Einleitung
Die Grafik rechts stellt die Abhängigkeit von den Einstellungen einer Anwendung zur Globalen Einstellung anhand des Protokolls SSL v3 dar.
Verschlüsselung
GlobalGlobal | |||
| [[Datei: ]] | |||
| Standardwerte überschreiben: | Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. | ||
Default: | |||
| Maximale TLS Version: | Default: | ||
| DH Key Size: | Die Länge des Diffie-Hellmann Schlüssels kann auf Default oder 4096 Bit eingestellt werden. | ||
| Cipher-Suite: | Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden. | ||
WebserverWebserver | |||
| Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. | [[Datei: ]] | ||
Default: | |||
| Maximale TLS Version: | Default: | ||
| DH Key Size: | Die Länge des Diffie-Hellmann Schlüssels kann auf Default oder 4096 Bit eingestellt werden. | ||
| ECDH 384 Bit: | Ein | Verwendet das Elliptic Curve Diffie-Hellman-Verfahren mit 384 Bit zur Schlüsselberechnung. | |
| Cipher-Suite: | Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden. Standardwert: ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS; | ||
SSL-VPNSSL-VPN | |||
| [[Datei: ]] | |||
Default: | |||
Default: | |||
| DH Key Size: | Die Länge des Diffie-Hellmann Schlüssels kann auf Default oder 4096 Bit eingestellt werden. | ||
Standardwert: TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256 | |||
| Cipher-Suite: | Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden. Standardwert: ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS | ||
MailrelayMailrelay | |||
| Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. | [[Datei:]] | ||
Default: | |||
| Maximale TLS Version: | Default: | ||
| Die Länge des Diffie-Hellmann Schlüssels kann auf Default oder 4096 Bit eingestellt werden. | |||
| Cipher-Suite: | Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden. Standardwert: ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS | ||
Reverse-ProxyReverse-Proxy | |||
| Wird diese Funktion aktiviert, können die Einstellungen für die Protokolle verändert werden. | [[Datei: ]] | ||
Default: | |||
| Maximale TLS Version: | Default: | ||
| Die Länge des Diffie-Hellmann Schlüssels kann auf Default oder 4096 Bit eingestellt werden. | |||
| Cipher-Suite: | Im Feld Cipher-Suite können die gewünschten Verschlüsselungen und Modi definiert werden. Standardwert: ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS | ||
Speichern / Wiederherstellen
CLI
Die Einstellungen, die im Webinterface vorgenommen werden sind auf dem Command Line Interface über die nachfolgenden Befehle sichtbar.
Globale Einstellungen
extc value get application "securepoint_firewall"
Das Ergebnis sollte ähnlich wie folgt aussehen:
application |variable |value
--------------------+-------------------------------+-----
securepoint_firewall|ANONYMIZELOGS |1
|CIPHER_LIST |
|CLUSTERADVBASE |2
|CLUSTERDEADRATIO |15
|CLUSTERPREEMTIVE |0
|CLUSTER_ID |1
|CLUSTER_SECRET |secret
|CRYPTO_OVERRIDE |0
|DHPARAM_LENGTH |2048
|DHPARAM_LENGTH_DEFAULT |2048
|ECDHE_CURVE |secp384r1
|FULLCONENAT_ZONE_DST |external
|FULLCONENAT_ZONE_SRC |internal
|HTTP_TRANSPARENT_EXCEPTION_LIST|
|HTTP_TRANSPARENT_LIST |LAN2
|IPCONNTRACK |32000
|LANG |en_US
|LASTRULE_LOGGING |2
|POP3_TRANSPARENT_EXCEPTION_LIST|
|POP3_TRANSPARENT_LIST |LAN2
|PPPOE_LCP_ECHO |1
|TIF_WHITELIST |
|TLS_VERSION_MAX |1.3
|TLS_VERSION_MAX_DEFAULT |1.3
|TLS_VERSION_MIN |1.2
|TLS_VERSION_MIN_DEFAULT |1.2
|UPDATE_TRIGGER_DELAY |2
|USE_ECDHE |1
|USE_OTP |0
Um hier den Wert einer einzelnen Variablen zu ändern, kann folgender Befehl verwendet werden. Geändert wird der Wert der Variablen TLS_VERSION_MIN.
extc value set application "securepoint_firewall" variable "TLS_VERSION_MIN" value 1.1
Die Änderung erfolgt in diesem Bereich:
|TLS_VERSION_MAX |1.3
|TLS_VERSION_MAX_DEFAULT |1.3
|TLS_VERSION_MIN |1.1
|TLS_VERSION_MIN_DEFAULT |1.2
Einzelne Anwendungen
Die Verschlüsselung der einzelnen Anwendungen können mit demselben Befehl ausgeführt werden. Lediglich der Name der Anwendung muss ausgetauscht werden. Zur Verfügung stehen folgende Anwendungen:
extc value get application "webserver" extc value get application "openvpn" extc value get application "smtpd" extc value get application "squid-reverse"
Änderungen, die auf dem CLI durchgeführt werden, müssen mit einem Neustart der jeweiligen Anwendung aktiviert werden. Der Befehl dazu lautet:
appmgmt restart application "[Name der Anwendung]"