Wechseln zu:Navigation, Suche
Wiki

UTM/APP/SSL-Interception v12.2

Version vom 17. Oktober 2023, 13:57 Uhr von Marcels (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „{{Archivhinweis|UTM/APP/SSL-Interception}} {{Set_lang}} {{#vardefine:headerIcon| spicon-utm }} {{var | SSL-Interception | SSL-Interception | SSL-Interception }} {{var | SSL-Interception--desc | Konfiguration unter {{Menu|Anwendungen|HTTP-Proxy|SSL-Interception}} | Configuration under {{Menu|Applications|HTTP Proxy|SSL Interception}} }} {{var | SSL-Interception--Bild | UTM v12.2 HTTP-Proxy SSL-Interception.png | UTM v12.2 HTTP-Proxy SSL-In…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Aus Securepoint Wiki





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht













































De.png
En.png
Fr.png








Letzte Anpassung: 12.2
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

11.7


Bestandteil des HTTP-Proxys


SSL-Interception

SSL-Interception

Konfiguration unter → Anwendungen →HTTP-ProxyReiter SSL-Interception

Beschriftung Wert Beschreibung UTM v12.2 HTTP-Proxy SSL-Interception.png
Reiter SSL-Interception
SSL-Interception: Ein Aktiviert die SSL-Interception UTM v12.2 HTTP-Proxy SSL-Interception.png
Reiter SSL-Interception </includeonly>
Webfilter basiert: Nein Bei Aktivierung werden lediglich vom Webfilter blockierte Verbindungen abgefangen.

Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss.

SNI validieren
Nur verfügbar wenn Webfilter basiert aktiv		 Ein Ohne Server Name Indication Validierung können Clients die SNI beliebig manipulieren, um den Webfilter zu passieren.
  • Diese Einstellung sollte nur als eine letzte Möglichkeit betrachtet werden, wenn es unmöglich scheint, die DNS-Einstellungen zwischen Clients des HTTP-Proxy und der UTM zu vereinheitlichen.
    • Nicht erkannte Protokolle erlauben: Ein Wenn dieser Schalter deaktiviert ist, werden nicht erkannte Protokolle blockiert
    CA-Zertifikat: CA-SSL-Interception Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsseln kann.
    Der Public-Key der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit  Public-Key herunterladen  erfolgen.
    Public-Key herunterladen Der Public-Key sollte auf den Clients, die die SSL-Interception nutzen sollen installiert werden, um Zertifikatsfehler zu vermeiden
    Zertifikatsverifizierung: Aus Sollte unbedingt aktiviert werden Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine Überprüfung durch den Browser nicht mehr möglich.
     Ausnahmen für SSL-Interception  Ein Es besteht die Möglichkeit Ausnahmen im Format der Regular Expressions zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner, nicht auf Protokolle gefiltert.
    Mit + Regex werden neue Ausnahmen hinzu gefügt.
    Eine Ausnahme für www.securepoint.de würde also lauten: .*\.securepoint\.de"
  • Regex-Ausnahmen gelten nicht für den transparenten Modus!
    •  Ausnahmen für Zertifikatsverifizierung  Aus Hier können Ausnahmen für die Zertifikatsverifizierung im Regex-Format hinzugefügt werden.
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/APP/SSL-Interception_v12.2&oldid=87698