Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 3: Zeile 3:
{{#vardefine:headerIcon| spicon-utm }}
{{#vardefine:headerIcon| spicon-utm }}


{{var | SSL-Interception
{{var | display
| SSL-Interception
| SSL-Interception
| SSL-Interception }}
| SSL-Interception }}
{{var | SSL-Interception--head
{{var | head
| Konfiguration der SSL-Interception im HTTP-Proxy
| Konfiguration der SSL-Interception im HTTP-Proxy
| Configuration of the SSL interception in the HTTP proxy }}
| Configuration of the SSL interception in the HTTP proxy }}
Zeile 12: Zeile 12:
| Anwendungen
| Anwendungen
| Applications }}
| Applications }}
{{var | Bestandteil des HTTP-Proxys
| Bestandteil des [[UTM/APP/HTTP_Proxy | HTTP-Proxys]]
| Part of the [[UTM/APP/HTTP_Proxy | HTTP-Proxy]] }}
{{var | SSL-Interception--Bild
{{var | SSL-Interception--Bild
| UTM_v12.5.2_HTTP-Proxy_SSL-Interception.png
| UTM v12.6.1 Anwendungen HHTP Proxy SSL Interception.png
| UTM_v12.5.2_HTTP-Proxy_SSL-Interception-en.png }}
| UTM v12.6.1 Anwendungen HHTP Proxy SSL Interception-en.png }}
{{var | SSL-Interception--cap
{{var | SSL-Interception--cap
| Reiter ''SSL-Interception''
| Reiter ''SSL-Interception''
| SSL Interception tab }}
| SSL Interception tab }}
{{var | CA--erstellen
{{var | Aktiviert
| Anleitung zum Erstellen einer CA
| Aktiviert
| Instructions for creating a CA }}
| Enabled }}
{{var | CA--erstellen--desc
{{var | Aus
| Eine CA kann im Menü {{Menu|Authentifziernug|Zertifikate|CA|CA hinzufügen|+|x}} erstellt werden.<br>
| Aus
Die CA bekommt einen eindeutigen Namen, die Schlüssellänge ≥ 2048, eine Gültigkeitsdauer bis max 31.12.2037 und weitere Angaben, die das Zertifikat individualiseren.<br>
| Off }}
Abschließen mit {{Button|Speichern}}
{{var | Aus--desc
| A CA can be created from the {{Menu|Authentication|Certificates|CA|Add CA|+|x}} menu.<br>
| Die SSL-Interception ist ausgeschaltet
The CA gets a unique name, the key length ≥ 2048, a validity period up to max 31.12.2037 and other information that individualize the certificate.<br>.
| The SSL-Interception is turned off }}
Finish with {{Button|Save}} }}
{{var | Nur Webfilter basiert
{{var | Aktivierung
| Nur Webfilter basiert
| Only webfilter based }}
{{var | Nur Webfilter basiert--desc
| Bei Aktivierung werden vom Webfilter blockierte Verbindungen abgefangen.<br> Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss.
| When enabled, only connections blocked by the web filter are intercepted.<br> This avoids the problem that there are sites that do not tolerate an interruption of the encryption (e.g. banking software) without having to define an exception for it. }}
{{var | Immer
| Immer
| Always }}
{{var | Immer--desc
| Aktiviert die SSL-Interception
| Aktiviert die SSL-Interception
| Activates the SSL interception }}
| Activates the SSL interception }}
{{var | Webfilter basiert
{{var | Ja
| Webfilter basiert:
| Ja
| Webfilter based: }}
| Yes }}
{{var | Webfilter basiert--desc
| Bei Aktivierung werden  lediglich vom Webfilter blockierte Verbindungen abgefangen.<br>
Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss.
| When enabled, only connections blocked by the web filter are intercepted.<br>
This avoids the problem that there are sites that do not tolerate an interruption of the encryption (e.g. banking software) without having to define an exception for it. }}
{{var | SNI validieren
{{var | SNI validieren
| SNI validieren
| SNI validieren
| Validate SNI }}
| Validate SNI }}
{{var | SNI validieren--Hinweis
{{var | SNI validieren--desc
| Diese Einstellung sollte nur als eine letzte Möglichkeit betrachtet werden, wenn es unmöglich scheint, die DNS-Einstellungen zwischen Clients des HTTP-Proxy und der UTM zu vereinheitlichen.
| Bei Aktivierung wird eine sich ggf. im ClientHello des TLS-Handshake befindliche SNI geprüft. Dabei wird der enthaltene Hostname aufgelöst und die Adressen im Ergebnis mit der Zieladresse des abgefangenen Requests abgeglichen. Bei Nichtübereinstimmung wird die Verbindung geschlossen.
| This setting should only be considered as a last resort when it seems impossible to standardize the DNS settings between the HTTP proxy and the UTM clients. }}
| When activated, any SNI in the ClientHello of the TLS handshake is checked. The host name contained is resolved and the addresses in the result are compared with the target address of the intercepted request. If they do not match, the connection is closed. }}
{{var | SNI validieren--cap
{{var | SNI validieren-Hinweis
| Nur verfügbar wenn ''Webfilter basiert'' aktiv
| {{Hinweis-box||g}} Ohne {{hoover|SNI|Server Name Indication}} Validierung können Clients die SNI beliebig manipulieren, um den Webfilter zu passieren.<br> {{Hinweis-box||g}} Diese Einstellung sollte nur als eine letzte Möglichkeit betrachtet werden, wenn es unmöglich scheint, die DNS-Einstellungen zwischen Clients des HTTP-Proxy und der UTM zu vereinheitlichen.<br> {{Hinweis-box||r}} Verwenden Client und UTM unterschiedliche DNS-Server, kann es dabei zu false-positives kommen.
| Only available when "Webfilter-based" is active. }}
| {{Hinweis-box||g}} Without {{hoover|SNI|Server Name Indication}} validation, clients can manipulate SNI arbitrarily to bypass the web filter.<br> {{Hinweis-box||g}} This setting should only be considered as a last resort when it seems impossible to standardize the DNS settings between the HTTP proxy and the UTM clients.<br> {{Hinweis-box||r}} If the client and UTM use different DNS servers, this can lead to false positives. }}
{{var | Nicht erkannte Protokolle erlauben
{{var | Nicht erkannte Protokolle erlauben
| Nicht erkannte Protokolle erlauben:
| Nicht erkannte Protokolle erlauben
| Allow non identified protocols: }}
| Allow non identified protocols }}
{{var | Nicht erkannte Protokolle erlauben--desc
{{var | Nicht erkannte Protokolle erlauben--desc
| Wenn dieser Schalter deaktiviert ist, werden nicht erkannte Protokolle blockiert
| Wenn dieser Schalter deaktiviert ist, werden nicht erkannte Protokolle blockiert.
| If this switch is deactivated, unrecognized protocols are blocked }}
| If this switch is deactivated, unrecognized protocols are blocked. }}
{{var | CA-Zertifikat
{{var | CA-Zertifikat
| CA-Zertifikat:
| CA-Zertifikat
| CA-Certificate: }}
| CA-Certificate }}
{{var | CA-Zertifikat--desc
{{var | CA-Zertifikat--desc
| Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsseln kann.<br>Der Public-Key der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit {{ButtonD|Public-Key herunterladen}} erfolgen.
| Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsseln kann.<br>Der Public-Key der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit {{ButtonD|Public-Key herunterladen}} erfolgen.
Zeile 67: Zeile 73:
| The public key should be installed on the clients that are going to use SSL interception to avoid certificate errors. }}
| The public key should be installed on the clients that are going to use SSL interception to avoid certificate errors. }}
{{var | Zertifikatsverifizierung
{{var | Zertifikatsverifizierung
| Zertifikatsverifizierung:
| Zertifikatsverifizierung
| Peer verification: }}
| Peer verification }}
{{var | Ein
| Ein
| On }}
{{var | Zertifikatsverifizierung--desc
{{var | Zertifikatsverifizierung--desc
| Sollte unbedingt aktiviert werden {{Alert}} Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine Überprüfung durch den Browser nicht mehr möglich.
| Sollte unbedingt aktiviert werden!<br> {{Alert}} Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine Überprüfung durch den Browser nicht mehr möglich.
| This should definitely be enabled {{Alert}} With this, the HTTP proxy checks whether the certificate of the called page is trustworthy. Since the browser only sees the local certificate, a check by the browser is no longer possible. }}
| This should definitely be enabled!<br> {{Alert}} With this, the HTTP proxy checks whether the certificate of the called page is trustworthy. Since the browser only sees the local certificate, a check by the browser is no longer possible. }}
{{var | Ausnahmen für SSL-Interception
{{var | Ausnahmen für SSL-Interception
| Ausnahmen für SSL-Interception
| Ausnahmen für SSL-Interception
| Exceptions for SSL-Interception  }}
| Exceptions for SSL-Interception  }}
{{var | Ausnahmen für SSL-Interception--desc
{{var | Ausnahmen für SSL-Interception--desc
| Es besteht die Möglichkeit Ausnahmen im  Format der [[UTM/APP/Regex | Regular Expressions]] zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner, nicht auf Protokolle gefiltert. <br>Mit {{Button|+ Regex}} werden neue Ausnahmen hinzu gefügt. {{info| 1=Eine Ausnahme für www.securepoint.de würde also lauten:&#10;.*\.securepoint\.de"}}  
| Es besteht die Möglichkeit Ausnahmen im  Format der [[UTM/APP/Regex | Regular Expressions]] zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner, nicht auf Protokolle gefiltert. <br>Mit {{Button|+ Regex}} werden neue Ausnahmen hinzu gefügt. {{info| 1=Eine Ausnahme für www.securepoint.de würde also lauten:&#10;.*\.securepoint\.de"}}  
| It is possible to define exceptions in the format of [[UTM/APP/Regex | Regular Expressions]]. However, since only https can arrive here, it is not filtered for protocols, unlike the virus scanner. <br>With {{Button|+ Regex}} new exceptions are added. {{info| 1=So an exception for www.securepoint.de would be:&#10;.*\.securepoint\.de"}}  }}
| It is possible to define exceptions in the format of [[UTM/APP/Regex | Regular Expressions]]. However, since only https can arrive here, it is not filtered for protocols, unlike the virus scanner. <br>With {{Button|+ Regex}} new exceptions are added. {{info| 1=So an exception for www.securepoint.de would be:&#10;.*\.securepoint\.de"}}  }}
{{var | Regex--Transparent--Hinweis
| Regex-Ausnahmen gelten nicht für den transparenten Modus!
| Regex exceptions do not apply to transparent mode! }}
{{var | Ausnahmen mit SNI abgleichen
| Ausnahmen mit SNI abgleichen
| Compare exceptions with the SNI }}
{{var | Ausnahmen mit SNI abgleichen--cap
| Verfügbar, wenn ''Ausnahmen mit SNI abgleichen'' aktiv ist.
| Only available if ''Compare exceptions with the SNI'' is active. }}
{{var | Ausnahmen mit SNI abgleichen--desc
| Wendet die {{hoover|SNI|Server Name Indication}} Validierung nur auf aktivierte {{KastenGrau|Ausnahmen für SSL-Interception}} an.
| Applies {{hoover|SNI|Server Name Indication}} validation only to activated {{KastenGrau|Exceptions of SSL-Interception}}. }}
{{var | Ausnahmen für Zertifikatsverifizierung
{{var | Ausnahmen für Zertifikatsverifizierung
| Ausnahmen für Zertifikatsverifizierung
| Ausnahmen für Zertifikatsverifizierung
Zeile 84: Zeile 105:
| Hier können Ausnahmen für die Zertifikatsverifizierung im [[UTM/APP/Regex | Regex-Format]] hinzugefügt werden.
| Hier können Ausnahmen für die Zertifikatsverifizierung im [[UTM/APP/Regex | Regex-Format]] hinzugefügt werden.
| Here exceptions for certificate verification in [[UTM/APP/Regex | regex format]] can be added. }}
| Here exceptions for certificate verification in [[UTM/APP/Regex | regex format]] can be added. }}
{{var | Regex--Transparent--Hinweis
| Regex-Ausnahmen gelten nicht für den transparenten Modus!
| Regex exceptions do not apply to transparent mode! }}
{{var | Bestandteil des HTTP-Proxys
| Bestandteil des [[UTM/APP/HTTP_Proxy | HTTP-Proxys]]
| Part of the [[UTM/APP/HTTP_Proxy | HTTP-Proxy]] }}
{{var | SNI manipulieren--Hinweis
| Ohne {{hoover|SNI|Server Name Indication}} Validierung können Clients die SNI beliebig manipulieren, um den Webfilter zu passieren.
| Without {{hoover|SNI|Server Name Indication}} validation, clients can manipulate SNI arbitrarily to bypass the web filter. }}
{{var | SNI in Ausnahmen
| SNI in den Ausnahmen validieren:
|  }}
{{var | SNI in Ausnahmen--cap
| Nur verfügbar, wenn ''Webfilter basiert'' '''nicht''' aktiv ist
|  }}
{{var | SNI in Ausnahmen--desc
| Wendet die {{hoover|SNI|Server Name Indication}} Validierung nur auf aktivierte {{ButtonAn|{{#var:ja}} }} {{KastenGrau|Ausnahmen für SSL-Interception}} an
|  }}
{{var | SNI in Ausnahmen--Hinweis
| Verwenden Client und UTM unterschiedliche DNS-Server, kann es dabei zu false-positives kommen.
|  }}
{{var | SNI validieren--desc
| Bei Aktivierung {{ButtonAn|{{#var:ja}} }} wird eine sich ggf. im ClientHello des TLS-Handshake befindliche SNI geprüft.<br>
Dabei wird der enthaltene Hostname aufgelöst und die Adressen im Ergebnis mit der Zieladresse des abgefangenen Requests abgeglichen. <br>Bei Nichtübereinstimmung wird die Verbindung geschlossen.
|  }}
{{var |
|
|  }}
{{var |
|
|  }}


----
----

Version vom 31. Januar 2024, 08:40 Uhr