Naar de inhoud
Avanet

Sophos Firewall TLS Inspection correct invoeren

Sophos Firewall

Een groot deel van het huidige webverkeer is versleuteld. Zonder TLS Inspection ziet de firewall vaak alleen doel-IP, SNI, certificaatinformatie en metadata, maar niet de eigenlijke inhoud van de verbinding.

Dat is een beveiligingsprobleem: veel beschermingsfuncties kunnen versleutelde payload niet of slechts sterk beperkt controleren. Malware Scanning, Web Protection, Zero-Day-analyse, Content Scanning en delen van applicatie- of dreigingsdetectie worden pas echt effectief wanneer de firewall TLS-verkeer kan ontsleutelen, controleren en daarna opnieuw versleutelen. Ook IPS en NDR profiteren van meer zichtbaarheid in klare tekst. Zonder ontsleuteling blijven veel signalen beperkt tot metadata, certificaten, IP’s, domeinen of protocolinformatie.

TLS Inspection is echter geen feature die je onvoorbereid voor alle gebruikers moet inschakelen. Het kan applicaties verstoren, privacyvragen oproepen en de firewall zwaarder belasten. Daarom moet TLS Inspection gepland, stapsgewijs en met een duidelijke uitzonderingsstrategie worden ingevoerd.

Licentie en vereisten

Voor TLS Inspection en de zinvolle evaluatie van ontsleuteld verkeer heb je de passende beschermingslicenties nodig.

Belangrijk zijn vooral:

  • Web Protection: Bevat Web Security, Web Control, Application Control en Web Malware Protection.
  • Network Protection: Bevat onder andere IPS, Security Heartbeat en verdere netwerkbeveiligingsfuncties.
  • Zero-Day Protection: Wordt belangrijk wanneer bestanden of downloads aanvullend via Machine Learning of Sandbox moeten worden geanalyseerd.

Web Protection is inbegrepen in het licentiebundel Standard Protection. Xstream Protection en Epic Protection bevatten eveneens Web Protection en verdere beschermingsmodules. Sophos beschrijft de licentiemodules in het officiële overzicht: Sophos Firewall licensing info.

Controleer voor de rollout:

  • Actuele Sophos Firewall Firmware is geïnstalleerd.
  • Web Protection is gelicentieerd.
  • CA-certificaat van de firewall is op de clients uitgerold.
  • Testgroep of testnetwerk is gedefinieerd.
  • Rollback is gedocumenteerd.
  • Uitzonderingsproces is duidelijk.
  • Logging is ingeschakeld.

Als het CA-certificaat nog niet is uitgerold, helpt het artikel Sophos Firewall CA-certificaat voor HTTPS Scanning installeren.

⚠️ TLS Inspection kan applicaties verstoren die Certificate Pinning gebruiken of eigen certificaatcontroles uitvoeren. Start altijd met een testgroep en niet direct met alle gebruikers.

DPI of Web Proxy?

De Sophos Firewall kan HTTPS-decryption in twee modi uitvoeren:

  • DPI Mode: De firewallregel gebruikt de DPI Engine. SSL/TLS Inspection Rules onder Rules and policies > SSL/TLS inspection rules bepalen wat wordt ontsleuteld.
  • Web Proxy Mode: De firewallregel gebruikt de Web Proxy. HTTPS-decryption wordt dan via de Web-Proxy-instellingen en Web Policies gestuurd.

Voor moderne setups wordt vaak DPI Mode gebruikt. Belangrijk is daarbij de firewallregel:

  1. Open Rules and policies > Firewall rules.
  2. Bewerk de betreffende LAN-to-WAN-regel.
  3. Open Security features > Web filtering.
  4. Activeer de passende Web Policy.
  5. Activeer Scan HTTP and decrypted HTTPS.
  6. Laat Use web proxy instead of DPI engine uitgeschakeld als de SSL/TLS Inspection Rules moeten gelden.

Als Use web proxy instead of DPI engine is ingeschakeld, loopt webverkeer via de Web Proxy. Dan gelden voor HTTP/HTTPS andere decryption-instellingen dan bij DPI-gebaseerde SSL/TLS Inspection Rules.

Sophos beschrijft dit verschil in de handleiding Configure SSL/TLS inspection and decryption.

Welk verkeer moet je ontsleutelen?

Je moet niet blind alles ontsleutelen. Goede TLS Inspection begint met duidelijke doelen.

Zinvolle eerste doelen:

  • LAN > WAN: klassiek gebruikerswebverkeer naar internet.
  • Wi-Fi > WAN: beheerde clients in het bedrijfs-wifi.
  • VPN > WAN: Remote-Access-gebruikers wanneer hun internetverkeer via de firewall loopt.
  • LAN > DMZ: interne toegang tot eigen servers wanneer daar security-inspectie gewenst is en certificaten netjes zijn uitgerold.

Voorzichtig behandelen:

  • Banking, gezondheidszorg, overheid en zeer gevoelige portalen.
  • Wachtwoordmanagers en Identity Providers.
  • Besturingssysteem- en fabrikantupdatediensten.
  • Mobiele apps en Android-apparaten.
  • Applicaties met Certificate Pinning.
  • Voice-, video- en collaboration-diensten wanneer ze door decryption instabiel worden.

Voor serverpublicaties vanuit internet naar de DMZ is TLS Inspection niet automatisch de beste oplossing. Bij webservers is vaak Web Server Protection / WAF of een Reverse Proxy zinvoller.

Rollout-strategie

Een stapsgewijze aanpak heeft zich bewezen:

  1. CA-certificaat uitrollen.
  2. Web Policy en firewallregel voorbereiden.
  3. Decryption Profile selecteren.
  4. Kleine testgroep definiëren.
  5. SSL/TLS Inspection Rule alleen voor deze groep activeren.
  6. Control Center en Log Viewer observeren.
  7. Fouten analyseren en uitzonderingen netjes documenteren.
  8. Stapsgewijs naar verdere gebruikersgroepen uitbreiden.

Zo herken je vroeg welke applicaties problemen veroorzaken, zonder de volledige operatie te beïnvloeden.

Decryption Profiles begrijpen

Een Decryption Profile bepaalt hoe streng de firewall met TLS-verbindingen omgaat. De profielen vind je onder Profiles > Decryption profiles.

Een Decryption Profile beantwoordt onder andere deze vragen:

  • Wat gebeurt er bij ongeldige of niet-vertrouwde certificaten?
  • Worden oude TLS-versies geblokkeerd?
  • Worden onveilige Cipher Suites geblokkeerd?
  • Wat gebeurt er bij SSL-compressie?
  • Wat gebeurt er bij unrecognized cipher suites?
  • Wat gebeurt er als de firewall een verbinding niet kan ontsleutelen?
  • Welke CA wordt voor het opnieuw ondertekenen gebruikt?

Voor een eerste rollout is een compatibeler profiel zinvol, bijvoorbeeld Maximum compatibility of een eigen conservatief profiel. Voor productieve securityregels kan later een strenger profiel zoals Block insecure SSL worden gebruikt.

Belangrijk: het Decryption Profile wordt direct in de SSL/TLS Inspection Rule geselecteerd. Sophos wijst erop dat het profiel de globale SSL/TLS-Inspection-instellingen voor deze regel kan overschrijven.

SSL/TLS Inspection Rule aanmaken

Het menupad is Rules and policies > SSL/TLS inspection rules.

Een eerste regel moet zo gericht mogelijk zijn:

  • Action: Decrypt
  • Decryption profile: conservatief testprofiel
  • Source zones: LAN of testnetwerk
  • Source networks and devices: testgroep of testsubnet
  • Destination zones: meestal WAN
  • Destination networks: eerst Any
  • Services: voor de start vaak Any, omdat SSL/TLS ook op andere TCP-poorten kan worden herkend
  • Websites / Categories: optioneel beperken

Sophos beschrijft dat SSL/TLS Inspection Rules SSL/TLS-verbindingen op willekeurige TCP-poorten kunnen herkennen. De regels worden van boven naar beneden verwerkt. Specifieke regels horen daarom boven algemene regels te staan.

Officiële documentatie: SSL/TLS inspection rules.

Exclusion Lists

Niet elk TLS-verkeer moet worden ontsleuteld. Sophos werkt hiervoor met Exclusion Rules en TLS Exclusion Lists.

Local TLS Exclusion List

De Local TLS exclusion list is de lokale uitzonderingslijst van de firewall. Ze is standaard leeg en kan via troubleshooting in Control Center of Log Viewer worden gevuld.

Je kunt de lijst ook handmatig bewerken:

Web > URL groups > Local TLS exclusion list

Deze lijst is zinvol voor domeinen die in de eigen omgeving problemen veroorzaken, bijvoorbeeld door Certificate Pinning of speciale clientapplicaties.

Managed TLS Exclusion List

De Managed TLS exclusion list bevat door Sophos beheerde uitzonderingen voor bekende problematische diensten. Deze lijst wordt via firmware-updates bijgewerkt.

Typische voorbeelden zijn diensten waarbij TLS Inspection volgens ervaring problemen veroorzaakt of technisch niet zinvol is.

Eigen Exclusion Rules

Daarnaast kun je eigen SSL/TLS Inspection Rules met Action > Don’t decrypt aanmaken. Deze moeten direct onder de standaard Exclusion-regel staan en alleen verkeer bevatten dat echt niet ontsleuteld moet worden.

Mogelijke criteria:

  • Webcategorieën
  • URL Groups
  • Gebruikers en groepen
  • Source- en Destination-netwerken
  • IP-adressen
  • Services

Uitzonderingen moeten worden gedocumenteerd: domein, reden, betrokken gebruikers, datum en reviewdatum.

Dashboard Widget observeren

In Control Center is er een widget voor SSL/TLS Inspection. Deze widget is zeer nuttig om rollout en fouten te bewaken.

Het toont onder andere:

  • Aandeel ontsleutelde SSL/TLS-sessies.
  • Aandeel niet-ontsleutelde SSL/TLS-sessies.
  • Overig verkeer.
  • Fouten van de laatste dagen.
  • Top-websites of top-users met problemen.
  • Decryption peak en Decryption limit.
Sophos Firewall - SSL/TLS Inspection Widget met ontsleuteld en niet-ontsleuteld verkeer
Sophos Firewall - Control Center > SSL/TLS Inspection Widget

Als in de widget veel fouten verschijnen, moet je niet meteen de volledige TLS Inspection uitschakelen. Beter is om via Fix errors gericht de betrokken doelen te controleren en indien nodig nette uitzonderingen aan te maken.

Log Viewer analyseren

In de Log Viewer kun je de filter SSL/TLS inspection selecteren. Daar zie je wat er met individuele verbindingen is gebeurd.

Sophos Firewall - Log Viewer met SSL/TLS Inspection Events
Sophos Firewall - Log Viewer > SSL/TLS inspection

De kleuren helpen bij de eerste beoordeling:

  • Rood: fout. De verbinding kon niet correct worden ontsleuteld of verwerkt. Controleer hier certificaatfouten, Cipher Suites, TLS-versies of incompatibele applicaties.
  • Groen: Do not decrypt. De verbinding is bewust niet ontsleuteld, bijvoorbeeld door een Exclusion Rule of een TLS Exclusion List.
  • Blauw: Decrypt. De verbinding is ontsleuteld en daarna opnieuw versleuteld doorgestuurd.

In de log zie je daarnaast Decryption Profile, bron-IP, doel-IP, gebruiker, categorie en doeldomein. Daarmee kun je controleren of de juiste rule matcht en of een uitzondering echt werkt.

Tests

Na activering van TLS Inspection moet je controleren:

  • Wordt het Sophos CA-certificaat in de browser gebruikt?
  • Werken belangrijke businessapplicaties?
  • Zijn er TLS-fouten in de Log Viewer?
  • Worden Malware- of Web-Policy-events correct herkend?
  • Wordt het verkeer in de Control-Center-widget als decrypted weergegeven?
  • Blijft de firewallperformance binnen de verwachte grenzen?
  • Zijn er klachten van testgebruikers?

Voor foutanalyse zijn vooral Log Viewer, Policy Test, browsercertificaatweergave, Packet Capture en het SSL/TLS-Inspection-Widget nuttig.

Rollback

Als er storingen optreden, moet een duidelijke rollback mogelijk zijn:

  • SSL/TLS Inspection Rule uitschakelen.
  • Testgroep uit de regel verwijderen.
  • Decryption Profile minder streng maken.
  • Uitzondering voor betrokken domein of applicatie toevoegen.
  • Firewallregel weer naar Web Proxy omzetten, als dat bewust gewenst is.

Sophos wijst erop dat SSL/TLS Inspection Rules en de SSL/TLS Engine zichtbaar actief moeten zijn, zodat Control Center en Log Viewer de details tonen. Als je SSL/TLS Inspection voor troubleshooting uitschakelt, moet je deze daarna weer activeren.

Aanbeveling

TLS Inspection is geen één-klik-project. Correct ingevoerd levert het echter aanzienlijk meer zichtbaarheid op en verbetert het de werking van Web Protection, Malware Scanning, IPS, NDR en Zero-Day-functies.

Voor productieomgevingen raden we aan:

  • Eerst LAN-to-WAN voor een kleine testgroep.
  • CA-certificaat netjes uitrollen.
  • DPI/Web-Proxy-modus bewust kiezen.
  • Decryption Profile niet te agressief starten.
  • Log Viewer en Dashboard dagelijks observeren.
  • Uitzonderingen documenteren en regelmatig controleren.
  • Pas na succesvolle tests verder uitrollen.