Sophos UTM – Best practices Cipher sur WAF

Mathieu Sophos

Synopsis

Le Sophos UTM est un super produit All-In-One, assez user friendly mais qui a tendance a être délaissé face au Sophos XG qui le remplace.

Malheureusement il n’est pas possible via la GUI d’améliorer la sécurité du WAF via le passage en TLS 1.2 minimum avec des cipher strong, à ceci près que ça reste un Linux derrière et qu’il est possible de modifier les settings via des fichiers de configuration.

Configuration

  • Activer SSH (Management -> System Settings -> Shell Access)
  • Putty : loginuser
su root

[rule style= »rule-dotted » ]

La configuration suivante sera écrasée au prochain reboot :

cd /var/chroot-reverseproxy/usr/apache/conf
cp reverseproxy.conf reverseproxy.conf.bak
vi reverseproxy.conf

[rule style= »rule-dotted » ]

Je vous conseille plutôt d’ajouter la configuration à la fin du fichier httpd.conf :

vi /var/chroot-reverseproxy/usr/apache/conf/httpd.conf

[rule style= »rule-dotted » ]

Ajouter les lignes en dessous de « Include conf/reverseproxy.conf »

SSLProtocol -all +TLSv1.2
SSLCipherSuite ALL:!RSA:!CAMELLIA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SHA1:!SHA256:!SHA384

[rule style= »rule-dotted » ]

Advanced :

TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256

Broad Compatibility :

TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256

Widest Compatibility :

TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA

[rule style= »rule-dotted » ]
 
Si vous souhaitez passer en A+ sur le test SSL Labs, il faut ajouter à la configuration ci-dessus le HSTS.
 
HTTP Strict Transport Security (HSTS) est un mécanisme de politique de sécurité proposé pour HTTP, permettant à un serveur web de déclarer à un agent utilisateur (comme un navigateur web), compatible, qu’il doit interagir avec lui en utilisant une connexion sécurisée. La politique est donc communiquée à l’agent utilisateur par le serveur via la réponse HTTP, dans le champ d’en-tête nommé « Strict-Transport-Security ». La politique spécifie une période de temps durant laquelle l’agent utilisateur doit accéder au serveur uniquement de façon sécurisé.
 

 

  • Éditer le fichier de configuration via VI
vi /var/chroot-reverseproxy/usr/apache/conf/httpd.conf
  • Ajouter cette ligne
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"
  • Redémarrer le service
/var/mdw/scripts/reverseproxy restart

...BofBienTrès BienTop ! (Soit le premier à voter)
Loading...

Mathieu

Je suis actuellement ingénieur spécialisé dans le design d'environnements cloud virtualisés. Adepte des technologies de VMware, Nutanix, Citrix et Microsoft je propose à travers ce blog diverses astuces de troubleshooting.

S’abonner
Notification pour
guest

0 Commentaires
Le plus ancien
Le plus récent Le plus populaire
Commentaires en ligne
Afficher tous les commentaires