K (Weiterleitung auf UTM/AUTH/Verschlüsselung v11.8.2 entfernt) Markierung: Weiterleitung entfernt |
KKeine Bearbeitungszusammenfassung |
||
Zeile 44: | Zeile 44: | ||
|- | |- | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| rowspan="6" class="bild width-l" | {{ bild | {{#var:reiter-global| UTM_v11-8_Authentifizierung_Verschlüsselung_Global.png}} | {{#var:reiter-global-cap| Globale Verschlüsselungs-Einstellungen}} }} | |||
|- | |- | ||
| {{ Beschriftung | {{#var:Standardwerte-überschreiben| Standardwerte überschreiben:}} }} || {{ ButtonAus | {{#var:Nein}} }} || {{#var:standard-desc| Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. | | {{ Beschriftung | {{#var:Standardwerte-überschreiben| Standardwerte überschreiben:}} }} || {{ ButtonAus | {{#var:Nein}} }} || {{#var:standard-desc| Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}} | ||
|- | |- | ||
| {{ Beschriftung | {{#var:tls-min| Minimale TLS Version:}} }} || {{Button | {{#var:tls-button| Auswahl TLS-Version}} |dr}} || {{#var:tls-global-min-desc}}<br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small> | | {{ Beschriftung | {{#var:tls-min| Minimale TLS Version:}} }} || {{Button | {{#var:tls-button| Auswahl TLS-Version}} |dr}} || {{#var:tls-global-min-desc}}<br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small> |
Version vom 1. September 2022, 18:22 Uhr
Einleitung
In diesem Menü wird definiert, mit welchem Verschlüsselungsprotokoll die Anwendungen auf der UTM angesprochen werden sollen. Die von Securepoint gewählten Grundeinstellungen gelten zur Zeit als sicher und sind auf Kompatibilität geprüft.
Wenn ein höheres Schutzbedürfnis besteht, können die Einstellungen im Menü geändert werden (Jargon: härten).
- Im Bereich Global werden die Grundeinstellungen angezeigt
- Mit Standardwerte überschreiben Ein können die Default Einstellungen von Openssl für alle folgenden Anwendungen überschrieben werden:
- Webserver
- SSL-VPN
- Mailrelay
- Reverse-Proxy (Clients)
- Die Default-Werte oder
- Diese im Reiter Global vorgenommenen Änderungen wiederum können für jede Anwendung separat überschrieben werden
- Dort können anwendungsspezifische Vorgaben konfiguriert werden.
Einzelne Einstellungen können jedoch wieder die globalen Werte übernehmen, indem ausgewählt wird.
Die Grafik stellt die Abhängigkeit von den Einstellungen einer Anwendung zur Globalen Einstellung anhand der Minimalen TLS Version 1.1 dar.
Für alle in der Grafik gezeigten Einstellungen gilt: TLS 1.0 wird nicht zugelassen. TLS 1.2 & TLS 1.3 wird zugelassen.
Verschlüsselung
Die Einstellungen werden vorgenommen im Menu
Speichern / Wiederherstellen
Über die Schaltfläche
werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Globalen-Werte zurückgesetzt. Wird Standardwerte überschreiben wieder deaktiviert, werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Standard-Werte der einzelnen Applikation zurückgesetzt.CLI
Die Einstellungen, die im Webinterface vorgenommen werden sind auf dem Command Line Interface über die nachfolgenden Befehle sichtbar.
Globale Einstellungen
extc value get application "securepoint_firewall"
Das Ergebnis sollte ähnlich wie folgt aussehen:
application |variable |value --------------------+-------------------------------+----- securepoint_firewall|ANONYMIZELOGS |1 |CIPHER_LIST | |CLUSTERADVBASE |2 |CLUSTERDEADRATIO |15 |CLUSTERPREEMTIVE |0 |CLUSTER_ID |1 |CLUSTER_SECRET |secret |CRYPTO_OVERRIDE |0 |DHPARAM_LENGTH |2048 |DHPARAM_LENGTH_DEFAULT |2048 |ECDHE_CURVE |secp384r1 |FULLCONENAT_ZONE_DST |external |FULLCONENAT_ZONE_SRC |internal |HTTP_TRANSPARENT_EXCEPTION_LIST| |HTTP_TRANSPARENT_LIST |LAN2 |IPCONNTRACK |32000 |LANG |en_US |LASTRULE_LOGGING |2 |POP3_TRANSPARENT_EXCEPTION_LIST| |POP3_TRANSPARENT_LIST |LAN2 |PPPOE_LCP_ECHO |1 |TLS_VERSION_MAX |1.3 |TLS_VERSION_MAX_DEFAULT |1.3 |TLS_VERSION_MIN |1.2 |TLS_VERSION_MIN_DEFAULT |1.2 |UPDATE_TRIGGER_DELAY |2 |USE_ECDHE |1 |USE_OTP |0
Um hier den Wert einer einzelnen Variablen zu ändern, kann folgender Befehl verwendet werden. Geändert wird der Wert der Variablen TLS_VERSION_MIN.
extc value set application "securepoint_firewall" variable "TLS_VERSION_MIN" value 1.1
Die Änderung erfolgt in diesem Bereich:
|TLS_VERSION_MAX |1.3
|TLS_VERSION_MAX_DEFAULT |1.3
|TLS_VERSION_MIN |1.1
|TLS_VERSION_MIN_DEFAULT |1.0
Einzelne Anwendungen
Die Verschlüsselung der einzelnen Anwendungen können mit demselben Befehl ausgeführt werden. Lediglich der Name der Anwendung muss ausgetauscht werden. Zur Verfügung stehen folgende Anwendungen:
extc value get application "webserver" extc value get application "openvpn" extc value get application "smtpd" extc value get application "squid-reverse"
Änderungen, die auf dem CLI durchgeführt werden, müssen mit einem Neustart der jeweiligen Anwendung aktiviert werden. Der Befehl dazu lautet:
appmgmt restart application "[Name der Anwendung]"