Wechseln zu:Navigation, Suche
Wiki
K 1 Version importiert
imported>MichaelV
Keine Bearbeitungszusammenfassung
 
Zeile 3: Zeile 3:
{{#vardefine:headerIcon|spicon-utm}}
{{#vardefine:headerIcon|spicon-utm}}
{{:UTM/AUTH/Verschlüsselung.lang}}
{{:UTM/AUTH/Verschlüsselung.lang}}
{{var | neu--Security Levels für TLS-Applikationen
| [[#Global|Sicherheitslevel]] für TLS-Applikationen wurden hinzugefügt
|  }}


{{var | neu--Default Cipher
{{var | neu--Default Cipher
Zeile 9: Zeile 14:


</div>{{Select_lang}}<div class="new_design"></div>{{TOC2}}
</div>{{Select_lang}}<div class="new_design"></div>{{TOC2}}
{{Header|14.1.0|
{{Header|14.2.0|
* {{#var:neu--Security Levels für TLS-Applikationen}}
| vorher-ver=14.1.0
| vorher=
* {{#var:neu--Default Cipher}}
* {{#var:neu--Default Cipher}}
|[[UTM/AUTH/Verschlüsselung_v12.6.0 | 12.6.0]]
| [[UTM/AUTH/Verschlüsselung_v14.1.0 | 14.1.0]]
[[UTM/AUTH/Verschlüsselung_v12.6.0 | 12.6.0]]
[[UTM/AUTH/Verschlüsselung_v12.3.6 | 12.3.6]]
[[UTM/AUTH/Verschlüsselung_v12.3.6 | 12.3.6]]
[[UTM/AUTH/Verschlüsselung_v12.1 | 12.1]]
[[UTM/AUTH/Verschlüsselung_v12.1 | 12.1]]
Zeile 42: Zeile 51:
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
| rowspan="8" class="Bild" | {{Bild| {{#var:Global--Bild}} |{{#var:Global--cap}}||{{#var:Verschlüsselung}}|{{#var:Authentifizierung}}|icon=fa-undo|icon-text={{#var:Zurücksetzen}}|icon2=fa-save}}
| rowspan="9" class="Bild" | {{Bild| {{#var:Global--Bild}} |{{#var:Global--cap}}||{{#var:Verschlüsselung}}|{{#var:Authentifizierung}}|icon=fa-undo|icon-text={{#var:Zurücksetzen}}|icon2=fa-save}}
|-
|-
| {{b|{{#var:Standardwerte-überschreiben}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:standard-desc}}
| {{b|{{#var:Standardwerte-überschreiben}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:standard-desc}}
|-
| {{b|{{#var:Sicherheitslevel}} }}<br>{{Hinweis-box|{{#var:neu ab}} v14.2.0|gr|14.2.5|status=neu}} || {{Button|{{#var:Benutzerdefiniert}}|dr|w=190px }} || {{#var:Benutzerdefiniert--desc}} <br> {{Hinweis-box|{{#var:Benutzerdefiniert--Hinweis}} }}<br><span class="mw-customtoggle-AA mw-customtoggle-AB mw-customtoggle-AC mw-customtoggle-AD mw-customtoggle sp-toggle-show dezent">{{#var:Weitere Sicherheitslevel ein-/ausblenden}}</span>
|- id="mw-customcollapsible-AA" class="mw-collapsible mw-made-collapsible mw-collapsed"
| rowspan="4" class="noborder" | || {{Button|{{#var:Standardwert verwenden TLS}}|dr|w=190px }} || {{#var:Standardwert verwenden--desc}}
|- id="mw-customcollapsible-AB" class="mw-collapsible mw-made-collapsible mw-collapsed"
| {{Button|{{#var:Level 1}}|dr|w=190px }} || {{#var:Level 1--desc}}
|- id="mw-customcollapsible-AC" class="mw-collapsible mw-made-collapsible mw-collapsed"
| {{Button|{{#var:Level 2}}|dr|w=190px }} || {{#var:Level 2--desc}}
|- id="mw-customcollapsible-AD" class="mw-collapsible mw-made-collapsible mw-collapsed"
| {{Button|{{#var:Level 3}}|dr|w=190px }} || {{#var:Level 3--desc}}
|-
|-
| {{b|{{#var:tls-min}} }} || {{Button|1.2|dr|w=190px }} || {{#var:tls-global-desc}}<br> <small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
| {{b|{{#var:tls-min}} }} || {{Button|1.2|dr|w=190px }} || {{#var:tls-global-desc}}<br> <small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
Zeile 65: Zeile 84:
|-
|-
| {{b|{{#var:Standardwerte-überschreiben}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:standard-desc}}
| {{b|{{#var:Standardwerte-überschreiben}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:standard-desc}}
| rowspan="5" class="Bild" | {{bild| {{#var:Webserver--Bild}} |{{#var:Webserver--cap}} }}
| rowspan="7" class="Bild" | {{bild| {{#var:Webserver--Bild}} |{{#var:Webserver--cap}} }}
|-
| {{b|{{#var:Sicherheitslevel}} }}<br>{{Hinweis-box|{{#var:neu ab}} v14.2.0|gr|14.2.5|status=neu}} || {{Button|{{#var:Benutzerdefiniert}}|dr|w=190px }} || {{#var:Benutzerdefiniert--desc}} <br> {{Hinweis-box|{{#var:Benutzerdefiniert--Hinweis}} }}<br><span class="mw-customtoggle-BA mw-customtoggle-BB mw-customtoggle-BC mw-customtoggle-BD mw-customtoggle sp-toggle-show dezent">{{#var:Weitere Sicherheitslevel ein-/ausblenden}}</span>
|- id="mw-customcollapsible-BA" class="mw-collapsible mw-made-collapsible mw-collapsed"
| rowspan="4" class="noborder" | || {{Button|{{#var:Wert von GLOBAL-Tab übernehmen}}|dr|w=190px }} || {{#var:Wert vom Global-Tab--desc}}
|- id="mw-customcollapsible-BB" class="mw-collapsible mw-made-collapsible mw-collapsed"
| {{Button|{{#var:Level 1}}|dr|w=190px }} || {{#var:Level 1--desc}}
|- id="mw-customcollapsible-BC" class="mw-collapsible mw-made-collapsible mw-collapsed"
| {{Button|{{#var:Level 2}}|dr|w=190px }} || {{#var:Level 2--desc}}
|- id="mw-customcollapsible-BD" class="mw-collapsible mw-made-collapsible mw-collapsed"
| {{Button|{{#var:Level 3}}|dr|w=190px }} || {{#var:Level 3--desc}}
|-
|-
| {{b|{{#var:tls-min}} }} || {{Button|1.2 |dr|w=190px}} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
| {{b|{{#var:tls-min}} }} || {{Button|1.2 |dr|w=190px}} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
Zeile 82: Zeile 111:
|-
|-
| {{b|{{#var:Standardwerte-überschreiben}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:standard-desc}}
| {{b|{{#var:Standardwerte-überschreiben}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:standard-desc}}
| rowspan="5" class="Bild" | {{Bild| {{#var:ssl-vpn--Bild}} |{{#var:ssl-vpn--cap}} }}
| rowspan="7" class="Bild" | {{Bild| {{#var:ssl-vpn--Bild}} |{{#var:ssl-vpn--cap}} }}
|-
| {{b|{{#var:Sicherheitslevel}} }}<br>{{Hinweis-box|{{#var:neu ab}} v14.2.0|gr|14.2.5|status=neu}} || {{Button|{{#var:Benutzerdefiniert}}|dr|w=190px }} || {{#var:Benutzerdefiniert--desc}} <br> {{Hinweis-box|{{#var:Benutzerdefiniert--Hinweis}} }}<br><span class="mw-customtoggle-CA mw-customtoggle-CB mw-customtoggle-CC mw-customtoggle-CD mw-customtoggle sp-toggle-show dezent">{{#var:Weitere Sicherheitslevel ein-/ausblenden}}</span>
|- id="mw-customcollapsible-CA" class="mw-collapsible mw-made-collapsible mw-collapsed"
| rowspan="4" class="noborder" | || {{Button|{{#var:Wert von GLOBAL-Tab übernehmen}}|dr|w=190px }} || {{#var:Wert vom Global-Tab--desc}}
|- id="mw-customcollapsible-CB" class="mw-collapsible mw-made-collapsible mw-collapsed"
| {{Button|{{#var:Level 1}}|dr|w=190px }} || {{#var:Level 1--desc}}
|- id="mw-customcollapsible-CC" class="mw-collapsible mw-made-collapsible mw-collapsed"
| {{Button|{{#var:Level 2}}|dr|w=190px }} || {{#var:Level 2--desc}}
|- id="mw-customcollapsible-CD" class="mw-collapsible mw-made-collapsible mw-collapsed"
| {{Button|{{#var:Level 3}}|dr|w=190px }} || {{#var:Level 3--desc}}
|-
|-
| {{b|{{#var:tls-min}} }} || {{Button|1.2|dr|w=190px}} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
| {{b|{{#var:tls-min}} }} || {{Button|1.2|dr|w=190px}} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
Zeile 101: Zeile 140:
|-
|-
| {{b|{{#var:Standardwerte-überschreiben}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:standard-desc}}  
| {{b|{{#var:Standardwerte-überschreiben}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:standard-desc}}  
| rowspan="5" class="Bild" | {{Bild| {{#var:Mailrelay--Bild}} |{{#var:Mailrelay--cap}} }}
| rowspan="7" class="Bild" | {{Bild| {{#var:Mailrelay--Bild}} |{{#var:Mailrelay--cap}} }}
|-
| {{b|{{#var:Sicherheitslevel}} }}<br>{{Hinweis-box|{{#var:neu ab}} v14.2.0|gr|14.2.5|status=neu}} || {{Button|{{#var:Benutzerdefiniert}}|dr|w=190px }} || {{#var:Benutzerdefiniert--desc}} <br> {{Hinweis-box|{{#var:Benutzerdefiniert--Hinweis}} }}<br><span class="mw-customtoggle-DA mw-customtoggle-DB mw-customtoggle-DC mw-customtoggle-DD mw-customtoggle sp-toggle-show dezent">{{#var:Weitere Sicherheitslevel ein-/ausblenden}}</span>
|- id="mw-customcollapsible-DA" class="mw-collapsible mw-made-collapsible mw-collapsed"
| rowspan="4" class="noborder" | || {{Button|{{#var:Wert von GLOBAL-Tab übernehmen}}|dr|w=190px }} || {{#var:Wert vom Global-Tab--desc}}
|- id="mw-customcollapsible-DB" class="mw-collapsible mw-made-collapsible mw-collapsed"
| {{Button|{{#var:Level 1}}|dr|w=190px }} || {{#var:Level 1--desc}}
|- id="mw-customcollapsible-DC" class="mw-collapsible mw-made-collapsible mw-collapsed"
| {{Button|{{#var:Level 2}}|dr|w=190px }} || {{#var:Level 2--desc}}
|- id="mw-customcollapsible-DD" class="mw-collapsible mw-made-collapsible mw-collapsed"
| {{Button|{{#var:Level 3}}|dr|w=190px }} || {{#var:Level 3--desc}}
|-
|-
| {{b|{{#var:tls-min}} }} || {{Button|1.2|dr|w=190px}} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
| {{b|{{#var:tls-min}} }} || {{Button|1.2|dr|w=190px}} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
Zeile 116: Zeile 165:
|-
|-
| {{b|{{#var:Standardwerte-überschreiben}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:standard-desc}}   
| {{b|{{#var:Standardwerte-überschreiben}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:standard-desc}}   
| rowspan="7" class="Bild" | {{bild| {{#var:Reverse-proxy--Bild}} |{{#var:Reverse-proxy--cap}} }}
| rowspan="7" class="Bild" | {{Bild| {{#var:Reverse-proxy--Bild}} |{{#var:Reverse-proxy--cap}} }}
|-
| {{b|{{#var:Sicherheitslevel}} }}<br>{{Hinweis-box|{{#var:neu ab}} v14.2.0|gr|14.2.5|status=neu}} || {{Button|{{#var:Benutzerdefiniert}}|dr|w=190px }} || {{#var:Benutzerdefiniert--desc}} <br> {{Hinweis-box|{{#var:Benutzerdefiniert--Hinweis}} }}<br><span class="mw-customtoggle-EA mw-customtoggle-EB mw-customtoggle-EC mw-customtoggle-ED mw-customtoggle sp-toggle-show dezent">{{#var:Weitere Sicherheitslevel ein-/ausblenden}}</span>
|- id="mw-customcollapsible-EA" class="mw-collapsible mw-made-collapsible mw-collapsed"
| rowspan="4" class="noborder" | || {{Button|{{#var:Wert von GLOBAL-Tab übernehmen}}|dr|w=190px }} || {{#var:Wert vom Global-Tab--desc}}
|- id="mw-customcollapsible-EB" class="mw-collapsible mw-made-collapsible mw-collapsed"
| {{Button|{{#var:Level 1}}|dr|w=190px }} || {{#var:Level 1--desc}}
|- id="mw-customcollapsible-EC" class="mw-collapsible mw-made-collapsible mw-collapsed"
| {{Button|{{#var:Level 2}}|dr|w=190px }} || {{#var:Level 2--desc}}
|- id="mw-customcollapsible-ED" class="mw-collapsible mw-made-collapsible mw-collapsed"
| {{Button|{{#var:Level 3}}|dr|w=190px }} || {{#var:Level 3--desc}}
|-
|-
| {{b|{{#var:tls-min}} }} || {{Button|1.2|dr|w=190px }} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
| {{b|{{#var:tls-min}} }} || {{Button|1.2|dr|w=190px }} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
Zeile 131: Zeile 190:
'''{{#var:def}} '''
'''{{#var:def}} '''
<p>{{code|ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS }} </p>
<p>{{code|ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS }} </p>
|-class=Leerzeile
|}
|}



Aktuelle Version vom 1. Juli 2026, 09:00 Uhr









































Verschlüsselungs-Algorythmen der UTM

Letzte Anpassung zur Version: 14.2.0(07.2026)

Neu:
  • Beta Nur für Teilnehmer am Beta-Channel:
notempty
Dieser Artikel bezieht sich auf eine Beta-Version
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
Authentifizierung Verschlüsselung

Einleitung

In diesem Menü wird definiert, mit welchem Verschlüsselungsprotokoll die Anwendungen auf der UTM angesprochen werden sollen. Die von Securepoint gewählten Grundeinstellungen gelten zur Zeit als sicher und sind auf Kompatibilität geprüft.
Wenn ein höheres Schutzbedürfnis besteht, können die Einstellungen im Menü Authentifizierung Verschlüsselung geändert werden (Jargon: härten).

  • Im Bereich Global werden die Grundeinstellungen angezeigt
  • Mit Standardwerte überschreiben Ein können die Default Einstellungen von Openssl für alle folgenden Anwendungen überschrieben werden:
    • Webserver
    • SSL-VPN
    • Mailrelay
    • Reverse-Proxy (Clients)
  • Diese im Reiter Global vorgenommenen Änderungen wiederum können für jede Anwendung separat überschrieben werden
  • Dort können anwendungsspezifische Vorgaben konfiguriert werden.
    Einzelne Einstellungen können jedoch wieder die globalen Werte übernehmen, indem Wert vom GLOBAL-Tab übernehmen ausgewählt wird.


Die Grafik stellt die Abhängigkeit von den Einstellungen einer Anwendung zur Globalen Einstellung anhand der Minimalen TLS Version 1.1 dar.
Für alle in der Grafik gezeigten Einstellungen gilt: TLS 1.0 wird nicht zugelassen. TLS 1.2 & TLS 1.3 wird zugelassen.




Verschlüsselung

Global

Global
Beschriftung Wert Beschreibung Verschlüsselung UTMbenutzer@firewall.name.fqdn Authentifizierung Zurücksetzen
Globale Verschlüsselungs-Einstellungen
Standardwerte überschreiben: Ja Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.
Sicherheitslevel:
notempty
Neu ab v14.2.0
Benutzerdefiniert Die Einstellungen können individuell angepasst werden
notempty
Dadurch können auch unsichere Algorithmen und Zertifikate genutzt werden, wie z.B. TLS 1.0

Weitere Sicherheitslevel ein-/ausblenden
Standardwert verwenden (1) Das Standard-Level in der UTM ist Level 1
Level 1 (Kompatibilität) Das Sicherheitslevel entspricht einer Mindestsicherheit von 80 Sicherheitsbits. Alle Parameter, die weniger als 80 Sicherheitsbits bieten, sind ausgeschlossen
Sicherheitsbits beschreiben die Schlüssellänge in den verwendeten Verfahren. Je länger, desto schwieriger wird ein Brute-Force-Angriff


Erforderlich sind:

  • RSA-, DSA- und DH-Schlüssel mit mindestens 1024 Bit
  • ECC-Schlüssel mit mindestens 160 Bit
  • Verschlüsselungssuites, die kein MD5 für den MAC verwenden
  • Verschlüsselungssuites, die kein CCM mit einem 64-Bit-Authentifizierungs-Tag verwenden
  • Signaturen, die kein SHA1 und MD5 verwenden, da diese weniger als 80 Sicherheitsbits haben.

Zusätzlich sind SSLv3, TLS 1.0, TLS 1.1 und DTLS 1.0 auf dieser Stufe deaktiviert.

Level 2 (aktuell) Das Sicherheitslevel entspricht einer Mindestsicherheit von 112 Sicherheitsbits
Sicherheitsbits beschreiben die Schlüssellänge in den verwendeten Verfahren. Je länger, desto schwieriger wird ein Brute-Force-Angriff


Erforderlich sind:

  • RSA-, DSA-, und DH-Schlüssel mit mindestens 2048 Bit
  • ECC-Schlüssel mit mindestens 224 Bit
  • Zusätzlich zu den Bedingungen von Level 1 dürfen Verschlüsselungssuites auch kein RC4 verwenden

Die Komprimierung ist deaktiviert.

Level 3 (hoch) Das Sicherheitslevel entspricht einer Mindestsicherheit von 128 Sicherheitsbits
Sicherheitsbits beschreiben die Schlüssellänge in den verwendeten Verfahren. Je länger, desto schwieriger wird ein Brute-Force-Angriff


Erforderlich sind:

  • RSA-, DSA- und DH-Schlüssel mit mindestens 3072 Bit
  • ECC-Schlüssel mit mindestens 256 Bit
  • Zusätzlich zu den Bedingungen von Level 2 müssen Verschlüsselungssuites auch Forward Secrecy bieten

Sitzungstickets sind deaktiviert.

Minimale TLS Version: 1.2 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.2
Maximale TLS Version: 1.3 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.3
DH Key Size: 4096 Die Länge des Diffie-Hellmann Schlüssels kann auf 2048 Bit oder 4096 Bit eingestellt werden.
TLS 1.3 Cipher-Suite: Standardwert verwenden Einschränkungen der Cipher-Suites, die für TLS 1.3 verwendet werden sollen
notempty
Neu ab: v14.1: Anzeige der Standardwerte

Standardwert

TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256

Cipher-Suite: Standardwert verwenden Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.
Wird kein Wert angegeben, wird der Standardwert der jeweiligen Anwendung (s.u.) verwendet
notempty
Neu ab: v14.1: Anzeige der Standardwerte

Standardwert

TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256


Webserver

Webserver
Standardwerte überschreiben: Ja Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.
Verschlüsselungseinstellungen für Webserver-Verbindungen
Sicherheitslevel:
notempty
Neu ab v14.2.0
Benutzerdefiniert Die Einstellungen können individuell angepasst werden
notempty
Dadurch können auch unsichere Algorithmen und Zertifikate genutzt werden, wie z.B. TLS 1.0

Weitere Sicherheitslevel ein-/ausblenden
Wert vom GLOBAL-Tab übernehmen Übernimmt die Einstellungen des Sicherheitslevels des Tabs Global
Level 1 (Kompatibilität) Das Sicherheitslevel entspricht einer Mindestsicherheit von 80 Sicherheitsbits. Alle Parameter, die weniger als 80 Sicherheitsbits bieten, sind ausgeschlossen
Sicherheitsbits beschreiben die Schlüssellänge in den verwendeten Verfahren. Je länger, desto schwieriger wird ein Brute-Force-Angriff


Erforderlich sind:

  • RSA-, DSA- und DH-Schlüssel mit mindestens 1024 Bit
  • ECC-Schlüssel mit mindestens 160 Bit
  • Verschlüsselungssuites, die kein MD5 für den MAC verwenden
  • Verschlüsselungssuites, die kein CCM mit einem 64-Bit-Authentifizierungs-Tag verwenden
  • Signaturen, die kein SHA1 und MD5 verwenden, da diese weniger als 80 Sicherheitsbits haben.

Zusätzlich sind SSLv3, TLS 1.0, TLS 1.1 und DTLS 1.0 auf dieser Stufe deaktiviert.

Level 2 (aktuell) Das Sicherheitslevel entspricht einer Mindestsicherheit von 112 Sicherheitsbits
Sicherheitsbits beschreiben die Schlüssellänge in den verwendeten Verfahren. Je länger, desto schwieriger wird ein Brute-Force-Angriff


Erforderlich sind:

  • RSA-, DSA-, und DH-Schlüssel mit mindestens 2048 Bit
  • ECC-Schlüssel mit mindestens 224 Bit
  • Zusätzlich zu den Bedingungen von Level 1 dürfen Verschlüsselungssuites auch kein RC4 verwenden

Die Komprimierung ist deaktiviert.

Level 3 (hoch) Das Sicherheitslevel entspricht einer Mindestsicherheit von 128 Sicherheitsbits
Sicherheitsbits beschreiben die Schlüssellänge in den verwendeten Verfahren. Je länger, desto schwieriger wird ein Brute-Force-Angriff


Erforderlich sind:

  • RSA-, DSA- und DH-Schlüssel mit mindestens 3072 Bit
  • ECC-Schlüssel mit mindestens 256 Bit
  • Zusätzlich zu den Bedingungen von Level 2 müssen Verschlüsselungssuites auch Forward Secrecy bieten

Sitzungstickets sind deaktiviert.

Minimale TLS Version: 1.2 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.2
Maximale TLS Version: 1.3 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.3
DH Key Size: Wert vom GLOBAL-Tab übernehmen Die Länge des Diffie-Hellmann Schlüssels kann auf 2048 Bit oder 4096 Bit eingestellt werden.
ECDH 384 Bit: Ein Verwendet das Elliptic Curve Diffie-Hellman-Verfahren mit 384 Bit zur Schlüsselberechnung.
TLS 1.3 Cipher-Suite:
notempty
Neu ab: 14.1
Wert vom GLOBAL-Tab übernehmen Einschränkungen der Cipher-Suites, die für TLS 1.3 verwendet werden sollen
Cipher-Suite: Wert vom GLOBAL-Tab übernehmen Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.

SSL-VPN

SSL-VPN
Standardwerte überschreiben: Ja Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.
Verschlüsselung für SSL-VPN-Verbindungen
Sicherheitslevel:
notempty
Neu ab v14.2.0
Benutzerdefiniert Die Einstellungen können individuell angepasst werden
notempty
Dadurch können auch unsichere Algorithmen und Zertifikate genutzt werden, wie z.B. TLS 1.0

Weitere Sicherheitslevel ein-/ausblenden
Wert vom GLOBAL-Tab übernehmen Übernimmt die Einstellungen des Sicherheitslevels des Tabs Global
Level 1 (Kompatibilität) Das Sicherheitslevel entspricht einer Mindestsicherheit von 80 Sicherheitsbits. Alle Parameter, die weniger als 80 Sicherheitsbits bieten, sind ausgeschlossen
Sicherheitsbits beschreiben die Schlüssellänge in den verwendeten Verfahren. Je länger, desto schwieriger wird ein Brute-Force-Angriff


Erforderlich sind:

  • RSA-, DSA- und DH-Schlüssel mit mindestens 1024 Bit
  • ECC-Schlüssel mit mindestens 160 Bit
  • Verschlüsselungssuites, die kein MD5 für den MAC verwenden
  • Verschlüsselungssuites, die kein CCM mit einem 64-Bit-Authentifizierungs-Tag verwenden
  • Signaturen, die kein SHA1 und MD5 verwenden, da diese weniger als 80 Sicherheitsbits haben.

Zusätzlich sind SSLv3, TLS 1.0, TLS 1.1 und DTLS 1.0 auf dieser Stufe deaktiviert.

Level 2 (aktuell) Das Sicherheitslevel entspricht einer Mindestsicherheit von 112 Sicherheitsbits
Sicherheitsbits beschreiben die Schlüssellänge in den verwendeten Verfahren. Je länger, desto schwieriger wird ein Brute-Force-Angriff


Erforderlich sind:

  • RSA-, DSA-, und DH-Schlüssel mit mindestens 2048 Bit
  • ECC-Schlüssel mit mindestens 224 Bit
  • Zusätzlich zu den Bedingungen von Level 1 dürfen Verschlüsselungssuites auch kein RC4 verwenden

Die Komprimierung ist deaktiviert.

Level 3 (hoch) Das Sicherheitslevel entspricht einer Mindestsicherheit von 128 Sicherheitsbits
Sicherheitsbits beschreiben die Schlüssellänge in den verwendeten Verfahren. Je länger, desto schwieriger wird ein Brute-Force-Angriff


Erforderlich sind:

  • RSA-, DSA- und DH-Schlüssel mit mindestens 3072 Bit
  • ECC-Schlüssel mit mindestens 256 Bit
  • Zusätzlich zu den Bedingungen von Level 2 müssen Verschlüsselungssuites auch Forward Secrecy bieten

Sitzungstickets sind deaktiviert.

Minimale TLS Version: 1.2 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.2
Maximale TLS Version: 1.3 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.3
DH Key Size: Wert vom GLOBAL-Tab übernehmen Die Länge des Diffie-Hellmann Schlüssels kann auf 2048 Bit oder 4096 Bit eingestellt werden.
TLS 1.3 Cipher Suite Wert vom GLOBAL-Tab übernehmen Ggf. Einschränkungen der Cipher-Suites, die für TLS 1.3 verwendet werden sollen

Standardwert

TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256

Cipher-Suite: Wert vom GLOBAL-Tab übernehmen Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.

Standardwert

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS


Mailrelay

Mailrelay
Standardwerte überschreiben: Ja Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.
Verschlüsselungseinstellungen für Verbindungen über das Mailrelay
Sicherheitslevel:
notempty
Neu ab v14.2.0
Benutzerdefiniert Die Einstellungen können individuell angepasst werden
notempty
Dadurch können auch unsichere Algorithmen und Zertifikate genutzt werden, wie z.B. TLS 1.0

Weitere Sicherheitslevel ein-/ausblenden
Wert vom GLOBAL-Tab übernehmen Übernimmt die Einstellungen des Sicherheitslevels des Tabs Global
Level 1 (Kompatibilität) Das Sicherheitslevel entspricht einer Mindestsicherheit von 80 Sicherheitsbits. Alle Parameter, die weniger als 80 Sicherheitsbits bieten, sind ausgeschlossen
Sicherheitsbits beschreiben die Schlüssellänge in den verwendeten Verfahren. Je länger, desto schwieriger wird ein Brute-Force-Angriff


Erforderlich sind:

  • RSA-, DSA- und DH-Schlüssel mit mindestens 1024 Bit
  • ECC-Schlüssel mit mindestens 160 Bit
  • Verschlüsselungssuites, die kein MD5 für den MAC verwenden
  • Verschlüsselungssuites, die kein CCM mit einem 64-Bit-Authentifizierungs-Tag verwenden
  • Signaturen, die kein SHA1 und MD5 verwenden, da diese weniger als 80 Sicherheitsbits haben.

Zusätzlich sind SSLv3, TLS 1.0, TLS 1.1 und DTLS 1.0 auf dieser Stufe deaktiviert.

Level 2 (aktuell) Das Sicherheitslevel entspricht einer Mindestsicherheit von 112 Sicherheitsbits
Sicherheitsbits beschreiben die Schlüssellänge in den verwendeten Verfahren. Je länger, desto schwieriger wird ein Brute-Force-Angriff


Erforderlich sind:

  • RSA-, DSA-, und DH-Schlüssel mit mindestens 2048 Bit
  • ECC-Schlüssel mit mindestens 224 Bit
  • Zusätzlich zu den Bedingungen von Level 1 dürfen Verschlüsselungssuites auch kein RC4 verwenden

Die Komprimierung ist deaktiviert.

Level 3 (hoch) Das Sicherheitslevel entspricht einer Mindestsicherheit von 128 Sicherheitsbits
Sicherheitsbits beschreiben die Schlüssellänge in den verwendeten Verfahren. Je länger, desto schwieriger wird ein Brute-Force-Angriff


Erforderlich sind:

  • RSA-, DSA- und DH-Schlüssel mit mindestens 3072 Bit
  • ECC-Schlüssel mit mindestens 256 Bit
  • Zusätzlich zu den Bedingungen von Level 2 müssen Verschlüsselungssuites auch Forward Secrecy bieten

Sitzungstickets sind deaktiviert.

Minimale TLS Version: 1.2 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.2
Maximale TLS Version: 1.3 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.3
DH Key Size: Wert vom GLOBAL-Tab übernehmen Die Länge des Diffie-Hellmann Schlüssels kann auf 2048 Bit oder 4096 Bit eingestellt werden.
Cipher-Suite: Wert vom GLOBAL-Tab übernehmen Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.

Standardwert

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS


Reverse-Proxy

Reverse-Proxy

notempty
Diese TLS Einstellungen gelten für die Verbindung zwischen dieser Appliance und den Clients.

Die TLS Einstellungen zwischen den Servern (die über den Reverse-Proxy erreicht werden sollen) und dieser Appliance werden unter Anwendungen Reverse-Proxy konfiguriert. Siehe Wiki zum Reverse-Proxy.

Standardwerte überschreiben: Ja Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.
Verschlüsselung für Verbindungen des Reverse-Proxys
Sicherheitslevel:
notempty
Neu ab v14.2.0
Benutzerdefiniert Die Einstellungen können individuell angepasst werden
notempty
Dadurch können auch unsichere Algorithmen und Zertifikate genutzt werden, wie z.B. TLS 1.0

Weitere Sicherheitslevel ein-/ausblenden
Wert vom GLOBAL-Tab übernehmen Übernimmt die Einstellungen des Sicherheitslevels des Tabs Global
Level 1 (Kompatibilität) Das Sicherheitslevel entspricht einer Mindestsicherheit von 80 Sicherheitsbits. Alle Parameter, die weniger als 80 Sicherheitsbits bieten, sind ausgeschlossen
Sicherheitsbits beschreiben die Schlüssellänge in den verwendeten Verfahren. Je länger, desto schwieriger wird ein Brute-Force-Angriff


Erforderlich sind:

  • RSA-, DSA- und DH-Schlüssel mit mindestens 1024 Bit
  • ECC-Schlüssel mit mindestens 160 Bit
  • Verschlüsselungssuites, die kein MD5 für den MAC verwenden
  • Verschlüsselungssuites, die kein CCM mit einem 64-Bit-Authentifizierungs-Tag verwenden
  • Signaturen, die kein SHA1 und MD5 verwenden, da diese weniger als 80 Sicherheitsbits haben.

Zusätzlich sind SSLv3, TLS 1.0, TLS 1.1 und DTLS 1.0 auf dieser Stufe deaktiviert.

Level 2 (aktuell) Das Sicherheitslevel entspricht einer Mindestsicherheit von 112 Sicherheitsbits
Sicherheitsbits beschreiben die Schlüssellänge in den verwendeten Verfahren. Je länger, desto schwieriger wird ein Brute-Force-Angriff


Erforderlich sind:

  • RSA-, DSA-, und DH-Schlüssel mit mindestens 2048 Bit
  • ECC-Schlüssel mit mindestens 224 Bit
  • Zusätzlich zu den Bedingungen von Level 1 dürfen Verschlüsselungssuites auch kein RC4 verwenden

Die Komprimierung ist deaktiviert.

Level 3 (hoch) Das Sicherheitslevel entspricht einer Mindestsicherheit von 128 Sicherheitsbits
Sicherheitsbits beschreiben die Schlüssellänge in den verwendeten Verfahren. Je länger, desto schwieriger wird ein Brute-Force-Angriff


Erforderlich sind:

  • RSA-, DSA- und DH-Schlüssel mit mindestens 3072 Bit
  • ECC-Schlüssel mit mindestens 256 Bit
  • Zusätzlich zu den Bedingungen von Level 2 müssen Verschlüsselungssuites auch Forward Secrecy bieten

Sitzungstickets sind deaktiviert.

Minimale TLS Version: 1.2 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.2
Maximale TLS Version: 1.3 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.3
DH Key Size: Wert vom GLOBAL-Tab übernehmen Die Länge des Diffie-Hellmann Schlüssels kann auf 2048 Bit oder 4096 Bit eingestellt werden.
TLS 1.3 Cipher-Suite:
notempty
Neu ab: 14.1
Wert vom GLOBAL-Tab übernehmen Einschränkungen der Cipher-Suites, die für TLS 1.3 verwendet werden sollen

Standardwert

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

Cipher-Suite: Wert vom GLOBAL-Tab übernehmen Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.

Standardwert

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS


Speichern / Wiederherstellen

Über die Schaltfläche Zurücksetzen werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Globalen-Werte zurückgesetzt. Wird Standardwerte überschreiben wieder deaktiviert, werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Standard-Werte der einzelnen Applikation zurückgesetzt.

notempty
Das Verändern der Standardvorgaben kann dazu führen, dass nicht mehr alle Ziel-Systeme für alle Benutzer zur Verfügung stehen. Zum Beispiel wenn diese ältere Clients oder Webbrowser verwenden, die die verlangten Verschlüsselungen nicht unterstützen.

notempty
Beim Speichern der neuen Einstellungen werden die Dienste neu gestartet. §Das hat beim Webserver die Folge, dass sich der Administrator und/oder Benutzer des UTM Webinterface neu anmelden müssen.


CLI

Die Einstellungen, die im Webinterface vorgenommen werden sind auf dem Command Line Interface über die nachfolgenden Befehle sichtbar.

Globale Einstellungen

extc value get application "securepoint_firewall"

Das Ergebnis sollte ähnlich wie folgt aussehen:

application         |variable                       |value
--------------------+-------------------------------+----- 
securepoint_firewall|ANONYMIZELOGS                  |1    
                    |CIPHER_LIST                    |     
                    |CLUSTERADVBASE                 |2    
                    |CLUSTERDEADRATIO               |15   
                    |CLUSTERPREEMTIVE               |0    
                    |CLUSTER_ID                     |1    
                    |CLUSTER_SECRET                 |secret
                    |CRYPTO_OVERRIDE                |0    
                    |DHPARAM_LENGTH                 |2048 
                    |DHPARAM_LENGTH_DEFAULT         |2048 
                    |ECDHE_CURVE                    |secp384r1
                    |FULLCONENAT_ZONE_DST           |external
                    |FULLCONENAT_ZONE_SRC           |internal
                    |HTTP_TRANSPARENT_EXCEPTION_LIST|     
                    |HTTP_TRANSPARENT_LIST          |LAN2 
                    |IPCONNTRACK                    |32000
                    |LANG                           |en_US
                    |LASTRULE_LOGGING               |2    
                    |POP3_TRANSPARENT_EXCEPTION_LIST|     
                    |POP3_TRANSPARENT_LIST          |LAN2 
                    |PPPOE_LCP_ECHO                 |1    
                    |TIF_WHITELIST                  |     
                    |TLS_VERSION_MAX                |1.3  
                    |TLS_VERSION_MAX_DEFAULT        |1.3  
                    |TLS_VERSION_MIN                |1.2 
                    |TLS_VERSION_MIN_DEFAULT        |1.2  
                    |UPDATE_TRIGGER_DELAY           |2    
                    |USE_ECDHE                      |1    
                    |USE_OTP                        |0   

Um hier den Wert einer einzelnen Variablen zu ändern, kann folgender Befehl verwendet werden. Geändert wird der Wert der Variablen TLS_VERSION_MIN.

extc value set application "securepoint_firewall" variable "TLS_VERSION_MIN" value 1.1 Die Änderung erfolgt in diesem Bereich:

                    |TLS_VERSION_MAX                |1.3  
                    |TLS_VERSION_MAX_DEFAULT        |1.3  
                    |TLS_VERSION_MIN                |1.1  
                    |TLS_VERSION_MIN_DEFAULT        |1.2


Einzelne Anwendungen

Die Verschlüsselung der einzelnen Anwendungen können mit demselben Befehl ausgeführt werden. Lediglich der Name der Anwendung muss ausgetauscht werden. Zur Verfügung stehen folgende Anwendungen:

extc value get application "webserver"
extc value get application "openvpn"
extc value get application "smtpd"
extc value get application "squid-reverse"


Änderungen, die auf dem CLI durchgeführt werden, müssen mit einem Neustart der jeweiligen Anwendung aktiviert werden. Der Befehl dazu lautet:

appmgmt restart application "[Name der Anwendung]"