Sophos UTM – Best practices Cipher sur WAF

Mathieu Sophos

Synopsis

Le Sophos UTM est un super produit All-In-One, assez user friendly mais qui a tendance a être délaissé face au Sophos XG qui le remplace.

Malheureusement il n’est pas possible via la GUI d’améliorer la sécurité du WAF via le passage en TLS 1.2 minimum avec des cipher strong, à ceci près que ça reste un Linux derrière et qu’il est possible de modifier les settings via des fichiers de configuration.

Configuration

  • Activer SSH (Management -> System Settings -> Shell Access)
  • Putty : loginuser
su root

La configuration suivante sera écrasée au prochain reboot :

cd /var/chroot-reverseproxy/usr/apache/conf
cp reverseproxy.conf reverseproxy.conf.bak
vi reverseproxy.conf

Je vous conseille plutôt d’ajouter la configuration à la fin du fichier httpd.conf :

vi /var/chroot-reverseproxy/usr/apache/conf/httpd.conf

Ajouter les lignes en dessous de « Include conf/reverseproxy.conf »

SSLProtocol -all +TLSv1.2
SSLCipherSuite ALL:!RSA:!CAMELLIA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SHA1:!SHA256:!SHA384

Advanced :

TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256

Broad Compatibility :

TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256

Widest Compatibility :

TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA

 
Si vous souhaitez passer en A+ sur le test SSL Labs, il faut ajouter à la configuration ci-dessus le HSTS.
 
HTTP Strict Transport Security (HSTS) est un mécanisme de politique de sécurité proposé pour HTTP, permettant à un serveur web de déclarer à un agent utilisateur (comme un navigateur web), compatible, qu’il doit interagir avec lui en utilisant une connexion sécurisée. La politique est donc communiquée à l’agent utilisateur par le serveur via la réponse HTTP, dans le champ d’en-tête nommé « Strict-Transport-Security ». La politique spécifie une période de temps durant laquelle l’agent utilisateur doit accéder au serveur uniquement de façon sécurisé.
 

 

  • Éditer le fichier de configuration via VI
vi /var/chroot-reverseproxy/usr/apache/conf/httpd.conf
  • Ajouter cette ligne
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"
  • Redémarrer le service
/var/mdw/scripts/reverseproxy restart

Mathieu

Je suis actuellement ingénieur spécialisé dans le design d'environnements cloud virtualisés. Adepte des technologies de VMware, Nutanix, Citrix et Microsoft je propose à travers ce blog diverses astuces de troubleshooting.

S’abonner
Notification pour
guest

0 Commentaires
Commentaires en ligne
Afficher tous les commentaires