Saltar para o conteudo
Avanet

Introduzir TLS Inspection na Sophos Firewall com segurança

Sophos Firewall

Uma grande parte do tráfego Web atual é encriptada. Sem TLS Inspection, a Firewall vê muitas vezes apenas IP de destino, SNI, informações de certificado e metadados, mas não o conteúdo real da ligação.

Isto é um problema de segurança: muitas funções de proteção não conseguem analisar payload encriptado, ou só o conseguem fazer de forma muito limitada. Malware Scanning, Web Protection, Zero-Day Analysis, Content Scanning e partes da deteção de aplicações ou ameaças só se tornam realmente eficazes quando a Firewall consegue desencriptar o tráfego TLS, analisá-lo e voltar a encriptá-lo. IPS e NDR também beneficiam de mais visibilidade em texto claro. Sem desencriptação, muitos sinais ficam limitados a metadados, certificados, IPs, domínios ou informações de protocolo.

TLS Inspection, no entanto, não é uma função que deva ser ativada sem preparação para todos os utilizadores. Pode perturbar aplicações, levantar questões de proteção de dados e aumentar a carga da Firewall. Por isso, TLS Inspection deve ser introduzida de forma planeada, gradual e com uma estratégia clara de exceções.

Licença e pré-requisitos

Para TLS Inspection e para uma avaliação útil do tráfego desencriptado, são necessárias as licenças de proteção adequadas.

Especialmente importantes são:

  • Web Protection: inclui Web Security, Web Control, Application Control e Web Malware Protection.
  • Network Protection: inclui, entre outros, IPS, Security Heartbeat e outras funções de proteção de rede.
  • Zero-Day Protection: torna-se importante quando ficheiros ou downloads também devem ser analisados por Machine Learning ou Sandbox.

Web Protection está incluída no bundle Standard Protection. Xstream Protection e Epic Protection também incluem Web Protection e outros módulos de proteção. A Sophos descreve os módulos de licenciamento na visão geral oficial: Sophos Firewall licensing info.

Antes do Rollout, deve-se verificar:

  • Firmware atual da Sophos Firewall está instalado.
  • Web Protection está licenciada.
  • O CA Certificate da Firewall está distribuído nos clientes.
  • Grupo de teste ou rede de teste está definido.
  • Rollback está documentado.
  • Processo de exceções está claro.
  • Logging está ativado.

Se o CA Certificate ainda não estiver distribuído, ajuda o artigo Sophos Firewall CA Zertifikat für HTTPS Scanning installieren.

⚠️ TLS Inspection pode perturbar aplicações que usam Certificate Pinning ou verificações próprias de certificados. Começa sempre com um grupo de teste e não diretamente com todos os utilizadores.

DPI ou Web Proxy?

A Sophos Firewall pode implementar HTTPS Decryption em dois modos:

  • DPI Mode: A regra de Firewall usa o DPI Engine. SSL/TLS Inspection Rules em Rules and policies > SSL/TLS inspection rules decidem o que é desencriptado.
  • Web Proxy Mode: A regra de Firewall usa o Web Proxy. HTTPS Decryption é então controlada através das definições de Web Proxy e Web Policies.

Em setups modernos, é frequente usar DPI Mode. A regra de Firewall é importante:

  1. Abre Rules and policies > Firewall rules.
  2. Edita a regra LAN-to-WAN afetada.
  3. Abre Security features > Web filtering.
  4. Ativa a Web Policy adequada.
  5. Ativa Scan HTTP and decrypted HTTPS.
  6. Mantém Use web proxy instead of DPI engine desativado, se as SSL/TLS Inspection Rules devem ser aplicadas.

Se Use web proxy instead of DPI engine estiver ativo, o tráfego Web passa pelo Web Proxy. Nesse caso, aplicam-se a HTTP/HTTPS outras definições de Decryption do que nas SSL/TLS Inspection Rules baseadas em DPI.

A Sophos descreve esta diferença no guia Configure SSL/TLS inspection and decryption.

Que tráfego deve ser desencriptado?

Não se deve desencriptar tudo cegamente. Uma boa TLS Inspection começa com objetivos claros.

Bons primeiros alvos:

  • LAN > WAN: tráfego Web clássico dos utilizadores para a Internet.
  • Wi-Fi > WAN: clientes geridos no Wi-Fi empresarial.
  • VPN > WAN: utilizadores Remote Access, se o tráfego Internet deles passar pela Firewall.
  • LAN > DMZ: acessos internos a servidores próprios, quando se pretende análise de segurança e os certificados estão bem distribuídos.

Tratar com cuidado:

  • Banking, saúde, entidades públicas e portais altamente sensíveis.
  • Password managers e Identity Providers.
  • Serviços de update de sistemas operativos e fabricantes.
  • Mobile Apps e dispositivos Android.
  • Aplicações com Certificate Pinning.
  • Serviços de voz, vídeo e colaboração, se ficarem instáveis com Decryption.

Para publicações de servidores da Internet para a DMZ, TLS Inspection nem sempre é automaticamente a melhor solução. Em servidores Web, Web Server Protection / WAF ou um Reverse Proxy são frequentemente mais adequados.

Estratégia de Rollout

Uma abordagem faseada tem-se mostrado eficaz:

  1. Distribuir CA Certificate.
  2. Preparar Web Policy e regra de Firewall.
  3. Selecionar Decryption Profile.
  4. Definir pequeno grupo de teste.
  5. Ativar SSL/TLS Inspection Rule apenas para esse grupo.
  6. Observar Control Center e Log Viewer.
  7. Analisar erros e documentar exceções corretamente.
  8. Expandir gradualmente para outros grupos de utilizadores.

Assim, é possível identificar cedo que aplicações causam problemas sem afetar toda a operação.

Compreender Decryption Profiles

Um Decryption Profile define quão rigorosa a Firewall deve ser com ligações TLS. Os Profiles encontram-se em Profiles > Decryption profiles.

Um Decryption Profile responde, entre outras, a estas perguntas:

  • O que acontece com certificados inválidos ou não confiáveis?
  • Versões TLS antigas são bloqueadas?
  • Cipher Suites inseguras são bloqueadas?
  • O que acontece com SSL Compression?
  • O que acontece com unrecognized cipher suites?
  • O que acontece quando a Firewall não consegue desencriptar uma ligação?
  • Que CA é usada para a nova assinatura?

Para um primeiro Rollout, faz sentido usar um Profile mais compatível, por exemplo Maximum compatibility ou um Profile próprio conservador. Para regras produtivas de segurança, pode ser usado mais tarde um Profile mais rigoroso como Block insecure SSL.

Importante: o Decryption Profile é selecionado diretamente na SSL/TLS Inspection Rule. A Sophos indica que o Profile pode sobrepor as definições globais de SSL/TLS Inspection para essa regra.

Criar SSL/TLS Inspection Rule

O caminho de menu é Rules and policies > SSL/TLS inspection rules.

Uma primeira regra deve ser o mais específica possível:

  • Action: Decrypt
  • Decryption profile: Profile de teste conservador
  • Source zones: LAN ou rede de teste
  • Source networks and devices: grupo de teste ou sub-rede de teste
  • Destination zones: normalmente WAN
  • Destination networks: inicialmente Any
  • Services: no início, muitas vezes Any, porque SSL/TLS também pode ser reconhecido noutras portas TCP
  • Websites / Categories: opcionalmente limitar

A Sophos descreve que SSL/TLS Inspection Rules conseguem reconhecer ligações SSL/TLS em quaisquer portas TCP. As regras são processadas de cima para baixo. Regras específicas devem, por isso, ficar acima de regras gerais.

Documentação oficial: SSL/TLS inspection rules.

Exclusion Lists

Nem todo o tráfego TLS deve ser desencriptado. Para isso, a Sophos usa Exclusion Rules e TLS Exclusion Lists.

Local TLS Exclusion List

A Local TLS exclusion list é a lista local de exceções da Firewall. Por predefinição, está vazia e pode ser preenchida através de Troubleshooting no Control Center ou no Log Viewer.

Também pode ser editada manualmente:

Web > URL groups > Local TLS exclusion list

Esta lista é útil para domínios que causam problemas no próprio ambiente, por exemplo devido a Certificate Pinning ou aplicações cliente especiais.

Managed TLS Exclusion List

A Managed TLS exclusion list contém exceções mantidas pela Sophos para serviços conhecidos como problemáticos. Esta lista é atualizada através de Firmware Updates.

Exemplos típicos são serviços nos quais TLS Inspection costuma causar problemas ou não faz sentido tecnicamente.

Exclusion Rules próprias

Além disso, é possível criar SSL/TLS Inspection Rules próprias com Action > Don’t decrypt. Estas devem ficar diretamente abaixo da regra de exclusão padrão e conter apenas tráfego que realmente não deve ser desencriptado.

Critérios possíveis:

  • Web Categories
  • URL Groups
  • Utilizadores e grupos
  • Redes Source e Destination
  • Endereços IP
  • Services

Exceções devem ser documentadas: domínio, motivo, utilizadores afetados, data e data de revisão.

Observar o Dashboard Widget

No Control Center existe um widget para SSL/TLS Inspection. Este widget é muito útil para monitorizar Rollout e erros.

Mostra, entre outros:

  • Percentagem de SSL/TLS Sessions desencriptadas.
  • Percentagem de SSL/TLS Sessions não desencriptadas.
  • Outro tráfego.
  • Erros dos últimos dias.
  • Top Websites ou Top Users com problemas.
  • Decryption peak e Decryption limit.
Sophos Firewall - widget SSL/TLS Inspection com tráfego desencriptado e não desencriptado
Sophos Firewall - Control Center > SSL/TLS Inspection Widget

Se aparecerem muitos erros no widget, não se deve desativar imediatamente toda a TLS Inspection. É melhor usar Fix errors para verificar de forma direcionada os destinos afetados e, se necessário, criar exceções limpas.

Avaliar o Log Viewer

No Log Viewer, pode-se selecionar o filtro SSL/TLS inspection. Aí é visível o que aconteceu com ligações individuais.

Sophos Firewall - Log Viewer com eventos SSL/TLS Inspection
Sophos Firewall - Log Viewer > SSL/TLS inspection

As cores ajudam na primeira interpretação:

  • Vermelho: erro. A ligação não pôde ser desencriptada ou processada corretamente. Deve-se verificar erros de certificado, Cipher Suites, versões TLS ou aplicações incompatíveis.
  • Verde: Do not decrypt. A ligação não foi desencriptada deliberadamente, por exemplo devido a uma Exclusion Rule ou TLS Exclusion List.
  • Azul: Decrypt. A ligação foi desencriptada e depois reencriptada antes de ser encaminhada.

No Log também se vê Decryption Profile, Source IP, Destination IP, utilizador, categoria e Destination Domain. Com isto, é possível confirmar se a Rule correta fez match e se uma exceção está realmente a aplicar-se.

Testes

Depois de ativar TLS Inspection, deve-se verificar:

  • O Sophos CA Certificate é usado no browser?
  • As aplicações de negócio importantes funcionam?
  • Existem erros TLS no Log Viewer?
  • Eventos Malware ou Web Policy são reconhecidos corretamente?
  • O tráfego aparece como decrypted no widget do Control Center?
  • A performance da Firewall permanece dentro do esperado?
  • Existem queixas dos utilizadores de teste?

Para Troubleshooting, são especialmente úteis Log Viewer, Policy Test, a vista de certificados do browser, Packet Capture e o widget SSL/TLS Inspection.

Rollback

Se surgirem problemas, deve existir um Rollback claro:

  • Desativar a SSL/TLS Inspection Rule.
  • Remover o grupo de teste da regra.
  • Tornar o Decryption Profile menos rigoroso.
  • Adicionar exceção para o domínio ou aplicação afetada.
  • Voltar a regra de Firewall para Web Proxy, se isso for desejado de forma consciente.

A Sophos indica que SSL/TLS Inspection Rules e o SSL/TLS Engine têm de estar visivelmente ativos para que Control Center e Log Viewer mostrem os detalhes. Se TLS Inspection for desativada para Troubleshooting, deve ser reativada depois.

Recomendação

TLS Inspection não é um projeto de um clique. Quando introduzida corretamente, fornece muito mais visibilidade e melhora o efeito de Web Protection, Malware Scanning, IPS, NDR e funções Zero-Day.

Para ambientes produtivos, recomendamos:

  • Começar com LAN-to-WAN para um pequeno grupo de teste.
  • Distribuir corretamente o CA Certificate.
  • Escolher conscientemente entre DPI e Web Proxy Mode.
  • Não começar com um Decryption Profile demasiado agressivo.
  • Observar Log Viewer e Dashboard diariamente.
  • Documentar exceções e revê-las regularmente.
  • Expandir apenas depois de testes bem-sucedidos.