Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
Zeile 4: Zeile 4:
{{:UTM/AUTH/Verschlüsselung.lang}}
{{:UTM/AUTH/Verschlüsselung.lang}}


{{var | neu--Hinweis Reverse-Proxy
</div>{{Select_lang}}<div class="new_design"></div>{{TOC2}}
| Hinweis zum Verschlüsselungsziel beim [[#Reverse-Proxy | Reverse-Proxy]]
{{Header|12.6.0|
| Note on the encryption target at the [[#Reverse-Proxy | Reverse Proxy]] }}
* {{#var:neu--rwi}}
{{var | neu--cipher aktualisiert
|[[UTM/AUTH/Verschlüsselung_v12.3.6 | 12.3.6]]
| Default-Cipher für [[#SSL-VPN | SSL-VPN]] aktualisiert
[[UTM/AUTH/Verschlüsselung_v12.1 | 12.1]]
|  }}
{{var | neu-- TLS1.3 für SSL-VPN
| Cipher für [[#SSL-VPN | TLS 1.3 bei SSL-VPN]] separat konfigurierbar
|  }}
{{var | neu--Grafik aktualisiert
| Aktualisierung des [[#Einleitung | Ablauf-Diagramms]]
|  }}
 
</div>{{Select_lang}}{{TOC2|Bild={{#var:Schema--Bild}}|class=width-xxl noborder}}
{{Header|12.3.6|
* {{#var:neu--Grafik aktualisiert}}
* {{#var:neu--cipher aktualisiert}}
* {{#var:neu-- TLS1.3 für SSL-VPN}}
* {{#var:neu--Hinweis Reverse-Proxy}}
|[[UTM/AUTH/Verschlüsselung_v12.1 | 12.1]]
[[UTM/AUTH/Verschlüsselung_v11.8.2 | 11.8.2 ]]
[[UTM/AUTH/Verschlüsselung_v11.8.2 | 11.8.2 ]]
[[UTM/AUTH/Verschlüsselung_11.6 | 11.6 ]]
[[UTM/AUTH/Verschlüsselung_11.6 | 11.6 ]]
| {{Menu| {{#var:Authentifizierung}} | {{#var:Verschluesselung}} }}
| {{Menu-UTM| {{#var:Authentifizierung}} | {{#var:Verschluesselung}} }}
}}
}}


Zeile 33: Zeile 18:
=== {{#var:intro| Einleitung}} ===
=== {{#var:intro| Einleitung}} ===
<div class="Einrücken">
<div class="Einrücken">
{{#var:intro-text| In diesem Menü wird definiert, mit welchem Verschlüsselungsprotokoll die Anwendungen auf der UTM angesprochen werden sollen.
{{Bild|{{#var:Schema--Bild}}|class=Bild-t}}
 
{{#var:intro-text}}
 
Die von Securepoint gewählten Grundeinstellungen gelten zur Zeit als sicher und sind auf Kompatibilität geprüft. <br>
Wenn ein höheres Schutzbedürfnis besteht, können die Einstellungen im Menü {{Menu | Authentifizierung | Verschlüsselung }} geändert werden (Jargon: härten). }}




* {{#var:grundeinstellungen| Im Reiter {{Reiter | Global}} werden die Grundeinstellungen angezeigt.}}
* {{#var:grundeinstellungen}}
* {{#var:überschreiben| Mit {{ Beschriftung | Standardwerte überschreiben:}} {{ ButtonAn| {{#var:ein}} }} können diese Werte '''für alle Anwendungen''' überschrieben werden.}}
* {{#var:überschreiben}}
* {{#var:changes| die im Reiter {{Reiter| Global }} vorgenommenen Änderungen wiederum können  für jede Anwendung separat überschrieben werden.}}
* {{#var:changes}}
* {{#var:global-übernehmen| Die Einstellungen in den Menüs der Anwendungen können die Globalen Werte (teilweise) übernehmen, indem {{Button|Wert vom GLOBAL-Tab übernehmen|dr}} ausgewählt wird.}}
* {{#var:global-übernehmen}}




Zeile 50: Zeile 32:
<br clear=all>
<br clear=all>


 
----
=== {{#var:encryption| Verschlüsselung}} ===
=== {{#var:encryption| Verschlüsselung}} ===


{| class="sptable2 pd5 zh1 Einrücken"
{| class="sptable2 pd5 zh1 Einrücken"
|-
|-
| colspan="3" class="Leerzeile" | {{h4 | {{#var:global| Global}} | {{ Reiter | {{#var:global|Global}} }} }}  
| colspan="3" class="Leerzeile" | {{h-4 | {{#var:global| Global}} | {{ Reiter | {{#var:global|Global}} }} }}  
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
| rowspan="6" class="bild width-l" | {{ bild | {{#var:reiter-global| UTM_v11-8_Authentifizierung_Verschlüsselung_Global.png}} | {{#var:reiter-global-cap| Globale Verschlüsselungs-Einstellungen}} }}
| rowspan="5" class="Bild" | {{ Bild| {{#var:Global--Bild}} | {{#var:Global--cap}} ||{{#var:Verschlüsselung}}|{{#var:Authentifizierung}}|icon=fa-undo|icon-text={{#var:Zurücksetzen}}|icon2=fa-save}}
|-
|-
| {{ Beschriftung | {{#var:Standardwerte-überschreiben| Standardwerte überschreiben:}} }} || {{ ButtonAus | {{#var:nein}} }} || {{#var:standard-desc| Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}  
| {{ Beschriftung | {{#var:Standardwerte-überschreiben| Standardwerte überschreiben:}} }} || {{ ButtonAn | {{#var:Ja}} }} || {{#var:standard-desc| Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
|-
|-
| {{ Beschriftung | {{#var:tls-min| Minimale TLS Version:}} }} || {{Button | {{#var:tls-button| Auswahl TLS-Version}} |dr}} || {{#var:tls-global-min-desc}}<br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
| {{b|{{#var:tls-min}} }} || {{Button | 1.2 |dr|w=190px }} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
|-
|-
| {{ Beschriftung | {{#var:tls-max| Maximale TLS Version:}} }} || {{Button | {{#var:tls-button | Auswahl TLS-Version}} |dr}} || {{#var:tls-global-min-desc}} <br><small>''' Default:''' {{Button|1.3|dr|class=mw4}}</small>
| {{ Beschriftung | {{#var:tls-max| Maximale TLS Version:}} }} || {{Button | 1.3 |dr|w=190px }} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.3|dr|class=mw4}}</small>
|-
|-
| {{ Beschriftung |  {{#var:dh-key| DH Key Size:}} }} ||  {{ Button | 2048 | dr | w=190px }} || {{#var:dh-key-desc| Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
| {{ Beschriftung |  {{#var:dh-key| DH Key Size:}} }} ||  {{ Button | 4096 | dr | w=190px }} || {{#var:dh-key-desc| Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
|-
|-
| rowspan="2" | {{ Beschriftung | {{#var:cipher| Cipher-Suite:}} }} || {{ic| |cb|class=available}}<!-- <span class="ui-icon ui-icon-grip-diagonal-se"></span> --> || {{#var:cipher-desc| Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.}}
| rowspan="2" | {{ Beschriftung | {{#var:cipher| Cipher-Suite:}} }} || {{ic| |cb|class=available}}<!-- <span class="ui-icon ui-icon-grip-diagonal-se"></span> --> || {{#var:cipher-desc| Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.}}
Zeile 72: Zeile 54:
| {{ic| {{#var:Standardwert verwenden}} |cb}} || {{#var:Standardwert Global Cipher--desc}}
| {{ic| {{#var:Standardwert verwenden}} |cb}} || {{#var:Standardwert Global Cipher--desc}}
|-
|-
| colspan="3" class="Leerzeile" | <br>{{ h4 | Webserver | {{ Reiter | Webserver }} }}
| colspan="3" class="Leerzeile" | <br>{{ h-4 | Webserver | {{ Reiter | Webserver }} }}
|-
|-
| {{ Beschriftung | {{#var:Standardwerte-überschreiben}} }} || {{ ButtonAus | {{#var:nein}} }} || {{#var:standard-desc|Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}} || rowspan="6" class="bild width-l" | {{ bild | {{#var:bild-webserver| UTM_v11-8_Authentifizierung_Verschlüsselung_Webserver.png}} |{{#var:bild-webserver-desc|  Verschlüsselungseinstellungen für Webserver-Verbindungen}} }}
| {{ Beschriftung | {{#var:Standardwerte-überschreiben}} }} || {{ ButtonAn | {{#var:Ja}} }} || {{#var:standard-desc|Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
| rowspan="5" class="Bild" | {{ bild | {{#var:Webserver--Bild}} |{{#var:Webserver--cap}} }}
|-
|-
| {{ Beschriftung | {{#var:tls-min|Minimale TLS Version:}} }} || {{Button | {{#var:tls-button| Auswahl TLS-Version}} |dr}} || {{#var:tls-global-min-desc}} <br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
| {{b|{{#var:tls-min}} }} || {{Button | 1.2 |dr|w=190px }} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
|-
|-
| {{ Beschriftung | {{#var:tls-max|Maximale TLS Version:}} }} || {{Button | {{#var:tls-button|Auswahl TLS-Version}} | dr | w=190px }} || {{#var:tls-global-min-desc}} <br><small>''' Default:''' {{Button|1.3|dr|class=mw4}}</small>
| {{ Beschriftung | {{#var:tls-max|Maximale TLS Version:}} }} || {{Button | 1.3 | dr | w=190px }} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.3|dr|class=mw4}}</small>
|-
|-
| {{ Beschriftung |  {{#var:dh-key|DH Key Size:}} }} || {{ Button | 2048 | dr | w=190px }} || {{#var:dh-key-desc| Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
| {{ Beschriftung |  {{#var:dh-key|DH Key Size:}} }} || {{ Button | {{#var:Wert von GLOBAL-Tab übernehmen}} | dr | w=190px }} || {{#var:dh-key-desc| Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
|-
|-
| {{ Beschriftung |  ECDH 384 Bit: }} || {{ ButtonAn | {{#var:ein|Ein}} }} || {{#var:ecdh-desc| Verwendet das Elliptic Curve Diffie-Hellman-Verfahren mit 384 Bit zur Schlüsselberechnung.}}
| {{ Beschriftung |  ECDH 384 Bit: }} || {{ ButtonAn | {{#var:ein|Ein}} }} || {{#var:ecdh-desc| Verwendet das Elliptic Curve Diffie-Hellman-Verfahren mit 384 Bit zur Schlüsselberechnung.}}
|-
|-
| {{ Beschriftung | {{#var:cipher|Cipher-Suite:}} }} || {{ic| |class=available|Anw=UTM}} || {{#var:cipher-desc|Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.}}<br>'''{{#var:default| Standardwert:}} '''<br>{{ Code | ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;}}
| {{ Beschriftung | {{#var:cipher|Cipher-Suite:}} }} || {{ic| {{#var:Wert von GLOBAL-Tab übernehmen}} |class=available|Anw=UTM}} || {{#var:cipher-desc|Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.}}<br>'''{{#var:default| Standardwert:}} '''<br>{{ Code | ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;}}
|-
|-
| colspan="3" class="Leerzeile" |<br> {{h4 | SSL-VPN | {{ Reiter | SSL-VPN }} }}<!-- <br>{{#var:ssl-vpn-zusatz| Globale Einstellung der Control-Verbindung:}}-->
| colspan="3" class="Leerzeile" |<br> {{h-4 | SSL-VPN | {{ Reiter | SSL-VPN }} }}<!-- <br>{{#var:ssl-vpn-zusatz| Globale Einstellung der Control-Verbindung:}}-->
|-
|-
| {{ Beschriftung | {{#var:Standardwerte-überschreiben}} }} || {{ ButtonAus | {{#var:nein}} }} || {{#var:standard-desc|Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}} || rowspan="6" class="bild width-l" | {{ bild | {{#var:ssl-vpn-bild| UTM_v11-8_Authentifizierung_Verschlüsselung_SSL-VPN.png}} | {{#var:ssl-vpn-bild-cap| Verschlüsselung für SSL-VPN}} }}
| {{ Beschriftung | {{#var:Standardwerte-überschreiben}} }} || {{ ButtonAn | {{#var:Ja}} }} || {{#var:standard-desc}}
| rowspan="5" class="Bild" | {{ Bild | {{#var:ssl-vpn--Bild}} | {{#var:ssl-vpn--cap}} }}
|-
|-
| {{ Beschriftung | {{#var:tls-min|Minimale TLS Version:}} }} || {{Button | {{#var:tls-button|Auswahl TLS-Version}}  | dr | w=190px }} || {{#var:tls-global-min-desc}} <br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
| {{b|{{#var:tls-min}} }} || {{Button | 1.2 |dr|w=190px }} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
|-
|-
| {{ Beschriftung | {{#var:tls-min|Maximale TLS Version:}} }} || {{Button | {{#var:tls-button|Auswahl TLS-Version}} | dr | w=190px }} || {{#var:tls-global-min-desc}} <br><small>''' Default:''' {{Button|1.3|dr|class=mw4}}</small>
| {{ Beschriftung | {{#var:tls-max}} }} || {{Button | 1.3 | dr | w=190px }} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.3|dr|class=mw4}}</small>
|-
|-
| {{ Beschriftung |  {{#var:dh-key|DH Key Size:}} }} ||  {{ Button | 2048 | dr | w=190px }} || {{#var:dh-key-desc|Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
| {{ Beschriftung |  {{#var:dh-key|DH Key Size:}} }} ||  {{ Button | {{#var:Wert von GLOBAL-Tab übernehmen}}| dr | w=190px }} || {{#var:dh-key-desc|Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
|-
|-
| {{b|{{#var:cipher TLS-1.3}} }} || {{ic| |class=available}} || {{#var:cipher TLS-1.3--desc}}<br>
| {{b|{{#var:cipher TLS-1.3}} }} || {{ic|{{#var:Wert von GLOBAL-Tab übernehmen}} |class=available}} || {{#var:cipher TLS-1.3--desc}}<br>
'''{{#var:def|Standardwert:}} ''' {{Hinweis-neu|{{#var:neu im Wiki}}|12.4|status=neu}}
'''{{#var:def|Standardwert:}} '''
<p>{{ Code | TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256}} </p>
<p>{{ Code | TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256}} </p>
|-
|-
| {{ Beschriftung | {{#var:cipher|Cipher-Suite:}} }} || {{ic | |class=available}} || {{#var:cipher-desc|Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.}}<br>
| {{ Beschriftung | {{#var:cipher|Cipher-Suite:}} }} || {{ic |{{#var:Wert von GLOBAL-Tab übernehmen}} |class=available}} || {{#var:cipher-desc|Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.}}<br>
'''{{#var:def|Standardwert:}} ''' {{Hinweis-neu|{{#var:aktualisiert}}|12.4|status=update}}
'''{{#var:def|Standardwert:}} '''
<p>{{ Code | ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS}} </p>
<p>{{ Code | ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS}} </p>
|-
|-
| colspan="3" class="Leerzeile" | <br>{{ h4 | Mailrelay | {{ Reiter | Mailrelay }} }}
| colspan="3" class="Leerzeile" | <br>{{ h-4 | Mailrelay | {{ Reiter | Mailrelay }} }}
|-
|-
| {{ Beschriftung | {{#var:Standardwerte-überschreiben}} }} || {{ ButtonAus | {{#var:nein}} }} || {{#var:standard-desc| Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}} || rowspan="5" class="bild width-l" | {{ bild | {{#var:mailralay-bild| UTM_v11-8-2_Authentifizierung_Verschlüsselung_Mailrelay.png}} | {{#var:mailrelay-bild-cap| Verschlüsselungseinstellungen für Verbindungen über das Mailrelay}} }}
| {{ Beschriftung | {{#var:Standardwerte-überschreiben}} }} || {{ ButtonAn | {{#var:Ja}} }} || {{#var:standard-desc| Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}} || rowspan="5" class="Bild" | {{Bild|{{#var:Mailrelay--Bild}}|{{#var:Mailrelay--cap}} }}
|-
|-
| {{ Beschriftung | {{#var:tls-min|Minimale TLS Version:}} }} || {{Button | {{#var:tls-button|Auswahl TLS-Version}}  | dr | w=190px }} || {{#var:tls-global-min-desc}} <br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small><br>{{Hinweis|!|gelb}} {{#var:tls-hinweis| Soll TLS erzwungen werden, erfolgt die Einstellung unter {{ Menu | Anwendungen | Mailrelay | Relaying }}.}}
| {{b|{{#var:tls-min}} }} || {{Button | 1.2 |dr|w=190px }} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
|-
|-
| {{ Beschriftung | {{#var:tls-max|Maximale TLS Version:}} }} || {{Button | {{#var:tls-button|Auswahl TLS-Version}} | dr | w=190px }} || {{#var:tls-global-min-desc}} <br><small>''' Default:''' {{Button|1.3|dr|class=mw4}}</small>
| {{ Beschriftung | {{#var:tls-max|Maximale TLS Version:}} }} || {{Button | 1.3 | dr | w=190px }} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.3|dr|class=mw4}}</small>
|-
|-
| {{ Beschriftung |  {{#var:dh-key|DH Key Size:}} }} ||  {{ Button | 2048 | dr | w=190px }} || {{#var:dh-key-desc|Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
| {{ Beschriftung |  {{#var:dh-key}} }} ||  {{ Button | {{#var:Wert von GLOBAL-Tab übernehmen}}| dr | w=190px }} || {{#var:dh-key-desc|Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
|-
|-
| {{ Beschriftung | {{#var:cipher|Cipher-Suite:}}  }} || {{ic | |class=available}} || {{#var:cipher-desc|Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden. }}<br>
| {{ Beschriftung | {{#var:cipher|Cipher-Suite:}}  }} || {{ic | {{#var:Wert von GLOBAL-Tab übernehmen}} |class=available}} || {{#var:cipher-desc|Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden. }}<br>
'''{{#var:def|Standardwert:}} '''  
'''{{#var:def|Standardwert:}} '''  
<p>{{ Code | ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS}}</p>  
<p>{{ Code | ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS}}</p>  
|-
|-
| colspan="3" class="Leerzeile" | <br>{{ h4 | Reverse-Proxy | {{ Reiter | Reverse-Proxy }} }}<p>{{Hinweis-neu| !! {{#var:Reverse Proxy Server--Hinweis}}|g|class=top}}
| colspan="3" class="Leerzeile" | <br>{{ h-4 | Reverse-Proxy | {{ Reiter | Reverse-Proxy }} }}<p>{{Hinweis-box|{{#var:Reverse Proxy Server--Hinweis}}|g|fs__icon=em2}}
|-
|-
| {{ Beschriftung | {{#var:Standardwerte-überschreiben}} }} || {{ ButtonAus | {{#var:nein}} }} || {{#var:standard-desc|Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}  || rowspan="6" class="bild width-l" | {{ bild | {{#var:reverse-proxy-bild| UTM_v11-8_Authentifizierung_Verschlüsselung_Reverse-Proxy.png}} | {{#var:reverse-proxy-bild-cap| Verschlüsselung für Reverse Proxy}} }}
| {{ Beschriftung | {{#var:Standardwerte-überschreiben}} }} || {{ ButtonAn | {{#var:Ja}} }} || {{#var:standard-desc|Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}  || rowspan="5" class="Bild" | {{ bild | {{#var:Reverse-proxy--Bild}} | {{#var:Reverse-proxy--cap}} }}
|-
|-
| {{ Beschriftung | {{#var:tls-min|Minimale TLS Version:}} }} || {{Button | {{#var:tls-button|Auswahl TLS-Version}}  | dr | w=190px }} || {{#var:tls-global-min-desc}} <br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
| {{b|{{#var:tls-min}} }} || {{Button | 1.2 |dr|w=190px }} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.2|dr|class=mw4}}</small>
|-
|-
| {{ Beschriftung | {{#var:tls-max|Maximale TLS Version:}} }} || {{Button | {{#var:tls-button|Auswahl TLS-Version}} | dr | w=190px }} || {{#var:tls-global-min-desc}} <br><small>''' Default:''' {{Button|1.3|dr|class=mw4}}</small>
| {{ Beschriftung | {{#var:tls-max|Maximale TLS Version:}} }} || {{Button | 1.3 | dr | w=190px }} || {{#var:tls-global-desc}} <br><small>''' Default:''' {{Button|1.3|dr|class=mw4}}</small>
|-
|-
| {{ Beschriftung | {{#var:dh-key|DH Key Size:}} }} ||  {{ Button | 2048 | dr | w=190px }} || {{#var:dh-key-desc|Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
| {{b|{{#var:dh-key}} }} ||  {{ Button | {{#var:Wert von GLOBAL-Tab übernehmen}} | dr | w=190px }} || {{#var:dh-key-desc|Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
|-
|-
| {{ Beschriftung | {{#var:cipher|Cipher-Suite:}} }} || {{ic | |class=available}} || {{#var:cipher-desc|Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.}}<br>
| {{ Beschriftung | {{#var:cipher|Cipher-Suite:}} }} || {{ic | {{#var:Wert von GLOBAL-Tab übernehmen}} |class=available}} || {{#var:cipher-desc|Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.}}<br>
'''{{#var:def|Standardwert:}} '''
'''{{#var:def|Standardwert:}} '''
<p>{{code| ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS }}</p>
<p>{{code| ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS }}</p>
Zeile 136: Zeile 120:
=== {{#var:restore| Speichern / Wiederherstellen}} ===
=== {{#var:restore| Speichern / Wiederherstellen}} ===
<div class="Einrücken">
<div class="Einrücken">
{{#var:restore-text| Über die Schaltfläche {{ Button | ⤺ Zurücksetzen}}  werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Globalen-Werte zurückgesetzt.
{{#var:restore-text}}
 
Wird ''Standardwerte überschreiben'' wieder deaktiviert, werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Standard-Werte der einzelnen Applikation zurückgesetzt.}}


{{ Hinweis-neu | !! {{#var:restore-hint-change| Das Verändern der Standardvorgaben kann dazu führen, dass nicht mehr alle Ziel-Systeme für alle Benutzer zur Verfügung stehen. Zum Beispiel wenn diese ältere Clients oder Webbrowser verwenden, die die verlangten Verschlüsselungen nicht unterstützen.}} }}
{{ Hinweis-box| {{#var:restore-hint-change}} |fs__icon=em2}}


<p>{{ Hinweis-neu | ! {{#var:restore-hint-save| Beim Speichern der neuen Einstellungen werden die Dienste neu gestartet. §Das hat beim Webserver die Folge, dass sich der Administrator und/oder Benutzer des UTM Webinterface neu anmelden müssen.}} | gelb }}</p>
<p>{{ Hinweis-box| {{#var:restore-hint-save}} | gelb }}</p>
</div>
</div>
----
----
Zeile 180: Zeile 162:
                     |POP3_TRANSPARENT_LIST          |LAN2  
                     |POP3_TRANSPARENT_LIST          |LAN2  
                     |PPPOE_LCP_ECHO                |1     
                     |PPPOE_LCP_ECHO                |1     
                    |TIF_WHITELIST                  |   
                     |TLS_VERSION_MAX                |1.3   
                     |TLS_VERSION_MAX                |1.3   
                     |TLS_VERSION_MAX_DEFAULT        |1.3   
                     |TLS_VERSION_MAX_DEFAULT        |1.3   

Aktuelle Version vom 29. Januar 2024, 07:21 Uhr





























De.png
En.png
Fr.png








Verschlüsselungs-Algorythmen der UTM
Letzte Anpassung zur Version: 12.6.0
Neu:
  • Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.3.6 12.1 11.8.2 11.6

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
Authentifizierung Verschlüsselung

Einleitung

UTM v12.3.6 Verschluesselung.png

In diesem Menü wird definiert, mit welchem Verschlüsselungsprotokoll die Anwendungen auf der UTM angesprochen werden sollen. Die von Securepoint gewählten Grundeinstellungen gelten zur Zeit als sicher und sind auf Kompatibilität geprüft.
Wenn ein höheres Schutzbedürfnis besteht, können die Einstellungen im Menü Authentifizierung Verschlüsselung geändert werden (Jargon: härten).


  • Im Bereich Global werden die Grundeinstellungen angezeigt
  • Mit Standardwerte überschreiben Ein können die Default Einstellungen von Openssl für alle folgenden Anwendungen überschrieben werden:
    • Webserver
    • SSL-VPN
    • Mailrelay
    • Reverse-Proxy (Clients)
  • Diese im Reiter Global vorgenommenen Änderungen wiederum können für jede Anwendung separat überschrieben werden
  • Dort können anwendungsspezifische Vorgaben konfiguriert werden.
    Einzelne Einstellungen können jedoch wieder die globalen Werte übernehmen, indem Wert vom GLOBAL-Tab übernehmen ausgewählt wird.


Die Grafik stellt die Abhängigkeit von den Einstellungen einer Anwendung zur Globalen Einstellung anhand der Minimalen TLS Version 1.1 dar.
Für alle in der Grafik gezeigten Einstellungen gilt: TLS 1.0 wird nicht zugelassen. TLS 1.2 & TLS 1.3 wird zugelassen.



Verschlüsselung

Global

Global
Beschriftung Wert Beschreibung Verschlüsselung UTMbenutzer@firewall.name.fqdnAuthentifizierung Zurücksetzen UTM v12.6 Verschluesselung Global.png Globale Verschlüsselungs-Einstellungen
Standardwerte überschreiben: Ja Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.
Minimale TLS Version: 1.2 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.2
Maximale TLS Version: 1.3 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.3
DH Key Size: 4096 Die Länge des Diffie-Hellmann Schlüssels kann auf 2048 Bit oder 4096 Bit eingestellt werden.
Cipher-Suite:     Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.
Standardwert verwenden Wird kein Wert angegeben, wird der Standardwert der jeweiligen Anwendung (s.u.) verwendet

Webserver

Webserver
Standardwerte überschreiben: Ja Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. UTM v12.6 Verschluesselung Webserver.png
Verschlüsselungseinstellungen für Webserver-Verbindungen
Minimale TLS Version: 1.2 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.2
Maximale TLS Version: 1.3 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.3
DH Key Size: Wert von GLOBAL-Tab übernehmen Die Länge des Diffie-Hellmann Schlüssels kann auf 2048 Bit oder 4096 Bit eingestellt werden.
ECDH 384 Bit: Ein Verwendet das Elliptic Curve Diffie-Hellman-Verfahren mit 384 Bit zur Schlüsselberechnung.
Cipher-Suite: Wert von GLOBAL-Tab übernehmen Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.
Standardwert:
ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;

SSL-VPN

SSL-VPN
Standardwerte überschreiben: Ja Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. UTM v12.6 Verschluesselung SSL-VPN.png
Verschlüsselung für SSL-VPN-Verbindungen
Minimale TLS Version: 1.2 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.2
Maximale TLS Version: 1.3 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.3
DH Key Size: Wert von GLOBAL-Tab übernehmen Die Länge des Diffie-Hellmann Schlüssels kann auf 2048 Bit oder 4096 Bit eingestellt werden.
TLS 1.3 Cipher Suite Wert von GLOBAL-Tab übernehmen Ggf. Einschränkungen der Cipher-Suites, die für TLS 1.3 verwendet werden sollen

Standardwert

TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256

Cipher-Suite: Wert von GLOBAL-Tab übernehmen Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.

Standardwert

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS


Mailrelay

Mailrelay
Standardwerte überschreiben: Ja Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. UTM v12.6 Verschluesselung Mailrelay.png
Verschlüsselungseinstellungen für Verbindungen über das Mailrelay
Minimale TLS Version: 1.2 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.2
Maximale TLS Version: 1.3 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.3
DH Key Size: Wert von GLOBAL-Tab übernehmen Die Länge des Diffie-Hellmann Schlüssels kann auf 2048 Bit oder 4096 Bit eingestellt werden.
Cipher-Suite: Wert von GLOBAL-Tab übernehmen Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.

Standardwert

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS


Reverse-Proxy

Reverse-Proxy

notempty

Diese TLS Einstellungen gelten für die Verbindung zwischen dieser Appliance und den Clients.

Die TLS Einstellungen zwischen den Servern (die über den Reverse-Proxy erreicht werden sollen) und dieser Appliance werden unter Anwendungen Reverse-Proxy konfiguriert. Siehe Wiki zum Reverse-Proxy.

Standardwerte überschreiben: Ja Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. UTM v12.6 Verschluesselung Reverse-Proxy.png
Verschlüsselung für Verbindungen des Reverse-Proxys
Minimale TLS Version: 1.2 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.2
Maximale TLS Version: 1.3 Es steht TLS 1.0 bis TLS 1.3 zur Verfügung
Default: 1.3
DH Key Size: Wert von GLOBAL-Tab übernehmen Die Länge des Diffie-Hellmann Schlüssels kann auf 2048 Bit oder 4096 Bit eingestellt werden.
Cipher-Suite: Wert von GLOBAL-Tab übernehmen Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.

Standardwert

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS


Speichern / Wiederherstellen

Über die Schaltfläche
Zurücksetzen
werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Globalen-Werte zurückgesetzt. Wird Standardwerte überschreiben wieder deaktiviert, werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Standard-Werte der einzelnen Applikation zurückgesetzt. notempty
Das Verändern der Standardvorgaben kann dazu führen, dass nicht mehr alle Ziel-Systeme für alle Benutzer zur Verfügung stehen. Zum Beispiel wenn diese ältere Clients oder Webbrowser verwenden, die die verlangten Verschlüsselungen nicht unterstützen.

notempty

Beim Speichern der neuen Einstellungen werden die Dienste neu gestartet. §Das hat beim Webserver die Folge, dass sich der Administrator und/oder Benutzer des UTM Webinterface neu anmelden müssen.


CLI

Die Einstellungen, die im Webinterface vorgenommen werden sind auf dem Command Line Interface über die nachfolgenden Befehle sichtbar.

Globale Einstellungen

extc value get application "securepoint_firewall"


Das Ergebnis sollte ähnlich wie folgt aussehen:

application         |variable                       |value
--------------------+-------------------------------+----- 
securepoint_firewall|ANONYMIZELOGS                  |1    
                    |CIPHER_LIST                    |     
                    |CLUSTERADVBASE                 |2    
                    |CLUSTERDEADRATIO               |15   
                    |CLUSTERPREEMTIVE               |0    
                    |CLUSTER_ID                     |1    
                    |CLUSTER_SECRET                 |secret
                    |CRYPTO_OVERRIDE                |0    
                    |DHPARAM_LENGTH                 |2048 
                    |DHPARAM_LENGTH_DEFAULT         |2048 
                    |ECDHE_CURVE                    |secp384r1
                    |FULLCONENAT_ZONE_DST           |external
                    |FULLCONENAT_ZONE_SRC           |internal
                    |HTTP_TRANSPARENT_EXCEPTION_LIST|     
                    |HTTP_TRANSPARENT_LIST          |LAN2 
                    |IPCONNTRACK                    |32000
                    |LANG                           |en_US
                    |LASTRULE_LOGGING               |2    
                    |POP3_TRANSPARENT_EXCEPTION_LIST|     
                    |POP3_TRANSPARENT_LIST          |LAN2 
                    |PPPOE_LCP_ECHO                 |1    
                    |TIF_WHITELIST                  |     
                    |TLS_VERSION_MAX                |1.3  
                    |TLS_VERSION_MAX_DEFAULT        |1.3  
                    |TLS_VERSION_MIN                |1.2 
                    |TLS_VERSION_MIN_DEFAULT        |1.2  
                    |UPDATE_TRIGGER_DELAY           |2    
                    |USE_ECDHE                      |1    
                    |USE_OTP                        |0   


Um hier den Wert einer einzelnen Variablen zu ändern, kann folgender Befehl verwendet werden. Geändert wird der Wert der Variablen TLS_VERSION_MIN.

extc value set application "securepoint_firewall" variable "TLS_VERSION_MIN" value 1.1

Die Änderung erfolgt in diesem Bereich:

                    |TLS_VERSION_MAX                |1.3  
                    |TLS_VERSION_MAX_DEFAULT        |1.3  
                    |TLS_VERSION_MIN                |1.1  
                    |TLS_VERSION_MIN_DEFAULT        |1.2

Einzelne Anwendungen

Die Verschlüsselung der einzelnen Anwendungen können mit demselben Befehl ausgeführt werden. Lediglich der Name der Anwendung muss ausgetauscht werden. Zur Verfügung stehen folgende Anwendungen:

extc value get application "webserver"
extc value get application "openvpn"
extc value get application "smtpd"
extc value get application "squid-reverse"


Änderungen, die auf dem CLI durchgeführt werden, müssen mit einem Neustart der jeweiligen Anwendung aktiviert werden. Der Befehl dazu lautet:

appmgmt restart application "[Name der Anwendung]"