8. Inspection SSL-SSH Flashcards
(5 cards)
8.2.1 Quelle est l’utilité de l’inspection SSL-SSH ?
8.2.1 Quelle est l’utilité de l’inspection SSL-SSH ?
L’inspection SSL-SSH déchiffre le trafic chiffré (SSL/TLS ou SSH) pour y appliquer antivirus, IPS, filtrage web et contrôle d’application, afin de détecter et bloquer les menaces dissimulées dans les communications sécurisées.
8.2.2 Citez les deux méthodes d’inspection SSL-SSH.
8.2.2 Citez les deux méthodes d’inspection SSL-SSH.
SSL Certificate Inspection : vérifie uniquement la validité du certificat (SNI, CN, SAN) et, si celui-ci est valide, laisse le trafic chiffré passer sans possibilité de scan antivirus/IPS.
Full SSL Inspection : agit en proxy Man-in-the-Middle, déchiffre entièrement le flux client→serveur et serveur→client pour y appliquer antivirus, IPS, filtrage web et autres contrôles.
8.2.3 Citez les caractéristiques principales des deux méthodes d’inspection SSL-SSH.
8.2.3 Citez les caractéristiques principales des deux méthodes d’inspection SSL-SSH.
SSL Certificate Inspection
Vérification limitée au certificat (validité, signature, CRL) sans déchiffrement du contenu
Latence minimale (pas de buffering complet, trafic chiffré conservé)
Seul le filtrage Web via SNI/CN et le contrôle d’application sont possibles
Incapacité à détecter les menaces cachées dans le flux chiffré
Full SSL Inspection (Deep Inspection)
Déchiffrement intégral du trafic (proxy Man-in-the-Middle, deux tunnels SSL client→FGT et FGT→serveur) pour appliquer antivirus, IPS et filtrage approfondi
Latence et consommation de ressources élevées (buffering complet en mémoire, surcharge CPU)
Couverture étendue (HTTPS, IMAPS, SMTPS, FTPS, SSH…) avec détection exhaustive y compris antivirus/IPS
Nécessite un certificat CA approuvé sur les postes (Fortinet_CA_SSL par défaut, sinon alertes)
8.2.4 Quand il inspecte un certificat, que vérifie le FortiGate ?
8.2.4 Quand il inspecte un certificat, que vérifie le FortiGate ?
Lors d’une SSL Certificate Inspection, le FortiGate contrôle :
La date de validité : le certificat doit être encore dans sa période de validité (not before / not after).
La signature numérique : la clé publique de l’autorité de certification (CA) doit permettre de vérifier que le certificat n’a pas été falsifié.
La liste de révocation (CRL) ou OCSP : s’assurer que le certificat n’a pas été révoqué par son émetteur.
Le champ « Issuer » : le FortiGate doit posséder le certificat de la CA émettrice dans son magasin pour considérer la chaîne de confiance comme valide.
Le FQDN (CN/SAN) et, le cas échéant, le SNI : vérifier que le nom de domaine demandé (SNI lors du handshake TLS) correspond au Common Name (CN) ou à l’un des Subject Alternative Names du certificat.
8.2.5 Citez deux actions qui peuvent être entreprises pour éviter que des messages d’avertissement de certificat soient affichés sur les navigateurs des utilisateurs suite à l’utilisation de l’inspection SSL-SSH ?
8.2.5 Citez deux actions qui peuvent être entreprises pour éviter que des messages d’avertissement de certificat soient affichés sur les navigateurs des utilisateurs suite à l’utilisation de l’inspection SSL-SSH ?
Importer le certificat Fortinet_CA_SSL dans le magasin de certificats racines des navigateurs, pour qu’il soit considéré comme valide et n’affiche plus d’alerte.
Installer sur le FortiGate un certificat signé par une autorité interne ou publique déjà présente dans la liste de confiance des postes, afin que le proxy SSL soit transparent aux yeux des navigateurs.
