Les critères Source/Destination d’une règle de déchiffrement SSL définissent les zones de sécurité (interfaces) par lesquelles passe le trafic, les adresses IP ou le pays ou le continent (emplacement géographique) pour l’adresse IP, ou les ports TCP utilisés dans le trafic. La valeur par défaut englobe toute zone, adresse, emplacement géographique et tout port TCP. TCP est le seul protocole correspondant aux règles de déchiffrement SSL.

Pour modifier une condition, vous cliquez sur le bouton + dans cette condition, sélectionnez l'objet ou l'élément souhaité, puis cliquez sur OK. Si le critère requiert un objet, vous pouvez cliquer sur Create New Object (créer un nouvel objet) si l’objet requis n’existe pas. Cliquez sur le x d'un objet ou d'un élément pour le supprimer de la politique.

Vous pouvez utiliser les critères suivants pour identifier la source et la destination à mettre en correspondance dans la règle.

Zones source, zones de destination

Les objets de la zone de sécurité qui définissent les interfaces par lesquelles passe le trafic. Vous pouvez définir un critère, les deux critères ou aucun critère : tout critère non spécifié s’applique au trafic sur n’importe quelle interface.

• Pour faire correspondre le trafic sortant de l’appareil depuis une interface dans la zone, ajoutez cette zone aux zones de destination.

• Pour faire correspondre le trafic entrant dans l’appareil depuis une interface dans la zone, ajoutez cette zone aux zones source ( Source Zones).

• Si vous ajoutez des conditions de zone source et de zone de destination à une règle, le trafic correspondant doit provenir de l'une des zones source spécifiées et sortir par l'une des zones de destination.

Utilisez ces critères lorsque la règle doit être appliquée en fonction de l’entrée ou de la sortie du trafic sur l’appareil. Par exemple, si vous voulez vous assurer que tout le trafic allant des hôtes externes vers les hôtes internes est déchiffré, vous devez sélectionner votre zone externe comme Source Zones (Zones source) et votre zone interne comme Destination Zones (Zones de destination).

Réseaux sources, réseaux de destination

Les objets réseau ou les emplacements géographiques qui définissent les adresses réseau ou les emplacements du trafic.

• Pour faire correspondre le trafic d’une adresse IP ou d’un emplacement géographique, configurez les réseaux sources (Source Networks).

• Pour faire correspondre le trafic à une adresse IP ou à un emplacement géographique, configurez les réseaux de destination (Source Networks).

• Si vous ajoutez des conditions de réseau source et de destination à une règle, le trafic correspondant doit provenir de l’une des adresses IP spécifiées et être destiné à l’une des adresses IP de destination.

Lorsque vous ajoutez ce critère, vous sélectionnez les onglets suivants :

• Network (réseau) : Sélectionnez les objets ou groupes réseau qui définissent les adresses IP source ou de destination du trafic que vous souhaitez contrôler.

  Remarque

  Pour les règles de déchiffrement de clé connue, sélectionnez un objet avec l’adresse IP du serveur de destination qui utilise le certificat et la clé que vous avez chargés.

• Geolocation (géolocalisation) : Sélectionnez l’emplacement géographique pour contrôler le trafic en fonction de son pays ou continent de source ou de destination. La sélection d’un continent sélectionne tous les pays du continent. En plus de sélectionner l’emplacement géographique directement dans la règle, vous pouvez également sélectionner un objet de géolocalisation que vous avez créé pour définir l’emplacement. En utilisant la localisation géographique, vous pouvez facilement restreindre l’accès à un pays en particulier sans avoir besoin de connaître toutes les adresses IP potentielles qui y sont utilisées.

Ports source, ports/protocoles de destination

Les objets de port qui définissent les protocoles utilisés dans le trafic. Vous pouvez spécifier le protocole TCP et les ports uniquement pour les règles de déchiffrement SSL.

• Pour faire correspondre le trafic d'un port TCP, configurez les Source Ports (Ports source).

• Pour faire correspondre le trafic à un port TCP, configurez les Destination Ports/Protocols (Ports/Protocoles de destination).

• Pour faire correspondre le trafic provenant de ports TCP spécifiques et destiné à des ports TCP spécifiques, configurez les deux. Par exemple, vous pouvez cibler le trafic du port TCP/80 au port TCP/8080.

Les critères d'application d'une règle de déchiffrement SSL définissent l'application utilisée dans une connexion IP, ou un filtre qui définit les applications par type, catégorie, balise, risque ou pertinence commerciale. La valeur par défaut est toute application qui a la balise SSL Protocol. Vous ne pouvez pas faire correspondre les règles de déchiffrement SSL à une application non chiffrée.

Bien que vous puissiez spécifier des applications individuelles dans la règle, les filtres d’applications simplifient la création et l’administration des politiques. Par exemple, vous pouvez créer une règle de déchiffrement SSL qui déchiffre ou bloque toutes les applications à haut risque et à faible pertinence commerciale. Si un utilisateur tente d'utiliser l'une de ces applications, la session est déchiffrée ou bloquée.

De plus, Cisco met fréquemment à jour et ajoute des détecteurs d’applications supplémentaires par l’intermédiaire des mises à jour du système et de la base de données de vulnérabilités (VDB). Ainsi, une règle pour les applications à risque élevé peut s'appliquer automatiquement aux nouvelles applications sans que vous ayez à mettre à jour la règle manuellement.

Vous pouvez spécifier des applications et des filtres directement dans la règle, ou créer des objets de filtre d’application qui définissent ces caractéristiques. Les spécifications sont équivalentes, bien que l’utilisation d’objets puisse permettre de respecter plus facilement la limite du système de 50 éléments par critère si vous créez une règle complexe.

Pour modifier la liste des applications et des filtres, vous cliquez sur le bouton + dans la condition, sélectionnez les applications ou les objets de filtre d’application souhaités, qui sont répertoriés sur des onglets distincts, puis cliquez sur OK dans la boîte de dialogue contextuelle. Dans l’un ou l’autre des onglets, vous pouvez cliquer sur Advanced Filter (Filtres avancés) pour sélectionner des critères de filtre ou pour vous aider à rechercher des applications spécifiques. Cliquez sur le x pour une application, un filtre ou un objet pour le supprimer de la politique. Cliquez sur le lien Save As Filter (Enregistrer en tant que filtre) pour enregistrer les critères combinés qui ne sont pas déjà un objet en tant que nouvel objet de filtre d’application.

Pour en savoir plus sur les critères d’application et comment configurer les filtres avancés et sélectionner des applications, consultez Configuration des objets de filtre d'application.

Tenez compte des conseils suivants lors de l’utilisation des critères d’application dans les règles de déchiffrement SSL.

• Le système peut identifier les applications non chiffrées qui deviennent chiffrées à l’aide de StartTLS. Cela inclut des applications telles que SMTPS, POPS, FTPS, TelnetS et IMAPS. En outre, il peut identifier certaines applications chiffrées en fonction de l’indication du nom du serveur dans le message TLS ClientHello ou de la valeur du nom distinctif du sujet provenant du certificat du serveur.

• Le système peut identifier l’application uniquement après l’échange du certificat du serveur. Si le trafic échangé pendant l’établissement de liaison SSL correspond à toutes les autres conditions dans une règle SSL contenant une condition d’application, mais que l’identification n’est pas terminée, la politique SSL permet au paquet de passer. Ce comportement permet à l’établissement de liaison de se faire afin que les applications puissent être identifiées. Une fois que le système a terminé son identification, il applique la règle d’action appropriée au trafic de session restant.

• Si une application sélectionnée a été supprimée par une mise à jour de VDB, « (Deprecated) » s’affiche après le nom de l’application. Vous devez supprimer ces applications du filtre, sinon les déploiements et les mises à niveau logicielles du système suivants seront bloqués.

Les critères d’URL d’une règle de déchiffrement SSL définissent la catégorie à laquelle appartient l’URL dans une requête Web. Vous pouvez également préciser la réputation relative des sites à déchiffrer, à bloquer ou à autoriser sans déchiffrement. La valeur par défaut est de ne pas mettre en correspondance les connexions selon les catégories d’URL.

Par exemple, vous pourriez bloquer tous les sites de jeux chiffrés ou déchiffrer les sites de réseaux sociaux non fiables. Si un utilisateur tente d’accéder à une URL avec cette catégorie et ce niveau de réputation, la session est bloquée ou déchiffrée. Pour en savoir plus sur la mise en correspondance des catégories d’URL, consultez Filtrage des URL par catégorie et par réputation.

Onglet Catégories

Cliquez sur +, sélectionnez les catégories souhaitées, puis cliquez sur OK. Cliquez sur le x pour supprimer une catégorie de la politique.

La valeur par défaut est d’appliquer la règle à toutes les URL de chaque catégorie sélectionnée, quelle que soit leur réputation. Pour limiter la règle en fonction de la réputation, cliquez sur la flèche vers le bas pour chaque catégorie, désélectionnez la case Any (Tout), puis utilisez le curseur Reputation (Réputation) pour choisir le niveau de réputation. La partie gauche du curseur de réputation indique les sites autorisés sans déchiffrement, tandis que la partie droite regroupe les sites qui seront déchiffrés ou bloqués. La façon dont la réputation est utilisée dépend de l’action de la règle :

• Si la règle déchiffre ou bloque les connexions, la sélection d’un niveau de réputation sélectionne également toutes les réputations plus graves que ce niveau. Par exemple, si vous configurez une règle pour déchiffrer ou bloquer les sites (Suspects) et Questionable (Discutables) (niveau 2), elle déchiffre ou bloque également automatiquement les sites (À risque élevé) et Untrusted (Non fiables) (niveau 1).

• Si la règle autorise les connexions sans déchiffrement (ne pas déchiffrer), la sélection d’un niveau de réputation sélectionne également toutes les réputations moins graves que ce niveau. Par exemple, si vous configurez une règle pour ne pas déchiffrer les site (Suspects) et Questionable (Discutables) (niveau 4), elle ne déchiffre également pas automatiquement les sites (Bien connus) et Trusted (de confiance) (niveau 5).

Sélectionnez l'option Include Sites with Unknown Reputation (inclure les sites avec une réputation inconnue) pour inclure les URL de réputation inconnue dans la correspondance de réputation. Les nouveaux sites ne sont généralement pas classés, et il peut y avoir d'autres raisons pour lesquelles la réputation d'un site est inconnue ou ne peut être déterminée.

Vérifier la catégorie d’une URL

Vous pouvez vérifier la catégorie et la réputation d’une URL particulière. Saisissez l’URL dans le champ URL to Check (URL à vérifier), puis cliquez sur Go (Lancer). Vous serez redirigé vers un site Web externe pour consulter les résultats. Si vous êtes en désaccord avec une catégorisation, cliquez sur le lien Submit a URL Category Dispute (Soumettre une contestation de catégorie d’URL) et faites-le-nous savoir.

Les critères d’utilisateur d’une règle de déchiffrement SSL définissent l’utilisateur ou le groupe d’utilisateurs pour une connexion IP. Vous devez configurer les politiques d’identité et le serveur de répertoire associé pour inclure les critères d’utilisateur ou de groupe d’utilisateurs dans une règle.

Vos politiques d’identité déterminent si l’identité de l’utilisateur est collectée pour une connexion particulière. Si l’identité est établie, l’adresse IP de l’hôte est associée à l’utilisateur identifié. Ainsi, le trafic dont l’adresse IP source est mappée à un utilisateur est considéré comme provenant de cet utilisateur. Les paquets IP en eux-mêmes ne comprennent pas d’informations sur l’identité de l’utilisateur, de sorte que ce mappage adresse IP-utilisateur est la meilleure approximation disponible.

Étant donné que vous pouvez ajouter un maximum de 50 utilisateurs ou groupes à une règle, il est généralement plus logique de sélectionner des groupes que de sélectionner des utilisateurs individuels. Par exemple, vous pouvez créer une règle qui déchiffre le trafic vers le groupe d’ingénierie qui provient du réseau externe, et créer une règle distincte qui ne déchiffre pas le trafic sortant de ce groupe. Ensuite, pour que la règle s’applique aux nouveaux ingénieurs, il vous suffit d’ajouter le spécialiste en ingénierie au groupe Engineering dans le serveur d’annuaire.

Vous pouvez également sélectionner les sources d’identité à appliquer à tous les utilisateurs de cette source. Ainsi, si vous prenez en charge plusieurs domaines Active Directory, vous pouvez fournir un déchiffrement différentiel en fonction du domaine.

Pour modifier la liste des utilisateurs, vous cliquez sur le bouton + dans la condition et sélectionnez les utilisateurs ou les groupes d’utilisateurs souhaités en utilisant l’une des techniques suivantes. Cliquez sur le x pour un utilisateur ou un groupe pour le supprimer de la politique.

• Sources d’identité : sélectionnez une source d’identité, telle qu’un domaine AD ou la base de données d’utilisateurs locaux, pour appliquer la règle à tous les utilisateurs obtenus à partir des sources sélectionnées. Si le domaine dont vous avez besoin n’existe pas encore, cliquez sur Create New Identity Realm (créer un nouveau domaine d’identité) et créez-le maintenant.

• Groupes : sélectionnez les groupes d’utilisateurs souhaités. Les groupes sont disponibles uniquement si vous configurez les groupes dans le serveur de répertoire. Si vous sélectionnez un groupe, la règle s’applique à tous les membres du groupe, y compris les sous-groupes. Si vous souhaitez traiter un sous-groupe différemment, vous devez créer une règle d’accès distincte pour le sous-groupe et la placer au-dessus de la règle pour le groupe parent dans la politique de contrôle d’accès.

• Utilisateurs : sélectionnez des utilisateurs individuels. Le nom d’utilisateur est précédé de la source d’identité, par exemple Realm\username (domaine\nom_utilisateur).

  Il existe certains utilisateurs intégrés dans le domaine Special-Identities-Realm (domaine d’identités spéciales) :

  • Failed Authentication (Échec de l’authentification) : l’utilisateur a été invité à s’authentifier, mais n’a pas réussi à saisir une paire nom d’utilisateur/mot de passe valide dans le nombre maximal de tentatives autorisées. L’échec de l’authentification n’empêche pas l’utilisateur d’accéder au réseau, mais vous pouvez écrire une règle d’accès pour limiter l’accès au réseau pour ces utilisateurs.

  • Guest (Invité) : les utilisateurs invités sont similaires aux utilisateurs en Failed Authentication (Échec de l’authentification), sauf que votre règle d’identité est configurée pour identifier ces utilisateurs comme Guest (Invité). Les utilisateurs invités ont été invités à s’authentifier et n’ont pas réussi à le faire dans les limites du nombre maximal de tentatives.

  • No Authentication Required (Aucune authentification requise) : l’utilisateur n’a pas été invité à s’authentifier, car ses connexions correspondaient à des règles d’identité ne spécifiant aucune authentification.

  • Unknown (Inconnu) : aucun mappage d’utilisateur n’existe pour l’adresse IP et aucun échec d’authentification n’a encore été enregistré. En règle générale, cela signifie qu’aucun trafic HTTP n’a encore été vu à partir de cette adresse.

Les critères de correspondance de trafic avancé sont liés aux caractéristiques dérivées des certificats utilisés dans la connexion. Vous pouvez configurer les options suivantes :

Options des propriétés du certificat

Le trafic correspond à l’option des propriétés du certificat de la règle s’il correspond à l’une des propriétés sélectionnées. Vous pouvez configurer les éléments suivants :

État du certificat

Si le certificat est Valid (valide) ou Invalid (non valide). Sélectionnez Any (tout) (par défaut) si l’état du certificat n’a pas d’importance.

Un certificat est considéré comme valide si toutes les conditions suivantes sont remplies, sinon il n’est pas valide :

• La politique fait confiance à l’autorité de certification qui a émis le certificat.

• La signature du certificat peut être correctement validée par rapport au contenu du certificat.

• Le certificat de l’autorité de certification émettrice est stocké dans la liste des certificats d’autorités de certification de confiance de la politique.

• Aucune des autorités de certification de confiance de la politique n’a révoqué le certificat.

• La date actuelle est comprise entre la date de début de validité du certificat et la date de fin de validité du certificat.

Autosigné

Le certificat de serveur détecté contient le même nom distinctif d’émetteur et de sujet. Sélectionnez l’une des options suivantes :

• Self-Signing (Auto-signature) : le certificat du serveur est autosigné.

• CA-Signing (Signature par une autorité de certification) : le certificat du serveur est signé par une autorité de certification. C’est-à-dire que l’émetteur et le sujet ne sont pas la même chose.

• Any (Tout) : ne tient pas compte du fait que le certificat est autosigné comme critère de correspondance.

Version prise en charge

La version SSL/TLS à mettre en correspondance. La règle s’applique au trafic qui utilise uniquement les versions sélectionnées. Toutes les versions sont sélectionnées par défaut. Sélectionnez parmi : SSL 3.0, TLS 1.0, TLS 1.1, TLS 1.2.

Par exemple, si vous souhaitez autoriser uniquement les connexions TLSv1.2, vous pouvez créer une règle de blocage pour les versions antérieures.

Le trafic qui utilise une version non répertoriée, comme SSL v2.0, est géré par l’action par défaut de la politique de déchiffrement SSL.