Android-Geräten ermöglichen, sich mit dem Internet zu verbinden

Einige Android-Geräte stellen keine Verbindung zum Internet über WLAN-Netzwerke her, wenn SSL/TLS-Inspektion aktiviert ist.

Einleitung

Bei einigen Android-Versionen können mobile Geräte keine Verbindung zum Internet herstellen, wenn SSL/TLS-Inspektion aktiviert ist. Sie können auch keine Google Play Store-Apps herunterladen oder aktualisieren.

Diese Android-Clients verwenden Zertifikat-Pinning, das den Hostserver mit seinem öffentlichen Schlüssel verknüpft und das Zertifikat im Client speichert. Wenn Clients nach einer Internetverbindung suchen, versuchen sie, eine Testverbindung herzustellen. Für diese Verbindung ist das Zertifikat erforderlich, um eine Verbindung zu den Google-Servern herzustellen.

Wenn XG Firewall den Datenverkehr für die SSL/TLS-Inspektion abfängt, fungiert sie als Man-in-the-Middle und verhandelt mit dem Zielserver. Sobald der Handshake abgeschlossen ist, verwendet XG Firewall ein anderes Zertifikat, um mit dem Android-Client zu verhandeln. Der Android-Client kann das angeheftete Zertifikat nicht direkt mit den Google-Servern überprüfen, um seine Verbindungsprüfung abzuschließen.

Dies ist ein bekanntes Problem bei der SSL/TLS-Inspektion von mobilen Android-Geräten.

Damit diese Geräte eine Verbindung zum Internet herstellen können, müssen Sie die SSL/TLS-Inspektion umgehen, wenn sie versuchen, auf Google-Domänen zuzugreifen. Dazu können Sie die folgende Methode verwenden:

  • Erstellen Sie ein VLAN oder ein WLAN-Netzwerk für mobile Geräte. Um Sicherheit zu gewährleisten, beschränken Sie die Erlaubt-Liste auf ein VLAN oder ein WLAN-Netzwerk, und isolieren Sie diese Netzwerksegmente vom Zugriff auf sensible Ressourcen.
  • Erstellen Sie eine SSL/TLS-Inspektionsregel, um den Datenverkehr zwischen dem von Ihnen erstellten VLAN oder WLAN-Netzwerk und Google-Domänen nicht zu entschlüsseln. Alternativ können Sie eine Firewallregel verwenden, bei der der Web-Proxy ausgewählt ist.
Das folgende Beispiel zeigt, wie Sie Ihr WLAN-Netzwerk konfigurieren und eine SSL/TLS-Inspektion durchführen, um diese Domänen zuzulassen.

Google-URLs hinzufügen

Erstellen Sie FQDN-Hosts für die URLs, die das Android-System kontaktiert, um die Internetverbindung zu testen.

  1. Gehen Sie zu Hosts und Dienste > FQDN-Hostgruppe und klicken Sie auf Hinzufügen.
  2. Erstellen Sie eine neue Gruppendefinition, um Google-URLs hinzuzufügen.

    Wenn Sie URLs zu einer bestehenden Google-Gruppe hinzufügen wollen, fahren Sie mit dem nächsten Schritt fort.

  3. Gehen Sie zu Hosts und Dienste > FQDN-Host und klicken Sie auf Hinzufügen.
  4. Erstellen Sie für jeden der folgenden FQDNs einen Host:
    1. *.play.googlezip.net
    2. *.gvt1.com
    3. *.app-measurement.com
    4. Ihre lokale Google-Domäne, zum Beispiel *.google.co.uk
    Anmerkung Stellen Sie sicher, dass Sie die FQDN-Hostgruppe auswählen, die Sie in den vorherigen Schritten erstellt haben, damit die URLs der Gruppe direkt hinzugefügt werden.

WLAN-Netzwerk für mobile Geräte erstellen

Erstellen Sie ein WLAN-Netzwerk nur für Ihre mobilen Geräte.

Wenn Sie mobilen Geräten den Zugriff auf Ihr WLAN-Netzwerk erlauben wollen, können Sie die Erstellung des Netzwerks überspringen, die SSL/TLS-Inspektionsregel erstellen und diese auf Ihr WLAN-Netzwerk anwenden.

  1. Gehen Sie zu WLAN > WLAN-Netzwerke und klicken Sie auf Hinzufügen.
  2. Geben Sie die Details des WLAN-Netzwerks ein, mit dem mobile Geräte eine Verbindung herstellen sollen. Eine Beispielkonfiguration ist in der folgenden Abbildung dargestellt:

    WLAN-Beispieleinstellungen für mobile Geräte
  3. Klicken Sie auf Speichern.
  4. Gehen Sie zu Hosts und Dienste > IP-Host und klicken Sie auf Hinzufügen.
  5. Geben Sie einen Name ein.
  6. Setzen Sie IP-Version auf IPv4.
  7. Setzen Sie Typ auf Netzwerk.
  8. Geben Sie die Netzwerk-IP-Adresse und die Subnetzmaske für das zuvor erstellte WLAN-Netzwerk ein.

    Ein Beispiel für die IP-Host-Einstellungen wird im folgenden Screenshot gezeigt:


    Beispiel für IP-Host-Einstellungen
  9. Klicken Sie auf Speichern.

SSL/TLS-Inspektionsregel erstellen

Erstellen Sie eine SSL/TLS-Inspektionsregel, die keine Entschlüsselung für die Google-Domänen vorgibt.

  1. Gehen Sie zu Regeln und Richtlinien > SSL/TLS-Inspektionsregeln und klicken Sie auf Hinzufügen.
  2. Wählen Sie Nicht entschlüsseln für Maßnahme aus.
  3. Setzen Sie Entschlüsselungsprofil auf Maximale Kompatibilität.
  4. Wählen Sie WiFi als Quellzonen aus.
  5. Wählen Sie die IP-Hostdefinition für das WLAN-Netzwerk aus, die Sie zuvor für Quellnetzwerke und Geräte erstellt haben.
  6. Wählen Sie WAN für Zielzonen aus.
  7. Wählen Sie die Google IP-Host-Gruppen für Zielnetzwerke aus.
  8. Klicken Sie auf Speichern.

    Ein Beispiel für die SSL/TLS-Inspektionsregel ist im folgenden Screenshot zu sehen:


    SSL/TLS-Inspektionsregel