SSL/TLS-Überprüfungsregeln
Mit SSL/TLS-Prüfregeln können Sie SSL- und TLS-Verbindungen über TCP abfangen und entschlüsseln, sodass die Sophos Firewall sichere Verbindungen zwischen Clients und Webservern erzwingen kann.
Durch die SSL/TLS-Prüfung kann die Übertragung von Malware über verschlüsselte Verbindungen verhindert werden.
Sie können richtliniengesteuerte Verbindungen und Entschlüsselungen für SSL/TLS-Verkehr basierend auf dem Verkehrs- und Risikoniveau erzwingen.
SSL/TLS-Prüfregeln haben keinen Einfluss auf die Entschlüsselung des vom Webproxy verarbeiteten Datenverkehrs. Sie legen die Methode der Webfilterung (Webproxy oder DPI-Engine) in den Firewall-Regeln fest. Standardmäßig verwendet die Sophos Firewall die DPI-Engine und wendet SSL/TLS-Prüfregeln auf Datenverkehr an, der den Kriterien der Firewall-Regel entspricht.
SSL/TLS-Prüfregeln sind bei Neuinstallationen standardmäßig aktiviert. Bei Bereitstellungen, die von SFOS 17.5 und früheren Versionen migrieren, sind sie standardmäßig deaktiviert. Sie können sie manuell aktivieren oder deaktivieren.
Warnung
Wenn SSL/TLS-Überprüfungsregeln deaktiviert sind, wendet die Sophos Firewall diese nicht auf die Verbindungen an. Das Control Center und der Protokoll-Viewer zeigen die SSL/TLS-Verbindungs- und Entschlüsselungsdetails nicht an.
Warnung
Android-Geräte generieren bekanntermaßen SSL/TLS-Zertifikatsfehler, die zu einem Fehlschlagen der Entschlüsselung führen. Wir empfehlen, für alle Android-Geräte eine SSL/TLS-Ausschlussliste zu erstellen.
Selbstsignierte versus vertrauenswürdige CA-Zertifikate
Die Sophos Firewall behält die Vertrauensstufe eines TLS-Serverzertifikats bei, wenn eine TLS-Verbindung zugelassen wird. Dadurch wird verhindert, dass Endpunkte hinter der Firewall einem Serverzertifikat vertrauen, dem die Firewall nicht vertraut.
Selbstsignierte Zertifikate
Einige Server verwenden ein selbstsigniertes Zertifikat anstelle eines von einer Zertifizierungsstelle signierten Zertifikats. Selbstsignierte Zertifikate ermöglichen eine Ende-zu-Ende-Verschlüsselung, garantieren aber nicht die Identität der Website. Bei diesen Verbindungen ersetzt die Sophos Firewall lediglich den Schlüssel im Zertifikat durch den Schlüssel, der zur erneuten Verschlüsselung des entschlüsselten und überprüften Inhalts verwendet wurde, und signiert das Zertifikat mit diesem Schlüssel. Die Zertifizierungsstelle signiert diese Zertifikate nicht erneut, und Clients (z. B. Browser) sehen sie weiterhin als selbstsignierte Zertifikate.
Browser zeigen dann eine Warnung an, dass das Zertifikat der Website nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Dadurch können Benutzer erkennen, dass das Originalzertifikat selbstsigniert ist und nicht als vertrauenswürdig eingestuft werden kann.
Sehen FAQs zum Entschlüsseln und Scannen von HTTPS.
Von einer vertrauenswürdigen Zertifizierungsstelle signierte Zertifikate
Nach der Entschlüsselung und Überprüfung signiert die Sophos Firewall diese Zertifikate als Zertifizierungsstelle. Dadurch können Benutzer feststellen, dass es sich bei der ursprünglichen ausstellenden Behörde um eine vertrauenswürdige Zertifizierungsstelle handelt und dass eine SSL/TLS-Überprüfung stattgefunden hat.
Bei Verbindungen ohne vollständige Vertrauenskette, die auf eine von der Firewall vertrauenswürdige Zertifizierungsstelle zurückgeht, signiert die Sophos Firewall das Zertifikat nicht erneut mit lokalen Zertifizierungsstellen. Zertifikate ohne vollständige Vertrauenskette werden mit einem systemgenerierten Zertifikat signiert, dessen CN eine Erklärung des Problems enthält.
Regeltabellenaktionen
- Sie können die Regeln nach Quelle, Ziel und Regel-ID filtern.
- Um den Regelfilter zurückzusetzen, wählen Sie Filter zurücksetzen.
Klicken Sie auf Weitere Optionen um die folgenden Aktionen anzugeben:
- Um eine Regel zu bearbeiten oder zu löschen, wählen Sie die Aktion aus.
- Um eine Regel zu klonen oder neben einer vorhandenen Regel hinzuzufügen, wählen Sie die Aktion aus.
- Um eine Regel ein- oder auszuschalten, wählen Sie den Schalter aus.
Um die Position einer Regel zu ändern, klicken und ziehen Sie den Regelgriff (). Die Sophos Firewall wertet Regeln von oben nach unten aus, bis sie eine Übereinstimmung findet. Sobald eine Übereinstimmung für das Paket gefunden wurde, werden nachfolgende Regeln nicht mehr ausgewertet. Platzieren Sie die spezifischen Regeln über den weniger spezifischen Regeln.
SSL/TLS-Überprüfungsregeln
Die SSL/TLS-Prüfung erkennt SSL/TLS-Verkehr an jedem TCP-Port. Prüfregeln gelten für erkannte SSL/TLS-Verbindungen. Sie können Regeln zur Entschlüsselung des Datenverkehrs basierend auf Quelle, Ziel, Benutzern und Gruppen, Diensten, Websites und Webkategorien festlegen. Damit die Regel wirksam wird, muss sie alle angegebenen Kriterien erfüllen.
Sie müssen für jede Regel ein Entschlüsselungsprofil auswählen, um die Aktion für problematischen Datenverkehr festzulegen, z. B. bei unsicheren Protokollversionen, SSL-Komprimierung, unbekannten Verschlüsselungssammlungen, zu blockierenden Verschlüsselungsalgorithmen, Zertifikatsfehlern oder Verbindungen, die die Entschlüsselungskapazität der Firewall überschreiten. Nach der Entschlüsselung und Überprüfung des Datenverkehrs verschlüsselt die Sophos Firewall ihn erneut mit der von Ihnen angegebenen Zertifizierungsstelle.
In den folgenden Fällen können Sie SSL/TLS-Prüfregeln verwenden:
- Implementieren Sie eine richtliniengesteuerte Entschlüsselung und erfüllen Sie Compliance-Anforderungen.
- Verhindern Sie die Übertragung von Malware durch verschlüsselten Datenverkehr.
- Wenden Sie Webinhaltsrichtlinien auf verschlüsselten Datenverkehr an, um unerwünschte Uploads und Downloads zu verhindern, ohne das allgemeine Surfen zu beeinträchtigen.
Ausnahmen von den SSL/TLS-Prüfregeln
Sophos Firewall bietet eine Standardausschlussregel, Ausschlüsse nach Website oder Kategorie, die die Entschlüsselung von Verbindungen zu bestimmten Websites verhindert. Die Regel hat die Aktion auf Nicht entschlüsseln und das Entschlüsselungsprofil auf Maximale Kompatibilität.
Die Regel wird dauerhaft oben in der SSL/TLS-Prüfregeltabelle positioniert. SSL/TLS-Prüfregeln werden in der Regeltabelle von oben nach unten ausgewertet.
Die Ausschlussregel enthält die folgenden Standardausschlusslisten:
-
Lokale TLS-Ausschlussliste: Die Liste ist standardmäßig leer. Sie können dieser Liste Websites hinzufügen, indem Sie im Kontrollzentrum oder ProtokollanzeigeUm diese Liste zu bearbeiten, gehen Sie zu Web > URL-Gruppen.
Websites und Browser, die Certificate Pinning verwenden, blockieren die angeforderte Seite vollständig oder teilweise, wenn die SSL/TLS-Prüfung aktiviert ist. Eine Fehlermeldung kann ohne erkennbaren Grund angezeigt werden. Um die SSL/TLS-Prüfung zu umgehen, können Sie die Domänen über die lokale TLS-Ausschlussliste zulassen.
-
Verwaltete TLS-Ausschlussliste: Die Liste enthält Websites, die bekanntermaßen nicht mit der SSL/TLS-Prüfung kompatibel sind, und wird durch Firmware-Updates aktualisiert.
Tipp
Um Websites zur Ausschlussregel hinzuzufügen oder zu entfernen, bearbeiten Sie die Regel und fügen Sie die entsprechenden Webkategorien oder URL-Gruppen hinzu oder entfernen Sie sie. Alternativ können Sie zu Web > URL-Gruppen und bearbeiten Sie die Gruppe Lokale TLS-Ausschlussliste.
Sie können Webkategorien, URL-Gruppen, Benutzer, Quell- und Ziel-IP-Adressen sowie Netzwerke ausschließen, indem Sie eigene Ausschlussregeln erstellen und diese direkt unter der Standardregel platzieren. Fügen Sie einer Ausschlussregel nur Verbindungen hinzu, die nicht durch andere SSL/TLS-Prüfregeln entschlüsselt werden sollen.
SSL/TLS-Prüfregeln werden unabhängig von Firewall-Regeln angewendet. Prüfregeln setzen die angegebenen Ausnahmen auch dann durch, wenn Sie in den Firewall-Regeln keine Webrichtlinie auswählen.
Sie können sowohl Webausnahmen als auch SSL/TLS-Ausschlussregeln verwenden, um die Entschlüsselung von Verbindungen zu verhindern. Einzelheiten zu den Unterschieden bei der Durchsetzung von Ausnahmen für die HTTPS-Entschlüsselung finden Sie in der folgenden Tabelle:
SSL/TLS-Ausschlussliste | Webausnahme | |
---|---|---|
Prozesse, die Sie ausschließen können | HTTPS-Entschlüsselung HTTPS-Zertifikat und Protokolldurchsetzung | HTTPS-Entschlüsselung HTTPS-Zertifikatsvalidierung Malware- und Inhaltsscans Zero-Day-Schutz Web-Richtlinienprüfungen |
Gilt in diesem Modus | DPI-Modus | DPI-Modus Proxy-Modus |
Gilt für diesen Verkehr | SSL/TLS-Verbindungen auf jedem Port. | DPI-Modus: SSL/TLS-Verbindungen auf jedem Port. Proxy-Modus: SSL/TLS-Verbindungen auf Port 443. |
Übereinstimmungskriterien | URL-Gruppe mit einer Liste von Websites (Domänennamen) im Klartext. Enthält die Subdomänen dieser Domänen. | URL-Musterübereinstimmungen mithilfe regulärer Ausdrücke. |
Übereinstimmungskriterien | Webkategorien Quell- und Zielzonen, Netzwerke und IP-Adressen Leistungen Benutzer und Gruppen | Webkategorien Quell- und Ziel-IP-Adressen und IP-Bereiche |
Wo soll die Ausnahme hinzugefügt werden? | Fügen Sie Domänen und Subdomänen zur lokalen TLS-Ausschlussliste hinzu, indem Sie im Control Center oder im Protokoll-Viewer eine Fehlerbehebung durchführen. Gehe zu Web > URL-Gruppen und fügen Sie Websites zu einer URL-Gruppe hinzu, die von einer Ausschlussregel verwendet wird. Erstellen oder bearbeiten SSL/TLS-Überprüfungsregeln. | Hinzufügen zu Web > Ausnahmen. |
SSL/TLS-Überprüfungseinstellungen
Diese Einstellungen gelten für alle SSL/TLS-Inspektionsregeln. Sie können die neu signierenden Zertifizierungsstellen (CAs), die Aktion für nicht entschlüsselten Datenverkehr und die TLS-Downgrade-Einstellung festlegen. Über die Inspektionseinstellungen können Sie die SSL/TLS-Inspektion auch deaktivieren, um Fehler zu beheben.
Warnung
Wir empfehlen, es nach der Fehlerbehebung wieder einzuschalten.
Das Entschlüsselungsprofil, das Sie einer Inspektionsregel hinzufügen, überschreibt die Inspektionseinstellungen.
Firewall-Regeln und Webproxy
Die Sophos Firewall wendet zuerst die Firewall-Regeln und anschließend die SSL/TLS-Überprüfungsregeln an. Die Überprüfungsregeln werden im transparenten Modus basierend auf der in der Firewall-Regel ausgewählten Webproxy-Regel angewendet.
Transparentmodus: Wenn Sie in der Firewall-Regel die Entschlüsselung und Überprüfung durch einen Webproxy ausgewählt haben, wird der Datenverkehr über die Ports 80 und 443 vom Webproxy entschlüsselt. SSL/TLS-Überprüfungsregeln werden dann nur für den Webdatenverkehr über andere Ports implementiert.
Expliziter Modus: Die Entschlüsselung und Überprüfung erfolgt durch den Webproxy.
Notiz
Der Webproxy verwendet das in Web > Allgemeine Einstellungen.
Die SSL/TLS-Prüfung verwendet die in SSL/TLS-Überprüfungseinstellungen Und Entschlüsselungsprofile.
Fehlerbehebung
Um zu sehen, ob SSL/TLS-Verbindungen das Entschlüsselungslimit überschritten haben, gehen Sie zu Kontrollzentrum und wählen Sie die SSL/TLS-Verbindungen Widget.
Um SSL/TLS-Fehler zu beheben, gehen Sie zu Kontrollzentrumwählen Sie die SSL/TLS-Verbindungen Widget und wählen Sie Fehler beheben in der oberen rechten Ecke.
Wenn Sie die Verbindungs- und Entschlüsselungsdetails im Kontrollzentrum oder im Protokoll-Viewer nicht sehen, stellen Sie sicher, dass Folgendes aktiviert ist:
- SSL/TLS-Prüfregeln: Gehen Sie zu Regeln und Richtlinien > SSL/TLS-Überprüfungsregeln und drehen SSL/TLS-Prüfung An.
- SSL/TLS-Engine: Gehen Sie zu Regeln und Richtlinien > SSL/TLS-Überprüfungsregeln > SSL/TLS-Überprüfungseinstellungen. Unter Erweiterte Einstellungen > SSL/TLS-Engine, wählen Ermöglicht.
Weitere Ressourcen