Netasq U70 et sites HTTPS

Netasq U70 et sites HTTPS - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 20-11-2012 à 12:33:48    

Avec un Netasq U70 à la v9.0.3.1, j'ai des problèmes de lenteurs sur la plupart des sites HTTPS.
En essayant plusieurs configurations différentes certains sites fonctionnent mieux mais d'autres pas et vice versa.
 
- Première configuration : Laisser passer le HTTPS sans déchiffrer.
http://www.truuuc.com/Temp/Netasq-01.png
La plupart des sites HTTPS publiques (Google, LogMeIn, etc...) sont très lents et il est quasi impossible de télécharger un fichier sur ces sites.
Les sites plus "privés" (portail VPN, forum) qui ont généralement un certificat invalide (nom différent du domaine) fonctionnent.
Skype fonctionne aussi parfaitement.
 
 
- Deuxième configuration : déchiffrer le HTTPS.
http://www.truuuc.com/Temp/Netasq-02.png
Là les sites publiques fonctionnent biens.
Mais les sites "privés" avec de mauvais certificats sont bloqués.
Skype a également des problèmes de connexion (certains messages ne partent pas ou ne se reçoivent pas).
 
 
Dans ces 2 configurations j'ai essayé plusieurs paramètres différents mais rien n'y fait.
 
- Filtrage SSL :
Passer sans déchiffrer proxyssl_bypass, puis Any (config par défaut)
http://www.truuuc.com/Temp/Netasq-03.png
Dans l'objet Web "proxysssl_bypass" j'ai ajouté tous les domaines des sites utilisés sous la forme *.domaine (*.logmein.com, *.microsoft.com, etc...), j'ai également ajouté de la même façon les sites des autorités de certification (*.verisign.com, *.thawte.com, etc... Adresses que l'on trouve dans les certificats).
 
Passer sans déchiffrer, seulement Any.
http://www.truuuc.com/Temp/Netasq-04.png
 
 
- Protocoles et applications - SSL :
J'ai effectué plusieurs tests de configuration, le dernière en date me semble le plus laxiste.
http://www.truuuc.com/Temp/Netasq-05.png
http://www.truuuc.com/Temp/Netasq-06.png
 
 
Là je ne vois plus quoi faire, sans doute une option planquée dans un coin...
Avez-vous une idée ?


Message édité par TruuuC le 20-11-2012 à 14:00:27
Reply

Marsh Posté le 20-11-2012 à 12:33:48   

Reply

Marsh Posté le 22-11-2012 à 18:55:42    

Bonsoir Truuc,
 
Avez-vous avancé sur votre recherche ?  
J'ai eu quelques problèmes avec les versions 9.X
J'ai migré mes équipements sur la 9.0.4.2 et j'ai qq souci en moins.
Je passerai à cette version pour commencer.
 
A+

Reply

Marsh Posté le 23-11-2012 à 10:29:31    

Bonjour,

 

Merci pour ta réponse, je n'ai rien trouvé pour améliorer la situation, le post sur le forum est mon dernier recours.

 

Effectivement j'avais vu que la mise à jour 9.0.4 ajoutait une option dans les paramètres SSL, mais notre support à expiré peut avant sa sortie et je ne peux donc plus installer de mise à jour.
(Ma direction préfère changer d'appareil tous les 3/4 ans plutôt que payer un support qui rattrape le prix de l'appareil en 2/3 ans.)

 

Mais il doit bien y avoir un réglage qui débloque la situation.
je ne comprend pas pourquoi la règle "laisser passer tous le HTTPS" ralenti fortement certains sites HTTPS.


Message édité par TruuuC le 23-11-2012 à 10:34:03
Reply

Marsh Posté le 23-11-2012 à 18:33:56    

Effectivement ne pas prendre le support est une option. J'utilise des NG1000, U450 et autres. Pour le coup, la maintenance trouve tout son intérêt :)
 
Ce ralentissement existe depuis longtemps ou depuis une modification ?
Existe-t-il également si tu descends ton niveau de sécurité ? Attention quand même à l'activité de ton entreprise :)
 
Et que t'indique le monitor lorsque tu filtres une machines qui souhaite accéder à un de ces sites ?
 
Je regarde ma doc et si je vois qq chose je te fais signe ce week.
 

Reply

Marsh Posté le 26-11-2012 à 09:17:49    

Les ralentissement existent depuis le début.

 

Que veux-tu dire par descendre le niveau de sécurité ?
Je n'ai pas vu de paramètre général pour ça, c'est en fonction des règles de filtrage que c'est plus ou moins sécurisé, non ?
Quand je met que tout le HTTPS vers l’extérieur passe, je ne vois pas plus bas comme règle de sécurité.
À moins que tu suggères d'essayer de laisser tous les ports ouverts vers l’extérieur ?

 

Quand on se connecte à ce genre de site il n'y a aucun évènement de blocage seulement un de Connexion :

 
Citation :

Traces : Connexion, Action : , Priorité : Remarque, Règle : Filtrage implicite, Config : Config01, Politique : , Utilisateur : , Protocole : ssl, Groupe de connexions : , Interface source : in, Source : 192.168.1.7, Adr source : 192.168.1.7, Port src. : ephemeral_fw_tcp, Port src.(num) : 55451, Source modif. : 192.168.1.7, Port src modif. : 55451, Dest originale : 192.168.1.1, Port dest. original : 443, Interface de destination : , Destination : Firewall_bridge, Adr. destination : 192.168.1.1, Port de destination : https, Port de dst (num) : 443, Détails : 421 o envoyés; 2,42 Ko reçus; Durée : 030ms, Alarme sensible : , Copie : , Id : , Contexte : , Type d'alarme : , Appelant : , Appelé : , Durée : 030ms, Envoyé : 421 o, Reçu : 2,42 Ko, Opération : , Résultat : , Paramètre : , Catégorie : , Niveau de spam : , Virus : , Protocole IP : tcp, Média : , Message : , Code ICMP : , Type ICMP


Là ça parle de "Filtrage implicite", mais sur la page des paramètres de règles implicites il n'y a rien qui concerne le SSL, à part pour le portail d'authentification.

 

Par contre si j'active la règle de déchiffrage un site bloqué a bien un évènement de blocage :

Citation :

Traces : SSL, Action : block, Priorité : Remarque, Règle : , Config : , Politique : , Utilisateur : , Protocole : ssl, Groupe de connexions : , Interface source : , Source : 192.168.1.7, Adr source : 192.168.1.7, Port src. : ephemeral_fw_tcp, Port src.(num) : 55943, Source modif. : 192.168.100.100, Port src modif. : 17825, Dest originale : 127.0.0.2, Port dest. original : 8084, Interface de destination : , Destination : ***, Adr. destination : ***, Port de destination : https, Port de dst (num) : 443, Détails : Durée : 250ms, Alarme sensible : , Copie : , Id : , Contexte : , Type d'alarme : , Appelant : , Appelé : , Durée : 250ms, Envoyé : , Reçu : , Opération : , Résultat : , Paramètre : , Catégorie : , Niveau de spam : , Virus : , Protocole IP : , Média : , Message : Self signed certificate Subject%3D(CN%3D***) Issuer%3D(CN%3D***), Code ICMP : , Type ICMP : , Paquet :


Là c'est un certificat auto-signé.

 


Et pour Skype il y a des alarmes de blocage de ports différents que le HTTPS :

Citation :

Traces : Alarme, Action : block, Priorité : Mineur, Règle : Filtrage : 31, Config : Config01, Politique : , Utilisateur : , Protocole : ephemeral_fw_tc, Groupe de connexions : , Interface source : in, Source : 192.168.1.7, Adr source : 192.168.1.7, Port src. : ephemeral_fw_tcp, Port src.(num) : 56499, Source modif. : , Port src modif. : , Dest originale : , Port dest. original : , Interface de destination : out, Destination : dsn0.skype-dsn.akadns.net, Adr. destination : 157.55.235.152, Port de destination : ephemeral_fw_tcp, Port de dst (num) : 40012, Détails : alarme de filtrage; Règle de filtrage; Id de la règle : 31; Config: Config01, Alarme sensible : , Copie : , Id : , Contexte : filter, Type d'alarme : Protocole, Appelant : , Appelé : , Durée : , Envoyé : , Reçu : , Opération : , Résultat : , Paramètre : , Catégorie : , Niveau de spam : , Virus : , Protocole IP : tcp, Média : , Message : alarme de filtrage, Code ICMP : , Type ICMP : , Paquet :

 

Suivi d'un blocage SSL :

Citation :

Traces : SSL, Action : block, Priorité : Remarque, Règle : , Config : , Politique : , Utilisateur : , Protocole : ssl, Groupe de connexions : , Interface source : , Source : 192.168.1.7, Adr source : 192.168.1.7, Port src. : ephemeral_fw_tcp, Port src.(num) : 56485, Source modif. : 192.168.100.100, Port src modif. : 12437, Dest originale : 127.0.0.2, Port dest. original : 8084, Interface de destination : , Destination : 157.55.235.152, Adr. destination : 157.55.235.152, Port de destination : https, Port de dst (num) : 443, Détails : Durée : 500ms, Alarme sensible : , Copie : , Id : , Contexte : , Type d'alarme : , Appelant : , Appelé : , Durée : 500ms, Envoyé : , Reçu : , Opération : , Résultat : , Paramètre : , Catégorie : , Niveau de spam : , Virus : , Protocole IP : , Média : , Message : Negotiation with server : error, Code ICMP : , Type ICMP : , Paquet :



Message édité par TruuuC le 26-11-2012 à 09:47:26
Reply

Marsh Posté le 26-11-2012 à 13:02:31    

Salut,
 
pour le niveau de filtrage sur le SSL, tu peux choisir entre IPS (inspection de paquets et blocage), IDS (inspection de paquets et non blocage), ou Firewall.
Cela est sélectionnable dans la colonne 'inspection de sécurité'.
 
Je suis ce topic car on a un soucis un peu équivalent: lorsqu'on active le filtrage https, sans déchiffrement, les applications skype ne fonctionnent plus.
 


Message édité par remi_ le 26-11-2012 à 13:02:43
Reply

Marsh Posté le 26-11-2012 à 13:52:00    

Ah oui c'est vrai, j'avais vu cette option lorsque j'ai testé différents paramètres.

 

Avec la règle de déchiffrage, ça ne change rien (j'avais déjà testé).

 

Avec la règle de tout laisser passer sans déchiffrer, ça change rien en IDS mais en Firewall ça semble être un peu mieux.


Message édité par TruuuC le 26-11-2012 à 13:57:56
Reply

Marsh Posté le 26-11-2012 à 15:46:28    

Après différents tests, je confirme que ça fonctionne bien en niveau d'inspection "Firewall", merci à vous 2 !
Je pense que je vais rester comme ça, ça ne me semble pas très grave si c'est uniquement pour le HTTPS.

 

Par contre j'ai essayé ce mode pour le FTP où j'ai un autre petit souci et ça ne fonctionne pas.
Du coup je vais profiter de ce topic et de vos connaissances :D

 

On s'est inscrit récemment chez l'hébergeur o2switch, hormis le compte FTP par défaut qui n'a qu'un login classique, les autres comptes que l'on crée manuellement sont sous la forme login@domaine.com.
Lorsqu'on se connecte sur FileZilla avec ces comptes, on a l'erreur :

Citation :

Erreur : Impossible d'établir une connexion au serveur


Sur le Netasq il y a un l'alarme "Débordement en FTP lors du login (User)".

 

Lorsque je paramètre cette alarme sur "Autoriser" il y a, sur FileZilla :

Citation :

Erreur : Délai d'attente expiré
Erreur : Impossible d'établir une connexion au serveur

 

Parmi ces login il y en a un dont le total (avec @domaine.com) fait 27 caractères et il fonctionne.
Les autres font 28 caractères et plus et ne fonctionnent pas.

 

J'ai augmenté la taille du nom d'utilisateur dans "Protocoles et Applications" pour le FTP, ça ne change rien.

 

De l'extérieur de notre réseau (sans le Netasq donc) tous fonctionnent parfaitement.
Le compte par défaut (sans le @domaine.com) fonctionne aussi, même avec le Netasq.


Message édité par TruuuC le 26-11-2012 à 16:02:59
Reply

Marsh Posté le 27-11-2012 à 19:43:54    

Bonsoir,
 
Je reviens sur le 1er post concernant le problème de Truuc. Je suis déjà content que cela fonctionne en mode Firewall. Ce qui veut dire que ton problème est lié à l'ASQ c'est à dire le mode de détection et d'analyse du boitier. En mode Firewall, tu byepass le module ce qui en soit n'est pas terrible.  
Maintenant que ça passe dans le monitor, il faut que tu cibles les ports nécessaires à skype. Tu peux éventuellement faire une règle spécifique positionnée au dessus de ta règle https car je pense que tu le sais il faut mettre tes règles de la plus restrictives à la plus généraliste.
 
Ensuite dans la partie Protection applicative puis Alarmes, tu trouveras un module de recherche de protocoles. Le champ Config0 c'est pour le trafic entrant et Config1 à X c'est pour le sortant. Choisis un slot non utilisé puis recherche skype. Autorise skype à faire des connexions ssl.
Retourne dans ta règle de filtrage spécifique skype remonte en IDS voir IPS en choisissant dans le champ "Profil d'inspection" celui que tu as créer avant.
 
http://www.netasq.com/securitykb/f [...] 6e371.html
 
Le déchiffrage SSL pose quelques problèmes de conscience car si un de vos utilisateurs se connecte à sa banque et si vous n'avez pas créé une règle de filtrage d'URL spécifique évitant de déchiffrer les ets bancaires vous risquez d'avoir qq souci :) mais ça c'est un autre sujet.
 
Dans ce cas de figure, le firewall utilse une technique de pirate (man in the middel) car il se fait passer pour l'utilisateur à son site bancaire et l'inverse pour le navigateur de l’utilisateur. Il fabrique de faux certificats à la volée et c'est peut être là que provient tes problèmes de départ.
 
Pour la partie FTP, je ferai également un profil spécifique s'appliquant aux alarmes que remonte ton monitor. Je viens de vérifier sur le mien la taille des identifiants est à 32 octets par contre dans les alarmes en config1 et config0 j'ai ftp:43 débordement en ftp lors du login bloqué tout comme toi.
Un petit coup de monitor en mettant une alarme majeur sur cette règle et tu y verras peut être un peu plus clair.
 
Bonne soirée

Reply

Marsh Posté le 28-11-2012 à 07:15:53    

Merci, je vais essayer tout ça petit à petit.
Mais le problème c'est qu'il n'y a pas que Skype qui est bloqué, mais aussi des sites avec certificats auto-signés (en particulier des accès VPN).

Reply

Marsh Posté le 28-11-2012 à 07:15:53   

Reply

Marsh Posté le 28-11-2012 à 18:24:37    

Bonsoir,
 
De toute façon, il faut tester. Alors le plus compliqué avec les équipements en prod c'est de faire des tests en pleine journée. Parfois ça couine un peu :) mais en dehors des heures c'est tout aussi dur car on a pas de retour de suite.
Pour tes VPN s'ils sont de site à site, se sont les règles implicites qui s'appliquent. Donc dans ton cas, je les déactiverai puis j'en ferai des persos en amont des règles liées à Skype. En plus, il me semble que l'on peut dire dans les profils d'inspection de considérer les vpn ipsec comme des interfaces internes.
 
A voir, bon courage en attendant.

Reply

Marsh Posté le 30-11-2012 à 10:09:49    

Salut,
 
La version 9.0.4.3 semble résoudre le pb de lenteur:
 
Analyse SSL Références support 33128 – 33288
Lors de perte de paquets sur une connexion SSL, le firewall stocke les paquets en attendant la réémission des paquets non reçus. Cela entraîne un ralentissement du trafic.
Un contournement possible est de désactiver l’analyse SSL ou de déclarer la règle de filtrage en mode Firewall.

Reply

Marsh Posté le 26-05-2014 à 14:51:21    

Salut les asqueux :o
 
Depuis quelques mois j'ai un blocage de connexion avec logmein, alors que ça fonctionnait très bien depuis 3 ans et que je n'ai pas touché à la config pare-feu (enfin j'ai touché à d'autres choses, mais qui ne peuvent pas impacter ça)
Il se trouve que c'est l'ASQ qui bloque logmein pour une erreur "différence dans la version ssl (TLSv1)"
En mettant "passer" sur cette alarme, ça fonctionne:
http://reho.st/self/45079e91c140823181fa57dd16bf03c3841f2a95.jpg
 
=> maintenant aurais-je moyen de "cibler" ce bypass uniquement sur les connexions avec certains domaines (genre *.logmein.com) :??:
 
ps: U120 en v8.1.3


Message édité par aspegic500mg le 26-05-2014 à 15:05:26
Reply

Marsh Posté le 02-02-2015 à 14:38:17    

Bonjour,
 
Je suis tombé sur ce topic grâce à Google
J'ai un problème de filtrage de sites en HTTPS sur un NETASQ F200 en V8
 
Le problème est que je vois bien l'alarme qui fait référencé à mon problème mais il est réglé en PASSER (pas en bloquer) et ça ne passe pas quand même :??:
 
Avez-vous une idée svp ?
 
http://ced2k.free.fr/img/divers/logs.jpg
http://ced2k.free.fr/img/divers/alarmeprotocole.jpg


Message édité par gOOn70 le 02-02-2015 à 14:39:33
Reply

Marsh Posté le 02-02-2015 à 14:42:31    

Salut gOOn70,
C'est surprenant qu'un F200 tienne encore la route ! Mais bon, pourquoi pas !
 
Pour ton problème, as-tu pensé à laisser passer ton alarme dans les 2 profils ASQ ?


---------------
Ôôôôôh les beaux navions .:':. Rénovation vieilles consoles .:':. PS Vita
Reply

Marsh Posté le 02-02-2015 à 15:49:39    

Oui effectivement ce produit a l'air un peu vieux et dépassé, je m'occupe depuis peu de ce parc informatique et j'ai prévu de remplacer ce firewall mais ce n'est pas possible tout de suite
 
Je ne connais pas ce produit à l'origine, j'essaie de m'y former : il y a 2 profils ? comment y accéder svp ?

Reply

Marsh Posté le 02-02-2015 à 15:54:40    

Ah oui effectivement il y en a 3 autres et en mettant à PASSER sur les 3 autres ça fonctionne désormais :bounce:  :D  
Merci beaucoup!! :love:  :love:  ;)
 
Je ne sais pas par contre comment/pour qui sont attribués ces profils
Ce n'est pas étonnant qu'il y en ai autant ?

Message cité 1 fois
Message édité par gOOn70 le 02-02-2015 à 16:04:34
Reply

Marsh Posté le 02-02-2015 à 16:29:22    

mais c'est quoi ce deterrage d'un topic ouvert en 2012..
il faut  en creer d'autre.
 
gOOn70 passe en v9.
La v8 n'est plus en support depuis juin 2014 !
sur un tel equipement il est obligatoire de faire de la maintenance réguliére et donc de suivre de trés prés les maj.


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 02-02-2015 à 16:48:12    

c'est dans la continuité du post de aspegic500mg en mai 2014 qui m'avait aidé
 
oui je pense qu'il faut que je mette à jour tout ça ou change d'équipement carrément

Reply

Marsh Posté le 02-02-2015 à 17:05:18    

skoizer a écrit :

mais c'est quoi ce deterrage d'un topic ouvert en 2012..
il faut  en creer d'autre.
...


 
Il n'y a pas de topic dédié Netasq, si tu veux en créer un :sleep:
Ce topic est bien référencé sur "netasq" et "https", autant le garder pour ce qu'il est, ça discute un peu et on trouve des infos intéressantes :D

Reply

Marsh Posté le 02-02-2015 à 18:01:40    

gOOn70 a écrit :

Ah oui effectivement il y en a 3 autres et en mettant à PASSER sur les 3 autres ça fonctionne désormais :bounce:  :D
Merci beaucoup!! :love:  :love:  ;)

 

Je ne sais pas par contre comment/pour qui sont attribués ces profils
Ce n'est pas étonnant qu'il y en ai autant ?


En fait, les 2 premiers profils (00 et 01) sont par défaut associés l'un au trafic entrant, l'autre au trafic sortant. Je ne me souviens plus de l'association... en V9 c'est indiqué dans le menu de configuration, donc je n'ai plus à le retenir par coeur et je sais pas si Netas n'a pas changé la logique entre V8 et V9, donc je ne veux pas te dire de bêtises :X
Edit : par contre tu n'avais pas besoin de faire la modif sur les 3 profils. Seulement sur le 00 et le 01 :)

 

Après, ce que tu viens de faire, c'est une exception dans l'ASQ, donc si il y a un flux malveillant sur cette alarme, il ne sera plus arrêté. En gros, tu viens d'ouvrir une brèche dans ton parefeu :bounce:

 
skoizer a écrit :

mais c'est quoi ce deterrage d'un topic ouvert en 2012..
il faut  en creer d'autre.

 

gOOn70 passe en v9.
La v8 n'est plus en support depuis juin 2014 !
sur un tel equipement il est obligatoire de faire de la maintenance réguliére et donc de suivre de trés prés les maj.


Va mettre une V9 sur un F200 :o

Message cité 1 fois
Message édité par Faboss le 02-02-2015 à 18:02:56

---------------
Ôôôôôh les beaux navions .:':. Rénovation vieilles consoles .:':. PS Vita
Reply

Marsh Posté le 02-02-2015 à 19:54:53    

Faboss a écrit :


...
Après, ce que tu viens de faire, c'est une exception dans l'ASQ, donc si il y a un flux malveillant sur cette alarme, il ne sera plus arrêté. En gros, tu viens d'ouvrir une brèche dans ton parefeu :bounce:  


D'où ma question en 2014:
"maintenant aurais-je moyen de "cibler" ce bypass uniquement sur les connexions avec certains domaines (genre *.logmein.com)"
 
Parce que c'est bien de vouloir la sécurité, mais quand on doit utiliser un service mal sécurisé, faut bien créer une exception :??: (ou attendre 107 ans que le défaut soit corrigé, mais parfois on ne peut pas)

Reply

Marsh Posté le 02-02-2015 à 23:21:59    

En V8 c'est pas simple du tout malheureusement :\
En V9 c'est beaucoup plus facile de faire des exceptions au cas par cas.
 
Ca fait trop longtemps que je n'ai pas fait d'installation en V8 pour pouvoir te guider dans cette procédure, dsl...


---------------
Ôôôôôh les beaux navions .:':. Rénovation vieilles consoles .:':. PS Vita
Reply

Marsh Posté le 02-02-2015 à 23:55:55    

Ok alors je m'en inquièterai au prochain changement de pare-feu, en attendant bah .. :D

Reply

Marsh Posté le 03-02-2015 à 11:53:09    

j'avais même cru comprendre en lisant certains articles qu'en V8 il n'était pas possible de faire du filtrage sur le protocole https
or là, c'est bien ce qu'il fait non ?
si jamais vous avez une solution pour améliorer la sécurité, je suis preneur :)
 
merci en tous cas pour votre aide ;)

Reply

Marsh Posté le 03-02-2015 à 14:53:41    

Non il n'a pas fait du filtrage https, il a seulement débrayé une alarme bloquante sur le protocole https.
 
La V9 est capable de faire du filtrage https car le parefeu fonctionne alors en man in the middle. Attention à la législation dans ce cas !


---------------
Ôôôôôh les beaux navions .:':. Rénovation vieilles consoles .:':. PS Vita
Reply

Marsh Posté le 05-02-2015 à 09:43:53    

gOOn70 a écrit :

j'avais même cru comprendre en lisant certains articles qu'en V8 il n'était pas possible de faire du filtrage sur le protocole https
or là, c'est bien ce qu'il fait non ?
si jamais vous avez une solution pour améliorer la sécurité, je suis preneur :)
 
merci en tous cas pour votre aide ;)


 
Tu dois pouvoir le faire en te basant sur les certificats et les listes d'url.

Reply

Marsh Posté le 06-02-2015 à 14:26:55    

Pas de filtrage ssl possible en V8!
Pour filtrer il faut déchiffrer.  
D'ailleurs essai sur Google image de taper des mots clés explicites...
Pour pallier à cela en attendant ton new firewall, Google met à disposition une ip virtuelle qui force le safesearch ;-)
A faire dans ton dns local. Et dans le filtrage, n'autoriser que ton serveur dns à faire des requêtes sur internet.


Message édité par Tolb le 06-02-2015 à 14:27:52
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed