per setup moderni viene spesso usato DPI Mode. La Firewall rule e importante:

  1. Apri Rules and policies > Firewall rules.
  2. Modifica la regola LAN-to-WAN interessata.
  3. Apri Security features > Web filtering.
  4. Attiva la Web Policy corretta.
  5. Attiva Scan HTTP and decrypted HTTPS.
  6. Lascia disattivato Use web proxy instead of DPI engine se devono valere le SSL/TLS Inspection Rules.

Se Use web proxy instead of DPI engine e attivo, il traffico web passa tramite Web Proxy. In quel caso per HTTP/HTTPS valgono impostazioni di decryption diverse rispetto alle SSL/TLS Inspection Rules basate su DPI.

Sophos descrive questa differenza nella guida Configure SSL/TLS inspection and decryption.

Quale traffico decifrare?

Non bisogna decifrare tutto alla cieca. Una buona TLS Inspection parte da obiettivi chiari.

Primi obiettivi sensati:

  • LAN > WAN: classico traffico web degli utenti verso Internet.
  • Wi-Fi > WAN: client gestiti nel WLAN aziendale.
  • VPN > WAN: utenti Remote Access, se il loro traffico Internet passa dalla Firewall.
  • LAN > DMZ: accessi interni a server propri, se si desidera un controllo di sicurezza e i certificati sono distribuiti correttamente.

Da trattare con cautela:

  • Banking, sanita, enti pubblici e portali altamente sensibili.
  • Password manager e Identity Provider.
  • Servizi di update di sistemi operativi e vendor.
  • Mobile apps e dispositivi Android.
  • Applicazioni con Certificate Pinning.
  • Servizi voice, video e collaboration, se diventano instabili a causa della Decryption.

Per pubblicazioni server da Internet verso DMZ, TLS Inspection non e automaticamente la soluzione migliore. Per web server spesso e piu sensato usare Web Server Protection / WAF o un Reverse Proxy.

Strategia di rollout

Si e dimostrato valido un approccio graduale:

  1. Distribuire il certificato CA.
  2. Preparare Web Policy e Firewall rule.
  3. Selezionare il Decryption Profile.
  4. Definire un piccolo gruppo di test.
  5. Attivare la SSL/TLS Inspection Rule solo per questo gruppo.
  6. Osservare Control Center e Log Viewer.
  7. Analizzare gli errori e documentare correttamente le eccezioni.
  8. Estendere gradualmente ad altri gruppi utenti.

In questo modo si identificano presto le applicazioni problematiche senza influenzare l’intera operativita.

Capire i Decryption Profiles

Un Decryption Profile definisce quanto rigorosamente la Firewall gestisce le connessioni TLS. I profili si trovano in Profiles > Decryption profiles.

Un Decryption Profile risponde, tra le altre, a queste domande:

  • Cosa succede con certificati non validi o non attendibili?
  • Le vecchie versioni TLS vengono bloccate?
  • Le cipher suites non sicure vengono bloccate?
  • Cosa succede con SSL compression?
  • Cosa succede con unrecognized cipher suites?
  • Cosa succede se la Firewall non puo decifrare una connessione?
  • Quale CA viene usata per la nuova firma?

Per un primo rollout e utile un profilo piu compatibile, per esempio Maximum compatibility o un profilo conservativo proprio. Per regole di sicurezza produttive si potra usare in seguito un profilo piu severo come Block insecure SSL.

Importante: il Decryption Profile viene selezionato direttamente nella SSL/TLS Inspection Rule. Sophos indica che il profilo puo sovrascrivere le impostazioni globali di SSL/TLS Inspection per questa regola.

Creare una SSL/TLS Inspection Rule

Il percorso e Rules and policies > SSL/TLS inspection rules.

Una prima regola dovrebbe essere il piu mirata possibile:

  • Action: Decrypt
  • Decryption profile: profilo di test conservativo
  • Source zones: LAN o rete di test
  • Source networks and devices: gruppo di test o subnet di test
  • Destination zones: di solito WAN
  • Destination networks: inizialmente Any
  • Services: per iniziare spesso Any, perche SSL/TLS puo essere rilevato anche su altre porte TCP
  • Websites / Categories: limitazione opzionale

Sophos descrive che le SSL/TLS Inspection Rules possono riconoscere connessioni SSL/TLS su qualsiasi porta TCP. Le regole vengono elaborate dall’alto verso il basso. Le regole specifiche devono quindi stare sopra quelle generali.

Documentazione ufficiale: SSL/TLS inspection rules.

Exclusion Lists

Non tutto il traffico TLS dovrebbe essere decifrato. Sophos usa per questo Exclusion Rules e TLS Exclusion Lists.

Local TLS Exclusion List

La Local TLS exclusion list e la lista locale delle eccezioni della Firewall. E vuota per impostazione predefinita e puo essere popolata tramite troubleshooting nel Control Center o nel Log Viewer.

Si puo anche modificare manualmente:

Web > URL groups > Local TLS exclusion list

Questa lista e utile per domini che causano problemi nel proprio ambiente, per esempio per Certificate Pinning o applicazioni client particolari.

Managed TLS Exclusion List

La Managed TLS exclusion list contiene eccezioni mantenute da Sophos per servizi noti problematici. Questa lista viene aggiornata tramite firmware updates.

Esempi tipici sono servizi per cui TLS Inspection causa spesso problemi o non e tecnicamente sensata.

Exclusion Rules proprie

In aggiunta si possono creare SSL/TLS Inspection Rules proprie con Action > Don’t decrypt. Dovrebbero stare direttamente sotto la regola di esclusione predefinita e contenere solo traffico che davvero non deve essere decifrato.

Criteri possibili:

  • Web categories
  • URL Groups
  • Utenti e gruppi
  • Reti sorgente e destinazione
  • Indirizzi IP
  • Services

Le eccezioni devono essere documentate: dominio, motivo, utenti interessati, data e termine di review.

Osservare il Dashboard Widget

Nel Control Center c’e un widget per SSL/TLS Inspection. Questo widget e molto utile per monitorare rollout ed errori.

Mostra tra l’altro:

  • Quota di sessioni SSL/TLS decifrate.
  • Quota di sessioni SSL/TLS non decifrate.
  • Altro traffico.
  • Errori degli ultimi giorni.
  • Top websites o Top users con problemi.
  • Decryption peak e Decryption limit.
Sophos Firewall - widget SSL/TLS Inspection con traffico decifrato e non decifrato
Sophos Firewall - Control Center > SSL/TLS Inspection Widget

Se nel widget compaiono molti errori, non conviene disattivare subito tutta TLS Inspection. Meglio usare Fix errors per verificare in modo mirato le destinazioni interessate e creare eccezioni pulite se necessario.

Valutare il Log Viewer

Nel Log Viewer si puo selezionare il filtro SSL/TLS inspection. Qui si vede cosa e successo alle singole connessioni.

Sophos Firewall - Log Viewer con eventi SSL/TLS Inspection
Sophos Firewall - Log Viewer > SSL/TLS inspection

I colori aiutano nella prima classificazione:

  • Rosso: errore. La connessione non ha potuto essere decifrata o elaborata correttamente. Bisogna controllare errori di certificato, cipher suites, versioni TLS o applicazioni incompatibili.
  • Verde: Do not decrypt. La connessione non e stata decifrata intenzionalmente, per esempio a causa di una Exclusion Rule o di una TLS Exclusion List.
  • Blu: Decrypt. La connessione e stata decifrata e poi inoltrata nuovamente cifrata.

Nel log si vedono anche Decryption Profile, IP sorgente, IP destinazione, utente, categoria e dominio di destinazione. Cosi si puo verificare se fa match la regola corretta e se un’eccezione funziona davvero.

Test

Dopo l’attivazione di TLS Inspection bisogna verificare:

  • Il certificato CA Sophos viene usato nel browser?
  • Le applicazioni business importanti funzionano?
  • Ci sono errori TLS nel Log Viewer?
  • Gli eventi Malware o Web Policy vengono riconosciuti correttamente?
  • Il traffico nel widget Control Center viene mostrato come decrypted?
  • La performance della Firewall resta nell’intervallo previsto?
  • Ci sono reclami dagli utenti di test?

Per la risoluzione dei problemi sono particolarmente utili Log Viewer, Policy Test, vista certificato del browser, Packet Capture e il widget SSL/TLS Inspection.

Rollback

In caso di problemi deve essere possibile un rollback chiaro:

  • Disattivare la SSL/TLS Inspection Rule.
  • Rimuovere il gruppo di test dalla regola.
  • Rendere meno severo il Decryption Profile.
  • Aggiungere un’eccezione per il dominio o l’applicazione interessata.
  • Reimpostare la Firewall rule su Web Proxy, se questa e la scelta voluta.

Sophos indica che SSL/TLS Inspection Rules e SSL/TLS Engine devono essere visibilmente attivi affinche Control Center e Log Viewer mostrino i dettagli. Se si disattiva TLS Inspection per troubleshooting, bisogna riattivarla dopo.

Raccomandazione

TLS Inspection non e un progetto da un click. Se introdotta correttamente, pero, fornisce molta piu visibilita e migliora l’efficacia di Web Protection, Malware Scanning, IPS, NDR e funzioni Zero-Day.

Per ambienti produttivi consigliamo:

  • Iniziare con LAN-to-WAN per un piccolo gruppo di test.
  • Distribuire correttamente il certificato CA.
  • Scegliere consapevolmente DPI/Web-Proxy Mode.
  • Non iniziare con Decryption Profile troppo aggressivi.
  • Osservare ogni giorno Log Viewer e Dashboard.
  • Documentare e verificare regolarmente le eccezioni.
  • Estendere il rollout solo dopo test riusciti.