Domaines pris en charge

N’importe quel

Rôles utilisateur 

• Admin

• Administrateur d’accès

• Administrateur de réseau

L’action par défaut de u de déchiffrement détermine la façon dont le système gère le trafic chiffré déchiffrable qui ne correspond à aucune règle sans surveillance dans la politique. Lorsque vous déployez un u de déchiffrement qui ne contient aucun règles de déchiffrement, l’action par défaut détermine la façon dont tout le trafic déchiffrable est géré sur votre réseau. Notez que le système n’effectue aucun type d’inspection sur le trafic chiffré bloqué par l’action par défaut.

Pour définir l'action par défaut politique de déchiffrement :

1. Connectez-vous au centre de gestion si vous ne l'avez pas encore fait.

2. Cliquez sur Politiques > Contrôle d'accès > Déchiffrement.

3. Cliquez sur Edit () à côté de politique de déchiffrement.

4. Sur la ligne Default Action (action par défaut), cliquez sur l’une des actions suivantes dans la liste.

Lorsque vous créez u de déchiffrement pour la première fois, la journalisation des connexions gérées par l’action par défaut est désactivée par défaut. Comme les paramètres de journalisation pour l’action par défaut s’appliquent également à la gestion du trafic non déchiffrable, la journalisation des connexions gérées par les actions de trafic non déchiffrable est désactivée par défaut.

Notez que si votre navigateur utilise l’épinglage de certificat pour vérifier un certificat de serveur, vous ne pouvez pas déchiffrer ce trafic en signant de nouveau le certificat de serveur. Pour obtenir plus de renseignements, consultez Lignes directrices et limites relatives à Règle de déchiffrement.

La page Paramètres avancés de U de déchiffrement contient des paramètres globaux qui sont appliqués à tous les périphériques gérés configurés pour Snort 3 auxquels la politique est appliquée.

Les paramètres avancés U de déchiffrement sont tous ignorés sur tout périphérique géré qui exécute :

• Toute version antérieure à la 7.1.

• Snort 2

Bloquer les flux demandant ESNI

L’indication du nom de serveur chiffré (ESNI (lien vers le projet de proposition)) est un moyen pour un client d’indiquer à un serveur TLS 1.3 ce que le client demande. Comme le SNI est chiffré, vous pouvez éventuellement bloquer ces connexions, car le système ne peut pas déterminer le serveur.

Désactiver les annonces HTTP/3

Cette option supprime HTTP/3 (RFC 9114) de ClientHello dans les connexions TCP. HTTP/3 fait partie du protocole de transport QUIC, et non du protocole de transport TCP. Empêcher les clients de faire de la publicité HTTP/3 offre une protection contre les attaques et les tentatives d’évitement potentiellement englouties dans les connexions QUIC.

Propager les certificats de serveur non sécurisé aux clients

Cela s’applique uniquement au trafic correspondant à une action de règle Déchiffrer - Resigner.

Activez cette option pour remplacer le certificat du serveur par l’autorité de certification (CA) sur le périphérique géré dans les cas où le certificat du serveur n’est pas fiable. Un certificat de serveur non fiable n’est pas répertorié comme autorité de certification de confiance dans Cisco Secure Firewall Management Center. (Objets > Gestion des objets > PKI > Autorités de certification de confiance).

Activer le déchiffrement TLS 1.3

Indiquer s’il faut appliquer les règles de déchiffrement aux connexions TLS 1.3. Si vous n’activez pas cette option, les règles de déchiffrement s’appliquent uniquement au trafic TLS 1.2 ou de version inférieure. Consultez Bonnes pratiques de déchiffrement TLS 1.3.

Activer la sonde d’identité du serveur TLS adaptatif

Activé automatiquement lorsque le déchiffrement TLS 1.3 est activé. Une sonde est une connexion partielle de TLS avec le serveur, dont le but est d’obtenir le certificat du serveur et de le mettre en cache. (Si le certificat est déjà en cache, la sonde n’est jamais établie.)

Si la découverte de l’identité du serveur TLS 1.3 est désactivée sur la politique de contrôle d’accès à laquelle la politique de déchiffrement est associée, nous tentons d’utiliser l’indication du nom du serveur (SNI), qui n’est pas aussi fiable.

La sonde d’identité du serveur TLS adaptatif se produit dans l’une des conditions suivantes, et non à chaque connexion comme dans les versions précédentes :

• Émetteur du certificat : correspond lorsque la valeur DN de l’émetteur dans la condition de règle de DN d’une règle de déchiffrement est mise en correspondance.

  Pour en savoir plus, consultez Conditions de règles de noms distinctifs (DN).

• État du certificat : correspond lorsque l’une des conditions d’état du certificat est satisfaite dans une règle de déchiffrement.

  Pour en savoir plus, consultez Conditions de Règle de déchiffrement d’état du certificat.

• Certificat interne/externe : les certificats internes peuvent correspondre au certificat utilisé dans les actions de règle Déchiffrer - Clé connue ; les certificats externes peuvent être mis en correspondance dans les conditions de règle Certificats.

  Pour plus de renseignements, consultez les sections Déchiffrement par clé connue (trafic entrant) et Conditions de Règle de déchiffrement du certificat.

• ID d’application : peut correspondre aux conditions de règle des applications dans une politique de contrôle d’accès ou une politique de déchiffrement.

  Pour en savoir plus, consultez Conditions des règles d’application.

• Catégorie d’URL : Peut correspondre aux conditions de règle d’URL dans une politique de contrôle d’accès.

  Pour en savoir plus, consultez Conditions de règle d’URL.

Remarque

L’activation du mode de découverte de serveur TLS adaptatif n’est prise en charge sur aucun Cisco Secure Firewall Threat Defense Virtual déployé sur AWS. Si de tels périphériques gérés sont gérés par Cisco Secure Firewall Management Center, l’événement de connexion PROBE_FLOW_DROP_BYPASS_PROXY est incrémenté chaque fois que le périphérique tente d’extraire le certificat du serveur.