Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
(22 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:Verschlüsselung}}
{{DISPLAYTITLE:Verschlüsselung}}
{{TOC2}}


 
Letzte Anpassung zur Version: '''11.8.2'''
Letze Anpassung zur Version: '''11.8'''
<br>
<br>
Bemerkung: Artikelanpassung, Layoutänderungen, DH Key-Size 1024 entfernt ('' gilt inzwischen als unsicher'')
{{ td | Bemerkung: |
* Artikelanpassung
* Layoutänderungen
* DH Key-Size 1024 entfernt ('' gilt inzwischen als unsicher'') |w=80px}}
<br>
<br>
Vorherige Versionen: [[UTM/AUTH/Verschlüsselung_v11.6 | '''11.6''']]
Vorherige Versionen: [[UTM/AUTH/Verschlüsselung_11.6 | '''11.6''']]
<br>
<br>
 
----
===Einleitung===
===Einleitung===
In diesem Menü wird definiert, mit welchem Verschlüsselungsprotokoll die Anwendungen auf der UTM angesprochen werden sollen.  
In diesem Menü wird definiert, mit welchem Verschlüsselungsprotokoll die Anwendungen auf der UTM angesprochen werden sollen.  
Zeile 27: Zeile 30:
{{ pt | UTM_v11-8_Authentifizierung_Verschlüsselung_Global.png | Globale Verschlüsselungs-Einstellungen}}{{h4 | Global | {{ Reiter | Global }} }}<br>
{{ pt | UTM_v11-8_Authentifizierung_Verschlüsselung_Global.png | Globale Verschlüsselungs-Einstellungen}}{{h4 | Global | {{ Reiter | Global }} }}<br>
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
{{ td | {{ Beschriftung | Minimale TLS Version: }} | {{MenuD | Auswahl TLS-Version }}  zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Minimale TLS Version: }} | {{Button | Auswahl TLS-Version | dr | w=145px }}  zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Maximale TLS Version: }} | {{MenuD | Auswahl TLS-Version }} zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Maximale TLS Version: }} | {{Button | Auswahl TLS-Version | dr| w=145px }} zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung |  DH Key Size: }} | {{ MenuD | {{sw | 2048 }} }} }}
{{ td | {{ Beschriftung |  DH Key Size: }} | {{ Button | 2048 | dr | w=145px }} Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
{{ td | {{ Beschriftung | Cipher-Suite: }} | Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.  }}
{{ td | {{ Beschriftung | Cipher-Suite: }} | Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.  }}
<br clear=all>
<br clear=all>
Zeile 35: Zeile 38:
{{ pt | UTM_v11-8_Authentifizierung_Verschlüsselung_Webserver.png | Verschlüsselungseinstellungen für Webserver-Verbindungen}}{{ h4 | Webserver | {{ Reiter | Webserver }} }}
{{ pt | UTM_v11-8_Authentifizierung_Verschlüsselung_Webserver.png | Verschlüsselungseinstellungen für Webserver-Verbindungen}}{{ h4 | Webserver | {{ Reiter | Webserver }} }}
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
{{ td | {{ Beschriftung | Minimale TLS Version: }} | {{MenuD | Auswahl TLS-Version }}  zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Minimale TLS Version: }} | {{Button | Auswahl TLS-Version | dr | w=145px }}  zur Auswahl stehen {{Hover |1.0 }} / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Maximale TLS Version: }} | {{MenuD | Auswahl TLS-Version }} zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Maximale TLS Version: }} | {{Button | Auswahl TLS-Version | dr | w=145px }} zur Auswahl stehen 1.0 / 1.1 und {{ Hover | 1.2 }} }}
{{ td | {{ Beschriftung |  DH Key Size: }} | {{ MenuD | {{sw | 2048 }} }} Die Länge des Diffie-Hellmann Schlüssels kann zwischen 2048 Bit und 4096 Bit gewählt werden.}}
{{ td | {{ Beschriftung |  DH Key Size: }} | {{ Button | 2048 | dr | w=145px }} Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
{{ td | {{ Beschriftung | Cipher-Suite: }} | Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.  '''Standardwert: ''' <p>{{ sw | ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS; | w=200px}}</p> }}
{{ td | {{ Beschriftung |  ECDH 384 Bit: }} | {{ ButtonAn | Ein}} Verwendet das Elliptic Curve Diffie-Hellman-Verfahren mit 384 Bit zur Schlüsselberechnung. }}
<span style="word-wrap: break-word; display: block; width: 200px;">ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;</span>
{{ td | {{ Beschriftung | Cipher-Suite: }} | Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.  '''Standardwert: ''' <p>{{ Code | ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;}}</p> }}


<br clear=all>
<br clear=all>
Zeile 46: Zeile 49:
Globale Einstellung der Control-Verbindung:
Globale Einstellung der Control-Verbindung:
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
{{ td | {{ Beschriftung | Minimale TLS Version: }} | {{MenuD | Auswahl TLS-Version }}  zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Minimale TLS Version: }} | {{Button | Auswahl TLS-Version | dr | w=145px }}  zur Auswahl stehen {{ Hover | 1.0}}  / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Maximale TLS Version: }} | {{MenuD | Auswahl TLS-Version }} zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Maximale TLS Version: }} | {{Button | Auswahl TLS-Version | dr | w=145px }} zur Auswahl stehen 1.0 / 1.1 und {{Hover | 1.2}}  }}
{{ td | {{ Beschriftung |  DH Key Size: }} | {{ MenuD | {{sw | 2048 }} }} Die Länge des Diffie-Hellmann Schlüssels kann zwischen 2048 Bit und 4096 Bit gewählt werden.}}
{{ td | {{ Beschriftung |  DH Key Size: }} | {{ Button | 2048 | dr | w=145px }} Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
{{ td | {{ Beschriftung | Cipher-Suite: }} | Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden. }}
{{ td | {{ Beschriftung | Cipher-Suite: }} | Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden. '''Standardwert: ''' <p>{{ Code | TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256:TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA:TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-ECDHE-RSA-WITH-3DES-EDE-CBC-SHA:TLS-ECDHE-ECDSA-WITH-3DES-EDE-CBC-SHA:TLS-DHE-RSA-WITH-3DES-EDE-CBC-SHA:TLS-RSA-WITH-AES-256-GCM-SHA384:TLS-RSA-WITH-AES-128-GCM-SHA256:TLS-RSA-WITH-AES-256-CBC-SHA256:TLS-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-AES-128-CBC-SHA256:TLS-RSA-WITH-AES-128-CBC-SHA:TLS-RSA-WITH-3DES-EDE-CBC-SHA}}</p> }}


<br clear=all>
<br clear=all>


{{ pt | UTM_v11-8_Authentifizierung_Verschl%C3%BCssellung_Mailrelay.png | Verschlüsselungseinstellungen für Verbindungen über das Mailrelay}}{{ h4 | Mailrelay | {{ Reiter | Mailrelay }} }}
{{ pt | UTM_v11-8-2_Authentifizierung_Verschlüsselung_Mailrelay.png | Verschlüsselungseinstellungen für Verbindungen über das Mailrelay}}{{ h4 | Mailrelay | {{ Reiter | Mailrelay }} }}
 
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
{{ td | {{ Beschriftung | Minimale TLS Version: }} | {{MenuD | Auswahl TLS-Version }}  zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Maximale TLS Version: }} | {{MenuD | Auswahl TLS-Version }} zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung |  DH Key Size: }} | {{ MenuD | {{sw | 2048 }} }} Die Länge des Diffie-Hellmann Schlüssels kann zwischen 2048 Bit und 4096 Bit gewählt werden.}}
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
 
{{ td | {{ Beschriftung | Minimale TLS Version: }} | {{Button | Auswahl TLS-Version | dr| w=145px }}  zur Auswahl stehen  {{ Hover | 1.0}}  / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Cipher-Suite: }} | Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.  '''Standardwert: ''' <p><code>ECDH +AESGCM:DH +AESGCM:ECDH +AES256:DH +AES256:ECDH +AES128:DH +AES:ECDH +3DES:DH +3DES:RSA +AESGCM:RSA +AES:RSA +3DES:!aNULL:!MD5:!DSS</code></p> }}
{{ td | {{ Beschriftung | Maximale TLS Version: }} | {{Button | Auswahl TLS-Version | dr| w=145px }} zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung |  DH Key Size: }} |  {{ Button | 2048 | dr | w=145px }} Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
{{ td | {{ Hinweis| Neu ab 11.8.2 | 11.8.2}} | Soll TLS erzwungen werden, erfolgt die Einstellung unter {{ Menu | Anwendungen | Mailrelay }} / {{ Reiter | Relaying }}.}}
{{ td | {{ Beschriftung | Cipher-Suite: }} | Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.  '''Standardwert: ''' <p>{{ Code | ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS}}</p> }}


<br clear=all>
<br clear=all>
Zeile 67: Zeile 68:
{{ pt | UTM_v11-8_Authentifizierung_Verschlüsselung_Reverse-Proxy.png | Verschlüsselung für Reverse Proxy}}{{ h4 | Reverse-Proxy | {{ Reiter | Reverse-Proxy }} }}
{{ pt | UTM_v11-8_Authentifizierung_Verschlüsselung_Reverse-Proxy.png | Verschlüsselung für Reverse Proxy}}{{ h4 | Reverse-Proxy | {{ Reiter | Reverse-Proxy }} }}
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
{{ td | {{ Beschriftung | Minimale TLS Version: }} | {{MenuD | Auswahl TLS-Version }}  zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Minimale TLS Version: }} | {{Button | Auswahl TLS-Version | dr| w=145px }}  zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Maximale TLS Version: }} | {{MenuD | Auswahl TLS-Version }} zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Maximale TLS Version: }} | {{Button | Auswahl TLS-Version | dr| w=145px }} zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung |  DH Key Size: }} | {{ MenuD | {{sw | 2048 }} }} Die Länge des Diffie-Hellmann Schlüssels kann zwischen 2048 Bit und 4096 Bit gewählt werden.}}
{{ td | {{ Beschriftung |  DH Key Size: }} | {{ Button | 2048 | dr | w=145px }} Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}


Zeile 76: Zeile 77:
===Speichern / Wiederherstellen===
===Speichern / Wiederherstellen===


Über die Schaltfläche {{ Button | ⤺ Zurücksetzen }} werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Globalen-Werte zurückgesetzt.
Über die Schaltfläche {{ Button | ⤺ Zurücksetzen}} werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Globalen-Werte zurückgesetzt.


Wird ''Standardwerte überschreiben'' wieder deaktiviert, werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Standard-Werte der einzelnen Applikation zurückgesetzt.
Wird ''Standardwerte überschreiben'' wieder deaktiviert, werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Standard-Werte der einzelnen Applikation zurückgesetzt.


{{ Hinweis | ! Das Verändern der Standardvorgaben kann dazu führen, dass nicht mehr alle Ziel-Systeme für alle Benutzer zur Verfügung stehen. Zum Beispiel wenn diese ältere Clients oder Webbrowser verwenden, die die verlangten Verschlüsselungen nicht unterstützen.}}
{{ Hinweis | !! Das Verändern der Standardvorgaben kann dazu führen, dass nicht mehr alle Ziel-Systeme für alle Benutzer zur Verfügung stehen. Zum Beispiel wenn diese ältere Clients oder Webbrowser verwenden, die die verlangten Verschlüsselungen nicht unterstützen.}}


{{ Hinweis | ! Beim Speichern der neuen Einstellungen werden die Dienste neu gestartet. §Das hat beim Webserver die Folge, dass sich der Administrator und/oder Benutzer des UTM Webinterface neu anmelden müssen. | gelb }}
{{ Hinweis | ! Beim Speichern der neuen Einstellungen werden die Dienste neu gestartet. §Das hat beim Webserver die Folge, dass sich der Administrator und/oder Benutzer des UTM Webinterface neu anmelden müssen. | gelb }}
Zeile 87: Zeile 88:
Die Einstellungen, die im Webinterface vorgenommen werden sind auf dem CLI über die nachfolgenden Befehle sichtbar.
Die Einstellungen, die im Webinterface vorgenommen werden sind auf dem CLI über die nachfolgenden Befehle sichtbar.


Die globalen Einstellungen:
====Die globalen Einstellungen:====


  extc value get application "securepoint_firewall"
  extc value get application "securepoint_firewall"
Zeile 93: Zeile 94:


Das Ergebnis sollte ähnlich wie folgt aussehen:
Das Ergebnis sollte ähnlich wie folgt aussehen:
  application        |variable                      |value
  application        |variable                      |value
  --------------------+-------------------------------+-----
  --------------------+-------------------------------+-----  
  securepoint_firewall|CIPHER_LIST                    |
  securepoint_firewall|ANONYMIZELOGS                  |1   
                     |CLUSTERADVBASE                |2
                    |CIPHER_LIST                    |    
                     |CLUSTERDEADRATIO              |15
                     |CLUSTERADVBASE                |2  
                     |CLUSTERPREEMTIVE              |0
                     |CLUSTERDEADRATIO              |15  
                     |CLUSTER_ID                    |1
                     |CLUSTERPREEMTIVE              |0  
                     |CLUSTER_ID                    |1  
                     |CLUSTER_SECRET                |secret
                     |CLUSTER_SECRET                |secret
                     |CRYPTO_OVERRIDE                |1
                     |CRYPTO_OVERRIDE                |0   
                     |DHPARAM_LENGTH                |1024
                     |DHPARAM_LENGTH                |2048
                     |HTTP_TRANSPARENT_EXCEPTION_LIST|
                    |DHPARAM_LENGTH_DEFAULT        |2048
                     |HTTP_TRANSPARENT_LIST          |eth1
                    |ECDHE_CURVE                    |secp384r1
                    |FULLCONENAT_ZONE_DST          |external
                    |FULLCONENAT_ZONE_SRC          |internal
                     |HTTP_TRANSPARENT_EXCEPTION_LIST|    
                     |HTTP_TRANSPARENT_LIST          |eth1  
                     |IPCONNTRACK                    |32000
                     |IPCONNTRACK                    |32000
                     |LANG                          |en_US
                     |LANG                          |en_US
                     |LASTRULE_LOGGING              |1
                     |LASTRULE_LOGGING              |2   
                    |MANAGER_HOST_LIST              |172.16.31.0/24
                     |POP3_TRANSPARENT_EXCEPTION_LIST|    
                     |POP3_TRANSPARENT_EXCEPTION_LIST|
                     |POP3_TRANSPARENT_LIST          |eth1  
                     |POP3_TRANSPARENT_LIST          |eth1
                     |PPPOE_LCP_ECHO                |1  
                     |PPPOE_LCP_ECHO                |1
                     |TLS_VERSION_MAX                |1.2
                     |UPDATE_TRIGGER_DELAY          |2
                     |TLS_VERSION_MAX_DEFAULT        |1.2 
                     |USE_OTP                        |0
                     |TLS_VERSION_MIN                |1.0
                     |USE_SSL3                      |0
                     |TLS_VERSION_MIN_DEFAULT        |1.0 
                     |USE_TLS10                      |1
                     |UPDATE_TRIGGER_DELAY          |2   
                     |USE_TLS11                      |1
                     |USE_ECDHE                     |1  
                     |USE_TLS12                     |1
                    |USE_OTP                        |0 
 


Um hier den Wert einer einzelnen Variablen zu ändern, kann folgender Befehl verwendet werden. Geändert wird der Wert der Variablen USE_TLS10.


extc value set application "securepoint_firewall" variable "USE_TLS10" value 0
Um hier den Wert einer einzelnen Variablen zu ändern, kann folgender Befehl verwendet werden. Geändert wird der Wert der Variablen TLS_VERSION_MIN.


extc value set application "securepoint_firewall" variable "TLS_VERSION_MIN" value 1.1
Die Änderung erfolgt in diesem Bereich:
Die Änderung erfolgt in diesem Bereich:
                    |TLS_VERSION_MAX                |1.2 
                    |TLS_VERSION_MAX_DEFAULT        |1.2 
<span style="color:red">                    |TLS_VERSION_MIN                |1.1 </span>
                    |TLS_VERSION_MIN_DEFAULT        |1.0


                    |USE_SSL3                      |0
====Einzelne Anwendungen====
<span style="color:red">                  |USE_TLS10                      |0</span>
Die Verschlüsselung der '''einzelnen Anwendungen''' können mit demselben Befehl ausgeführt werden. Lediglich der Name der Anwendung muss ausgetauscht werden. Zur Verfügung stehen folgende Anwendungen:
                    |USE_TLS11                      |1
                    |USE_TLS12                      |1
 
Die Verschlüsselung der einzelnen Anwendungen können mit demselben Befehl ausgeführt werden. Lediglich der Name der Anwendung muss ausgetauscht werden. Zur Verfügung stehen folgende Anwendungen:


  extc value get application "webserver"
  extc value get application "webserver"

Version vom 15. Oktober 2019, 13:14 Uhr

Letzte Anpassung zur Version: 11.8.2

Bemerkung:
  • Artikelanpassung
  • Layoutänderungen
  • DH Key-Size 1024 entfernt ( gilt inzwischen als unsicher)


Vorherige Versionen: 11.6


Einleitung

In diesem Menü wird definiert, mit welchem Verschlüsselungsprotokoll die Anwendungen auf der UTM angesprochen werden sollen.

Die von Securepoint gewählten Grundeinstellungen gelten zur Zeit als sicher und sind auf Kompatibilität geprüft. Wenn ein höheres Schutzbedürfnis besteht, können die Einstellung noch weiter verschärft werden. (Jargon: härten).

Schema von Applikation und Globaler Einstellung

Über die Einstellungen im Bereich "Global" werden, übergreifend für alle Anwendungen, die zu verwendenden Protokolle ausgewählt. Die Einstellungen in den Menüs der Anwendungen müssen, um die hier ausgewählten Protokolle zu verwenden, auf "Wert vom GLOBAL-Tab übernehmen" belassen werden.


Die Grafik rechts stellt die Abhängigkeit von den Einstellungen einer Anwendung zur Globalen Einstellung anhand des Protokolls SSL v3 dar.



Verschlüsselung

Die Einstellungen werden vorgenommen im Menu → Authentifizierung →Verschlüsselung

Globale Verschlüsselungs-Einstellungen

Global

Global


Standardwerte überschreiben:
Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.
Minimale TLS Version:
Auswahl TLS-Version zur Auswahl stehen 1.0 / 1.1 und 1.2
Maximale TLS Version:
Auswahl TLS-Version zur Auswahl stehen 1.0 / 1.1 und 1.2
DH Key Size:
2048 Die Länge des Diffie-Hellmann Schlüssels kann auf Default oder 4096 Bit eingestellt werden.
Cipher-Suite:
Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.


Verschlüsselungseinstellungen für Webserver-Verbindungen

Webserver

Webserver
Standardwerte überschreiben:
Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.
Minimale TLS Version:
Auswahl TLS-Version zur Auswahl stehen Default / 1.1 und 1.2
Maximale TLS Version:
Auswahl TLS-Version zur Auswahl stehen 1.0 / 1.1 und Default
DH Key Size:
2048 Die Länge des Diffie-Hellmann Schlüssels kann auf Default oder 4096 Bit eingestellt werden.
ECDH 384 Bit:
Ein Verwendet das Elliptic Curve Diffie-Hellman-Verfahren mit 384 Bit zur Schlüsselberechnung.
Cipher-Suite:
Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden. Standardwert:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;


Verschlüsselung für SSL-VPN

SSL-VPN

SSL-VPN

Globale Einstellung der Control-Verbindung:

Standardwerte überschreiben:
Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.
Minimale TLS Version:
Auswahl TLS-Version zur Auswahl stehen Default / 1.1 und 1.2
Maximale TLS Version:
Auswahl TLS-Version zur Auswahl stehen 1.0 / 1.1 und Default
DH Key Size:
2048 Die Länge des Diffie-Hellmann Schlüssels kann auf Default oder 4096 Bit eingestellt werden.
Cipher-Suite:
Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden. Standardwert:

TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256:TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA:TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-ECDHE-RSA-WITH-3DES-EDE-CBC-SHA:TLS-ECDHE-ECDSA-WITH-3DES-EDE-CBC-SHA:TLS-DHE-RSA-WITH-3DES-EDE-CBC-SHA:TLS-RSA-WITH-AES-256-GCM-SHA384:TLS-RSA-WITH-AES-128-GCM-SHA256:TLS-RSA-WITH-AES-256-CBC-SHA256:TLS-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-AES-128-CBC-SHA256:TLS-RSA-WITH-AES-128-CBC-SHA:TLS-RSA-WITH-3DES-EDE-CBC-SHA


Verschlüsselungseinstellungen für Verbindungen über das Mailrelay

Mailrelay

Mailrelay
Standardwerte überschreiben:
Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.
Minimale TLS Version:
Auswahl TLS-Version zur Auswahl stehen Default / 1.1 und 1.2
Maximale TLS Version:
Auswahl TLS-Version zur Auswahl stehen 1.0 / 1.1 und 1.2
DH Key Size:
2048 Die Länge des Diffie-Hellmann Schlüssels kann auf Default oder 4096 Bit eingestellt werden.
Neu ab 11.8.2
Soll TLS erzwungen werden, erfolgt die Einstellung unter → Anwendungen →Mailrelay / Relaying .
Cipher-Suite:
Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden. Standardwert:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS


Verschlüsselung für Reverse Proxy

Reverse-Proxy

Reverse-Proxy
Standardwerte überschreiben:
Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.
Minimale TLS Version:
Auswahl TLS-Version zur Auswahl stehen 1.0 / 1.1 und 1.2
Maximale TLS Version:
Auswahl TLS-Version zur Auswahl stehen 1.0 / 1.1 und 1.2
DH Key Size:
2048 Die Länge des Diffie-Hellmann Schlüssels kann auf Default oder 4096 Bit eingestellt werden.
Standardwerte überschreiben:
Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.


Speichern / Wiederherstellen

Über die Schaltfläche ⤺ Zurücksetzen werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Globalen-Werte zurückgesetzt.

Wird Standardwerte überschreiben wieder deaktiviert, werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Standard-Werte der einzelnen Applikation zurückgesetzt.

Das Verändern der Standardvorgaben kann dazu führen, dass nicht mehr alle Ziel-Systeme für alle Benutzer zur Verfügung stehen. Zum Beispiel wenn diese ältere Clients oder Webbrowser verwenden, die die verlangten Verschlüsselungen nicht unterstützen.

Beim Speichern der neuen Einstellungen werden die Dienste neu gestartet. Das hat beim Webserver die Folge, dass sich der Administrator und/oder Benutzer des UTM Webinterface neu anmelden müssen.

CLI

Die Einstellungen, die im Webinterface vorgenommen werden sind auf dem CLI über die nachfolgenden Befehle sichtbar.

Die globalen Einstellungen:

extc value get application "securepoint_firewall"


Das Ergebnis sollte ähnlich wie folgt aussehen:

application         |variable                       |value
--------------------+-------------------------------+----- 
securepoint_firewall|ANONYMIZELOGS                  |1    
                    |CIPHER_LIST                    |     
                    |CLUSTERADVBASE                 |2    
                    |CLUSTERDEADRATIO               |15   
                    |CLUSTERPREEMTIVE               |0    
                    |CLUSTER_ID                     |1    
                    |CLUSTER_SECRET                 |secret
                    |CRYPTO_OVERRIDE                |0    
                    |DHPARAM_LENGTH                 |2048 
                    |DHPARAM_LENGTH_DEFAULT         |2048 
                    |ECDHE_CURVE                    |secp384r1
                    |FULLCONENAT_ZONE_DST           |external
                    |FULLCONENAT_ZONE_SRC           |internal
                    |HTTP_TRANSPARENT_EXCEPTION_LIST|     
                    |HTTP_TRANSPARENT_LIST          |eth1 
                    |IPCONNTRACK                    |32000
                    |LANG                           |en_US
                    |LASTRULE_LOGGING               |2    
                    |POP3_TRANSPARENT_EXCEPTION_LIST|     
                    |POP3_TRANSPARENT_LIST          |eth1 
                    |PPPOE_LCP_ECHO                 |1    
                    |TLS_VERSION_MAX                |1.2  
                    |TLS_VERSION_MAX_DEFAULT        |1.2  
                    |TLS_VERSION_MIN                |1.0  
                    |TLS_VERSION_MIN_DEFAULT        |1.0  
                    |UPDATE_TRIGGER_DELAY           |2    
                    |USE_ECDHE                      |1    
                    |USE_OTP                        |0   


Um hier den Wert einer einzelnen Variablen zu ändern, kann folgender Befehl verwendet werden. Geändert wird der Wert der Variablen TLS_VERSION_MIN.

extc value set application "securepoint_firewall" variable "TLS_VERSION_MIN" value 1.1

Die Änderung erfolgt in diesem Bereich:

                    |TLS_VERSION_MAX                |1.2  
                    |TLS_VERSION_MAX_DEFAULT        |1.2  
                    |TLS_VERSION_MIN                |1.1  
                    |TLS_VERSION_MIN_DEFAULT        |1.0

Einzelne Anwendungen

Die Verschlüsselung der einzelnen Anwendungen können mit demselben Befehl ausgeführt werden. Lediglich der Name der Anwendung muss ausgetauscht werden. Zur Verfügung stehen folgende Anwendungen:

extc value get application "webserver"
extc value get application "openvpn"
extc value get application "smtpd"
extc value get application "squid-reverse"


Änderungen, die auf dem CLI durchgeführt werden, müssen mit einem Neustart der jeweiligen Anwendung aktiviert werden. Der Befehl dazu lautet:

appmgmt restart application "[Name der Anwendung]"