Hinzufügen eines Entschlüsselungsprofils
Mithilfe von Entschlüsselungsprofilen können Sie Entschlüsselungseinstellungen für SSL/TLS-Verbindungen erzwingen.
Warnung
Android-Geräte generieren bekanntermaßen SSL/TLS-Zertifikatsfehler, die zu einem Fehlschlagen der Entschlüsselung führen. Wir empfehlen, für alle Android-Geräte eine SSL/TLS-Ausschlussliste zu erstellen.
- Gehe zu Profile > Entschlüsselungsprofile und klicken Sie auf Hinzufügen.
- Geben Sie einen Namen ein.
- Fügen Sie eine Beschreibung hinzu.
-
Geben Sie die erneut signierende Zertifizierungsstelle für SSL/TLS-Verbindungen an, die von der Sophos Firewall abgefangen werden.
Die Endgeräte müssen Zertifikate zum erneuten Signieren als vertrauenswürdig einstufen. Andernfalls zeigen Browser eine Warnung an und verweigern möglicherweise die Verbindung.
Tipp
In den meisten Fällen erfordert dies die Installation von Kopien der Zertifikate in den Browsern oder den Betriebssystem-Zertifikatspeichern der Endgeräte. Alternativ können Sie Signaturzertifikate erstellen und verwenden, die einer bestehenden vertrauenswürdigen Unternehmenszertifizierungsstelle (CA) für Ihr Unternehmen untergeordnet sind. Es ist nicht möglich, Signaturzertifikate von CAs zu erhalten, die bereits von Betriebssystemen oder Browsern als vertrauenswürdig eingestuft werden.
Die meisten Zertifizierungsstellen verwenden Zertifikate mit RSA- oder EC-Schlüsseln (Elliptic Curve). In den meisten Fällen können Zertifikate eines Typs von Zertifizierungsstellen des anderen Typs signiert werden, sodass Sie dieselbe Zertifizierungsstelle für beide verwenden können. Bei Problemen mit Anwendungen, die nur Zertifikate eines Typs erwarten, können Sie einen EC-Schlüssel hinzufügen und damit Zertifikate, die ursprünglich von einer EC-basierten Zertifizierungsstelle signiert wurden, erneut signieren. Wenn Sie eine zweite Zertifizierungsstelle hinzufügen, stellen Sie sicher, dass diese von allen Endgeräten als vertrauenswürdig eingestuft wird.
Name Beschreibung In den SSL/TLS-Einstellungen definierte CAs verwenden Verwendet die in den SSL/TLS-Überprüfungseinstellungen angegebene Zertifizierungsstelle. RSA erneut signieren mit Wird verwendet, wenn das Zertifikat der Website mit RSA signiert wurde.
Sie können ein EC- oder RSA-Zertifikat angeben.EC erneut unterzeichnen mit Wird verwendet, wenn das Zertifikat der Website mit EC signiert wurde.
Sie können ein EC- oder RSA-Zertifikat angeben.Tipp
Um das ausgewählte CA-Zertifikat herunterzuladen, klicken Sie auf die Schaltfläche „Herunterladen“.
neben der Dropdown-Liste.
-
Geben Sie die Aktion für nicht entschlüsselbaren Datenverkehr an, z. B. unsichere Protokollversionen, Vorkommen und Verschlüsselungssammlungen.
Name Beschreibung SSL 2.0 und SSL 3.0 Das Zulassen dieser Verbindungen verringert die Sicherheit. SSL-Komprimierung Die Komprimierung vor der Verschlüsselung weist bekannte Schwachstellen auf. Wenn SSL/TLS-Verbindungen das Limit überschreiten Gilt für übermäßigen Datenverkehr, wenn das Volumen die Entschlüsselungskapazität der Firewall überschreitet.
Um das Entschlüsselungslimit anzuzeigen, gehen Sie zu Kontrollzentrum und wählen Sie die SSL/TLS-Verbindungen Widget.Unbekannte Verschlüsselungssammlungen Firewalls können den Datenverkehr mit unbekannten Verschlüsselungssammlungen nicht entschlüsseln. Die Verwendung unbekannter Verschlüsselungssammlungen verringert die Sicherheit. Aktion für nicht entschlüsselbaren Datenverkehr:
- SSL/TLS-Standardeinstellungen verwenden: Wendet die in den SSL/TLS-Überprüfungseinstellungen angegebene Aktion an. Diese Option gilt nicht für nicht erkannte Verschlüsselungssammlungen.
- Ohne Entschlüsselung zulassen
- Drop: Droppt ohne Benachrichtigung der Quelle.
- Ablehnen: Bricht die Verbindung ab und sendet eine Nachricht zum Zurücksetzen der Verbindung an den Quellhost.
Notiz
Die Sophos Firewall lehnt Verbindungen mit SSL 2.0 und 3.0, SSL-Komprimierung und unbekannten Verschlüsselungssammlungen ab, wenn Sie die Aktion auf Entschlüsseln in SSL/TLS-Überprüfungsregeln.
Um diese Verbindungen zuzulassen, erstellen Sie ein Entschlüsselungsprofil mit der Einstellung Ohne Entschlüsselung zulassenFügen Sie das Profil einer SSL/TLS-Inspektionsregel hinzu, wobei die Aktion auf Nicht entschlüsseln.
-
Geben Sie die Details zur Durchsetzung des Zertifikats, des Protokolls und der Verschlüsselung an.
Name Beschreibung Zu blockierende Zertifikatsfehler Wählen Sie die Zertifikatsfehler aus.
Die Sophos Firewall blockiert Verbindungen mit den angegebenen Fehlern.- Ungültiges Datum – Selbstsigniert
- Nicht vertrauenswürdiger Benutzer – Widerrufen: Sie müssen eine Zertifikatsperrliste (CRL) importieren, damit diese Funktion funktioniert.
- Namenskonflikt: Überprüft, ob der im Client Hello angeforderte Servername mit den durch das Zertifikat dargestellten Domänennamen übereinstimmt.
- Ungültig aus anderen Gründen
Wenn Sie eine Ausnahme für die HTTPS-Entschlüsselung in Web > Ausnahmen, Sophos Firewall lässt Datenverkehr mit ungültigen Zertifikaten zu, wenn der Datenverkehr den Ausnahmekriterien entspricht.Minimale RSA-Schlüsselgröße Wählen Sie eine Mindestschlüssellänge.
Schlüssel mit weniger als 2048 Bit gelten nicht mehr als sicher. Erlauben Sie sie nur, wenn dies erforderlich ist, um die Kompatibilität mit älteren Servern sicherzustellen, die nicht aktualisiert werden können.Mindestens SSL/TLS-Version Wählen Sie die minimal zulässige Protokollversion aus.
Versionen vor TLS 1.2 gelten nicht mehr als sicher. Erlauben Sie sie nur, wenn dies zur Gewährleistung der Kompatibilität erforderlich ist.Maximale SSL/TLS-Version Wählen Sie die höchste zu erzwingende Protokollversion aus.
Um die neueste verfügbare Version zu implementieren, wählen Sie Maximal unterstütztWenn eine neuere Protokollversion verfügbar wird, implementiert Sophos Firewall diese Version automatisch.Zu blockierende Verschlüsselungsalgorithmen Wählen Sie den zu blockierenden Schlüsselaustausch, Authentifizierungsmechanismus, Massenchiffren und Hash-Algorithmen aus. Blockaktion Wählen Sie die anzuwendende Aktion aus.
- Drop: Droppt ohne Benachrichtigung der Quelle.
- Ablehnen: Bricht die Verbindung ab und sendet eine Nachricht zum Zurücksetzen der Verbindung an den Quellhost.
- Ablehnen und benachrichtigen: Stellt die Verbindung her, verhindert aber jegliche Datenübertragung mit dem Server. Bei HTTPS-Verbindungen wird versucht, dem Benutzer eine Sperrseite mit dem Fehlergrund anzuzeigen.
Für TLS 1.3-Verbindungen müssen Sie die Aktion auf Entschlüsseln in SSL/TLS-Inspektionsregeln, um Folgendes zu tun:
- Blockieren Sie Zertifikatsfehler und wenden Sie die in den Entschlüsselungsprofilen angegebene Mindestgröße für RSA-Schlüssel an.
- Anwenden der Blockierungsaktion Ablehnen und benachrichtigen im Entschlüsselungsprofil angegeben. Wenn Sie ein solches Entschlüsselungsprofil auf SSL/TLS-Inspektionsregeln mit Nicht entschlüsseln oder Leugnen Aktion, Sophos Firewall wendet die Blockierungsaktion an Ablehnen.
-
Klicken Speichern.
Gehe zu Regeln und Richtlinien > SSL/TLS-Überprüfungsregeln und fügen Sie das Entschlüsselungsprofil einer Regel hinzu, um die Aktion festzulegen.
Weitere Ressourcen