Hoppa till innehållet
Avanet

Inför TLS Inspection säkert på Sophos Firewall

Sophos Firewall

En stor del av dagens webbtrafik är krypterad. Utan TLS Inspection ser brandväggen ofta bara mål-IP, SNI, certifikatinformation och metadata, men inte det faktiska innehållet i anslutningen.

Det är ett säkerhetsproblem: många skyddsfunktioner kan inte kontrollera krypterad payload alls, eller bara mycket begränsat. Malware Scanning, Web Protection, Zero-Day-analys, Content Scanning och delar av applikations- eller hotdetektering blir först riktigt effektiva när brandväggen kan dekryptera TLS-trafiken, kontrollera den och därefter kryptera den igen. Även IPS och NDR drar nytta av mer klartextsynlighet. Utan dekryptering begränsas många signaler till metadata, certifikat, IP-adresser, domäner eller protokollinformation.

TLS Inspection är dock ingen funktion som bör aktiveras oförberett för alla användare. Den kan störa applikationer, beröra dataskyddsfrågor och belasta brandväggen mer. Därför bör TLS Inspection införas planerat, stegvis och med en tydlig strategi för undantag.

Licens och förutsättningar

För TLS Inspection och meningsfull analys av dekrypterad trafik krävs passande skyddslicenser.

Viktiga är framför allt:

  • Web Protection: Innehåller Web Security, Web Control, Application Control och Web Malware Protection.
  • Network Protection: Innehåller bland annat IPS, Security Heartbeat och andra nätverksskydd.
  • Zero-Day Protection: Blir viktig när filer eller downloads dessutom ska analyseras med Machine Learning eller Sandbox.

Web Protection ingår i licenspaketet Standard Protection. Xstream Protection och Epic Protection innehåller också Web Protection och ytterligare skyddsmoduler. Sophos beskriver licensmodulerna i den officiella översikten: Sophos Firewall licensing info.

Före rollout bör man kontrollera:

  • Aktuell Sophos Firewall Firmware är installerad.
  • Web Protection är licensierat.
  • Brandväggens CA-certifikat är distribuerat till klienterna.
  • Testgrupp eller testnät är definierat.
  • Rollback är dokumenterad.
  • Processen för undantag är klargjord.
  • Logging är aktiverat.

Om CA-certifikatet ännu inte är distribuerat hjälper artikeln Installera Sophos Firewall CA-certifikat för HTTPS Scanning.

⚠️ TLS Inspection kan störa applikationer som använder Certificate Pinning eller egna certifikatkontroller. Börja alltid med en testgrupp och inte direkt med alla användare.

DPI eller Web Proxy?

Sophos Firewall kan implementera HTTPS-Decryption i två driftlägen:

  • DPI Mode: Firewall-regeln använder DPI Engine. SSL/TLS Inspection Rules under Rules and policies > SSL/TLS inspection rules avgör vad som dekrypteras.
  • Web Proxy Mode: Firewall-regeln använder Web Proxy. HTTPS-Decryption styrs då via Web-Proxy-inställningar och Web Policies.

För moderna installationer används ofta DPI Mode. Firewall-regeln är viktig:

  1. Öppna Rules and policies > Firewall rules.
  2. Redigera den berörda LAN-to-WAN-regeln.
  3. Öppna Security features > Web filtering.
  4. Aktivera rätt Web Policy.
  5. Aktivera Scan HTTP and decrypted HTTPS.
  6. Låt Use web proxy instead of DPI engine vara avaktiverat om SSL/TLS Inspection Rules ska gälla.

Om Use web proxy instead of DPI engine är aktiverat går webbtrafiken via Web Proxy. Då gäller andra Decryption-inställningar för HTTP/HTTPS än vid DPI-baserade SSL/TLS Inspection Rules.

Sophos beskriver skillnaden i guiden Configure SSL/TLS inspection and decryption.

Vilken trafik bör dekrypteras?

Man bör inte dekryptera allt blint. Bra TLS Inspection börjar med tydliga mål.

Lämpliga första mål:

  • LAN > WAN: klassisk användarwebbtrafik till internet.
  • Wi-Fi > WAN: hanterade klienter i företags-WLAN.
  • VPN > WAN: Remote-Access-användare om deras internettrafik går via brandväggen.
  • LAN > DMZ: interna åtkomster till egna servrar om säkerhetskontroll önskas där och certifikaten är korrekt distribuerade.

Hantera försiktigt:

  • Bank, hälsa, myndigheter och mycket känsliga portaler.
  • Password managers och Identity Providers.
  • Operativsystems- och tillverkaruppdateringar.
  • Mobila appar och Android-enheter.
  • Applikationer med Certificate Pinning.
  • Voice-, video- och collaboration-tjänster om de blir instabila genom Decryption.

För serverpubliceringar från internet till DMZ är TLS Inspection inte automatiskt den bästa lösningen. För webbservrar är ofta Web Server Protection / WAF eller en Reverse Proxy mer lämplig.

Rollout-strategi

En stegvis metod har visat sig fungera bäst:

  1. Distribuera CA-certifikat.
  2. Förbered Web Policy och firewall-regel.
  3. Välj Decryption Profile.
  4. Definiera liten testgrupp.
  5. Aktivera SSL/TLS Inspection Rule endast för denna grupp.
  6. Övervaka Control Center och Log Viewer.
  7. Analysera fel och dokumentera undantag rent.
  8. Utöka stegvis till fler användargrupper.

På så sätt ser man tidigt vilka applikationer som får problem utan att påverka hela driften.

Förstå Decryption Profiles

Ett Decryption Profile anger hur strikt brandväggen hanterar TLS-anslutningar. Profilerna finns under Profiles > Decryption profiles.

Ett Decryption Profile besvarar bland annat dessa frågor:

  • Vad händer vid ogiltiga eller icke betrodda certifikat?
  • Blockeras gamla TLS-versioner?
  • Blockeras osäkra Cipher Suites?
  • Vad händer vid SSL-komprimering?
  • Vad händer vid unrecognized cipher suites?
  • Vad händer när brandväggen inte kan dekryptera en anslutning?
  • Vilken CA används för den nya signeringen?

För en första rollout är en mer kompatibel profil lämplig, till exempel Maximum compatibility eller en egen konservativ profil. För produktiva säkerhetsregler kan senare en striktare profil som Block insecure SSL användas.

Viktigt: Decryption Profile väljs direkt i SSL/TLS Inspection Rule. Sophos påpekar att profilen kan skriva över de globala SSL/TLS-Inspection-inställningarna för denna regel.

Skapa SSL/TLS Inspection Rule

Menyvägen är Rules and policies > SSL/TLS inspection rules.

En första regel bör vara så riktad som möjligt:

  • Action: Decrypt
  • Decryption profile: konservativ testprofil
  • Source zones: LAN eller testnät
  • Source networks and devices: testgrupp eller testsubnät
  • Destination zones: oftast WAN
  • Destination networks: initialt Any
  • Services: ofta Any i början, eftersom SSL/TLS även kan identifieras på andra TCP-portar
  • Websites / Categories: valfri begränsning

Sophos beskriver att SSL/TLS Inspection Rules kan identifiera SSL/TLS-anslutningar på valfria TCP-portar. Reglerna behandlas uppifrån och ned. Specifika regler bör därför ligga ovanför generella regler.

Officiell dokumentation: SSL/TLS inspection rules.

Exclusion Lists

Inte all TLS-trafik bör dekrypteras. Sophos använder Exclusion Rules och TLS Exclusion Lists för detta.

Local TLS Exclusion List

Local TLS exclusion list är brandväggens lokala undantagslista. Den är tom som standard och kan fyllas via troubleshooting i Control Center eller Log Viewer.

Den kan också redigeras manuellt:

Web > URL groups > Local TLS exclusion list

Listan är användbar för domäner som orsakar problem i den egna miljön, till exempel på grund av Certificate Pinning eller särskilda klientapplikationer.

Managed TLS Exclusion List

Managed TLS exclusion list innehåller undantag som Sophos underhåller för kända problematiska tjänster. Listan uppdateras via firmware updates.

Typiska exempel är tjänster där TLS Inspection erfarenhetsmässigt orsakar problem eller tekniskt inte är meningsfull.

Egna Exclusion Rules

Dessutom kan man skapa egna SSL/TLS Inspection Rules med Action > Don’t decrypt. Dessa bör ligga direkt under standardregeln för Exclusion och bara omfatta trafik som verkligen inte ska dekrypteras.

Möjliga kriterier:

  • Web-kategorier
  • URL Groups
  • Användare och grupper
  • Source- och Destination-nät
  • IP-adresser
  • Services

Undantag bör dokumenteras: domän, orsak, berörda användare, datum och review-datum.

Övervaka Dashboard Widget

I Control Center finns ett widget för SSL/TLS Inspection. Det är mycket användbart för att övervaka rollout och fel.

Det visar bland annat:

  • Andel dekrypterade SSL/TLS-sessions.
  • Andel icke dekrypterade SSL/TLS-sessions.
  • Övrig trafik.
  • Fel de senaste dagarna.
  • Top-websites eller Top-users med problem.
  • Decryption peak och Decryption limit.
Sophos Firewall - SSL/TLS Inspection Widget med dekrypterad och icke dekrypterad trafik
Sophos Firewall - Control Center > SSL/TLS Inspection Widget

Om widgeten visar många fel bör man inte omedelbart avaktivera hela TLS Inspection. Bättre är att via Fix errors kontrollera berörda mål specifikt och vid behov skapa rena undantag.

Utvärdera Log Viewer

I Log Viewer kan man välja filtret SSL/TLS inspection. Där ser man vad som har hänt med enskilda anslutningar.

Sophos Firewall - Log Viewer med SSL/TLS Inspection Events
Sophos Firewall - Log Viewer > SSL/TLS inspection

Färgerna hjälper med den första bedömningen:

  • Röd: Fel. Anslutningen kunde inte dekrypteras eller bearbetas korrekt. Här bör man kontrollera certifikatfel, Cipher Suites, TLS-versioner eller inkompatibla applikationer.
  • Grön: Do not decrypt. Anslutningen dekrypterades medvetet inte, till exempel på grund av en Exclusion Rule eller en TLS Exclusion List.
  • Blå: Decrypt. Anslutningen dekrypterades och vidarebefordrades därefter krypterad igen.

I loggen ser man dessutom Decryption Profile, käll-IP, mål-IP, användare, kategori och måldomän. Därmed kan man kontrollera om rätt rule matchar och om ett undantag verkligen gäller.

Tester

Efter aktivering av TLS Inspection bör man kontrollera:

  • Används Sophos CA-certifikat i webbläsaren?
  • Fungerar viktiga business-applikationer?
  • Finns TLS-fel i Log Viewer?
  • Identifieras Malware- eller Web-Policy-events korrekt?
  • Visas trafiken som decrypted i Control-Center-widgeten?
  • Håller sig brandväggens prestanda inom förväntat intervall?
  • Finns klagomål från testanvändare?

För felsökning är särskilt Log Viewer, Policy Test, webbläsarens certifikatvy, Packet Capture och SSL/TLS-Inspection-widgeten användbara.

Rollback

Om störningar uppstår bör en tydlig rollback vara möjlig:

  • Avaktivera SSL/TLS Inspection Rule.
  • Ta bort testgruppen från regeln.
  • Mjuka upp Decryption Profile.
  • Lägg till undantag för berörd domän eller applikation.
  • Ställ tillbaka firewall-regeln till Web Proxy om det är avsiktligt.

Sophos påpekar att SSL/TLS Inspection Rules och SSL/TLS Engine måste vara synligt aktiva för att Control Center och Log Viewer ska visa detaljerna. Om man avaktiverar SSL/TLS Inspection för troubleshooting bör den aktiveras igen efteråt.

Rekommendation

TLS Inspection är inte ett en-klicksprojekt. Rätt infört ger det däremot betydligt mer synlighet och förbättrar effekten av Web Protection, Malware Scanning, IPS, NDR och Zero-Day-funktioner.

För produktionsmiljöer rekommenderar vi:

  • Börja med LAN-to-WAN för en liten testgrupp.
  • Distribuera CA-certifikatet rent.
  • Välj DPI/Web-Proxy-läge medvetet.
  • Starta inte med ett för aggressivt Decryption Profile.
  • Övervaka Log Viewer och Dashboard dagligen.
  • Dokumentera undantag och kontrollera dem regelbundet.
  • Rulla ut vidare först efter lyckade tester.