Publicité
TLS v1.3
Autoriser le
mécanisme 0-RTT
Valeurs / Extensions
inconnues
Activer l'analyse de
certificats serveur
Lorsque la
récupération du
certificat échoue
Lorsque le type de
certificat est incorrect
Lorsque le SNI est
absent
Page 350/524
En cochant cette case, le moteur d'analyse IPS autorise les requêtes TLS utilisant le
mécanisme 0-RTT (Zero Round Trip Time - Temps Aller Retour Zero) qui réduit le
Handshake (poignée de mains) à zéro échange afin d'augmenter les performances
pour les flux TLS.
Le mécanisme 0-RTT permet au client d'envoyer des données applicatives dès le
premier échange lorsque le client et le serveur partagent une clé pré-partagée,
importée manuellement ou calculée lors d'un précédent Handshake.
Sélectionnez dans la liste le type de valeurs ou extensions TLS à autoriser :
Valeurs / extensions RFC TLS 1.3, GREASE (Generate Random Extensions And
l
Sustain Extensibility) ou inconnues,
Valeurs / extensions RFC TLS 1.3 et GREASE,
l
Valeurs / extensions RFC TLS 1.3 et inconnues (sauf GREASE),
l
Valeurs / extensions RFC TLS 1.3 uniquement.
l
Lorsque vous sélectionnez cette option, le moteur de prévention d'intrusion tente de
récupérer le certificat serveur pour chaque flux TLS 1.3 traversant le firewall, afin
d'analyser les éventuelles failles de sécurité liées à ce certificat.
NOTE
Afin d'optimiser les performances de l'analyse de certificats serveur, un
mécanisme de cache permet ne pas déclencher la récupération d'un certificat
lorsque celui-ci est déjà connu du moteur de prévention d'intrusion. Configurez
ce mécanisme dans la
Configuration globale du protocole
Sélectionnez l'action appliquée au flux TLS analysé lorsque le firewall ne parvient
pas à récupérer le certificat serveur :
Continuer l'analyse : le moteur de prévention d'intrusion laisse passer le message
l
`ClientHello` et poursuit les analyses protocolaires sur le flux TLS 1.3.
Bloquer le trafic : le firewall génère une alarme et bloque le flux TLS 1.3 concerné
l
en fermant la connexion.
Sélectionnez l'action appliquée au flux TLS analysé lorsque le certificat serveur
récupéré présente une anomalie :
Continuer l'analyse : le moteur de prévention d'intrusion poursuit l'analyse du
l
certificat et les analyses protocolaires sur le flux TLS 1.3 concerné.
Bloquer le trafic : le certificat est rejeté, le firewall génère une alarme et bloque le
l
flux TLS 1.3 concerné en fermant la connexion.
Sélectionnez l'action appliquée au flux TLS analysé lorsque le certificat ne comporte
pas de SNI (Server Name Indication) :
Continuer l'analyse : le moteur de prévention d'intrusion poursuit l'analyse du
l
certificat et les analyses protocolaires sur le flux TLS 1.3 concerné.
Bloquer le trafic : le certificat est rejeté, le firewall génère une alarme et bloque le
l
flux TLS 1.3 concerné en fermant la connexion.
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4
sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023
40. PROTOCOLES
SSL, onglet IPS.
Publicité
