Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=rules-policies-SSL-TLS

SSL/TLS-Prüfregeln

Mithilfe von SSL/TLS-Inspektionsregeln können Sie SSL- und TLS-Verbindungen über TCP abfangen und entschlüsseln, sodass die Sophos Firewall sichere Verbindungen zwischen Clients und Webservern erzwingen kann.

Die SSL/TLS-Prüfung ermöglicht die Verhinderung der Übertragung von Schadsoftware über verschlüsselte Verbindungen.

Sie können richtlinienbasierte Verbindungen und Entschlüsselungen für SSL/TLS-Datenverkehr basierend auf dem Datenverkehr und dem Risikoniveau erzwingen.

SSL/TLS-Prüfregeln haben keinen Einfluss auf die Entschlüsselung des vom Webproxy verarbeiteten Datenverkehrs. Die Methode der Webfilterung (Webproxy oder DPI-Engine) wird in den Firewall-Regeln festgelegt. Standardmäßig verwendet die Sophos Firewall die DPI-Engine und wendet SSL/TLS-Prüfregeln auf Datenverkehr an, der den Kriterien der Firewall-Regel entspricht.

SSL/TLS-Prüfregeln sind bei Neuinstallationen standardmäßig aktiviert. Sie können sie auch manuell aktivieren oder deaktivieren.

Warnung

Wenn SSL/TLS-Prüfregeln deaktiviert sind, wendet die Sophos Firewall diese nicht auf die Verbindungen an. Das Kontrollzentrum und der Protokoll-Viewer zeigen keine SSL/TLS-Verbindungs- und Entschlüsselungsdetails an.

Warnung

Es ist bekannt, dass Android-Geräte SSL/TLS-Zertifikatfehler erzeugen, die zu einem Fehlschlagen der Entschlüsselung führen. Wir empfehlen daher, eine SSL/TLS-Ausschlussliste für alle Android-Geräte zu erstellen.

Selbstsignierte versus vertrauenswürdige CA-Zertifikate

Die Sophos Firewall verwaltet die Vertrauensstufe eines TLS-Serverzertifikats, wenn sie eine TLS-Verbindung zulässt. Dadurch wird verhindert, dass Endpunkte hinter der Firewall einem Serverzertifikat vertrauen, dem die Firewall nicht vertraut.

Selbstsignierte Zertifikate

Manche Server verwenden ein selbstsigniertes Zertifikat anstelle eines von einer Zertifizierungsstelle (CA) signierten Zertifikats. Selbstsignierte Zertifikate ermöglichen zwar Ende-zu-Ende-Verschlüsselung, garantieren aber nicht die Identität der Website. Bei diesen Verbindungen ersetzt die Sophos Firewall lediglich den Schlüssel im Zertifikat durch den Schlüssel, der zur erneuten Verschlüsselung der entschlüsselten und geprüften Inhalte verwendet wird, und signiert das Zertifikat mit diesem Schlüssel. Sie signiert diese Zertifikate nicht als CA neu, und Clients (z. B. Browser) sehen sie weiterhin als selbstsignierte Zertifikate.

Die Browser zeigen dann eine Warnung an, dass das Zertifikat der Website nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, sodass die Benutzer erkennen können, dass das ursprüngliche Zertifikat selbstsigniert ist und nicht vertraut werden darf.

Sehen FAQs zum Entschlüsseln und Scannen von HTTPS-Verschlüsselungen.

Von einer vertrauenswürdigen Zertifizierungsstelle unterzeichnete Zertifikate

Nach Entschlüsselung und Prüfung signiert die Sophos Firewall diese Zertifikate als Zertifizierungsstelle (CA), sodass Benutzer feststellen können, dass die ursprünglich ausstellende Stelle eine vertrauenswürdige CA ist und dass eine SSL/TLS-Prüfung stattgefunden hat.

Bei Verbindungen ohne lückenlose Vertrauenskette, die zu einer von der Firewall als vertrauenswürdig eingestuften Zertifizierungsstelle zurückverfolgt werden kann, signiert die Sophos Firewall das Zertifikat nicht erneut mit lokalen Zertifizierungsstellen. Zertifikate ohne vollständige Vertrauenskette werden mit einem systemgenerierten Zertifikat signiert, dessen CN eine Problembeschreibung enthält.

Aktionen der Regeltabelle

  • Sie können die Regeln nach Quelle, Ziel und Regel-ID filtern.
  • Um den Regelfilter zurückzusetzen, wählen Sie Folgendes aus: Filter zurücksetzen.

Klicken Sie auf „Weitere Optionen“. More options button. um die folgenden Aktionen festzulegen:

  • Um eine Regel zu bearbeiten oder zu löschen, wählen Sie die entsprechende Aktion aus.
  • Um eine Regel zu klonen oder neben einer bestehenden Regel hinzuzufügen, wählen Sie die Aktion aus.
  • Um eine Regel ein- oder auszuschalten, betätigen Sie den Schalter.

Um die Position einer Regel zu ändern, klicken und ziehen Sie den Regelgriff. Rule handle button.Die Sophos Firewall wertet Regeln von oben nach unten aus, bis eine Übereinstimmung gefunden wird. Sobald eine Übereinstimmung für ein Paket gefunden wurde, werden keine weiteren Regeln mehr ausgewertet. Platzieren Sie die spezifischen Regeln über den allgemeineren Regeln.

SSL/TLS-Prüfregeln

Die SSL/TLS-Prüfung erkennt SSL/TLS-Datenverkehr auf beliebigen TCP-Ports. Prüfregeln werden auf erkannte SSL/TLS-Verbindungen angewendet. Sie können Regeln zur Entschlüsselung des Datenverkehrs basierend auf Quelle, Ziel, Benutzern und Gruppen, Diensten, Websites und Webkategorien festlegen. Damit eine Regel wirksam wird, muss sie alle angegebenen Kriterien erfüllen.

Sie müssen für jede Regel ein Entschlüsselungsprofil auswählen, um die Vorgehensweise bei problematischem Datenverkehr festzulegen. Dazu gehören beispielsweise unsichere Protokollversionen, SSL-Komprimierung, unbekannte Verschlüsselungssammlungen, zu blockierende Verschlüsselungsalgorithmen, Zertifikatsfehler oder Verbindungen, die die Entschlüsselungskapazität der Firewall überschreiten. Nach der Entschlüsselung und Prüfung des Datenverkehrs verschlüsselt die Sophos Firewall diesen erneut mit der von Ihnen angegebenen Zertifizierungsstelle.

In folgenden Fällen können Sie SSL/TLS-Prüfregeln verwenden:

  • Implementieren Sie richtlinienbasierte Entschlüsselung und erfüllen Sie die Compliance-Anforderungen.
  • Verhindern Sie die Übertragung von Schadsoftware über verschlüsselten Datenverkehr.
  • Webinhaltsrichtlinien sollten auf verschlüsselten Datenverkehr angewendet werden, um unerwünschte Uploads und Downloads zu verhindern, ohne das allgemeine Surfen zu beeinträchtigen.

Ausnahmen von SSL/TLS-Prüfregeln

Die Sophos Firewall bietet eine standardmäßige Ausschlussregel. Ausschlüsse nach Website oder Kategorie: Dies verhindert, dass Verbindungen zu bestimmten Websites entschlüsselt werden. Die Regel hat die Aktion „Aktion“ festgelegt. Nicht entschlüsseln und das Entschlüsselungsprofil ist auf Maximale Kompatibilität.

Die Regel befindet sich permanent an oberster Stelle der SSL/TLS-Prüfregeltabelle. SSL/TLS-Prüfregeln werden in der Regeltabelle von oben nach unten ausgewertet.

Die Ausschlussregel enthält die folgenden Standardausschlusslisten:

  • Lokale TLS-Ausschlussliste: Die Liste ist standardmäßig leer. Sie können Websites zu dieser Liste hinzufügen, indem Sie die Fehlerbehebung in der Kontrollzentrum oder Protokollanzeige: Um diese Liste zu bearbeiten, gehen Sie zu Web > URL-Gruppen.

    Websites und Browser, die Certificate Pinning verwenden, blockieren die angeforderte Seite vollständig oder teilweise, wenn die SSL/TLS-Prüfung aktiviert ist. Falls eine Fehlermeldung angezeigt wird, ist der Grund möglicherweise nicht erkennbar. Um die SSL/TLS-Prüfung zu umgehen, können Sie die lokale TLS-Ausschlussliste verwenden, um die entsprechenden Domains zuzulassen.

  • Liste der verwalteten TLS-Ausschlüsse: Die Liste enthält Webseiten, die bekanntermaßen nicht mit der SSL/TLS-Prüfung kompatibel sind, und wird durch Firmware-Updates aktualisiert.

Tipp

Um Websites zur Ausschlussregel hinzuzufügen oder zu entfernen, bearbeiten Sie die Regel und fügen Sie die Webkategorien oder URL-Gruppen hinzu oder entfernen Sie sie. Alternativ können Sie zu Web > URL-Gruppen und die Gruppe bearbeiten Lokale TLS-Ausschlussliste.

Sie können Webkategorien, URL-Gruppen, Benutzer, Quell- und Ziel-IP-Adressen sowie Netzwerke ausschließen, indem Sie eigene Ausschlussregeln erstellen und diese direkt unter der Standardregel platzieren. Fügen Sie einer Ausschlussregel nur Verbindungen hinzu, die nicht von anderen SSL/TLS-Prüfregeln entschlüsselt werden sollen.

SSL/TLS-Prüfregeln werden unabhängig von Firewall-Regeln angewendet. Die Prüfregeln setzen die festgelegten Ausschlüsse weiterhin durch, selbst wenn Sie in den Firewall-Regeln keine Webrichtlinie auswählen.

Sie können sowohl Web-Ausnahmen als auch SSL/TLS-Ausschlussregeln verwenden, um zu verhindern, dass Verbindungen entschlüsselt werden. Einzelheiten zu den Unterschieden bei der Durchsetzung von HTTPS-Entschlüsselungsausnahmen finden Sie in der folgenden Tabelle:

SSL/TLS-Ausschlussliste Web-Ausnahme
Prozesse, die Sie ausschließen können HTTPS-Entschlüsselung

HTTPS-Zertifikat und Protokolldurchsetzung		 HTTPS-Entschlüsselung

HTTPS-Zertifikatvalidierung

Malware- und Inhaltsscan

Zero-Day-Schutz

Webrichtlinienprüfungen
Gilt in diesem Modus DPI-Modus DPI-Modus

Proxy-Modus
Gilt für diesen Verkehr SSL/TLS-Verbindungen auf jedem Port. DPI-Modus: SSL/TLS-Verbindungen an jedem Port.

Proxy-Modus: SSL/TLS-Verbindungen auf Port 443.
Übereinstimmungskriterien URL-Gruppe mit einer Liste von Webseiten (Domainnamen) im Klartext. Enthält die Subdomains dieser Domains. URL-Mustervergleich mithilfe regulärer Ausdrücke.
Übereinstimmungskriterien Webkategorien

Quell- und Zielzonen, Netzwerke und IP-Adressen

Dienstleistungen

Benutzer und Gruppen		 Webkategorien

Quell- und Ziel-IP-Adressen und IP-Bereiche
Wo soll die Ausnahme hinzugefügt werden? Fügen Sie Domänen und Subdomänen zur lokalen TLS-Ausschlussliste hinzu, indem Sie die Fehlerbehebung im Kontrollzentrum oder im Protokollanzeiger durchführen.

Gehe zu Web > URL-Gruppen und fügen Sie Websites zu einer URL-Gruppe hinzu, die von einer Ausschlussregel verwendet wird.

Erstellen oder Bearbeiten SSL/TLS-Prüfregeln.		 Hinzufügen zu Web > Ausnahmen.

SSL/TLS-Inspektionseinstellungen

Diese Einstellungen gelten für alle SSL/TLS-Prüfregeln. Sie können die Zertifizierungsstellen (CAs) für die Neusignierung, die Vorgehensweise bei nicht entschlüsseltem Datenverkehr und die TLS-Downgrade-Einstellung festlegen. Die Prüfeinstellungen ermöglichen es Ihnen außerdem, die SSL/TLS-Prüfung zur Fehlerbehebung zu deaktivieren.

Warnung

Wir empfehlen Ihnen, es nach der Fehlerbehebung wieder einzuschalten.

Das Entschlüsselungsprofil, das Sie einer Inspektionsregel hinzufügen, überschreibt die Inspektionseinstellungen.

Firewall-Regeln und Webproxy

Die Sophos Firewall wendet zuerst die Firewall-Regeln und anschließend die SSL/TLS-Prüfregeln an. Die Prüfregeln werden im transparenten Modus basierend auf der in den Firewall-Regeln getroffenen Auswahl des Webproxys angewendet.

Transparenter Modus: Wenn Sie in der Firewall-Regel die Entschlüsselung und das Scannen durch einen Webproxy ausgewählt haben, wird der Datenverkehr über die Ports 80 und 443 vom Webproxy entschlüsselt. SSL/TLS-Prüfregeln werden dann nur für den Webverkehr über andere Ports angewendet.

Expliziter Modus: Die Entschlüsselung und das Scannen werden vom Webproxy durchgeführt.

Notiz

Der Webproxy verwendet das angegebene Zertifikat. Web > Allgemeine Einstellungen.

Die SSL/TLS-Prüfung verwendet die in SSL/TLS-Inspektionseinstellungen Und Entschlüsselungsprofile.

Fehlerbehebung

Um zu prüfen, ob SSL/TLS-Verbindungen das Entschlüsselungslimit überschritten haben, gehen Sie zu Kontrollzentrum und wählen Sie die SSL/TLS-Verbindungen Widget.

Zur Behebung von SSL/TLS-Fehlern gehen Sie zu Kontrollzentrum, wählen Sie die SSL/TLS-Verbindungen Widget und auswählen Fehler beheben in der oberen rechten Ecke.

Falls die Verbindungs- und Entschlüsselungsdetails weder im Kontrollzentrum noch im Protokoll-Viewer angezeigt werden, stellen Sie sicher, dass Folgendes aktiviert ist:

  • SSL/TLS-Prüfregeln: Gehen Sie zu Regeln und Richtlinien > SSL/TLS-Prüfregeln und drehen SSL/TLS-Prüfung An.
  • SSL/TLS-Engine: Gehen Sie zu Regeln und Richtlinien > SSL/TLS-Prüfregeln > SSL/TLS-Inspektionseinstellungen. Unter Erweiterte Einstellungen > SSL/TLS-Engine, wählen Ermöglicht.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen