Déchiffrement SSL en mode transparent


Lorsque vous activez le mode transparent le système ne s’attarde que sur les paquets réseau en destination du port TCP 80.

Cela veut dire que toute requête vers le port 443 n’est pas interprétée par le proxy de ce fait:
Aucun filtrage Web n’aura lieu et les évènements d’accès ne seront pas enregistrés puisque le proxy ne traite pas les paquets.

Cette initiative est mise par défaut car le traitement du flux SSL nécessite d’être discuté et débattu :

Le décryptage du SSL à travers le proxy ne s’effectue pas sans “douleurs”.

En effet, lorsque vous ordonnez le proxy à effectuer un déchiffrement SSL, il va se mettre en mode “MAN-IN-THE-MIDDLE” ou “Homme du milieu”.
Lorsque que le navigateur va se présenter au proxy pour visualiser un site SSL, le proxy va se faire passer pour le site Web d’origine et va fournir son certificat en lieu et place de celui du site Web.
Cette méthode contraint le navigateur à réagir de façon négative.
Le navigateur va alors se plaindre. Le certificat reçu n’appartient pas au site Web demandé.

16-10-2014 18-28-57

Exemple de connexion à facebook avec le SSL du proxy.

Si l’utilisateur passe outre l’erreur, le site Web est alors correctement affiché par le navigateur.
Il existe une méthode pour pallier à ce comportement: Installer le certificat du proxy dans tous les navigateurs.

Tous les sites seront alors déchiffrés !

Dans le mode « Connecté », le proxy reçoit la requête HTTPs en frontal et est en charge de la transférer. Même si il n’est pas en mesure de visualiser le contenu du protocol, il est en charge d’effectuer les redirections TCP.
Il prend alors la connaissance du site de destination.
Ainsi, à la différence avec le mode transparent, le mode Connecté est beaucoup plus flexible. Il est alors possible de choisir quels sont les sites qui peuvent être déchiffrés ou pas ( Voir Déchiffrement SSL sélectif ).
Le mode transparent SSL est contraint à automatiquement prendre en compte le flux TCP et le traiter. Ainsi tous les sites sans exception seront alors déchiffrés.

Des inconvénients !

Outre l’erreur du navigateur, cette architecture dispose d’inconvénients notables.
En effet, certains sites vérifient le certificat reçu par le navigateur et s’assurent qu’il n’a pas été altéré.Cette vérification, aussi louable soit-elle risque d’entraîner l’impossibilité d’afficher le site correctement.
Vous remarquerez alors que le sites des impôts (impots.gouv.fr ) ou certains sites bancaires seront impossible à visiter.
Pour pallier à cette éventualité, des règles de pare-feu peuvent être mises en place dans Artica afin d’interdire le crochetage de certains paquets à destination de sites web spécifiques.
Même si cette fonctionnalité répond au problème, il sera à votre charge de maintenir une liste de site à retirer du déchiffrement en mode transparent.

Mise en place

Dans le menu du haut « Service Proxy », cliquez sur l’icône « Transparent »

16-10-2014 22-39-33

  • Cliquez sur l’onglet « Déchiffrement SSL« .
  • Mettez en vert l’option « Activer l’interception SSL ».
  • Cliquez sur « Appliquer« 

16-10-2014 22-40-17

  • Une fois l’application des paramètres, tous les paquets réseau seront alors renvoyés sur le service du proxy pour déchiffrement.

 

Les règles de réseaux.

  • Remarquez l’onglet Règles de réseaux.
  • Par défaut, le tableau vous indique que toutes les sources à destination du port 80 et 443 passent à travers le proxy.

16-10-2014 22-52-32

  • Ce tableau vous permet de piloter par des règles comme un pare-feu afin de déterminer quels sont les sources ou destinations qui passeront à travers le proxy.
  • Lors de la création d’une règle, pensez simplement à désactiver la case à côcher « Transparent » afin d’indiquer justement que cela ne passe pas à travers le proxy.

16-10-2014 23-04-04

  • Ainsi dans notre exemple, impots.gouv.fr n’est pas crocheté par le proxy et les paquets passent sans interception.

16-10-2014 23-06-00

 

 

 

 

Laissez un commentaire