Inspection TLS détecte et empêche les menaces avancées dans votre réseau via des canaux TLS chiffrés. Cette rubrique inclut les concepts associés aux fonctionnalités Inspection TLS.
Protocole TLS
Cette rubrique décrit le fonctionnement de l'établissement de liaison du protocole TLS pour établir un canal chiffré entre le client et le serveur. L'illustration du protocole TLS suivante présente les différentes étapes impliquées pour former un canal chiffré.
Pour résumer le protocole TLS :
- TLS lance une session TLS sur une session TCP établie entre le client et le serveur (également appelée établissement d'une liaison TLS en trois temps).
- Le client envoie un message Client Hello qui inclut la version et le chiffrement TLS pris en charge, ainsi que l'extension SNI (Server Name Indication, Indication du nom du serveur). Inspection TLS utilise la SNI dans le message Client Hello de TLS pour classer le trafic à l'aide du profil de contexte afin d'utiliser les profils de déchiffrement internes, externes ou de contournement.
- Le serveur répond avec le certificat de serveur pour l'authentification et l'identification, et un message Server Hello avec la version et le chiffrement proposés par le client.
- Une fois que le client valide le certificat et vérifie la version finale et le chiffrement, il génère une clé de session symétrique et l'envoie au serveur.
- Pour initier le tunnel TLS sécurisé qui échange des données d'application sur le canal TLS chiffré, le serveur valide la clé de session et envoie le message terminé.
Par défaut, le protocole TLS ne montre que l'identité du serveur au client à l'aide du certificat X.509 et l'authentification du client sur le serveur incombe à la couche d'application.
Types de déchiffrement TLS
La fonctionnalité
Inspection TLS permet aux utilisateurs de définir des stratégies pour déchiffrer ou contourner le déchiffrement. La fonctionnalité d'inspection TLS permet deux types de déchiffrement :
- Déchiffrement TLS interne : pour le trafic allant vers un service interne d'entreprise dans lequel vous possédez le service, le certificat et la clé privée. Il est également appelé proxy inverse TLS ou déchiffrement entrant.
- Déchiffrement TLS externe : pour le trafic allant vers un service externe (Internet) dans lequel l'entreprise ne possède pas le service, son certificat et la clé privée. Il est également appelé proxy de transfert TLS ou déchiffrement sortant.
Le diagramme suivant décrit comment le trafic est géré par les types de déchiffrement TLS interne et externe.
Le diagramme et le tableau suivants expliquent le fonctionnement du déchiffrement externe TLS de NSX avec NSX.
Légende | Workflow |
---|---|
1 | La SNI du message Hello Client de TLS correspond au profil de contexte de stratégie Inspection TLS. |
2 | NSX intercepte la session TLS à partir du client et initie une nouvelle session sur le serveur prévu. |
3 | NSX applique la version et le chiffrement TLS (configurables). |
4 | Le serveur répond au client avec un certificat TLS |
5 | NSX valide le certificat de serveur à l'aide du bundle d'autorité de certification approuvée et génère dynamiquement un certificat d'autorité de certification de proxy et le présente au client. |
Le diagramme et le tableau suivants expliquent le fonctionnement du déchiffrement interne TLS de NSX avec NSX.
Légende | Workflow |
---|---|
1 | La SNI du message Client Hello de TLS correspond au profil de contexte de stratégie d'inspection TLS configuré pour le domaine interne. |
2 | NSX intercepte la session TLS à partir du client et initie une nouvelle session sur le serveur prévu. |
3 | NSX applique la version/le chiffrement TLS (configurables). |
4 | Le serveur répond avec le certificat dans le cadre de l'établissement d'une liaison TLS (validation facultative). |
5 | NSX présente au client le certificat du serveur, qui a été chargé dans le cadre de la configuration. |