Przejdz do tresci
Avanet

Wdrażanie TLS Inspection w Sophos Firewall krok po kroku

Sophos Firewall

Duża część dzisiejszego ruchu web jest szyfrowana. Bez TLS Inspection firewall często widzi tylko docelowy adres IP, SNI, informacje o certyfikacie i metadane, ale nie właściwą treść połączenia.

To problem bezpieczeństwa: wiele funkcji ochronnych nie może sprawdzać zaszyfrowanego payloadu albo robi to tylko w mocno ograniczonym zakresie. Malware-Scanning, Web Protection, Zero-Day analysis, Content-Scanning oraz części rozpoznawania aplikacji lub zagrożeń stają się naprawdę skuteczne dopiero wtedy, gdy firewall może odszyfrować ruch TLS, sprawdzić go i ponownie zaszyfrować. IPS i NDR również korzystają z większej widoczności w plain text. Bez odszyfrowania wiele sygnałów ogranicza się do metadanych, certyfikatów, IP, domen albo informacji protokołu.

TLS Inspection nie jest jednak funkcją, którą należy aktywować bez przygotowania dla wszystkich użytkowników. Może zakłócać aplikacje, dotykać kwestii ochrony danych i mocniej obciążać firewall. Dlatego TLS Inspection należy wdrażać planowo, etapami i z jasną strategią wyjątków.

Licencja i wymagania

Dla TLS Inspection i sensownej analizy odszyfrowanego ruchu potrzebne są właściwe licencje ochronne.

Najważniejsze są:

  • Web Protection: Zawiera Web Security, Web Control, Application Control i Web Malware Protection.
  • Network Protection: Zawiera między innymi IPS, Security Heartbeat i inne funkcje ochrony sieci.
  • Zero-Day Protection: Jest ważna, gdy pliki albo pobrania mają być dodatkowo analizowane przez Machine Learning albo Sandbox.

Web Protection jest częścią pakietu licencyjnego Standard Protection. Xstream Protection i Epic Protection również zawierają Web Protection oraz dodatkowe moduły ochronne. Sophos opisuje moduły licencyjne w oficjalnym zestawieniu: Sophos Firewall licensing info.

Przed rolloutem należy sprawdzić:

  • Zainstalowana jest aktualna firmware Sophos Firewall.
  • Web Protection jest licencjonowane.
  • Certyfikat CA firewalla jest rozdystrybuowany na klientach.
  • Zdefiniowano grupę testową albo sieć testową.
  • Rollback jest udokumentowany.
  • Proces wyjątków jest wyjaśniony.
  • Logging jest aktywny.

Jeśli certyfikat CA nie jest jeszcze rozdystrybuowany, pomaga artykuł Instalacja certyfikatu CA Sophos Firewall dla HTTPS Scanning.

⚠️ TLS Inspection może zakłócać aplikacje, które używają Certificate Pinning albo własnych mechanizmów sprawdzania certyfikatów. Zawsze zaczynaj od grupy testowej, nie od wszystkich użytkowników.

DPI czy Web Proxy?

Sophos Firewall może realizować HTTPS-Decryption w dwóch trybach:

  • DPI Mode: Reguła firewalla używa DPI Engine. SSL/TLS Inspection Rules w Rules and policies > SSL/TLS inspection rules decydują, co jest odszyfrowywane.
  • Web Proxy Mode: Reguła firewalla używa Web Proxy. HTTPS-Decryption jest wtedy sterowane przez ustawienia Web Proxy i Web Policies.

Dla nowoczesnych konfiguracji często używa się DPI Mode. Ważna jest przy tym reguła firewalla:

  1. Otworzyć Rules and policies > Firewall rules.
  2. Edytować właściwą regułę LAN-to-WAN.
  3. Otworzyć Security features > Web filtering.
  4. Aktywować odpowiednią Web Policy.
  5. Aktywować Scan HTTP and decrypted HTTPS.
  6. Pozostawić Use web proxy instead of DPI engine wyłączone, jeśli mają działać SSL/TLS Inspection Rules.

Jeśli Use web proxy instead of DPI engine jest aktywne, ruch web przechodzi przez Web Proxy. Wtedy dla HTTP/HTTPS obowiązują inne ustawienia decryption niż przy DPI-based SSL/TLS Inspection Rules.

Sophos opisuje tę różnicę w instrukcji Configure SSL/TLS inspection and decryption.

Jaki ruch warto odszyfrowywać?

Nie należy ślepo odszyfrowywać wszystkiego. Dobra TLS Inspection zaczyna się od jasnych celów.

Sensowne pierwsze cele:

  • LAN > WAN: klasyczny ruch użytkowników do Internetu.
  • Wi-Fi > WAN: zarządzane klienty w firmowym WLAN.
  • VPN > WAN: użytkownicy Remote Access, jeśli ich ruch internetowy przechodzi przez firewall.
  • LAN > DMZ: wewnętrzny dostęp do własnych serwerów, jeśli kontrola bezpieczeństwa jest tam wymagana i certyfikaty są poprawnie rozdystrybuowane.

Ostrożnie traktować:

  • bankowość, zdrowie, urzędy i bardzo wrażliwe portale.
  • password managers i Identity Providers.
  • usługi aktualizacji systemów operacyjnych i producentów.
  • aplikacje mobilne i urządzenia Android.
  • aplikacje z Certificate Pinning.
  • usługi voice, video i collaboration, jeśli przez decryption stają się niestabilne.

Dla publikacji serwerów z Internetu do DMZ TLS Inspection nie jest automatycznie najlepszym rozwiązaniem. Przy webserverach często sensowniejsze jest Web Server Protection / WAF albo reverse proxy.

Strategia rollout

Sprawdzone jest podejście etapowe:

  1. Rozdystrybuować certyfikat CA.
  2. Przygotować Web Policy i regułę firewalla.
  3. Wybrać Decryption Profile.
  4. Zdefiniować małą grupę testową.
  5. Aktywować SSL/TLS Inspection Rule tylko dla tej grupy.
  6. Obserwować Control Center i Log Viewer.
  7. Analizować błędy i czysto dokumentować wyjątki.
  8. Stopniowo rozszerzać na kolejne grupy użytkowników.

Tak można wcześnie rozpoznać aplikacje sprawiające problemy, bez wpływu na cały biznes.

Zrozumienie Decryption Profiles

Decryption Profile określa, jak rygorystycznie firewall traktuje połączenia TLS. Profile znajdują się w Profiles > Decryption profiles.

Decryption Profile odpowiada między innymi na pytania:

  • Co dzieje się przy nieprawidłowych albo niezaufanych certyfikatach?
  • Czy stare wersje TLS są blokowane?
  • Czy niebezpieczne Cipher Suites są blokowane?
  • Co dzieje się przy SSL-Compression?
  • Co dzieje się przy unrecognized cipher suites?
  • Co dzieje się, gdy firewall nie może odszyfrować połączenia?
  • Które CA jest używane do ponownego podpisania?

Dla pierwszego rollout sensowny jest bardziej kompatybilny profil, na przykład Maximum compatibility albo własny konserwatywny profil. Dla reguł produkcyjnych później można użyć bardziej rygorystycznego profilu, takiego jak Block insecure SSL.

Ważne: Decryption Profile jest wybierany bezpośrednio w SSL/TLS Inspection Rule. Sophos wskazuje, że profil może nadpisywać globalne SSL/TLS-Inspection-Settings dla tej reguły.

Tworzenie SSL/TLS Inspection Rule

Ścieżka menu to Rules and policies > SSL/TLS inspection rules.

Pierwsza reguła powinna być możliwie precyzyjna:

  • Action: Decrypt
  • Decryption profile: konserwatywny profil testowy
  • Source zones: LAN albo sieć testowa
  • Source networks and devices: grupa testowa albo podsieć testowa
  • Destination zones: najczęściej WAN
  • Destination networks: na początku Any
  • Services: na start często Any, ponieważ SSL/TLS może być rozpoznawany także na innych portach TCP
  • Websites / Categories: opcjonalnie ograniczyć

Sophos opisuje, że SSL/TLS Inspection Rules mogą rozpoznawać połączenia SSL/TLS na dowolnych portach TCP. Reguły są przetwarzane od góry do dołu. Dlatego reguły specyficzne powinny znajdować się nad ogólnymi.

Oficjalna dokumentacja: SSL/TLS inspection rules.

Exclusion Lists

Nie każdy ruch TLS powinien być odszyfrowywany. Sophos używa do tego Exclusion Rules i TLS Exclusion Lists.

Local TLS Exclusion List

Local TLS exclusion list to lokalna lista wyjątków firewalla. Domyślnie jest pusta i może być wypełniana podczas troubleshootingu w Control Center albo Log Viewer.

Można ją też edytować ręcznie:

Web > URL groups > Local TLS exclusion list

Ta lista jest sensowna dla domen, które w danym środowisku powodują problemy, na przykład przez Certificate Pinning albo specjalne aplikacje klienckie.

Managed TLS Exclusion List

Managed TLS exclusion list zawiera wyjątki utrzymywane przez Sophos dla znanych problematycznych usług. Lista jest aktualizowana przez firmware updates.

Typowe przykłady to usługi, przy których TLS Inspection z doświadczenia powoduje problemy albo technicznie nie ma sensu.

Własne Exclusion Rules

Dodatkowo można tworzyć własne SSL/TLS Inspection Rules z Action > Don’t decrypt. Powinny znajdować się bezpośrednio pod standardową regułą exclusion i zawierać tylko ruch, którego naprawdę nie należy odszyfrowywać.

Możliwe kryteria:

  • Web categories
  • URL Groups
  • użytkownicy i grupy
  • Source- i Destination networks
  • adresy IP
  • Services

Wyjątki należy dokumentować: domena, powód, objęci użytkownicy, data i termin review.

Obserwacja Dashboard Widget

W Control Center znajduje się widget dla SSL/TLS Inspection. Jest bardzo pomocny przy monitorowaniu rollout i błędów.

Pokazuje między innymi:

  • Udział odszyfrowanych SSL/TLS-Sessions.
  • Udział nieodszyfrowanych SSL/TLS-Sessions.
  • Inny ruch.
  • Błędy z ostatnich dni.
  • Top-Websites albo Top-User z problemami.
  • Decryption peak i Decryption limit.
Sophos Firewall - widget SSL/TLS Inspection z odszyfrowanym i nieodszyfrowanym ruchem
Sophos Firewall - Control Center > SSL/TLS Inspection Widget

Jeśli w widżecie pojawia się wiele błędów, nie należy od razu wyłączać całej TLS Inspection. Lepiej przez Fix errors celowo sprawdzić objęte tym cele i w razie potrzeby utworzyć czyste wyjątki.

Analiza Log Viewer

W Log Viewer można wybrać filtr SSL/TLS inspection. Widać tam, co stało się z poszczególnymi połączeniami.

Sophos Firewall - Log Viewer ze zdarzeniami SSL/TLS Inspection
Sophos Firewall - Log Viewer > SSL/TLS inspection

Kolory pomagają w pierwszej ocenie:

  • Czerwony: błąd. Połączenia nie udało się poprawnie odszyfrować albo przetworzyć. Warto sprawdzić błędy certyfikatów, Cipher Suites, wersje TLS albo niekompatybilne aplikacje.
  • Zielony: Do not decrypt. Połączenie świadomie nie zostało odszyfrowane, na przykład przez Exclusion Rule albo TLS Exclusion List.
  • Niebieski: Decrypt. Połączenie zostało odszyfrowane, a następnie ponownie zaszyfrowane i przekazane dalej.

W logu widać także Decryption Profile, źródłowy IP, docelowy IP, użytkownika, kategorię i domenę docelową. Dzięki temu można sprawdzić, czy dopasowała się właściwa rule i czy wyjątek naprawdę działa.

Testy

Po aktywacji TLS Inspection należy sprawdzić:

  • Czy certyfikat Sophos CA jest używany w przeglądarce?
  • Czy ważne aplikacje biznesowe działają?
  • Czy w Log Viewer są błędy TLS?
  • Czy Malware- albo Web-Policy-Events są poprawnie rozpoznawane?
  • Czy ruch w widżecie Control Center jest pokazywany jako decrypted?
  • Czy wydajność firewalla pozostaje w oczekiwanym zakresie?
  • Czy są zgłoszenia od użytkowników testowych?

Przy diagnostyce szczególnie pomocne są Log Viewer, Policy Test, widok certyfikatu w przeglądarce, Packet Capture i widget SSL/TLS Inspection.

Rollback

Jeśli wystąpią zakłócenia, rollback powinien być jasny:

  • Wyłączyć SSL/TLS Inspection Rule.
  • Usunąć grupę testową z reguły.
  • Złagodzić Decryption Profile.
  • Dodać wyjątek dla objętej tym domeny albo aplikacji.
  • Przełączyć regułę firewalla z powrotem na Web Proxy, jeśli jest to świadomie pożądane.

Sophos wskazuje, że SSL/TLS Inspection Rules i SSL/TLS Engine muszą być widocznie aktywne, aby Control Center i Log Viewer pokazywały szczegóły. Jeśli SSL/TLS Inspection jest wyłączana do troubleshootingu, po zakończeniu należy ją ponownie włączyć.

Rekomendacja

TLS Inspection nie jest projektem na jedno kliknięcie. Prawidłowo wdrożona daje jednak znacznie większą widoczność i poprawia skuteczność Web Protection, Malware Scanning, IPS, NDR oraz funkcji Zero-Day.

Dla środowisk produkcyjnych zalecamy:

  • Najpierw LAN-to-WAN dla małej grupy testowej.
  • Czysto rozdystrybuować certyfikat CA.
  • Świadomie wybrać tryb DPI/Web-Proxy.
  • Nie zaczynać od zbyt agresywnego Decryption Profile.
  • Codziennie obserwować Log Viewer i dashboard.
  • Dokumentować wyjątki i regularnie je sprawdzać.
  • Rozszerzać rollout dopiero po udanych testach.