Letze Anpassung zur Version: 11.8
Bemerkung: Artikelanpassung, Layoutänderungen, DH Key-Size 1024 entfernt ( gilt inzwischen als unsicher)
Vorherige Versionen: 11.6
Einleitung
In diesem Menü wird definiert, mit welchem Verschlüsselungsprotokoll die Anwendungen auf der UTM angesprochen werden sollen.
Die von Securepoint gewählten Grundeinstellungen gelten zur Zeit als sicher und sind auf Kompatibilität geprüft. Wenn ein höheres Schutzbedürfnis besteht, können die Einstellung noch weiter verschärft werden. (Jargon: härten).
Über die Einstellungen im Bereich "Global" werden, übergreifend für alle Anwendungen, die zu verwendenden Protokolle ausgewählt. Die Einstellungen in den Menüs der Anwendungen müssen, um die hier ausgewählten Protokolle zu verwenden, auf "Wert vom GLOBAL-Tab übernehmen" belassen werden.
Die Grafik rechts stellt die Abhängigkeit von den Einstellungen einer Anwendung zur Globalen Einstellung anhand des Protokolls SSL v3 dar.
Verschlüsselung
Die Einstellungen werden vorgenommen im Menu
Global
- Standardwerte überschreiben:
- Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.
- Minimale TLS Version:
- zur Auswahl stehen 1.0 / 1.1 und 1.2
- Maximale TLS Version:
- zur Auswahl stehen 1.0 / 1.1 und 1.2
- DH Key Size:
- Cipher-Suite:
- Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modes definiert werden.
Webserver
- Standardwerte überschreiben:
- Aus Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden.
- Minimale TLS Version:
- zur Auswahl stehen 1.0 / 1.1 und 1.2
- Maximale TLS Version:
- zur Auswahl stehen 1.0 / 1.1 und 1.2
- DH Key Size:
- Die Länge des Diffie-Hellmann Schlüssels kann zwischen 2048 Bit und 4096 Bit gewählt werden.
- Cipher-Suite:
- Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modes definiert werden. Standardwert:
ECDH +AESGCM:DH +AESGCM:ECDH +AES256:DH +AES256:ECDH +AES128:DH +AES:ECDH +3DES:DH +3DES:RSA +AESGCM:RSA +AES:RSA +3DES:!aNULL:!MD5:!DSS
Die Applikation OPENVPN unterstützt das Protokoll SSLv3 nicht. Hier muss die minimal und maximal einzuhaltende TLS Version definiert werden.
Über die Schaltfläche werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Globalen-Werte zurückgesetzt.
Wird Standardwerte überschreiben wieder deaktiviert, werden die Einstellung in dem gerade geöffneten Bereich wieder auf die Standard-Werte der einzelnen Applikation zurückgesetzt.
Achtung! |
Hinweis! |
CLI
Die Einstellungen, die im Webinterface vorgenommen werden sind auf dem CLI über die nachfolgenden Befehle sichtbar.
Die globalen Einstellungen:
extc value get application "securepoint_firewall"
Das Ergebnis sollte ähnlich wie folgt aussehen:
application |variable |value --------------------+-------------------------------+----- securepoint_firewall|CIPHER_LIST | |CLUSTERADVBASE |2 |CLUSTERDEADRATIO |15 |CLUSTERPREEMTIVE |0 |CLUSTER_ID |1 |CLUSTER_SECRET |secret |CRYPTO_OVERRIDE |1 |DHPARAM_LENGTH |1024 |HTTP_TRANSPARENT_EXCEPTION_LIST| |HTTP_TRANSPARENT_LIST |eth1 |IPCONNTRACK |32000 |LANG |en_US |LASTRULE_LOGGING |1 |MANAGER_HOST_LIST |172.16.31.0/24 |POP3_TRANSPARENT_EXCEPTION_LIST| |POP3_TRANSPARENT_LIST |eth1 |PPPOE_LCP_ECHO |1 |UPDATE_TRIGGER_DELAY |2 |USE_OTP |0 |USE_SSL3 |0 |USE_TLS10 |1 |USE_TLS11 |1 |USE_TLS12 |1
Um hier den Wert einer einzelnen Variablen zu ändern, kann folgender Befehl verwendet werden. Geändert wird der Wert der Variablen USE_TLS10.
extc value set application "securepoint_firewall" variable "USE_TLS10" value 0
Die Änderung erfolgt in diesem Bereich:
|USE_SSL3 |0
|USE_TLS10 |0
|USE_TLS11 |1
|USE_TLS12 |1
Die Verschlüsselung der einzelnen Anwendungen können mit demselben Befehl ausgeführt werden. Lediglich der Name der Anwendung muss ausgetauscht werden. Zur Verfügung stehen folgende Anwendungen:
extc value get application "webserver" extc value get application "openvpn" extc value get application "smtpd" extc value get application "squid-reverse"
Änderungen, die auf dem CLI durchgeführt werden, müssen mit einem Neustart der jeweiligen Anwendung aktiviert werden. Der Befehl dazu lautet:
appmgmt restart application "[Name der Anwendung]"