Dans un environnement numérique où le chiffrement est la norme, l’inspection SSL n’est plus une option mais une exigence. F5 BIG-IP, via ses modules LTM et AFM, permet une architecture complète d’interception, journalisation, détection de menaces et intégration tierce. Ce guide va au-delà de la configuration basique pour aborder la mise en miroir TLS, le fingerprinting JA3, les exclusions réglementaires, et le pilotage des flux inspectés dans un cadre DevSecOps.
1. Architecture TLS complète : termination, recryption, redirection
tmsh create ltm profile client-ssl inspect-client {
cert /Common/inspect.crt
key /Common/inspect.key
options { dont-insert-empty-fragments }
renegotiate enabled
insert-sni disabled
peer-cert-mode require
}
# Backend avec serveur en HTTP ou re-SSL optionnel
tmsh create ltm profile server-ssl inspect-server {
renegotiate enabled
handshake-timeout 15
}Permet une capture complète du trafic TLS, avec options strictes sur le certificat client et le renégociation.
2. Inspection conditionnelle selon JA3 fingerprint
when CLIENTSSL_HANDSHAKE {
set ja3 [SSL::ja3-fingerprint]
if {$ja3 eq "e7d705a3286e19ea42f587b344ee6865"} {
log local0. "Fingerprint malicieux détecté : [IP::client_addr]"
reject
}
}Détecte des clients suspects utilisant des bibliothèques TLS typiques de malware ou bots (curl, python, go).
3. Intégration d’un DLP (Data Loss Prevention)
tmsh create net mirror dlp-mirror
tmsh modify ltm virtual vs_decrypt mirror enabledEnvoie les flux déchiffrés vers un outil DLP en inline ou SPAN pour détecter fuites de données sensibles (PII, secrets).
4. Routage basé sur CN ou SAN du certificat
when CLIENTSSL_CLIENTCERT {
set subject [X509::subject [SSL::cert 0]]
if {$subject contains "CN=Admin"} {
pool admin-pool
} else {
pool default-pool
}
}Permet de router le trafic selon l’identité X.509 du client, utile pour microsegmentation SSL ou accès privilégié.
5. Exclusions dynamiques selon catégorie URL/DNS
when CLIENTSSL_HANDSHAKE {
if {[IP::addr [IP::client_addr] equals 192.168.10.1]} {
SSL::disable
}
}Utilisé pour désactiver dynamiquement l’inspection TLS sur certains réseaux ou flux réglementés (banques, santé).
6. Export et analyse centralisée des sessions TLS
tmsh modify sys syslog include "filter f_tls { program(apmd); }; log { source(s_sys); filter(f_tls); destination(remote_tls); };"Permet d’envoyer les logs TLS (cipher, JA3, DN, handshake) vers un SIEM pour corrélation et forensic.
7. Optimisation des performances en environnement haute capacité
- Activer l’accélération matérielle SSL via F5 HSM ou cavium
- Limiter le nombre de rehandshake via timeout agressif
- Configurer un cache session-SSL partagé (profile option)
8. Gouvernance des flux TLS et reporting
Utiliser F5 iHealth + AVR (Analytics) pour :
- Auditer les volumes de trafic déchiffré
- Identifier les anomalies (renégociation excessive, weak ciphers)
- Exporter les rapports vers PDF ou CSV pour RSSI
Conclusion
L’inspection SSL avancée n’est pas qu’une question de visibilité technique, mais un pilier de gouvernance, de conformité et de défense proactive. F5 BIG-IP, combiné à des stratégies d’audit, de forensic et d’intégration avec le SIEM ou DLP, offre aux entreprises une approche robuste, traçable et adaptable aux nouvelles menaces réseau.
