Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:Verschlüsselung}}
{{Archivhinweis|UTM/AUTH/Verschlüsselung}}
{{TOC}}
{{Set_lang}}
 
{{#vardefine:headerIcon|spicon-utm}}


Letzte Anpassung zur Version: '''11.8.2'''
<br>
{{ td | Bemerkung: |
* Artikelanpassung
* Layoutänderungen
* DH Key-Size 1024 entfernt ('' gilt inzwischen als unsicher'') |w=80px}}
<br>
Vorherige Versionen: [[UTM/AUTH/Verschlüsselung_11.6 | '''11.6''']]
<br>
----
===Einleitung===
In diesem Menü wird definiert, mit welchem Verschlüsselungsprotokoll die Anwendungen auf der UTM angesprochen werden sollen.


Die von Securepoint gewählten Grundeinstellungen gelten zur Zeit als sicher und sind auf Kompatibilität geprüft. Wenn ein höheres Schutzbedürfnis besteht, können die Einstellung noch weiter verschärft werden. (Jargon: härten).


{{ pt | UTM116_Verschlüsselung.png | Schema von Applikation und Globaler Einstellung}}Über die Einstellungen im Bereich "Global" werden, übergreifend für alle Anwendungen, die zu verwendenden Protokolle ausgewählt. Die Einstellungen in den Menüs der Anwendungen müssen, um die hier ausgewählten Protokolle zu verwenden, auf "Wert vom GLOBAL-Tab übernehmen" belassen werden.
{{var | display
| Verschlüsselung
| Cryptographic settings }}
{{var | headline
| Verschlüsselungs-Algorythmen der UTM
| Encryption Algorithms of the UTM }}
{{var | new-adaption
| Artikelanpassung
| Article adaptation }}
{{var | new-layout
| Layoutänderungen
| Layout changes }}
{{var | new-dh
| DH Key-Size 1024 entfernt ('' gilt inzwischen als unsicher'')
| DH Key-Size 1024 removed ('' now considered as unsafe) }}
{{var | schema
| Schema von Applikation und Globaler Einstellung
| Scheme of application and global setting }}
{{var | intro
| Einleitung
| Introduction }}
{{var | intro-text
| In diesem Menü wird definiert, mit welchem Verschlüsselungsprotokoll die Anwendungen auf der UTM angesprochen werden sollen. Die von Securepoint gewählten Grundeinstellungen gelten zur Zeit als sicher und sind auf Kompatibilität geprüft. <br>
Wenn ein höheres Schutzbedürfnis besteht, können die Einstellungen im Menü {{Menu | Authentifizierung | Verschlüsselung }} geändert werden (Jargon: härten).
| In this menu you define the encryption protocol that is used to address the applications on the UTM. The basic settings selected by Securepoint are currently considered secure and have been tested for compatibility. <br>
If a higher level of protection is required, the settings can be changed in the {{Menu | Authentication | Cryptographic settings }} menu (jargon: harden).  }}
{{var | grundeinstellungen
| Im Reiter {{Reiter | Global}} werden die Grundeinstellungen angezeigt.
| The tab {{Reiter | Global}} displays the basic settings. }}
{{var | überschreiben
| Mit {{ Beschriftung | Standardwerte überschreiben:}} {{ ButtonAn| {{#var:ein}} }} können diese Werte '''für alle Anwendungen''' überschrieben werden.
| With {{ b | Overwrite default values:}} {{ ButtonAn| {{#var:on}} }} these values '''for all applications''' can be overwritten. }}
{{var | dev-val
| Die Default-Werte oder
| The default values or }}
{{var | changes
| Die im Reiter {{Reiter| Global}} vorgenommenen Änderungen wiederum können  für jede Anwendung separat überschrieben werden.
| The changes made in the {{Reiter|Global}} tab can in turn be overwritten separately for each application. }}
{{var | global-übernehmen
| die Einstellungen in den Menüs der Anwendungen können die Globalen Werte (partiell) übernehmen, indem {{Button|Wert vom GLOBAL-Tab übernehmen|dr}} ausgewählt wird.
| The settings in the application menus can (partially) apply the global values by selecting {{Button|Apply value from GLOBAL tab|dr}}. }}
{{var | schema
| Die Grafik rechts stellt die Abhängigkeit von den Einstellungen einer Anwendung zur Globalen Einstellung anhand des Protokolls SSL v3 dar.
| The graph on the right shows the dependency on the settings of an application for Global Setting using the SSL v3 protocol. }}
{{var | encryption
| Verschlüsselung
| Cryptographic settings }}
{{var | enc-menu
| Die Einstellungen werden vorgenommen im Menu {{ Menu | Authentifizierung | Verschlüsselung }}
| The settings are made in the menu {{ Menu | Authentication | Cryptographic settings }} }}
{{var | global
| Global
| Global }}
{{var | Standardwerte-überschreiben
| Standardwerte überschreiben:
| Override defaults: }}
{{var | standard-desc
| Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.
| If this function is activated, the settings for the protocols can be changed. }}
{{var | reiter-global
| UTM_v11-8_Authentifizierung_Verschlüsselung_Global.png
| UTM_v11.8.8_Authentifizierung_Verschlüsselung_Global-en.png }}
{{var | reiter-global-cap
| Globale Verschlüsselungs-Einstellungen
| Global Encryption Settings }}
{{var | tls-min
| Minimale TLS Version:
| TLS min version: }}
{{var | tls-button
| Auswahl TLS-Version
| Select TLS version }}
{{var | tls-global-min-desc
| {{td|zur Auswahl stehen:| {{Button| Standardwert verwenden |dr}}<br>{{Button|1.0&emsp;|dr}} <small>'''(Default)'''</small> <br>{{Button|1.1&emsp;|dr}}<br>{{Button|1.2&emsp;|dr}} |w=150px}}
| {{td|selectable is|{{Button|Use the default value|dr}}<br>{{Button|1.0&emsp;|dr}} <small>'''(Default)'''</small> <br>{{Button|1.1&emsp;|dr}}<br>{{Button|1.2&emsp;|dr}} |w=150px}} }}
{{var | tls-min-desc
| {{td|zur Auswahl stehen: | {{Button|Wert vom GLOBAL-Tab übernehmen |dr}}<br>{{Button|1.0&emsp;|dr}} <small>'''(Default)'''</small> <br>{{Button|1.1&emsp;|dr}}<br>{{Button|1.2&emsp;|dr}} |w=150px}}
| {{td|selectable is|{{Button|Use value from GLOBAL tab|dr}}<br>{{Button|1.0&emsp;|dr}} <small>'''(Default)'''</small> <br>{{Button|1.1&emsp;|dr}}<br>{{Button|1.2&emsp;|dr}} |w=150px}} }}
{{var | tls-max
| Maximale TLS Version:
| TLS max version: }}
{{var | tls-global-max-desc
| {{td|zur Auswahl stehen: | {{Button|Standardwert verwenden|dr}}<br>{{Button|1.0&emsp;|dr}} <br>{{Button|1.1&emsp;|dr}}<br>{{Button|1.2&emsp;|dr}} <small>'''(Default)'''</small> |w=150px}}
| {{td|selectable is|{{Button|Use the default value|dr}}<br>{{Button|1.0&emsp;|dr}} <br>{{Button|1.1&emsp;|dr}}<br>{{Button|1.2&emsp;|dr}} <small>'''(Default)'''</small> |w=150px}} }} }}
{{var | tls-max-desc
| {{td|zur Auswahl stehen: | {{Button|Wert vom GLOBAL-Tab übernehmen |dr}}<br>{{Button|1.0&emsp;|dr}} <br>{{Button|1.1&emsp;|dr}}<br>{{Button|1.2&emsp;|dr}} <small>'''(Default)'''</small> |w=150px}}
| {{td|selectable is|{{Button|Use value from GLOBAL tab|dr}}<br>{{Button|1.0&emsp;|dr}} <br>{{Button|1.1&emsp;|dr}}<br>{{Button|1.2&emsp;|dr}} <small>'''(Default)'''</small> |w=150px}} }} }}
{{var | dh-key
| DH Key Size:
| DH Key Size: }}
{{var | dh-key-desc
| Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Button| 2048|dr }} Bit <small>'''(Default)'''</small> oder  {{Button|4096|dr}} Bit eingestellt werden.
| The length of the Diffie-Hellmann key can be set to {{ Button| 2048|dr }} bit <small>'''(default)'''</small> or {{Button|4096|dr}} bit. }}
{{var | cipher
| Cipher-Suite:
| Cipher suite:  }}
{{var | cipher-desc
| Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.
| In the field Cipher-Suite the desired encryption and modes can be defined. }}
{{var | bild-webserver
| UTM_v11-8_Authentifizierung_Verschlüsselung_Webserver.png
| UTM_v11-8_Authentifizierung_Verschlüsselung_Webserver-en.png }}
{{var | bild-webserver-desc
| Verschlüsselungseinstellungen für Webserver-Verbindungen
| Encryption settings for web server connections }}
{{var | ecdh-desc
| Verwendet das Elliptic Curve Diffie-Hellman-Verfahren mit 384 Bit zur Schlüsselberechnung.
| Uses the Elliptic Curve Diffie-Hellman method with 384 bits for key calculation. }}
{{var | ssl-vpn-zusatz
| Globale Einstellung der Control-Verbindung:
| Gobal control connection settings: }}
{{var | ssl-vpn-bild
| UTM_v11-8_Authentifizierung_Verschlüsselung_SSL-VPN.png
| UTM_v11-8_Authentifizierung_Verschlüsselung_SSL-VPN-en.png }}
{{var | ssl-vpn-bild-cap
| Verschlüsselung für SSL-VPN-Verbindungen
| Encryption for SSL-VPN connections }}
{{var | mailralay-bild
| UTM_v11-8-2_Authentifizierung_Verschlüsselung_Mailrelay.png
| UTM_v11.8.8_Authentifizierung_Verschlüsselung_Mailrelay-en.png }}
{{var | mailrelay-bild-cap
| Verschlüsselungseinstellungen für Verbindungen über das Mailrelay
| Encryption settings for connections via the mail relay }}
{{var | hint-new|Neu ab 11.8.2 | 11.8.2}} 
{{var | tls-hinweis
| Soll TLS erzwungen werden, erfolgt die Einstellung unter {{ Menu | Anwendungen | Mailrelay | Relaying }}.
| If TLS is to be forced, the setting is made under {{ Menu | Applications | Mailrelay | Relaying }} }}
{{var | reverse-proxy-bild
| UTM_v11-8_Authentifizierung_Verschlüsselung_Reverse-Proxy.png
| UTM_v11.8.8_Authentifizierung_Verschlüsselung_Reverse-Proxy-en.png }}
{{var | reverse-proxy-bild-cap
| Verschlüsselung für Verbindungen des Reverse-Proxys
| Encryption for reverse proxy connections }}
{{var | restore
| Speichern / Wiederherstellen
| Save / Restore }}
{{var | restore-text
| Über die Schaltfläche {{ Button | ⤺ Zurücksetzen}}  werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Globalen-Werte zurückgesetzt.Wird ''Standardwerte überschreiben'' wieder deaktiviert, werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Standard-Werte der einzelnen Applikation zurückgesetzt.
| The button {{ Button | ⤺ Reset}} resets the settings in the currently opened area to the global values. If ''Overwrite default values'' is deactivated again, the settings in the currently opened area are reset to the default values of the individual application. }}
{{var | restore-hint-change
| Das Verändern der Standardvorgaben kann dazu führen, dass nicht mehr alle Ziel-Systeme für alle Benutzer zur Verfügung stehen. Zum Beispiel wenn diese ältere Clients oder Webbrowser verwenden, die die verlangten Verschlüsselungen nicht unterstützen.
| Changing the default settings may result in not all target systems being available for all users. For example, if they use older clients or web browsers that do not support the required encryption. }}
{{var | restore-hint-save
| Beim Speichern der neuen Einstellungen werden die Dienste neu gestartet. §Das hat beim Webserver die Folge, dass sich der Administrator und/oder Benutzer des UTM Webinterface neu anmelden müssen.
| The services are restarted when the new settings are saved. §This results in the web server requiring the administrator and/or user of the UTM web interface to log on again. }}
{{var | cli-text
| Die Einstellungen, die im Webinterface vorgenommen werden sind auf dem {{hover|CLI|Command Line Interface}} über die nachfolgenden Befehle sichtbar.
| The settings that are made in the web interface are visible on the {{hover|CLI|Command Line Interface}} using the following commands. }}
{{var | cli-global
| Globale Einstellungen
| Global settings }}
{{var | cli-global-result
| Das Ergebnis sollte ähnlich wie folgt aussehen:
|  }}
{{var | cli-global-variable
| Um hier den Wert einer einzelnen Variablen zu ändern, kann folgender Befehl verwendet werden. Geändert wird der Wert der Variablen TLS_VERSION_MIN.
|  }}
{{var | cli-global-variable-change
| Die Änderung erfolgt in diesem Bereich:
| The result should look similar to the following: }}
{{var | cli-app
| Einzelne Anwendungen
| Individual applications }}
{{var | cli-app-text
| Die Verschlüsselung der '''einzelnen Anwendungen''' können mit demselben Befehl ausgeführt werden. Lediglich der Name der Anwendung muss ausgetauscht werden. Zur Verfügung stehen folgende Anwendungen:
| The encryption of the '''individual applications''' can be done with the same command. Only the name of the application must be exchanged. The following applications are available: }}
{{var | cli-app-change
| Änderungen, die auf dem CLI durchgeführt werden, müssen mit einem Neustart der jeweiligen Anwendung aktiviert werden. Der Befehl dazu lautet:
| Changes made on the CLI must be activated by restarting the respective application. The command for this is: }}
{{var | cli-app-name
| Name der Anwendung
| Name of the application }}




Die Grafik rechts stellt die Abhängigkeit von den Einstellungen einer Anwendung zur Globalen Einstellung anhand des Protokolls SSL v3 dar.
</div>{{DISPLAYTITLE:{{#var:display| Verschlüsselung}} }}{{Select_lang}}{{TOC2}}
<p>'''{{#var:headline| Verschlüsselungs-Algorythmen der UTM}}'''</p>


<p>{{#var:ver|Letzte Anpassung zur Version:}} '''11.8.2'''</p>
<br>
{{ cl | {{#var:neu|Neu:}} |
* {{#var:new-adaption| Artikelanpassung}}
* {{#var:new-layout| Layoutänderungen}}
* {{#var:new-dh| DH Key-Size 1024 entfernt ('' gilt inzwischen als unsicher'')}} |w=40px}}
<br>
{{#var:prev| Vorherige Versionen:}} [[UTM/AUTH/Verschlüsselung_11.6 | '''11.6''']]
<br clear=all>
<br clear=all>


----
{{ pt3 | UTM116_Verschlüsselung.png | {{#var:schema| Schema von Applikation und Globaler Einstellung}} }}
=== {{#var:intro| Einleitung}} ===
{{#var:intro-text| In diesem Menü wird definiert, mit welchem Verschlüsselungsprotokoll die Anwendungen auf der UTM angesprochen werden sollen.


===Verschlüsselung===
Die von Securepoint gewählten Grundeinstellungen gelten zur Zeit als sicher und sind auf Kompatibilität geprüft. <br>
Wenn ein höheres Schutzbedürfnis besteht, können die Einstellungen im Menü {{Menu | Authentifizierung | Verschlüsselung }} geändert werden (Jargon: härten). }}


Die Einstellungen werden vorgenommen im Menu {{ Menu | Authentifizierung | Verschlüsselung }}
{{ pt | UTM_v11-8_Authentifizierung_Verschlüsselung_Global.png | Globale Verschlüsselungs-Einstellungen}}{{h4 | Global | {{ Reiter | Global }} }}<br>
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
{{ td | {{ Beschriftung | Minimale TLS Version: }} | {{Button | Auswahl TLS-Version | dr | w=145px }}  zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Maximale TLS Version: }} | {{Button | Auswahl TLS-Version | dr| w=145px }} zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung |  DH Key Size: }} |  {{ Button | 2048 | dr | w=145px }} Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
{{ td | {{ Beschriftung | Cipher-Suite: }} | Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.  }}
<br clear=all>


{{ pt | UTM_v11-8_Authentifizierung_Verschlüsselung_Webserver.png | Verschlüsselungseinstellungen für Webserver-Verbindungen}}{{ h4 | Webserver | {{ Reiter | Webserver }} }}
* {{#var:grundeinstellungen| Im Reiter {{Reiter | Global}} werden die Grundeinstellungen angezeigt.}}
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
* {{#var:überschreiben| Mit {{ Beschriftung | Standardwerte überschreiben:}} {{ ButtonAn| {{#var:ein}} }} können diese Werte '''für alle Anwendungen''' überschrieben werden.}}
{{ td | {{ Beschriftung | Minimale TLS Version: }} | {{Button | Auswahl TLS-Version | dr | w=145px }} zur Auswahl stehen {{Hover |1.0 }} / 1.1 und 1.2 }}
* {{#var:dev-val| Die Default-Werte oder }}
{{ td | {{ Beschriftung | Maximale TLS Version: }} | {{Button | Auswahl TLS-Version | dr | w=145px }} zur Auswahl stehen 1.0 / 1.1 und {{ Hover | 1.2 }} }}
* {{#var:changes| die im Reiter {{Reiter| Global }} vorgenommenen Änderungen wiederum können für jede Anwendung separat überschrieben werden.}}
{{ td | {{ Beschriftung |  DH Key Size: }} | {{ Button | 2048 | dr | w=145px }} Die Länge des Diffie-Hellmann Schlüssels kann auf {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
* {{#var:global-übernehmen| Die Einstellungen in den Menüs der Anwendungen können die Globalen Werte (teilweise) übernehmen, indem {{Button|Wert vom GLOBAL-Tab übernehmen|dr}} ausgewählt wird.}}
{{ td | {{ Beschriftung |  ECDH 384 Bit: }} | {{ ButtonAn | Ein}} Verwendet das Elliptic Curve Diffie-Hellman-Verfahren mit 384 Bit zur Schlüsselberechnung. }}
{{ td | {{ Beschriftung | Cipher-Suite: }} | Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden. '''Standardwert: ''' <p>{{ Code | ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;}}</p> }}


<br clear=all>


{{ pt | UTM_v11-8_Authentifizierung_Verschlüsselung_SSL-VPN.png | Verschlüsselung für SSL-VPN }}{{h4 | SSL-VPN | {{ Reiter | SSL-VPN }} }}
{{#var:schema| Die Grafik rechts stellt die Abhängigkeit von den Einstellungen einer Anwendung zur Globalen Einstellung anhand des Protokolls SSL v3 dar.}}
Globale Einstellung der Control-Verbindung:
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
{{ td | {{ Beschriftung | Minimale TLS Version: }} | {{Button | Auswahl TLS-Version | dr | w=145px }}  zur Auswahl stehen {{ Hover | 1.0}}  / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Maximale TLS Version: }} | {{Button | Auswahl TLS-Version | dr | w=145px }} zur Auswahl stehen 1.0 / 1.1 und {{Hover | 1.2}}  }}
{{ td | {{ Beschriftung |  DH Key Size: }} |  {{ Button | 2048 | dr | w=145px }} Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
{{ td | {{ Beschriftung | Cipher-Suite: }} | Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden. '''Standardwert: ''' <p>{{ Code | TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256:TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA:TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-ECDHE-RSA-WITH-3DES-EDE-CBC-SHA:TLS-ECDHE-ECDSA-WITH-3DES-EDE-CBC-SHA:TLS-DHE-RSA-WITH-3DES-EDE-CBC-SHA:TLS-RSA-WITH-AES-256-GCM-SHA384:TLS-RSA-WITH-AES-128-GCM-SHA256:TLS-RSA-WITH-AES-256-CBC-SHA256:TLS-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-AES-128-CBC-SHA256:TLS-RSA-WITH-AES-128-CBC-SHA:TLS-RSA-WITH-3DES-EDE-CBC-SHA}}</p> }}


<br clear=all>
<br clear=all>


{{ pt | UTM_v11-8-2_Authentifizierung_Verschlüsselung_Mailrelay.png | Verschlüsselungseinstellungen für Verbindungen über das Mailrelay}}{{ h4 | Mailrelay | {{ Reiter | Mailrelay }} }}
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
{{ td | {{ Beschriftung | Minimale TLS Version: }} | {{Button | Auswahl TLS-Version | dr| w=145px }}  zur Auswahl stehen  {{ Hover | 1.0}}  / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Maximale TLS Version: }} | {{Button | Auswahl TLS-Version | dr| w=145px }} zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung |  DH Key Size: }} |  {{ Button | 2048 | dr | w=145px }} Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
{{ td | {{ Hinweis| Neu ab 11.8.2 | 11.8.2}} | Soll TLS erzwungen werden, erfolgt die Einstellung unter {{ Menu | Anwendungen | Mailrelay }} / {{ Reiter | Relaying }}.}}
{{ td | {{ Beschriftung | Cipher-Suite: }} | Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.  '''Standardwert: ''' <p>{{ Code | ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS}}</p> }}


=== {{#var:encryption| Verschlüsselung}} ===
{{#var:enc-menu| Die Einstellungen werden vorgenommen im Menu {{ Menu | Authentifizierung | Verschlüsselung }}}}
{| class="sptable2 pd5"
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
|-
| colspan="3" class="Leerzeile" | {{h4 | {{#var:global| Global}} | {{ Reiter | {{#var:global|Global}} }} }}
|-
| {{ Beschriftung | {{#var:Standardwerte-überschreiben| Standardwerte überschreiben:}} }} || {{ ButtonAus | {{#var:aus|Aus}} }} || {{#var:standard-desc| Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}} || rowspan="5" class="bild width-l" | {{ bild | {{#var:reiter-global| UTM_v11-8_Authentifizierung_Verschlüsselung_Global.png}} | {{#var:reiter-global-cap| Globale Verschlüsselungs-Einstellungen}} }}
|-
| {{ Beschriftung | {{#var:tls-min| Minimale TLS Version:}} }} || {{Button | {{#var:tls-button| Auswahl TLS-Version}} | dr | w=190px }} || {{#var:tls-global-min-desc| zur Auswahl stehen 1.0 / 1.1 und 1.2}}
|-
| {{ Beschriftung | {{#var:tls-max| Maximale TLS Version:}} }} || {{Button | {{#var:tls-button | Auswahl TLS-Version}} | dr| w=190px }} || {{#var:tls-global-max-desc| zur Auswahl stehen 1.0 / 1.1 und 1.2}}
|-
| {{ Beschriftung |  {{#var:dh-key| DH Key Size:}} }} ||  {{ Button | 2048 | dr | w=190px }} || {{#var:dh-key-desc| Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
|-
| {{ Beschriftung | {{#var:cipher| Cipher-Suite:}} }} || {{ic| }} || {{#var:cipher-desc| Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.}}
|-
| colspan="3" class="Leerzeile" | {{ h4 | Webserver | {{ Reiter | Webserver }} }}
|-
| {{ Beschriftung | {{#var:Standardwerte-überschreiben}} }} || {{ ButtonAus | {{#var:aus|Aus}} }} || {{#var:standard-desc|Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}  || rowspan="6" class="bild width-l" | {{ bild | {{#var:bild-webserver| UTM_v11-8_Authentifizierung_Verschlüsselung_Webserver.png}} |{{#var:bild-webserver-desc|  Verschlüsselungseinstellungen für Webserver-Verbindungen}} }}
|-
| {{ Beschriftung | {{#var:tls-min|Minimale TLS Version:}} }} || {{Button | {{#var:tls-button| Auswahl TLS-Version}} | dr | w=190px }} || {{#var:tls-min-desc|zur Auswahl stehen {{Hover |1.0 }} / 1.1 und 1.2}}
|-
| {{ Beschriftung | {{#var:tls-max|Maximale TLS Version:}} }} || {{Button | {{#var:tls-button|Auswahl TLS-Version}} | dr | w=190px }} || {{#var:tls-max-desc|zur Auswahl stehen 1.0 / 1.1 und {{ Hover | 1.2 }} }}
|-
| {{ Beschriftung |  {{#var:dh-key|DH Key Size:}} }} || {{ Button | 2048 | dr | w=190px }} || {{#var:dh-key-desc| Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
|-
| {{ Beschriftung |  ECDH 384 Bit: }} || {{ ButtonAn | {{#var:ein|Ein}} }} || {{#var:ecdh-desc| Verwendet das Elliptic Curve Diffie-Hellman-Verfahren mit 384 Bit zur Schlüsselberechnung.}}
|-
| {{ Beschriftung | {{#var:cipher|Cipher-Suite:}} }} || {{ic| Anw=UTM}} || {{#var:cipher-desc|Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.}}<br>'''{{#var:default| Standardwert:}} '''<br>{{ Code | ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;}}
|-
| colspan="3" class="Leerzeile" | {{h4 | SSL-VPN | {{ Reiter | SSL-VPN }} }}<br>{{#var:ssl-vpn-zusatz| Globale Einstellung der Control-Verbindung:}}
|-
| {{ Beschriftung | {{#var:Standardwerte-überschreiben}} }} || {{ ButtonAus | {{#var:aus|Aus}} }} || {{#var:standard-desc|Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}  || rowspan="6" class="bild width-l" | {{ bild | {{#var:ssl-vpn-bild| UTM_v11-8_Authentifizierung_Verschlüsselung_SSL-VPN.png}} | {{#var:ssl-vpn-bild-cap| Verschlüsselung für SSL-VPN}} }}
|-
| {{ Beschriftung | {{#var:tls-min|Minimale TLS Version:}} }} || {{Button | {{#var:tls-button|Auswahl TLS-Version}}  | dr | w=190px }} || {{#var:tls-min-desc|zur Auswahl stehen {{ Hover | 1.0}}  / 1.1 und 1.2}}
|-
| {{ Beschriftung | {{#var:tls-min|Maximale TLS Version:}} }} || {{Button | {{#var:tls-button|Auswahl TLS-Version}} | dr | w=190px }} || {{#var:tls-max-desc|zur Auswahl stehen 1.0 / 1.1 und {{Hover | 1.2}} }}
|-
| {{ Beschriftung |  {{#var:dh-key|DH Key Size:}} }} ||  {{ Button | 2048 | dr | w=190px }} || {{#var:dh-key-desc|Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
|-
| {{ Beschriftung | {{#var:cipher|Cipher-Suite:}} }} || {{ic | }} || {{#var:cipher-desc|Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.}}<br>
'''{{#var:def|Standardwert:}} '''
<p>{{ Code | TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256:TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA:TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-ECDHE-RSA-WITH-3DES-EDE-CBC-SHA:TLS-ECDHE-ECDSA-WITH-3DES-EDE-CBC-SHA:TLS-DHE-RSA-WITH-3DES-EDE-CBC-SHA:TLS-RSA-WITH-AES-256-GCM-SHA384:TLS-RSA-WITH-AES-128-GCM-SHA256:TLS-RSA-WITH-AES-256-CBC-SHA256:TLS-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-AES-128-CBC-SHA256:TLS-RSA-WITH-AES-128-CBC-SHA:TLS-RSA-WITH-3DES-EDE-CBC-SHA}}</p>
|-
| colspan="3" class="Leerzeile" | {{ h4 | Mailrelay | {{ Reiter | Mailrelay }} }}
|-
| {{ Beschriftung | {{#var:Standardwerte-überschreiben}} }} || {{ ButtonAus | {{#var:aus|Aus}} }} || {{#var:standard-desc| Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}} || rowspan="5" class="bild width-l" | {{ bild | {{#var:mailralay-bild| UTM_v11-8-2_Authentifizierung_Verschlüsselung_Mailrelay.png}} | {{#var:mailrelay-bild-cap| Verschlüsselungseinstellungen für Verbindungen über das Mailrelay}} }}
|-
| {{ Beschriftung | {{#var:tls-min|Minimale TLS Version:}} }} || {{Button | {{#var:tls-button|Auswahl TLS-Version}}  | dr | w=190px }} || {{#var:tls-min-desc|zur Auswahl stehen {{ Hover | 1.0}}  / 1.1 und 1.2}}{{Hinweis|!|gelb}} {{#var:tls-hinweis| Soll TLS erzwungen werden, erfolgt die Einstellung unter {{ Menu | Anwendungen | Mailrelay | Relaying }}.}}
|-
| {{ Beschriftung | {{#var:tls-min|Maximale TLS Version:}} }} || {{Button | {{#var:tls-button|Auswahl TLS-Version}} | dr | w=190px }} || {{#var:tls-max-desc|zur Auswahl stehen 1.0 / 1.1 und {{Hover | 1.2}} }}
|-
| {{ Beschriftung |  {{#var:dh-key|DH Key Size:}} }} ||  {{ Button | 2048 | dr | w=190px }} || {{#var:dh-key-desc|Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
|-
| {{ Beschriftung | {{#var:cipher|Cipher-Suite:}}  }} || {{ic | }} || {{#var:cipher-desc|Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden. }}<br>
'''{{#var:def|Standardwert:}} '''
<p>{{ Code | ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS}}</p>
|-
| colspan="3" class="Leerzeile" | {{ h4 | Reverse-Proxy | {{ Reiter | Reverse-Proxy }} }}
|-
| {{ Beschriftung | {{#var:Standardwerte-überschreiben}} }} || {{ ButtonAus | {{#var:aus|Aus}} }} || {{#var:standard-desc|Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}  || rowspan="6" class="bild width-l" | {{ bild | {{#var:reverse-proxy-bild| UTM_v11-8_Authentifizierung_Verschlüsselung_Reverse-Proxy.png}} | {{#var:reverse-proxy-bild-cap| Verschlüsselung für Reverse Proxy}} }}
|-
| {{ Beschriftung | {{#var:tls-min|Minimale TLS Version:}} }} || {{Button | {{#var:tls-button|Auswahl TLS-Version}}  | dr | w=190px }} || {{#var:tls-min-desc|zur Auswahl stehen {{ Hover | 1.0}}  / 1.1 und 1.2}}
|-
| {{ Beschriftung | {{#var:tls-min|Maximale TLS Version:}} }} || {{Button | {{#var:tls-button|Auswahl TLS-Version}} | dr | w=190px }} || {{#var:tls-max-desc|zur Auswahl stehen 1.0 / 1.1 und {{Hover | 1.2}} }}
|-
| {{ Beschriftung |  {{#var:dh-key|DH Key Size:}} }} ||  {{ Button | 2048 | dr | w=190px }} || {{#var:dh-key-desc|Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
|-
| {{ Beschriftung | {{#var:cipher|Cipher-Suite:}} }} || {{ic | }} || {{#var:cipher-desc|Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.}}<br>
'''{{#var:def|Standardwert:}} '''
<p>{{code| ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS }}</p>
|}
<br clear=all>
<br clear=all>


{{ pt | UTM_v11-8_Authentifizierung_Verschlüsselung_Reverse-Proxy.png | Verschlüsselung für Reverse Proxy}}{{ h4 | Reverse-Proxy | {{ Reiter | Reverse-Proxy }} }}
=== {{#var:restore| Speichern / Wiederherstellen}} ===
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}
{{ td | {{ Beschriftung | Minimale TLS Version: }} | {{Button | Auswahl TLS-Version | dr| w=145px }}  zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung | Maximale TLS Version: }} | {{Button | Auswahl TLS-Version | dr| w=145px }} zur Auswahl stehen 1.0 / 1.1 und 1.2 }}
{{ td | {{ Beschriftung |  DH Key Size: }} |  {{ Button | 2048 | dr | w=145px }} Die Länge des Diffie-Hellmann Schlüssels kann auf  {{ Hover | 2048 Bit }} oder  4096 Bit eingestellt werden.}}
{{ td | {{ Beschriftung | Standardwerte überschreiben:}} | {{ ButtonAus | Aus}} Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.}}


<br clear=all>
{{#var:restore-text| Über die Schaltfläche {{ Button | ⤺ Zurücksetzen}}  werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Globalen-Werte zurückgesetzt.


===Speichern / Wiederherstellen===
Wird ''Standardwerte überschreiben'' wieder deaktiviert, werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Standard-Werte der einzelnen Applikation zurückgesetzt.}}


Über die Schaltfläche {{ Button | ⤺ Zurücksetzen}}  werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Globalen-Werte zurückgesetzt.
{{ Hinweis | !! {{#var:restore-hint-change| Das Verändern der Standardvorgaben kann dazu führen, dass nicht mehr alle Ziel-Systeme für alle Benutzer zur Verfügung stehen. Zum Beispiel wenn diese ältere Clients oder Webbrowser verwenden, die die verlangten Verschlüsselungen nicht unterstützen.}} }}


Wird ''Standardwerte überschreiben'' wieder deaktiviert, werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Standard-Werte der einzelnen Applikation zurückgesetzt.
{{ Hinweis | ! {{#var:restore-hint-save| Beim Speichern der neuen Einstellungen werden die Dienste neu gestartet. §Das hat beim Webserver die Folge, dass sich der Administrator und/oder Benutzer des UTM Webinterface neu anmelden müssen.}} | gelb }}


{{ Hinweis | !! Das Verändern der Standardvorgaben kann dazu führen, dass nicht mehr alle Ziel-Systeme für alle Benutzer zur Verfügung stehen. Zum Beispiel wenn diese ältere Clients oder Webbrowser verwenden, die die verlangten Verschlüsselungen nicht unterstützen.}}
----
 
{{ Hinweis | ! Beim Speichern der neuen Einstellungen werden die Dienste neu gestartet. §Das hat beim Webserver die Folge, dass sich der Administrator und/oder Benutzer des UTM Webinterface neu anmelden müssen. | gelb }}


===CLI===
=== CLI ===
Die Einstellungen, die im Webinterface vorgenommen werden sind auf dem CLI über die nachfolgenden Befehle sichtbar.
{{#var:cli-text| Die Einstellungen, die im Webinterface vorgenommen werden sind auf dem {{hover|CLI|Command Line Interface}} über die nachfolgenden Befehle sichtbar.}}


====Die globalen Einstellungen:====
==== {{#var:cli-global| Globale Einstellungen}} ====


  extc value get application "securepoint_firewall"
  extc value get application "securepoint_firewall"




Das Ergebnis sollte ähnlich wie folgt aussehen:
{{#var:cli-global-result| Das Ergebnis sollte ähnlich wie folgt aussehen:}}
  application        |variable                      |value
  application        |variable                      |value
  --------------------+-------------------------------+-----  
  --------------------+-------------------------------+-----  
Zeile 126: Zeile 342:




Um hier den Wert einer einzelnen Variablen zu ändern, kann folgender Befehl verwendet werden. Geändert wird der Wert der Variablen TLS_VERSION_MIN.
{{#var:cli-global-variable| Um hier den Wert einer einzelnen Variablen zu ändern, kann folgender Befehl verwendet werden. Geändert wird der Wert der Variablen TLS_VERSION_MIN.}}


  extc value set application "securepoint_firewall" variable "TLS_VERSION_MIN" value 1.1
  extc value set application "securepoint_firewall" variable "TLS_VERSION_MIN" value 1.1
Die Änderung erfolgt in diesem Bereich:
{{#var:cli-global-variable-change| Die Änderung erfolgt in diesem Bereich:}}
                     |TLS_VERSION_MAX                |1.2   
                     |TLS_VERSION_MAX                |1.2   
                     |TLS_VERSION_MAX_DEFAULT        |1.2   
                     |TLS_VERSION_MAX_DEFAULT        |1.2   
Zeile 135: Zeile 351:
                     |TLS_VERSION_MIN_DEFAULT        |1.0
                     |TLS_VERSION_MIN_DEFAULT        |1.0


====Einzelne Anwendungen====
==== {{#var:cli-app| Einzelne Anwendungen}} ====
Die Verschlüsselung der '''einzelnen Anwendungen''' können mit demselben Befehl ausgeführt werden. Lediglich der Name der Anwendung muss ausgetauscht werden. Zur Verfügung stehen folgende Anwendungen:
{{#var:cli-app-text| Die Verschlüsselung der '''einzelnen Anwendungen''' können mit demselben Befehl ausgeführt werden. Lediglich der Name der Anwendung muss ausgetauscht werden. Zur Verfügung stehen folgende Anwendungen:}}


  extc value get application "webserver"
  extc value get application "webserver"
Zeile 144: Zeile 360:




Änderungen, die auf dem CLI durchgeführt werden, müssen mit einem Neustart der jeweiligen Anwendung aktiviert werden. Der Befehl dazu lautet:
{{#var:cli-app-change| Änderungen, die auf dem CLI durchgeführt werden, müssen mit einem Neustart der jeweiligen Anwendung aktiviert werden. Der Befehl dazu lautet:}}


  appmgmt restart application "[Name der Anwendung]"
  appmgmt restart application "[{{#var:cli-app-name| Name der Anwendung}}]"

Aktuelle Version vom 31. August 2022, 14:11 Uhr





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht











































}}
}}
















De.png
En.png
Fr.png

Verschlüsselungs-Algorythmen der UTM

Letzte Anpassung zur Version: 11.8.2


Neu:

  • Artikelanpassung
  • Layoutänderungen
  • DH Key-Size 1024 entfernt ( gilt inzwischen als unsicher)


Vorherige Versionen: 11.6


Die Grafik rechts stellt die Abhängigkeit von den Einstellungen einer Anwendung zur Globalen Einstellung anhand des Protokolls SSL v3 dar.

Einleitung

In diesem Menü wird definiert, mit welchem Verschlüsselungsprotokoll die Anwendungen auf der UTM angesprochen werden sollen. Die von Securepoint gewählten Grundeinstellungen gelten zur Zeit als sicher und sind auf Kompatibilität geprüft.
Wenn ein höheres Schutzbedürfnis besteht, können die Einstellungen im Menü → Authentifizierung →Verschlüsselung geändert werden (Jargon: härten).


  • Im Reiter Global werden die Grundeinstellungen angezeigt.
  • Mit Standardwerte überschreiben: Ein können diese Werte für alle Anwendungen überschrieben werden.
  • Die Default-Werte oder
  • Die im Reiter Global vorgenommenen Änderungen wiederum können für jede Anwendung separat überschrieben werden.
  • die Einstellungen in den Menüs der Anwendungen können die Globalen Werte (partiell) übernehmen, indem Wert vom GLOBAL-Tab übernehmen ausgewählt wird.


Die Grafik rechts stellt die Abhängigkeit von den Einstellungen einer Anwendung zur Globalen Einstellung anhand des Protokolls SSL v3 dar.



Verschlüsselung

Die Einstellungen werden vorgenommen im Menu → Authentifizierung →Verschlüsselung

Beschriftung Wert Beschreibung

Global

Global
Standardwerte überschreiben: Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. UTM v11-8 Authentifizierung Verschlüsselung Global.png
Globale Verschlüsselungs-Einstellungen
Minimale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Standardwert verwenden
1.0  (Default)
1.1 
1.2 
Maximale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Standardwert verwenden
1.0 
1.1 
1.2  (Default)
DH Key Size: 2048 Die Länge des Diffie-Hellmann Schlüssels kann auf 2048 Bit (Default) oder 4096 Bit eingestellt werden.
Cipher-Suite:     Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.

Webserver

Webserver
Standardwerte überschreiben: Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. UTM v11-8 Authentifizierung Verschlüsselung Webserver.png
Verschlüsselungseinstellungen für Webserver-Verbindungen
Minimale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Wert vom GLOBAL-Tab übernehmen 
1.0  (Default)
1.1 
1.2 
Maximale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Wert vom GLOBAL-Tab übernehmen 
1.0 
1.1 
1.2  (Default)
DH Key Size: 2048 Die Länge des Diffie-Hellmann Schlüssels kann auf 2048 Bit (Default) oder 4096 Bit eingestellt werden.
ECDH 384 Bit: Ein Verwendet das Elliptic Curve Diffie-Hellman-Verfahren mit 384 Bit zur Schlüsselberechnung.
Cipher-Suite:     Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.
Standardwert:
ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;

SSL-VPN

SSL-VPN

Globale Einstellung der Control-Verbindung:
Standardwerte überschreiben: Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. UTM v11-8 Authentifizierung Verschlüsselung SSL-VPN.png
Verschlüsselung für SSL-VPN-Verbindungen
Minimale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Wert vom GLOBAL-Tab übernehmen 
1.0  (Default)
1.1 
1.2 
Minimale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Wert vom GLOBAL-Tab übernehmen 
1.0 
1.1 
1.2  (Default)
DH Key Size: 2048 Die Länge des Diffie-Hellmann Schlüssels kann auf 2048 Bit (Default) oder 4096 Bit eingestellt werden.
Cipher-Suite:     Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.

Standardwert

TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256:TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA:TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-ECDHE-RSA-WITH-3DES-EDE-CBC-SHA:TLS-ECDHE-ECDSA-WITH-3DES-EDE-CBC-SHA:TLS-DHE-RSA-WITH-3DES-EDE-CBC-SHA:TLS-RSA-WITH-AES-256-GCM-SHA384:TLS-RSA-WITH-AES-128-GCM-SHA256:TLS-RSA-WITH-AES-256-CBC-SHA256:TLS-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-AES-128-CBC-SHA256:TLS-RSA-WITH-AES-128-CBC-SHA:TLS-RSA-WITH-3DES-EDE-CBC-SHA

Mailrelay

Mailrelay
Standardwerte überschreiben: Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. UTM v11-8-2 Authentifizierung Verschlüsselung Mailrelay.png
Verschlüsselungseinstellungen für Verbindungen über das Mailrelay
Minimale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Wert vom GLOBAL-Tab übernehmen 
1.0  (Default)
1.1 
1.2 
Soll TLS erzwungen werden, erfolgt die Einstellung unter → Anwendungen →MailrelayReiter Relaying.
Minimale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Wert vom GLOBAL-Tab übernehmen 
1.0 
1.1 
1.2  (Default)
DH Key Size: 2048 Die Länge des Diffie-Hellmann Schlüssels kann auf 2048 Bit (Default) oder 4096 Bit eingestellt werden.
Cipher-Suite:     Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.

Standardwert

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

Reverse-Proxy

Reverse-Proxy
Standardwerte überschreiben: Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. UTM v11-8 Authentifizierung Verschlüsselung Reverse-Proxy.png
Verschlüsselung für Verbindungen des Reverse-Proxys
Minimale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Wert vom GLOBAL-Tab übernehmen 
1.0  (Default)
1.1 
1.2 
Minimale TLS Version: Auswahl TLS-Version
zur Auswahl stehen:
Wert vom GLOBAL-Tab übernehmen 
1.0 
1.1 
1.2  (Default)
DH Key Size: 2048 Die Länge des Diffie-Hellmann Schlüssels kann auf 2048 Bit (Default) oder 4096 Bit eingestellt werden.
Cipher-Suite:     Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden.

Standardwert

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS


Speichern / Wiederherstellen

Über die Schaltfläche ⤺ Zurücksetzen werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Globalen-Werte zurückgesetzt.Wird Standardwerte überschreiben wieder deaktiviert, werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Standard-Werte der einzelnen Applikation zurückgesetzt.

Das Verändern der Standardvorgaben kann dazu führen, dass nicht mehr alle Ziel-Systeme für alle Benutzer zur Verfügung stehen. Zum Beispiel wenn diese ältere Clients oder Webbrowser verwenden, die die verlangten Verschlüsselungen nicht unterstützen.

Beim Speichern der neuen Einstellungen werden die Dienste neu gestartet. Das hat beim Webserver die Folge, dass sich der Administrator und/oder Benutzer des UTM Webinterface neu anmelden müssen.


CLI

Die Einstellungen, die im Webinterface vorgenommen werden sind auf dem Command Line Interface über die nachfolgenden Befehle sichtbar.

Globale Einstellungen

extc value get application "securepoint_firewall"


Das Ergebnis sollte ähnlich wie folgt aussehen:

application         |variable                       |value
--------------------+-------------------------------+----- 
securepoint_firewall|ANONYMIZELOGS                  |1    
                    |CIPHER_LIST                    |     
                    |CLUSTERADVBASE                 |2    
                    |CLUSTERDEADRATIO               |15   
                    |CLUSTERPREEMTIVE               |0    
                    |CLUSTER_ID                     |1    
                    |CLUSTER_SECRET                 |secret
                    |CRYPTO_OVERRIDE                |0    
                    |DHPARAM_LENGTH                 |2048 
                    |DHPARAM_LENGTH_DEFAULT         |2048 
                    |ECDHE_CURVE                    |secp384r1
                    |FULLCONENAT_ZONE_DST           |external
                    |FULLCONENAT_ZONE_SRC           |internal
                    |HTTP_TRANSPARENT_EXCEPTION_LIST|     
                    |HTTP_TRANSPARENT_LIST          |eth1 
                    |IPCONNTRACK                    |32000
                    |LANG                           |en_US
                    |LASTRULE_LOGGING               |2    
                    |POP3_TRANSPARENT_EXCEPTION_LIST|     
                    |POP3_TRANSPARENT_LIST          |eth1 
                    |PPPOE_LCP_ECHO                 |1    
                    |TLS_VERSION_MAX                |1.2  
                    |TLS_VERSION_MAX_DEFAULT        |1.2  
                    |TLS_VERSION_MIN                |1.0  
                    |TLS_VERSION_MIN_DEFAULT        |1.0  
                    |UPDATE_TRIGGER_DELAY           |2    
                    |USE_ECDHE                      |1    
                    |USE_OTP                        |0   


Um hier den Wert einer einzelnen Variablen zu ändern, kann folgender Befehl verwendet werden. Geändert wird der Wert der Variablen TLS_VERSION_MIN.

extc value set application "securepoint_firewall" variable "TLS_VERSION_MIN" value 1.1

Die Änderung erfolgt in diesem Bereich:

                    |TLS_VERSION_MAX                |1.2  
                    |TLS_VERSION_MAX_DEFAULT        |1.2  
                    |TLS_VERSION_MIN                |1.1  
                    |TLS_VERSION_MIN_DEFAULT        |1.0

Einzelne Anwendungen

Die Verschlüsselung der einzelnen Anwendungen können mit demselben Befehl ausgeführt werden. Lediglich der Name der Anwendung muss ausgetauscht werden. Zur Verfügung stehen folgende Anwendungen:

extc value get application "webserver"
extc value get application "openvpn"
extc value get application "smtpd"
extc value get application "squid-reverse"


Änderungen, die auf dem CLI durchgeführt werden, müssen mit einem Neustart der jeweiligen Anwendung aktiviert werden. Der Befehl dazu lautet:

appmgmt restart application "[Name der Anwendung]"