Införa Sophos Firewall TLS-inspektion korrekt
En stor del av dagens webbtrafik är krypterad. Utan TLS-inspektion ser brandväggen ofta bara mål-IP, SNI, certifikatinformation och metadata, men inte själva innehållet i anslutningen.
Detta är ett säkerhetsproblem: Många skyddsfunktioner kan inte eller endast i begränsad omfattning kontrollera krypterad nyttolast. Malware-skanning, webbskydd, noll-dagarsanalys, innehållsskanning och delar av applikations- eller hotdetektering blir verkligen effektiva först när brandväggen kan dekryptera, kontrollera och sedan återkryptera TLS-trafiken. Även IPS och NDR drar nytta av mer klartextsynlighet. Utan dekryptering är många signaler begränsade till metadata, certifikat, IP-adresser, domäner eller protokollinformation.
TLS-inspektion är dock inte en funktion som bör aktiveras oförberett för alla användare. Det kan störa applikationer, beröra dataskyddsfrågor och belasta brandväggen mer. Därför bör TLS-inspektion införas planerat, stegvis och med en tydlig undantagsstrategi.
Orientering
Börja med att välja den skydds- eller konfigurationsmetod som passar det faktiska fallet. Då undviks för breda regler och dubbel felsökning.
Licens och förutsättningar
För TLS-inspektion och meningsfull utvärdering av dekrypterad trafik krävs lämpliga skyddlicenser.
Viktiga är framför allt:
- Web Protection: Innehåller webbskydd, webbkontroll, applikationskontroll och webbmalwareskydd.
- Network Protection: Innehåller bland annat IPS, Security Heartbeat och andra nätverksskyddsfunktioner.
- Zero-Day Protection: Blir viktigt när filer eller nedladdningar dessutom ska analyseras med maskininlärning eller sandbox.
Web Protection ingår i licenspaketet Standard Protection. Xstream Protection och Epic Protection innehåller också Web Protection och andra skyddsmoduler. För att förstå paketen passar Vilka Sophos Firewall-paket finns?; för baslicens, supportstatus och prenumerationer passar Förstå Sophos Firewall Base License.
Innan utrullning bör man kontrollera:
- Aktuell Sophos Firewall-firmware är installerad.
- Web Protection är licensierad.
- CA-certifikatet från brandväggen är distribuerat till klienterna.
- Testgrupp eller testnät är definierat.
- Återställning är dokumenterad.
- Undantagsprocessen är klarlagd.
- Loggning är aktiverad.
Om CA-certifikatet ännu inte är distribuerat, hjälper artikeln Installera Sophos Firewall CA-certifikat för HTTPS-skanning.
⚠️ TLS-inspektion kan störa applikationer som använder certifikatspinning eller egna certifikatkontroller. Utrullningen bör alltid börja med en testgrupp och inte direkt med alla användare.
DPI eller Web Proxy?
Sophos Firewall kan implementera HTTPS-dekryptering i två driftlägen:
- DPI Mode: Brandväggsregeln använder DPI-motorn. SSL/TLS-inspektionsregler under Rules and policies > SSL/TLS inspection rules avgör vad som dekrypteras.
- Web Proxy Mode: Brandväggsregeln använder webbproxy. HTTPS-dekryptering styrs då via webbproxyinställningar och webbpolicyer.
För moderna uppsättningar används ofta DPI Mode. Viktigt är brandväggsregeln:
- Öppna Rules and policies > Firewall rules.
- Redigera den berörda LAN-to-WAN-regeln.
- Öppna Security features > Web filtering.
- Aktivera lämplig webbpolicy.
- Aktivera Scan HTTP and decrypted HTTPS.
- Låt Use web proxy instead of DPI engine vara avaktiverad om SSL/TLS-inspektionsreglerna ska gälla.
Om Use web proxy instead of DPI engine är aktiverad, går webbtrafiken via webbproxy. Då gäller andra dekrypteringsinställningar för HTTP/HTTPS än vid DPI-baserade SSL/TLS-inspektionsregler. Innan utrullning bör det därför vara klart om miljön använder webbproxy eller DPI, annars letar man efter undantag på fel ställe.
Vilken trafik bör dekrypteras?
Man bör inte blint dekryptera allt. Bra TLS-inspektion börjar med tydliga mål.
Lämpliga första mål:
- LAN > WAN: klassisk användarwebbtrafik till internet.
- Wi-Fi > WAN: hanterade klienter i företags-WLAN.
- VPN > WAN: fjärråtkomstanvändare, om deras internettrafik går via brandväggen.
- LAN > DMZ: interna åtkomster till egna servrar, om säkerhetskontroll önskas där och certifikat är korrekt distribuerade.
Behandla med försiktighet:
- Bank, hälsa, myndigheter och mycket känsliga portaler.
- Lösenordshanterare och identitetsleverantörer.
- Operativsystem- och tillverkare-uppdateringstjänster.
- Mobila appar och Android-enheter.
- Applikationer med certifikatspinning.
- Röst-, video- och samarbetsverktyg, om de blir instabila av dekryptering.
För serverpubliceringar från internet till DMZ är TLS-inspektion inte automatiskt den bästa lösningen. För webbservrar är ofta Web Server Protection / WAF eller en omvänd proxy mer lämplig.
Tänk på QUIC och webbpolicy
Om webbtrafik trots TLS-inspektion inte kontrolleras som förväntat, bör man också kontrollera QUIC eller HTTP/3. Många webbläsare kan upprätta HTTPS-anslutningar över UDP 443. Beroende på regel- och webbpolicydesign går trafiken då inte den förväntade klassiska HTTPS-vägen över TCP 443.
I klient-internetregler bör man därför medvetet kontrollera:
- Är lämplig webbpolicy aktiv?
- Är Block QUIC protocol aktiv i den faktiskt matchande brandväggsregeln?
- Är Scan HTTP and decrypted HTTPS inställd i enlighet med dekrypteringsstrategin?
- Använder regeln DPI eller webbproxy?
- Ser man i Log Viewer UDP
443, TCP443, webbpolicyevenemang och SSL/TLS-inspektionsevenemang konsekvent?
Proceduren för att blockera QUIC finns i Blockera Sophos Firewall QUIC och HTTP/3 korrekt. För själva webbpolicyn passar Skapa Sophos Firewall Web Protection Policy.
Planera rollout
TLS Inspection bör införas stegvis så att undantag, klientcertifikat och supportärenden förblir hanterbara.
Utrullningsstrategi
En stegvis strategi har visat sig vara effektiv:
- Distribuera CA-certifikat.
- Förbered webbpolicy och brandväggsregel.
- Välj dekrypteringsprofil.
- Definiera en liten testgrupp.
- Aktivera SSL/TLS-inspektionsregel endast för denna grupp.
- Övervaka kontrollcenter och Log Viewer.
- Analysera fel och dokumentera undantag noggrant.
- Utöka stegvis till fler användargrupper.
På så sätt upptäcker man tidigt vilka applikationer som orsakar problem utan att påverka hela verksamheten.
Planera utrullningsfaser
En TLS-inspektionsutrullning bör planeras i faser. Detta gör den kontrollerbar och man kan skilja tekniska fel från acceptans- eller applikationsproblem.
- Förberedelse: CA, webbpolicy, brandväggsregel och testgrupp är redo. CA-distribution, licens, loggning, återställning
- Pilot: några hanterade klienter testar produktiv vardag. Log Viewer, dashboard-widget, användarfeedback
- Utökning: inkludera fler användargrupper eller nätverk. Dokumentera undantag, övervaka prestanda
- Drift: TLS-inspektion kontrolleras regelbundet. Granska undantag, rapporter, fel och nya applikationer
Viktigt är att varje fas har en tydlig avbrottspunkt. Om en affärskritisk applikation bryts i piloten, bör man inte omedelbart sätta ett brett globalt undantag. Bättre är en noggrann analys: Vilken domän, vilken klient, vilken regel, vilken dekrypteringsprofil och vilket fel i Log Viewer är berörda?
Fastställ pilot, ansvarig och undantagsprocess
Innan den första produktiva utrullningen bör det vara klart vem som ansvarar för testgruppen, vem som godkänner undantag och hur fel rapporteras tillbaka. Annars skapar TLS-inspektion snabbt oordnade undantag: enskilda domäner sätts hektiskt på Don't decrypt utan att det senare är klart varför undantaget finns.
För driften bör dessa punkter dokumenteras:
- Pilotgrupp, berörda nätverk och tidsperiod.
- Ansvarig för webbpolicy, dekrypteringsprofil och SSL/TLS-inspektionsregler.
- Process för nya undantag med anledning, ärende och granskningsdatum.
- Kriterier för när en applikation undantas och när orsaken först undersöks.
- Plats där Log Viewer, dashboard-widget och användarfeedback samlas.
- Återställning om affärskritiska applikationer störs.
Särskilt viktigt är att skilja mellan tekniskt undantag och permanent säkerhetsbeslut. Ett tillfälligt undantag kan vara meningsfullt för att få en tjänst att fungera igen. Detta undantag bör dock senare omvärderas när orsak, risk och alternativ är klara.
Testa rollback före utrullningen
Rollback bör inte uppfinnas först vid en störning. Före piloten bör det vara klart hur TLS Inspection tas tillbaka för testgruppen utan att andra regler, Web Policies eller undantag blandas ihop.
Praktisk rollback-kontroll:
- Ta bort testgruppen: kontrollera att SSL/TLS Inspection Rule därefter inte längre matchar pilotklienten.
- Inaktivera regeln: kontrollera att trafiken åter går via den förväntade vägen utan decryption.
- Testa undantag: en riktad
Don't decrypt-regel måste stå ovanför den allmänna Decrypt-regeln och synligt matcha i Log Viewer. - Behåll Web Policy: rollback av dekryptering får inte av misstag ta bort web filtering, malware scanning eller logging.
- Dokumentera bevis: notera testklient, måldomän, regelnamn, logghändelse och tidpunkt.
Detta test är särskilt viktigt när flera administratörer arbetar med Web Policies, firewallregler och SSL/TLS Inspection Rules. En ren rollback tar bara tillbaka berörd scope och gör inte hela Web Protection-kedjan blind.
Konfiguration
Konfigurationen ska vara avgränsad, testbar och enkel att granska senare.
Förstå dekrypteringsprofiler
En dekrypteringsprofil bestämmer hur strikt brandväggen hanterar TLS-anslutningar. Profilerna finns under Profiles > Decryption profiles.
En dekrypteringsprofil svarar bland annat på dessa frågor:
- Vad händer vid ogiltiga eller icke-betrodda certifikat?
- Blockeras gamla TLS-versioner?
- Blockeras osäkra chifferpaket?
- Vad händer vid SSL-kompression?
- Vad händer vid oigenkända chifferpaket?
- Vad händer om brandväggen inte kan dekryptera en anslutning?
- Vilken CA används för återunderskrift?
För en första utrullning är en mer kompatibel profil lämplig, till exempel Maximum compatibility eller en egen konservativ profil. För produktiva säkerhetsregler kan senare en striktare profil som Block insecure SSL användas.
Viktigt: Dekrypteringsprofilen väljs direkt i SSL/TLS-inspektionsregeln. Profilen kan åsidosätta de globala SSL/TLS-inspektionsinställningarna för denna regel. Därför bör man vid felsökning alltid kontrollera den specifika regeln och inte bara de globala inställningarna.
Skapa SSL/TLS-inspektionsregel
Menypath är Rules and policies > SSL/TLS inspection rules.
En första regel bör vara så riktad som möjligt:
- Åtgärd: Decrypt
- Dekrypteringsprofil: konservativ testprofil
- Källzoner:
LANeller testnät - Källnätverk och enheter: testgrupp eller testsubnät
- Destinationszoner: oftast
WAN - Destinationsnätverk: initialt
Any - Tjänster: för start ofta
Any, eftersom SSL/TLS också kan kännas igen på andra TCP-portar - Webbplatser / Kategorier: valfritt begränsa
SSL/TLS-inspektionsregler kan känna igen TLS-anslutningar även utanför den klassiska HTTPS-porten. Reglerna bearbetas uppifrån och ner. Specifika undantag och pilotregler bör därför placeras ovanför allmänna dekrypteringsregler, annars blir det senare svårt att förstå varför en anslutning dekrypterades eller undantogs.
Undantagslistor
Inte all TLS-trafik bör dekrypteras. Sophos arbetar därför med undantagsregler och TLS-undantagslistor.
Lokal TLS-undantagslista
Den lokala TLS-undantagslistan är brandväggens lokala undantagslista. Denna lista är standardmässigt tom och kan fyllas genom felsökning i kontrollcentret eller Log Viewer.
Man kan också redigera den manuellt:
Web > URL groups > Local TLS exclusion list
Denna lista är användbar för domäner som orsakar problem i den egna miljön, till exempel på grund av certifikatspinning eller speciella klientapplikationer.
Hanterad TLS-undantagslista
Den hanterade TLS-undantagslistan innehåller undantag som underhålls av Sophos för kända problematiska tjänster. Denna lista uppdateras genom firmwareuppdateringar.
Typiska exempel är tjänster där TLS-inspektion erfarenhetsmässigt orsakar problem eller tekniskt inte är meningsfull.
Egna undantagsregler
Dessutom kan man skapa egna SSL/TLS-inspektionsregler med Action > Don’t decrypt. Dessa bör placeras direkt under den standardmässiga undantagsregeln och endast innehålla trafik som verkligen inte bör dekrypteras.
Möjliga kriterier:
- Webbkategorier
- URL-grupper
- Användare och grupper
- Käll- och destinationsnätverk
- IP-adresser
- Tjänster
Undantag bör dokumenteras: domän, anledning, berörda användare, datum och granskningsdatum.
Kontroll och utvärdering
Efter aktivering visar dashboard och Log Viewer om trafiken faktiskt dekrypteras eller undantas.
Övervaka dashboard-widget
I kontrollcentret finns en widget för SSL/TLS-inspektion. Denna widget är mycket användbar för att övervaka utrullning och fel.
Den visar bland annat:
- Andel dekrypterade SSL/TLS-sessioner.
- Andel icke-dekrypterade SSL/TLS-sessioner.
- Annan trafik.
- Fel de senaste dagarna.
- Toppwebbplatser eller toppanvändare med problem.
- Dekrypteringstopp och dekrypteringsgräns.

Om många fel visas i widgeten bör man inte omedelbart inaktivera hela TLS-inspektionen. Bättre är att via Fix errors noggrant kontrollera de berörda målen och vid behov skapa rena undantag.
Utvärdera Log Viewer
I Log Viewer kan man välja filtret SSL/TLS inspection. Där ser man vad som har hänt med enskilda anslutningar.

Färgerna hjälper till med den första bedömningen:
- Röd: Fel. Anslutningen kunde inte dekrypteras eller bearbetas korrekt. Här bör man kontrollera certifikatfel, chifferpaket, TLS-versioner eller inkompatibla applikationer.
- Grön: Do not decrypt. Anslutningen dekrypterades medvetet inte, till exempel på grund av en undantagsregel eller en TLS-undantagslista.
- Blå: Decrypt. Anslutningen dekrypterades och vidarebefordrades sedan återkrypterad.
I loggen ser man dessutom dekrypteringsprofil, käll-IP, mål-IP, användare, kategori och mål-domän. Detta gör det möjligt att kontrollera om rätt regel matchade och om ett undantag verkligen gäller.
Tester
Efter aktivering av TLS-inspektion bör man kontrollera:
- Används Sophos CA-certifikat i webbläsaren?
- Fungerar viktiga affärsapplikationer?
- Finns det TLS-fel i Log Viewer?
- Känns malware- eller webbpolicyevenemang korrekt igen?
- Visas trafiken i kontrollcenter-widgeten som dekrypterad?
- Förblir brandväggens prestanda inom det förväntade området?
- Finns det klagomål från testanvändare?
För felsökning är särskilt Log Viewer, Policy Test, webbläsarens certifikatvy, Packet Capture och SSL/TLS-inspektionswidgeten användbara.
Felsökning och drift
Problem med TLS Inspection löses oftast med tydliga undantag, kontrollerad rollback och regelbunden granskning.
Typiska fel
- Webbläsaren visar certifikatvarning: CA saknas i Trust Store eller fel CA används. CA-distribution, certifikatkedja i webbläsaren, klientomstart
- Log Viewer visar inga SSL/TLS-inspektionsevenemang: fel läge, ingen matchande regel eller SSL/TLS-motorn inte aktiv. Brandväggsregel, DPI/Web Proxy, SSL/TLS-inspektionsregel
- Trafik tillåts men dekrypteras inte:
Don't decrypt-regel, hanterat undantag eller fel regelordning. Kontrollera SSL/TLS-inspektionsregler uppifrån och ner - Webbfilter fungerar inte som förväntat: Webbpolicy saknas, QUIC aktiv eller
Scan HTTP and decrypted HTTPSmissförstått. Matchande brandväggsregel, QUIC, webbpolicylogg - Enskilda applikationer bryts: Certifikatspinning, gammal TLS-version, inkompatibelt chifferpaket eller egen certifikatkontroll. Log Viewer, dekrypteringsprofil, riktat undantag
- Många fel i dashboard-widgeten: för bred utrullning eller olämplig dekrypteringsprofil. Minska pilotgruppen, sortera fel efter domän och kategori
- Prestanda sjunker efter aktivering: för bred omfattning, stora nedladdningar eller för många samtidiga sessioner. Kontrollera dekrypteringsomfattning, brandväggsbelastning och toppanvändare
- Undantag fungerar inte: Undantag står under en mer allmän dekrypteringsregel. Kontrollera regelordning och matchande kriterier
Vid oklara fall bör man inte ändra flera saker samtidigt. Bättre är ett snävt testfall: en klient, en mål-domän, en brandväggsregel, en dekrypteringsprofil och en tydlig tidpunkt i Log Viewer.
Återställning
Om störningar uppstår bör en tydlig återställning vara möjlig:
- Inaktivera SSL/TLS-inspektionsregel.
- Ta bort testgruppen från regeln.
- Minska dekrypteringsprofilens stränghet.
- Lägg till undantag för berörd domän eller applikation.
- Återställ brandväggsregeln till webbproxy om det är medvetet önskat.
SSL/TLS-inspektionsregler och SSL/TLS-motorn måste vara synligt aktiva för att kontrollcenter och Log Viewer ska visa detaljerna. Om man inaktiverar SSL/TLS-inspektion för felsökningsändamål bör man aktivera den igen efteråt och kort dokumentera tillståndet.
Driftrekommendation
TLS-inspektion är inget en-klick-projekt. Rätt införd ger den dock avsevärt mer synlighet och förbättrar effekten av webbskydd, malware-skanning, IPS, NDR och noll-dagarsfunktioner.
För produktiva miljöer rekommenderar vi:
Först LAN-to-WAN för en liten testgrupp.
Distribuera CA-certifikat korrekt.
Välj DPI/Web Proxy-läge medvetet.
Börja inte med för aggressiv dekrypteringsprofil.
Övervaka Log Viewer och dashboard dagligen.
Dokumentera undantag och granska regelbundet.
Utöka först efter framgångsrika tester.
Håll rollback testad för pilotgrupp och undantag.