Avec un Netasq U70 à la v9.0.3.1, j'ai des problèmes de lenteurs sur la plupart des sites HTTPS.
En essayant plusieurs configurations différentes certains sites fonctionnent mieux mais d'autres pas et vice versa.
 
- Première configuration : Laisser passer le HTTPS sans déchiffrer.

La plupart des sites HTTPS publiques (Google, LogMeIn, etc...) sont très lents et il est quasi impossible de télécharger un fichier sur ces sites.
Les sites plus "privés" (portail VPN, forum) qui ont généralement un certificat invalide (nom différent du domaine) fonctionnent.
Skype fonctionne aussi parfaitement.
 
 
- Deuxième configuration : déchiffrer le HTTPS.

Là les sites publiques fonctionnent biens.
Mais les sites "privés" avec de mauvais certificats sont bloqués.
Skype a également des problèmes de connexion (certains messages ne partent pas ou ne se reçoivent pas).
 
 
Dans ces 2 configurations j'ai essayé plusieurs paramètres différents mais rien n'y fait.
 
- Filtrage SSL :
Passer sans déchiffrer proxyssl_bypass, puis Any (config par défaut)

Dans l'objet Web "proxysssl_bypass" j'ai ajouté tous les domaines des sites utilisés sous la forme *.domaine (*.logmein.com, *.microsoft.com, etc...), j'ai également ajouté de la même façon les sites des autorités de certification (*.verisign.com, *.thawte.com, etc... Adresses que l'on trouve dans les certificats).
 
Passer sans déchiffrer, seulement Any.

 
 
- Protocoles et applications - SSL :
J'ai effectué plusieurs tests de configuration, le dernière en date me semble le plus laxiste.


 
 
Là je ne vois plus quoi faire, sans doute une option planquée dans un coin...
Avez-vous une idée ?

Bonsoir Truuc,
 
Avez-vous avancé sur votre recherche ?  
J'ai eu quelques problèmes avec les versions 9.X
J'ai migré mes équipements sur la 9.0.4.2 et j'ai qq souci en moins.
Je passerai à cette version pour commencer.
 
A+

Bonjour,

Merci pour ta réponse, je n'ai rien trouvé pour améliorer la situation, le post sur le forum est mon dernier recours.

Effectivement j'avais vu que la mise à jour 9.0.4 ajoutait une option dans les paramètres SSL, mais notre support à expiré peut avant sa sortie et je ne peux donc plus installer de mise à jour.
(Ma direction préfère changer d'appareil tous les 3/4 ans plutôt que payer un support qui rattrape le prix de l'appareil en 2/3 ans.)

Mais il doit bien y avoir un réglage qui débloque la situation.
je ne comprend pas pourquoi la règle "laisser passer tous le HTTPS" ralenti fortement certains sites HTTPS.

Effectivement ne pas prendre le support est une option. J'utilise des NG1000, U450 et autres. Pour le coup, la maintenance trouve tout son intérêt
 
Ce ralentissement existe depuis longtemps ou depuis une modification ?
Existe-t-il également si tu descends ton niveau de sécurité ? Attention quand même à l'activité de ton entreprise
 
Et que t'indique le monitor lorsque tu filtres une machines qui souhaite accéder à un de ces sites ?
 
Je regarde ma doc et si je vois qq chose je te fais signe ce week.
 

Les ralentissement existent depuis le début.

Que veux-tu dire par descendre le niveau de sécurité ?
Je n'ai pas vu de paramètre général pour ça, c'est en fonction des règles de filtrage que c'est plus ou moins sécurisé, non ?
Quand je met que tout le HTTPS vers l’extérieur passe, je ne vois pas plus bas comme règle de sécurité.
À moins que tu suggères d'essayer de laisser tous les ports ouverts vers l’extérieur ?

Quand on se connecte à ce genre de site il n'y a aucun évènement de blocage seulement un de Connexion :

Là ça parle de "Filtrage implicite", mais sur la page des paramètres de règles implicites il n'y a rien qui concerne le SSL, à part pour le portail d'authentification.

Par contre si j'active la règle de déchiffrage un site bloqué a bien un évènement de blocage :

Là c'est un certificat auto-signé.

Et pour Skype il y a des alarmes de blocage de ports différents que le HTTPS :

Suivi d'un blocage SSL :

Salut,
 
pour le niveau de filtrage sur le SSL, tu peux choisir entre IPS (inspection de paquets et blocage), IDS (inspection de paquets et non blocage), ou Firewall.
Cela est sélectionnable dans la colonne 'inspection de sécurité'.
 
Je suis ce topic car on a un soucis un peu équivalent: lorsqu'on active le filtrage https, sans déchiffrement, les applications skype ne fonctionnent plus.
 

Ah oui c'est vrai, j'avais vu cette option lorsque j'ai testé différents paramètres.

Avec la règle de déchiffrage, ça ne change rien (j'avais déjà testé).

Avec la règle de tout laisser passer sans déchiffrer, ça change rien en IDS mais en Firewall ça semble être un peu mieux.

Après différents tests, je confirme que ça fonctionne bien en niveau d'inspection "Firewall", merci à vous 2 !
Je pense que je vais rester comme ça, ça ne me semble pas très grave si c'est uniquement pour le HTTPS.

Par contre j'ai essayé ce mode pour le FTP où j'ai un autre petit souci et ça ne fonctionne pas.
Du coup je vais profiter de ce topic et de vos connaissances

On s'est inscrit récemment chez l'hébergeur o2switch, hormis le compte FTP par défaut qui n'a qu'un login classique, les autres comptes que l'on crée manuellement sont sous la forme login@domaine.com.
Lorsqu'on se connecte sur FileZilla avec ces comptes, on a l'erreur :

Sur le Netasq il y a un l'alarme "Débordement en FTP lors du login (User)".

Lorsque je paramètre cette alarme sur "Autoriser" il y a, sur FileZilla :

Parmi ces login il y en a un dont le total (avec @domaine.com) fait 27 caractères et il fonctionne.
Les autres font 28 caractères et plus et ne fonctionnent pas.

J'ai augmenté la taille du nom d'utilisateur dans "Protocoles et Applications" pour le FTP, ça ne change rien.

De l'extérieur de notre réseau (sans le Netasq donc) tous fonctionnent parfaitement.
Le compte par défaut (sans le @domaine.com) fonctionne aussi, même avec le Netasq.

Bonsoir,
 
Je reviens sur le 1er post concernant le problème de Truuc. Je suis déjà content que cela fonctionne en mode Firewall. Ce qui veut dire que ton problème est lié à l'ASQ c'est à dire le mode de détection et d'analyse du boitier. En mode Firewall, tu byepass le module ce qui en soit n'est pas terrible.  
Maintenant que ça passe dans le monitor, il faut que tu cibles les ports nécessaires à skype. Tu peux éventuellement faire une règle spécifique positionnée au dessus de ta règle https car je pense que tu le sais il faut mettre tes règles de la plus restrictives à la plus généraliste.
 
Ensuite dans la partie Protection applicative puis Alarmes, tu trouveras un module de recherche de protocoles. Le champ Config0 c'est pour le trafic entrant et Config1 à X c'est pour le sortant. Choisis un slot non utilisé puis recherche skype. Autorise skype à faire des connexions ssl.
Retourne dans ta règle de filtrage spécifique skype remonte en IDS voir IPS en choisissant dans le champ "Profil d'inspection" celui que tu as créer avant.
 
http://www.netasq.com/securitykb/f [...] 6e371.html
 
Le déchiffrage SSL pose quelques problèmes de conscience car si un de vos utilisateurs se connecte à sa banque et si vous n'avez pas créé une règle de filtrage d'URL spécifique évitant de déchiffrer les ets bancaires vous risquez d'avoir qq souci mais ça c'est un autre sujet.
 
Dans ce cas de figure, le firewall utilse une technique de pirate (man in the middel) car il se fait passer pour l'utilisateur à son site bancaire et l'inverse pour le navigateur de l’utilisateur. Il fabrique de faux certificats à la volée et c'est peut être là que provient tes problèmes de départ.
 
Pour la partie FTP, je ferai également un profil spécifique s'appliquant aux alarmes que remonte ton monitor. Je viens de vérifier sur le mien la taille des identifiants est à 32 octets par contre dans les alarmes en config1 et config0 j'ai ftp:43 débordement en ftp lors du login bloqué tout comme toi.
Un petit coup de monitor en mettant une alarme majeur sur cette règle et tu y verras peut être un peu plus clair.
 
Bonne soirée

Merci, je vais essayer tout ça petit à petit.
Mais le problème c'est qu'il n'y a pas que Skype qui est bloqué, mais aussi des sites avec certificats auto-signés (en particulier des accès VPN).

Bonsoir,
 
De toute façon, il faut tester. Alors le plus compliqué avec les équipements en prod c'est de faire des tests en pleine journée. Parfois ça couine un peu mais en dehors des heures c'est tout aussi dur car on a pas de retour de suite.
Pour tes VPN s'ils sont de site à site, se sont les règles implicites qui s'appliquent. Donc dans ton cas, je les déactiverai puis j'en ferai des persos en amont des règles liées à Skype. En plus, il me semble que l'on peut dire dans les profils d'inspection de considérer les vpn ipsec comme des interfaces internes.
 
A voir, bon courage en attendant.

Salut,
 
La version 9.0.4.3 semble résoudre le pb de lenteur:
 
Analyse SSL Références support 33128 – 33288
Lors de perte de paquets sur une connexion SSL, le firewall stocke les paquets en attendant la réémission des paquets non reçus. Cela entraîne un ralentissement du trafic.
Un contournement possible est de désactiver l’analyse SSL ou de déclarer la règle de filtrage en mode Firewall.

Salut les asqueux
 
Depuis quelques mois j'ai un blocage de connexion avec logmein, alors que ça fonctionnait très bien depuis 3 ans et que je n'ai pas touché à la config pare-feu (enfin j'ai touché à d'autres choses, mais qui ne peuvent pas impacter ça)
Il se trouve que c'est l'ASQ qui bloque logmein pour une erreur "différence dans la version ssl (TLSv1)"
En mettant "passer" sur cette alarme, ça fonctionne:

 
=> maintenant aurais-je moyen de "cibler" ce bypass uniquement sur les connexions avec certains domaines (genre *.logmein.com)
 
ps: U120 en v8.1.3

Bonjour,
 
Je suis tombé sur ce topic grâce à Google
J'ai un problème de filtrage de sites en HTTPS sur un NETASQ F200 en V8
 
Le problème est que je vois bien l'alarme qui fait référencé à mon problème mais il est réglé en PASSER (pas en bloquer) et ça ne passe pas quand même
 
Avez-vous une idée svp ?
 

Salut gOOn70,
C'est surprenant qu'un F200 tienne encore la route ! Mais bon, pourquoi pas !
 
Pour ton problème, as-tu pensé à laisser passer ton alarme dans les 2 profils ASQ ?

Oui effectivement ce produit a l'air un peu vieux et dépassé, je m'occupe depuis peu de ce parc informatique et j'ai prévu de remplacer ce firewall mais ce n'est pas possible tout de suite
 
Je ne connais pas ce produit à l'origine, j'essaie de m'y former : il y a 2 profils ? comment y accéder svp ?

Ah oui effectivement il y en a 3 autres et en mettant à PASSER sur les 3 autres ça fonctionne désormais    
Merci beaucoup!!    
 
Je ne sais pas par contre comment/pour qui sont attribués ces profils
Ce n'est pas étonnant qu'il y en ai autant ?

mais c'est quoi ce deterrage d'un topic ouvert en 2012..
il faut  en creer d'autre.
 
gOOn70 passe en v9.
La v8 n'est plus en support depuis juin 2014 !
sur un tel equipement il est obligatoire de faire de la maintenance réguliére et donc de suivre de trés prés les maj.

c'est dans la continuité du post de aspegic500mg en mai 2014 qui m'avait aidé
 
oui je pense qu'il faut que je mette à jour tout ça ou change d'équipement carrément

 
Il n'y a pas de topic dédié Netasq, si tu veux en créer un
Ce topic est bien référencé sur "netasq" et "https", autant le garder pour ce qu'il est, ça discute un peu et on trouve des infos intéressantes

En fait, les 2 premiers profils (00 et 01) sont par défaut associés l'un au trafic entrant, l'autre au trafic sortant. Je ne me souviens plus de l'association... en V9 c'est indiqué dans le menu de configuration, donc je n'ai plus à le retenir par coeur et je sais pas si Netas n'a pas changé la logique entre V8 et V9, donc je ne veux pas te dire de bêtises :X
Edit : par contre tu n'avais pas besoin de faire la modif sur les 3 profils. Seulement sur le 00 et le 01

Après, ce que tu viens de faire, c'est une exception dans l'ASQ, donc si il y a un flux malveillant sur cette alarme, il ne sera plus arrêté. En gros, tu viens d'ouvrir une brèche dans ton parefeu

Va mettre une V9 sur un F200

D'où ma question en 2014:
"maintenant aurais-je moyen de "cibler" ce bypass uniquement sur les connexions avec certains domaines (genre *.logmein.com)"
 
Parce que c'est bien de vouloir la sécurité, mais quand on doit utiliser un service mal sécurisé, faut bien créer une exception (ou attendre 107 ans que le défaut soit corrigé, mais parfois on ne peut pas)

En V8 c'est pas simple du tout malheureusement :\
En V9 c'est beaucoup plus facile de faire des exceptions au cas par cas.
 
Ca fait trop longtemps que je n'ai pas fait d'installation en V8 pour pouvoir te guider dans cette procédure, dsl...

Ok alors je m'en inquièterai au prochain changement de pare-feu, en attendant bah ..

j'avais même cru comprendre en lisant certains articles qu'en V8 il n'était pas possible de faire du filtrage sur le protocole https
or là, c'est bien ce qu'il fait non ?
si jamais vous avez une solution pour améliorer la sécurité, je suis preneur
 
merci en tous cas pour votre aide

Non il n'a pas fait du filtrage https, il a seulement débrayé une alarme bloquante sur le protocole https.
 
La V9 est capable de faire du filtrage https car le parefeu fonctionne alors en man in the middle. Attention à la législation dans ce cas !

 
Tu dois pouvoir le faire en te basant sur les certificats et les listes d'url.

Pas de filtrage ssl possible en V8!
Pour filtrer il faut déchiffrer.  
D'ailleurs essai sur Google image de taper des mots clés explicites...
Pour pallier à cela en attendant ton new firewall, Google met à disposition une ip virtuelle qui force le safesearch ;-)
A faire dans ton dns local. Et dans le filtrage, n'autoriser que ton serveur dns à faire des requêtes sur internet.