Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=profiles-decryption-add

Fügen Sie ein Entschlüsselungsprofil hinzu.

Entschlüsselungsprofile ermöglichen es Ihnen, Entschlüsselungseinstellungen für SSL/TLS-Verbindungen durchzusetzen.

Warnung

Es ist bekannt, dass Android-Geräte SSL/TLS-Zertifikatfehler erzeugen, die zu einem Fehlschlagen der Entschlüsselung führen. Wir empfehlen daher, eine SSL/TLS-Ausschlussliste für alle Android-Geräte zu erstellen.

  1. Gehe zu Profile > Entschlüsselungsprofile und klicken Hinzufügen.
  2. Geben Sie einen Namen ein.
  3. Füge eine Beschreibung hinzu.

  4. Geben Sie die Zertifizierungsstelle für die erneute Signierung von SSL/TLS-Verbindungen an, die von der Sophos Firewall abgefangen werden.

    Die Endgeräte müssen den neu signierten Zertifikaten vertrauen. Andernfalls zeigen die Browser eine Warnung an und verweigern möglicherweise die Verbindung.

    Tipp

    In den meisten Fällen ist hierfür die Installation von Zertifikatskopien in den Browsern oder den Zertifikatsspeichern der Betriebssysteme der Endgeräte erforderlich. Alternativ können Sie Signaturzertifikate erstellen und verwenden, die einer bestehenden, vertrauenswürdigen Unternehmenszertifizierungsstelle (CA) für Ihr Unternehmen untergeordnet sind. Es ist nicht möglich, Signaturzertifikate von CAs zu erhalten, die bereits von Betriebssystemen oder Browsern als vertrauenswürdig eingestuft werden.

    Die meisten Zertifizierungsstellen verwenden Zertifikate mit RSA- oder EC-Verschlüsselung (Elliptische-Kurven-Verschlüsselung). In den meisten Fällen können Zertifikate des einen Typs von Zertifizierungsstellen des anderen Typs signiert werden, sodass Sie dieselbe Zertifizierungsstelle für beide verwenden können. Falls Probleme mit Anwendungen auftreten, die nur Zertifikate eines bestimmten Typs erwarten, können Sie einen EC-Schlüssel hinzufügen und damit Zertifikate neu signieren, die ursprünglich von einer EC-basierten Zertifizierungsstelle signiert wurden. Wenn Sie eine zweite Zertifizierungsstelle hinzufügen, stellen Sie sicher, dass diese von allen Endgeräten als vertrauenswürdig eingestuft wird.

    Name Beschreibung
    Verwenden Sie die in den SSL/TLS-Einstellungen definierten Zertifizierungsstellen.

    Verwendet die in den SSL/TLS-Inspektionseinstellungen angegebene Zertifizierungsstelle (CA).

    Um CA-Zertifikate herunterzuladen und zu verwenden, gehen Sie zu Regeln und Richtlinien > SSL/TLS-Prüfregeln: Klicken Sie dann SSL/TLS-Inspektionseinstellungen.
    RSA neu unterzeichnen mit Wird verwendet, wenn das Zertifikat der Website mit RSA signiert wurde.

    Sie können ein EC- oder RSA-Zertifikat angeben.
    EC erneut unterzeichnen mit Wird verwendet, wenn das Zertifikat der Website mit EC signiert wurde.

    Sie können ein EC- oder RSA-Zertifikat angeben.

    Tipp

    Um das ausgewählte CA-Zertifikat herunterzuladen, klicken Sie auf die Schaltfläche „Herunterladen“. download button. neben der Dropdown-Liste.

  5. Legen Sie die Vorgehensweise für nicht entschlüsselbaren Datenverkehr fest, z. B. für unsichere Protokollversionen, Vorkommen und Cipher Suites.

    Name Beschreibung
    SSL 2.0 und SSL 3.0 Das Zulassen dieser Verbindungen verringert die Sicherheit.
    SSL-Komprimierung Die Komprimierung vor der Verschlüsselung weist bekannte Schwachstellen auf.
    Wenn SSL/TLS-Verbindungen das Limit überschreiten Gilt für übermäßigen Datenverkehr, wenn das Volumen die Entschlüsselungskapazität der Firewall übersteigt.

    Um das Entschlüsselungslimit einzusehen, gehen Sie zu Kontrollzentrum und wählen Sie die SSL/TLS-Verbindungen Widget.
    Unbekannte Verschlüsselungssuiten Firewalls können Datenverkehr, der unbekannte Verschlüsselungssuiten verwendet, nicht entschlüsseln. Die Verwendung unbekannter Verschlüsselungssuiten verringert die Sicherheit.

    Maßnahmen für nicht anstößigen Datenverkehr:

    • SSL/TLS-Standardeinstellungen verwenden: Wendet die in den SSL/TLS-Prüfeinstellungen festgelegte Aktion an. Diese Option gilt nicht für unbekannte Verschlüsselungssammlungen.
    • Zulassen ohne Entschlüsselung
    • Verwerfen: Verwirft Daten, ohne die Quelle zu benachrichtigen.
    • Ablehnen: Die Verbindung wird getrennt und eine Nachricht zum Zurücksetzen der Verbindung an den Quellhost gesendet.

    Notiz

    Die Sophos Firewall lehnt Verbindungen ab, die SSL 2.0 und 3.0, SSL-Komprimierung und unbekannte Verschlüsselungssammlungen verwenden, wenn Sie die entsprechende Aktion festlegen. Entschlüsseln in SSL/TLS-Inspektionsregeln.

    Um diese Verbindungen zu ermöglichen, erstellen Sie ein Entschlüsselungsprofil, das auf Folgendes eingestellt ist: Zulassen ohne Entschlüsselung: Fügen Sie das Profil einer SSL/TLS-Prüfregel hinzu, wobei die Aktion auf „“ festgelegt ist. Nicht entschlüsseln.

  6. Geben Sie die Details zur Zertifikats-, Protokoll- und Verschlüsselungsdurchsetzung an.

    Name Beschreibung
    Zu blockierende Zertifikatsfehler Wählen Sie die Zertifikatsfehler aus.
    Die Sophos Firewall blockiert Verbindungen, die die angegebenen Fehler aufweisen.
    • Ungültiges Datum – Selbstsigniert
    • Nicht vertrauenswürdiger Benutzer - Entzogen: Für diese Funktion müssen Sie eine Zertifikatssperrliste (CRL) importieren.
    • Namenskonflikt: Überprüft, ob der im Client Hello angeforderte Servername mit den im Zertifikat repräsentierten Domänennamen übereinstimmt.
    • Ungültig aus anderen Gründen

    Wenn Sie eine Ausnahme für die HTTPS-Entschlüsselung erstellt haben in Web > Ausnahmen: Die Sophos Firewall lässt Datenverkehr mit ungültigen Zertifikaten zu, wenn der Datenverkehr den Ausnahmekriterien entspricht.
    Minimale RSA-Schlüsselgröße Wählen Sie eine minimale Tastenlänge.

    Schlüssel mit weniger als 2048 Bit gelten nicht mehr als sicher. Sie sollten nur dann zugelassen werden, wenn dies notwendig ist, um die Kompatibilität mit älteren Servern zu gewährleisten, die nicht aktualisiert werden können.
    Mindestversion von SSL/TLS Wählen Sie die minimal zulässige Protokollversion aus.

    Versionen vor TLS 1.2 gelten nicht mehr als sicher. Erlauben Sie sie nur, wenn dies zur Gewährleistung der Kompatibilität erforderlich ist.
    Maximale SSL/TLS-Version Wählen Sie die maximal zu erzwingende Protokollversion aus.

    Um die neueste verfügbare Version zu implementieren, wählen Sie aus Maximal unterstützt: Wenn eine neuere Protokollversion verfügbar wird, implementiert die Sophos Firewall diese Version automatisch.
    Verschlüsselungsalgorithmen zum Blockieren Wählen Sie die Schlüsselaustausch-, Authentifizierungsmechanismen, Massenchiffren und Hash-Algorithmen aus, die blockiert werden sollen.
    Blockaktion

    Wählen Sie die gewünschte Aktion aus.

    • Verwerfen: Verwirft Daten, ohne die Quelle zu benachrichtigen.
    • Ablehnen: Die Verbindung wird getrennt und eine Nachricht zum Zurücksetzen der Verbindung an den Quellhost gesendet.
    • Ablehnen und benachrichtigen: Die Verbindung wird hergestellt, aber jeglicher Datenaustausch mit dem Server verhindert. Bei HTTPS-Verbindungen wird versucht, dem Benutzer eine Blockseite mit der Fehlerursache anzuzeigen.

    Für TLS 1.3-Verbindungen müssen Sie die Aktion auf Folgendes festlegen: Entschlüsseln in SSL/TLS-Inspektionsregeln, um Folgendes zu erreichen:

    • Zertifikatfehler blockieren und die in den Entschlüsselungsprofilen angegebene minimale RSA-Schlüsselgröße anwenden.
    • Wende die Blockieraktion an Ablehnen und benachrichtigen im Entschlüsselungsprofil angegeben. Wenn Sie ein solches Entschlüsselungsprofil auf SSL/TLS-Prüfregeln anwenden, Nicht entschlüsseln oder Leugnen Die Sophos Firewall wendet die Blockierungsaktion an. Ablehnen.

  7. Klicken Speichern.

Gehe zu Regeln und Richtlinien > SSL/TLS-Prüfregeln und fügen Sie das Entschlüsselungsprofil einer Regel hinzu, um die Aktion festzulegen.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen