SSL/TLS-Inspektionsregeln

Mit SSL/TLS-Inspektionsregeln können Sie SSL- und TLS-Verbindungen über TCP abfangen und entschlüsseln und so XG Firewall ermöglichen, sichere Verbindungen zwischen Clients und Webservern zu erzwingen.

Die SSL/TLS-Inspektion ermöglicht es, Schadprogramme zu verhindern, die über verschlüsselte Verbindungen übertragen werden.

Sie können richtliniengesteuerte Verbindungen und Entschlüsselung für eingehenden und ausgehenden SSL/TLS-Datenverkehr auf Basis des Verkehrs und der Risikoeinstufung durchführen.

SSL/TLS-Inspektionsregeln haben keinen Einfluss auf die Entschlüsselung des vom Web-Proxy gehandhabten Datenverkehrs. Sie legen die Webfilterung-Methode (Web-Proxy oder DPI-Modul) in Firewallregeln fest. Standardmäßig verwendet XG Firewall das DPI-Modul, wobei die SSL/TLS-Inspektionsregeln auf den Datenverkehr angewendet werden, der den Firewallregel-Kriterien entspricht.

SSL/TLS-Inspektionsregeln sind bei Neuinstallationen standardmäßig aktiviert. Für Installationen, die von SFOS 17.5 und früheren Versionen migriert werden, sind sie standardmäßig deaktiviert. Sie können sie manuell ein- oder ausschalten.
ACHTUNG Wenn SSL/TLS-Inspektionsregeln ausgeschaltet sind, wird XG Firewall sie nicht auf die Verbindungen anwenden. Die SSL/TLS-Verbindung- und die Entschlüsselungsinformationen werden vom Kontrollzentrum und der Protokollansicht nicht angezeigt.
Warnung Es ist bekannt, dass Android-Geräte SSL/TLS-Zertifikatsfehler hervorrufen, was dazu führt, dass die Entschlüsselung fehlschlägt. Wir empfehlen, eine SSL/TLS-Ausschlussliste für alle Android-Geräte zu erstellen.

Aktionen der Regeltabelle

  • Sie können die Regeln nach Quelle, Ziel und Regel-ID filtern.
  • Um den Regelfilter zurückzusetzen, wählen Sie Filter zurücksetzen aus.

Klicken Sie auf Weitere Optionen Schaltfläche für weitere Optionen, um die folgenden Aktionen durchzuführen:

  • Um eine Regel zu bearbeiten oder zu löschen, wählen Sie die Aktion aus.
  • Um eine Regel zu klonen oder neben einer vorhandenen Regel hinzuzufügen, wählen Sie die Aktion aus.
  • Um eine Regel ein- oder auszuschalten, klicken Sie auf den Schalter.

Um die Position einer Regel zu ändern, ziehen Sie sie mit dem Regelgriff (Schaltfläche zum Greifen einer Regel) an die gewünschte Position. XG Firewall wertet Regeln von oben nach unten aus, bis sie eine Übereinstimmung findet. Sobald sie eine Übereinstimmung für das Paket findet, wertet sie nachfolgende Regeln nicht mehr aus. Positionieren Sie die spezifischen Regeln über den weniger spezifischen Regeln.

SSL/TLS-Inspektionsregeln

SSL/TLS-Inspektion erkennt SSL/TLS-Datenverkehr auf jedem TCP-Port. Inspektionsregeln gelten für erkannte SSL/TLS-Verbindungen. Sie können Regeln für die Entschlüsselung des Datenverkehrs basierend auf Quelle, Ziel, Benutzern und Gruppen, Diensten, Websites und Webkategorien festlegen. Um wirksam zu werden, muss die Regel mit allen Kriterien übereinstimmen.

Sie müssen für jede Regel ein Entschlüsselungsprofil auswählen, um eine Aktion für Datenverkehr mit Problemen festzulegen, z.B. unsichere Protokollversionen, SSL-Komprimierung, nicht erkannte Verschlüsselungssammlungen, zu sperrende Verschlüsselungsalgorithmen, Zertifikatsfehler oder Verbindungen, die die Entschlüsselungsfähigkeiten der Firewall überschreiten. Nach der Entschlüsselung und Inspektion des Datenverkehrs verschlüsselt XG Firewall den Datenverkehr mit der von Ihnen angegebenen Zertifizierungsstelle für die erneute Signierung neu.

Sie können SSL/TLS-Inspektionsregeln in den folgenden Fällen verwenden:

  • Zur Implementierung einer richtliniengesteuerten Entschlüsselung und zur Erfüllung von Compliance-Anforderungen.
  • Verhinderung der Übertragung von Schadprogrammen durch verschlüsselten Datenverkehr.
  • Anwendung von Richtlinien für Internetinhalte auf verschlüsselten Datenverkehr, um unerwünschte Uploads und Downloads zu verhindern, ohne das allgemeine Surfen zu behindern.

Ausschlüsse bei SSL/TLS-Inspektionsregeln

XG Firewall bietet eine Standard-Ausschlussregel Ausschlüsse nach Website oder Kategorie, die verhindert, dass Verbindungen zu bestimmten Websites entschlüsselt werden. Die Maßnahme der Regel ist auf Nicht entschlüsseln gesetzt und das Entschlüsselungsprofil auf Maximale Kompatibilität.

Die Regel befindet sich stets ganz oben in der SSL/TLS-Inspektionsregeltabelle. SSL/TLS-Inspektionsregeln werden in der Regeltabelle von oben nach unten ausgewertet.

Die Ausschlussregel enthält die folgenden Standard-Ausschlusslisten:

  • Lokale TLS-Ausschlussliste: Die Liste ist standardmäßig leer. Sie können Websites zu dieser Liste hinzufügen, indem Sie eine Fehlerbehebung im Kontrollzentrum oder Protokollansicht durchführen. Um diese Liste zu bearbeiten, gehen Sie zu Internet > URL-Gruppen.

    Websites und Browser, die Zertifikat-Pinning verwenden, sperren die angeforderte Seite vollständig oder teilweise, wenn SSL/TLS-Inspektion aktiviert ist. Wenn eine Fehlermeldung angezeigt wird, wird möglicherweise kein erkennbarer Grund angezeigt. Wenn Sie SSL/TLS-Inspektion umgehen wollen, können Sie die lokale TLS-Ausschlussliste verwenden, um die Domänen auf eine Positivliste zu setzen.

  • Verwaltete TLS-Ausschlussliste: Die Liste enthält Websites, von denen bekannt ist, dass sie mit SSL/TLS-Inspektion nicht kompatibel sind, und wird durch Firmware-Aktualisierungen aktualisiert.
Tipp Um Websites zur Ausschlussregel hinzuzufügen oder zu entfernen, bearbeiten Sie die Regel und fügen Sie Webkategorien oder URL-Gruppen hinzu oder entfernen Sie sie. Alternativ gehen Sie zu Internet > URL-Gruppen und bearbeiten Sie die Gruppe Lokale TLS-Ausschlussliste.

Sie können Webkategorien, URL-Gruppen, Benutzer, Quell- und Ziel-IP-Adressen und Netzwerke ausschließen, indem Sie Ihre eigenen Ausschlussregeln erstellen und diese direkt unter der Standardregel platzieren. Fügen Sie nur Verbindungen zu einer Ausschlussregel hinzu, die Sie nicht durch andere SSL/TLS-Inspektionsregeln entschlüsseln wollen.

SSL/TLS-Inspektionsregeln werden unabhängig von Firewallregeln angewendet. Inspektionsregeln wenden die festgelegten Ausschlüsse weiterhin an, auch wenn Sie keine Internetrichtlinie in Firewallregeln auswählen.

Sie können sowohl Web-Ausnahmen als auch SSL/TLS-Ausschlussregeln verwenden, um die Entschlüsselung von Verbindungen zu verhindern. Einzelheiten zu den Unterschieden bei der Durchführung von Ausnahmen im Zusammenhang mit der HTTPS-Entschlüsselung finden Sie in der folgenden Tabelle:

SSL/TLS-Ausschlussliste

Web-Ausnahme

Prozesse, die Sie ausschließen können

HTTPS-Entschlüsselung

HTTPS-Zertifikat und Protokolldurchsetzung

HTTPS-Entschlüsselung

HTTPS-Zertifikat-Validierung

Schadprogramm- und Inhaltsscans

Sandstorm

Überprüfung von Internetrichtlinien

Gilt in diesem Modus

DPI-Modus

DPI-Modus

Proxy-Modus

Gilt für diesen Datenverkehr

SSL/TLS-Verbindungen auf beliebigem Port.

DPI-Modus: SSL/TLS-Verbindungen auf beliebigem Port.

Proxy-Modus: SSL/TLS-Verbindungen auf Port 443.

Abgleichkriterien

URL-Gruppe, die eine Liste von Websites (Domänennamen) im Klartext enthält. Enthält die Unterdomänen dieser Domänen.

URL-Musterübereinstimmungen mit regulären Ausdrücken.

Webkategorien

Quell- und Zielzonen, Netzwerke und IP-Adressen

Dienste

Benutzer und Gruppen

Webkategorien

Quell- und Ziel-IP-Adressen und IP-Bereiche

Wo die Ausnahme hinzugefügt werden soll

Fügen Sie Domänen und Unterdomänen zur Lokale TLS-Ausschlussliste hinzu, indem Sie die Fehlerbehebung im Kontrollzentrum oder in der Protokollansicht durchführen.

Gehen Sie zu Internet > URL-Gruppen und fügen Sie Websites zu einer URL-Gruppe hinzu, die von einer Ausschlussregel verwendet wird.

Erstellen oder bearbeiten Sie SSL/TLS-Inspektionsregeln.

Zu Internet > Ausnahmen hinzufügen.

SSL/TLS-Inspektionseinstellungen

Diese Einstellungen gelten für alle SSL/TLS-Inspektionsregeln. Sie können Zertifizierungsstellen für erneute Signierungen (Cas) festlegen sowie Maßnahmen für Verkehr, der nicht entschlüsselt wird, und die TLS-Downgrade-Einstellung. Mit den Inspektionseinstellungen können Sie auch die SSL/TLS-Inspektion deaktivieren, um auf Fehlersuche zu gehen.

ACHTUNG Wir empfehlen, dass Sie sie nach erfolgter Fehlerbehebung wieder aktivieren.

Das Entschlüsselungsprofil, das Sie einer Inspektionsregel hinzufügen, überschreibt die Prüfungseinstellungen.

Firewallregeln und Web-Proxy

XG Firewall wendet zuerst die Firewallregeln und dann die SSL/TLS-Inspektionsregeln an. Sie wendet die Inspektionsregeln im transparenten Modus auf der Grundlage der Web-Proxy-Auswahl an, die Sie in der Firewallregel treffen.

Transparenzmodus Wenn Sie in der Firewallregel Entschlüsselung und Scannen durch Web-Proxy ausgewählt haben, wird der Verkehr auf den Ports 80 und 443 durch den Web-Proxy entschlüsselt. SSL/TLS-Inspektionsregeln werden dann nur für Internetverkehr auf anderen Ports durchgeführt.

Expliziter Modus: Entschlüsselung und Scannen erfolgen über den Web-Proxy.
Anmerkung Der Web-Proxy verwendet das in Internet > Allgemeine Einstellungen angegebene Zertifikat.

Die SSL/TLS-Inspektion verwendet die in SSL/TLS-Inspektionseinstellungen und Entschlüsselungsprofile angegebenen Zertifikate.

Fehlersuche

Um zu sehen, ob SSL/TLS-Verbindungen das Entschlüsselungslimit überschritten haben, gehen Sie zu Kontrollzentrum, und wählen Sie das Widget SSL/TLS-Verbindungen aus.

Um SSL/TLS-Fehler zu beheben, gehen Sie zu Kontrollzentrum, wählen Sie das Widget SSL/TLS-Verbindungen aus und wählen Sie Fehler beheben in der oberen rechten Ecke aus.

Wenn die Verbindungs- und Entschlüsselungsdetails im Kontrollzentrum oder in der Protokollansicht nicht angezeigt werden, stellen Sie sicher, dass die folgenden Optionen aktiviert sind:
  • SSL/TLS-Inspektionsregeln: Gehen Sie zu Regeln und Richtlinien > SSL/TLS-Inspektionsregeln und schalten Sie SSL/TLS-Inspektion ein.
  • SSL/TLS-Modul: Gehen Sie zu Regeln und Richtlinien > SSL/TLS-Inspektionsregeln > SSL/TLS-Inspektionseinstellungen. Wählen Sie unter Erweiterte Einstellungen > SSL/TLS-Modul die Option Aktiviert aus.