Wechseln zu:Navigation, Suche
Wiki



































}}
}}
















En.png
Fr.png


Verschlüsselungs-Algorythmen der UTM

Letzte Anpassung zur Version: 11.8.2


Neu:

  • Artikelanpassung
  • Layoutänderungen
  • DH Key-Size 1024 entfernt ( gilt inzwischen als unsicher)


Vorherige Versionen: 11.6


Die Grafik rechts stellt die Abhängigkeit von den Einstellungen einer Anwendung zur Globalen Einstellung anhand des Protokolls SSL v3 dar.

Einleitung

In diesem Menü wird definiert, mit welchem Verschlüsselungsprotokoll die Anwendungen auf der UTM angesprochen werden sollen. Die von Securepoint gewählten Grundeinstellungen gelten zur Zeit als sicher und sind auf Kompatibilität geprüft.
Wenn ein höheres Schutzbedürfnis besteht, können die Einstellungen im Menü → Authentifizierung →Verschlüsselung geändert werden (Jargon: härten).


  • Im Reiter Global werden die Grundeinstellungen angezeigt.
  • Mit Standardwerte überschreiben: Ein können diese Werte für alle Anwendungen überschrieben werden.
  • Die Default-Werte oder
  • Die im Reiter Global vorgenommenen Änderungen wiederum können für jede Anwendung separat überschrieben werden.
  • die Einstellungen in den Menüs der Anwendungen können die Globalen Werte (partiell) übernehmen, indem Wert vom GLOBAL-Tab übernehmen  ausgewählt wird.


Die Grafik rechts stellt die Abhängigkeit von den Einstellungen einer Anwendung zur Globalen Einstellung anhand des Protokolls SSL v3 dar.



Verschlüsselung

Die Einstellungen werden vorgenommen im Menu → Authentifizierung →Verschlüsselung

Beschriftung: Wert: Beschreibung:

Global

Global
Standardwerte überschreiben: Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. UTM v11-8 Authentifizierung Verschlüsselung Global.png
Globale Verschlüsselungs-Einstellungen
Minimale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Standardwert verwenden  
1.0   (Default)
1.1  
1.2  
Maximale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Standardwert verwenden 
1.0  
1.1  
1.2   (Default)
DH Key Size: 2048 Die Länge des Diffie-Hellmann Schlüssels kann auf 2048  Bit (Default) oder 4096  Bit eingestellt werden.
Cipher-Suite:     Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.

Webserver

Webserver
Standardwerte überschreiben: Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. UTM v11-8 Authentifizierung Verschlüsselung Webserver.png
Verschlüsselungseinstellungen für Webserver-Verbindungen
Minimale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Wert vom GLOBAL-Tab übernehmen  
1.0   (Default)
1.1  
1.2  
Maximale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Wert vom GLOBAL-Tab übernehmen  
1.0  
1.1  
1.2   (Default)
DH Key Size: 2048 Die Länge des Diffie-Hellmann Schlüssels kann auf 2048  Bit (Default) oder 4096  Bit eingestellt werden.
ECDH 384 Bit: Ein Verwendet das Elliptic Curve Diffie-Hellman-Verfahren mit 384 Bit zur Schlüsselberechnung.
Cipher-Suite:     Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.
Standardwert:
ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;

SSL-VPN

SSL-VPN

Globale Einstellung der Control-Verbindung:
Standardwerte überschreiben: Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. UTM v11-8 Authentifizierung Verschlüsselung SSL-VPN.png
Verschlüsselung für SSL-VPN-Verbindungen
Minimale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Wert vom GLOBAL-Tab übernehmen  
1.0   (Default)
1.1  
1.2  
Minimale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Wert vom GLOBAL-Tab übernehmen  
1.0  
1.1  
1.2   (Default)
DH Key Size: 2048 Die Länge des Diffie-Hellmann Schlüssels kann auf 2048  Bit (Default) oder 4096  Bit eingestellt werden.
Cipher-Suite:     Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.

Standardwert

TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256:TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA:TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-ECDHE-RSA-WITH-3DES-EDE-CBC-SHA:TLS-ECDHE-ECDSA-WITH-3DES-EDE-CBC-SHA:TLS-DHE-RSA-WITH-3DES-EDE-CBC-SHA:TLS-RSA-WITH-AES-256-GCM-SHA384:TLS-RSA-WITH-AES-128-GCM-SHA256:TLS-RSA-WITH-AES-256-CBC-SHA256:TLS-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-AES-128-CBC-SHA256:TLS-RSA-WITH-AES-128-CBC-SHA:TLS-RSA-WITH-3DES-EDE-CBC-SHA

Mailrelay

Mailrelay
Standardwerte überschreiben: Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. UTM v11-8-2 Authentifizierung Verschlüsselung Mailrelay.png
Verschlüsselungseinstellungen für Verbindungen über das Mailrelay
Minimale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Wert vom GLOBAL-Tab übernehmen  
1.0   (Default)
1.1  
1.2  
Soll TLS erzwungen werden, erfolgt die Einstellung unter → Anwendungen →MailrelayReiter Relaying .
Minimale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Wert vom GLOBAL-Tab übernehmen  
1.0  
1.1  
1.2   (Default)
DH Key Size: 2048 Die Länge des Diffie-Hellmann Schlüssels kann auf 2048  Bit (Default) oder 4096  Bit eingestellt werden.
Cipher-Suite:     Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.

Standardwert

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

Reverse-Proxy

Reverse-Proxy
Standardwerte überschreiben: Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. UTM v11-8 Authentifizierung Verschlüsselung Reverse-Proxy.png
Verschlüsselung für Verbindungen des Reverse-Proxys
Minimale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Wert vom GLOBAL-Tab übernehmen  
1.0   (Default)
1.1  
1.2  
Minimale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Wert vom GLOBAL-Tab übernehmen  
1.0  
1.1  
1.2   (Default)
DH Key Size: 2048 Die Länge des Diffie-Hellmann Schlüssels kann auf 2048  Bit (Default) oder 4096  Bit eingestellt werden.
Cipher-Suite:     Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.

Standardwert

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS


Speichern / Wiederherstellen

Über die Schaltfläche ⤺ Zurücksetzen werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Globalen-Werte zurückgesetzt.Wird Standardwerte überschreiben wieder deaktiviert, werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Standard-Werte der einzelnen Applikation zurückgesetzt.

Das Verändern der Standardvorgaben kann dazu führen, dass nicht mehr alle Ziel-Systeme für alle Benutzer zur Verfügung stehen. Zum Beispiel wenn diese ältere Clients oder Webbrowser verwenden, die die verlangten Verschlüsselungen nicht unterstützen.

Beim Speichern der neuen Einstellungen werden die Dienste neu gestartet. Das hat beim Webserver die Folge, dass sich der Administrator und/oder Benutzer des UTM Webinterface neu anmelden müssen.


CLI

Die Einstellungen, die im Webinterface vorgenommen werden sind auf dem Command Line Interface über die nachfolgenden Befehle sichtbar.

Globale Einstellungen

extc value get application "securepoint_firewall"


Das Ergebnis sollte ähnlich wie folgt aussehen:

application         |variable                       |value
--------------------+-------------------------------+----- 
securepoint_firewall|ANONYMIZELOGS                  |1    
                    |CIPHER_LIST                    |     
                    |CLUSTERADVBASE                 |2    
                    |CLUSTERDEADRATIO               |15   
                    |CLUSTERPREEMTIVE               |0    
                    |CLUSTER_ID                     |1    
                    |CLUSTER_SECRET                 |secret
                    |CRYPTO_OVERRIDE                |0    
                    |DHPARAM_LENGTH                 |2048 
                    |DHPARAM_LENGTH_DEFAULT         |2048 
                    |ECDHE_CURVE                    |secp384r1
                    |FULLCONENAT_ZONE_DST           |external
                    |FULLCONENAT_ZONE_SRC           |internal
                    |HTTP_TRANSPARENT_EXCEPTION_LIST|     
                    |HTTP_TRANSPARENT_LIST          |eth1 
                    |IPCONNTRACK                    |32000
                    |LANG                           |en_US
                    |LASTRULE_LOGGING               |2    
                    |POP3_TRANSPARENT_EXCEPTION_LIST|     
                    |POP3_TRANSPARENT_LIST          |eth1 
                    |PPPOE_LCP_ECHO                 |1    
                    |TLS_VERSION_MAX                |1.2  
                    |TLS_VERSION_MAX_DEFAULT        |1.2  
                    |TLS_VERSION_MIN                |1.0  
                    |TLS_VERSION_MIN_DEFAULT        |1.0  
                    |UPDATE_TRIGGER_DELAY           |2    
                    |USE_ECDHE                      |1    
                    |USE_OTP                        |0   


Um hier den Wert einer einzelnen Variablen zu ändern, kann folgender Befehl verwendet werden. Geändert wird der Wert der Variablen TLS_VERSION_MIN.

extc value set application "securepoint_firewall" variable "TLS_VERSION_MIN" value 1.1

Die Änderung erfolgt in diesem Bereich:

                    |TLS_VERSION_MAX                |1.2  
                    |TLS_VERSION_MAX_DEFAULT        |1.2  
                    |TLS_VERSION_MIN                |1.1  
                    |TLS_VERSION_MIN_DEFAULT        |1.0

Einzelne Anwendungen

Die Verschlüsselung der einzelnen Anwendungen können mit demselben Befehl ausgeführt werden. Lediglich der Name der Anwendung muss ausgetauscht werden. Zur Verfügung stehen folgende Anwendungen:

extc value get application "webserver"
extc value get application "openvpn"
extc value get application "smtpd"
extc value get application "squid-reverse"


Änderungen, die auf dem CLI durchgeführt werden, müssen mit einem Neustart der jeweiligen Anwendung aktiviert werden. Der Befehl dazu lautet:

appmgmt restart application "[Name der Anwendung]"