UTM/APP/SSL-Interception: Unterschied zwischen den Versionen

Version vom 31. Januar 2024, 09:40 Uhr

Konfiguration der SSL-Interception im HTTP-Proxy

Letzte Anpassung zur Version: 12.6.1

Neu:

Neues Design und aktualisierter Screensots

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

12.5 12.2 11.7

Bestandteil des HTTP-Proxys

SSL-Interception

Beschriftung	Wert	Beschreibung	HTTP-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen HTTP-Proxy Log Reiter SSL-Interception
Aktiviert:	Aus	Die SSL-Interception ist ausgeschaltet
	Nur Webfilter basiert	Bei Aktivierung werden vom Webfilter blockierte Verbindungen abgefangen. Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss.
	Immer	Aktiviert die SSL-Interception
SNI validieren:	Ja	Bei Aktivierung wird eine sich ggf. im ClientHello des TLS-Handshake befindliche SNI geprüft. Dabei wird der enthaltene Hostname aufgelöst und die Adressen im Ergebnis mit der Zieladresse des abgefangenen Requests abgeglichen. Bei Nichtübereinstimmung wird die Verbindung geschlossen. Ohne Server Name Indication Validierung können Clients die SNI beliebig manipulieren, um den Webfilter zu passieren. Diese Einstellung sollte nur als eine letzte Möglichkeit betrachtet werden, wenn es unmöglich scheint, die DNS-Einstellungen zwischen Clients des HTTP-Proxy und der UTM zu vereinheitlichen. Verwenden Client und UTM unterschiedliche DNS-Server, kann es dabei zu false-positives kommen.
Nicht erkannte Protokolle erlauben:	Ja	Wenn dieser Schalter deaktiviert ist, werden nicht erkannte Protokolle blockiert.
CA-Zertifikat:	CA-SSL-Interception	Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsseln kann. Der Public-Key der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit Public-Key herunterladen erfolgen.
CA-Zertifikat:	Public-Key herunterladen	Der Public-Key sollte auf den Clients, die die SSL-Interception nutzen sollen installiert werden, um Zertifikatsfehler zu vermeiden
Zertifikatsverifizierung:	Ein	Sollte unbedingt aktiviert werden! Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine Überprüfung durch den Browser nicht mehr möglich.
Ausnahmen für SSL-Interception	Aus	Es besteht die Möglichkeit Ausnahmen im Format der Regular Expressions zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner, nicht auf Protokolle gefiltert. Mit + Regex werden neue Ausnahmen hinzu gefügt. Eine Ausnahme für www.securepoint.de würde also lauten: .*\.securepoint\.de" Regex-Ausnahmen gelten nicht für den transparenten Modus!
Ausnahmen mit SNI abgleichen: Verfügbar, wenn SNI validieren aktiv ist.	Aus	Wendet die Server Name Indication Validierung nur auf aktivierte Ausnahmen für SSL-Interception an.
Ausnahmen für Zertifikatsverifizierung	Aus	Hier können Ausnahmen für die Zertifikatsverifizierung im Regex-Format hinzugefügt werden.

@@ Zeile 4: / Zeile 4: @@
 {{:UTM/APP/SSL-Interception.lang}}
-{{var	| neu--SNI-Validierung
+{{var	| neu--Design
-		| [[#SNI | SNI-Validierung]] ohne Webfilter
+		| Neues Design und aktualisierter Screensots
-		| [[#SNI | SNI validation]] without webfilter }}
+		| New design and updated screenshot }}
-</div><noinclude>__NOTOC__{{Select_lang}}
+</div><noinclude><div class="new_design"></div>__NOTOC__{{Select_lang}}
-{{Header|12.5.2|
+{{Header|12.6.1|
-* {{#var:neu--SNI-Validierung}}
+* {{#var:neu--Design}}
-|[[UTM/APP/SSL-Interception_v12.2 | 12.2]]
+|[[UTM/APP/SSL-Interception_v12.5 | 12.5]]
+[[UTM/APP/SSL-Interception_v12.2 | 12.2]]
 [[UTM/APP/HTTP_Proxy-Transparenter_Modus_v11.7 | 11.7]]
-| {{Menu|{{#var:Anwendungen}}|HTTP-Proxy|SSL-Interception}}
+| {{Menu-UTM|{{#var:Anwendungen}}|HTTP-Proxy|SSL-Interception}}
-| display={{#var:SSL-Interception}} | head={{#var:SSL-Interception--head}}
 }}
 {{#var:Bestandteil des HTTP-Proxys}}
+----
-{{h3| {{#var:SSL-Interception}} | {{Reiter| {{#var:SSL-Interception}} }} }}
+=== {{Reiter|SSL-Interception}} ===
 {| class="sptable2 pd5 zh1 Einrücken"
 |-
-! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} || class="Bild" rowspan="9" | {{Bild |  {{#var:SSL-Interception--Bild}}|{{#var:SSL-Interception--cap}} }}
+</noinclude>
+! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
+| class="Bild" rowspan="12" | {{Bild| {{#var:SSL-Interception--Bild}} |{{#var:SSL-Interception--cap}}||HTTP-Proxy|{{#var:Anwendungen}}|icon=fa-chart-bar|icon-text=HTTP-Proxy Log|icon2=fa-save}}
 |-
-</noinclude>
+| rowspan="3" | {{b|{{#var:Aktiviert}}:}} || {{Button|{{#var:Aus}} }} || {{#var:Aus--desc}}
-| {{b|{{#var:SSL-Interception}}: }} || {{ButtonAn|{{#var:ein}} }} || {{#var:Aktivierung}}
-| class="Bild {{#switch: {{{Abb}}}|true= |#default=none}}" rowspan="8" | {{Bild |  {{#var:SSL-Interception--Bild}}|{{#var:SSL-Interception--cap}} }} </includeonly>
 |-
-| {{b|{{#var:Webfilter basiert}} }} || {{ButtonAus|{{#var:nein}} }} || {{#var:Webfilter basiert--desc}}
+| {{Button|{{#var:Nur Webfilter basiert}} }} || {{#var:Nur Webfilter basiert--desc}}
 |-
-| <span id="SNI"></span>{{b|{{#var:SNI validieren}} }}<br><small>{{#var:SNI validieren--cap}}</small> || {{ButtonAus| {{#var:nein}} }} || {{#var:SNI validieren--desc}}
+| {{Button|{{#var:Immer}}|class=aktiv}} || {{#var:Immer--desc}}
-<li class="list--element__alert list--element__hint">{{#var:SNI manipulieren--Hinweis}}</li>
-<li class="list--element__alert list--element__hint">{{#var:SNI validieren--Hinweis}}</li>
-<li class="list--element__alert list--element__warning">{{#var:SNI in Ausnahmen--Hinweis}}</li>
 |-
-| {{b|{{#var:SNI in Ausnahmen}} }}{{Hinweis-box|{{#var:neu ab}} v12.5.2|gr|12.5.2|status=neu}} <br><small>{{#var:SNI in Ausnahmen--cap}}</small> || {{ButtonAus|{{#var:nein}} }} || {{#var:SNI in Ausnahmen--desc}}
+| {{b|{{#var:SNI validieren}}:}} || {{ButtonAn|{{#var:Ja}} }} || {{#var:SNI validieren--desc}}<br> {{#var:SNI validieren-Hinweis}}
 |-
-| {{b|{{#var:Nicht erkannte Protokolle erlauben}} }} || {{ButtonAn|{{#var:ja}} }} || {{#var:Nicht erkannte Protokolle erlauben--desc}}
+| {{b|{{#var:Nicht erkannte Protokolle erlauben}}:}} || {{ButtonAn|{{#var:Ja}} }} || {{#var:Nicht erkannte Protokolle erlauben--desc}}
 |-
-| rowspan="2" | {{b|{{#var:CA-Zertifikat}} }} || {{Button|CA-SSL-Interception|dr}} || {{#var:CA-Zertifikat--desc}}
+| rowspan="2" | {{b|{{#var:CA-Zertifikat}}:}} || {{ic|CA-SSL-Interception|dr|class=available}} || {{#var:CA-Zertifikat--desc}}
 |-
 | {{Button|{{#var:Public-Key herunterladen}}|d}} || {{#var:Public-Key herunterladen--desc}}
 |-
-| {{b|{{#var:Zertifikatsverifizierung}} }} || {{ButtonAus|{{#var:aus}} }} || {{#var:Zertifikatsverifizierung--desc}}
+| {{b|{{#var:Zertifikatsverifizierung}}:}} || {{ButtonAn|{{#var:Ein}} }} || {{#var:Zertifikatsverifizierung--desc}}
+|-
+| {{KastenGrau|{{#var:Ausnahmen für SSL-Interception}} }} || {{ButtonAus|{{#var:Aus}} }} || {{#var:Ausnahmen für SSL-Interception--desc}} <li class="list--element__alert list--element__warning">{{#var:Regex--Transparent--Hinweis}}</li>
 |-
-| {{KastenGrau|{{#var:Ausnahmen für SSL-Interception}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:Ausnahmen für SSL-Interception--desc}}<li class="list--element__alert list--element__warning">{{#var:Regex--Transparent--Hinweis}}</li>
+| {{b|{{#var:Ausnahmen mit SNI abgleichen}}:}} <br><small>{{#var:Ausnahmen mit SNI abgleichen--cap}}</small> || {{ButtonAus|{{#var:Aus}} }} || {{#var:Ausnahmen mit SNI abgleichen--desc}}
 |-
-| {{KastenGrau| {{#var:Ausnahmen für Zertifikatsverifizierung}} }} || {{ButtonAus|Aus}} || {{#var:Ausnahmen für Zertifikatsverifizierung--desc}}
+| {{KastenGrau|{{#var:Ausnahmen für Zertifikatsverifizierung}} }} || {{ButtonAus|{{#var:Aus}} }} || {{#var:Ausnahmen für Zertifikatsverifizierung--desc}}
 <noinclude>
 |}
 </noinclude>