Sie können Advanced TLS traffic inspection für das Eindringungsschutzmodul aktivieren.
 |
HinweisErweiterte TLS-Verkehrsinspektion und SSL-Inspektion unterstützen keinen komprimierten
Datenverkehr.
|
Für einen Überblick über das Modul zur Eindringungserkennung siehe Exploit-Versuche mit Eindringungserkennung sperren.
Erweiterte TLS-Verkehrsinspektion aktivieren
Die erweiterte TLS-Verkehrsinspektion bietet einige Vorteile gegenüber der herkömmlichen
SSL-Inspektionsimplementierung:
- Beseitigt die Notwendigkeit, TLS-Anmeldedaten manuell zu konfigurieren
- Unterstützt mehr Chiffren als die SSL-Inspektion, einschließlich Perfect Forward Secrecy (PFS)-Chiffren
Siehe Unterstützte Chiffriersuiten für eine vollständige Liste der unterstützten Chiffren.
Die erweiterte TLS-Verkehrsinspektion ist standardmäßig aktiviert, wenn das Eindringungsschutzmodul
eingeschaltet ist. Sie können den Status der Funktion überprüfen, indem Sie die Richtlinieneigenschaften
anzeigen: .
Verwenden Sie die erweiterte TLS-Verkehrsinspektion, um den Datenverkehr zu überprüfen
Die erweiterte TLS-Verkehrsinspektion erfordert keine Konfiguration, um zu funktionieren.
Derzeit wird nur eingehender Verkehr auf Windows- und Linux-Plattformen unterstützt.
Weitere Details finden Sie im Thema Unterstützte Funktionen nach Plattform.
Auf Windows unterstützt die erweiterte TLS-Verkehrsinspektion nur den Verkehr, der
Windows-native TLS-Kommunikationskanäle (Secure Channel) verwendet. Zum Beispiel der Verkehr, der von den folgenden Anwendungen erzeugt wird:
- IIS
- Microsoft Exchange
- Remotedesktopprotokoll (RDP)
Auf Linux unterstützt die erweiterte TLS-Verkehrsinspektion nur den Verkehr von beliebten
Webanwendungen: NGINX, Apache HTTP Server und HAProxy.
|
HinweisWenn Sie TLS-Datenverkehr überprüfen müssen, der nicht von der erweiterten TLS-Datenverkehrsinspektion
unterstützt wird, oder TLS-Datenverkehr auf anderen Betriebssystemen, können Sie stattdessen
die Legacy-SSL-Inspektion konfigurieren.
|
SSL-Inspektion konfigurieren (veraltet)
Sie können die SSL-Inspektion für ein bestimmtes Anmeldeinformationen-Port-Paar auf
einer oder mehreren Schnittstellen Ihres geschützten Computers konfigurieren.
Anmeldedaten können im PKCS#12- oder PEM-Format importiert werden. Die Anmeldedatei
muss den privaten Schlüssel enthalten. Windows-Computer können CryptoAPI direkt verwenden.
-
Wählen Sie in der Server- und Workload Protection-Konsole den Computer aus, den Sie konfigurieren möchten, und klicken Sie auf Details, um den Computer-Editor zu öffnen.
-
Klicken Sie im linken Bereich des Computer-Editors auf und klicken Sie auf View SSL Configurations, um das SSL-Computer-Konfigurationsfenster zu öffnen.
-
Klicken Sie auf Neu, um den SSL-Konfigurationsassistenten zu öffnen.
-
Geben Sie die Schnittstelle an, auf die die Konfiguration auf diesem Computer angewendet werden soll:
- Um auf alle Schnittstellen auf diesem Computer anzuwenden, wählen Sie All Interface(s).
- Um auf bestimmte Schnittstellen anzuwenden, wählen Sie Specific Interface(s).
-
Wählen Sie Port(s) oder Ports List aus und wählen Sie eine Liste, dann klicken Sie auf Weiter.
-
Wählen Sie auf dem IP-Auswahlbildschirm All IPs aus oder geben Sie ein Specific IP an, auf dem die SSL-Inspektion durchgeführt werden soll, und klicken Sie dann auf Weiter.
-
Wählen Sie auf dem Anmeldebildschirm aus, wie Sie die Anmeldedaten bereitstellen möchten:
-
I will upload credentials now
-
The credentials are on the computer
Hinweis
Die Anmeldedatei muss den privaten Schlüssel enthalten.
-
-
Wenn Sie die Option gewählt haben, Anmeldedaten jetzt hochzuladen, geben Sie deren Typ, Standort und Passphrase (falls erforderlich) ein. Wenn sich die Anmeldedaten auf dem Computer befinden, geben Sie die Anmeldedetails an.
- Wenn Sie PEM- oder PKCS#12-Anmeldeinformationen verwenden, die auf dem Computer gespeichert sind, identifizieren Sie den Speicherort der Anmeldedatei und die Passphrase der Datei (falls erforderlich).
- Wenn Sie Windows CryptoAPI-Anmeldedaten verwenden, wählen Sie die Anmeldedaten aus der Liste der auf dem Computer gefundenen Anmeldedaten aus.
-
Geben Sie einen Namen und eine Beschreibung für diese Konfiguration an.
-
Überprüfen Sie die Zusammenfassung und schließen Sie den SSL-Konfigurationsassistenten. Lesen Sie die Zusammenfassung des Konfigurationsvorgangs und klicken Sie auf Fertig stellen, um den Assistenten zu schließen.
Porteinstellungen ändern
Ändern Sie die Porteinstellungen für den Computer, um sicherzustellen, dass der Agent
die geeignete Eindringungsprävention-Filterung auf den SSL-aktivierten Ports durchführt.
Die von Ihnen vorgenommenen Änderungen werden auf einen bestimmten Anwendungstyp,
wie Webserver Common, auf dem Agent-Computer angewendet. Die Änderungen wirken sich
nicht auf den Anwendungstyp auf anderen Computern aus.
- Gehen Sie zu Regeln zum Eindringschutz im Detailfenster des Computers, um die Liste der auf diesen Computer angewendeten Regeln zum Eindringschutz anzuzeigen.
- Sortieren Sie die Regeln nach Anwendungstyp und lokalisieren Sie den Anwendungstyp "Webserver Common". (Sie können diese Änderungen auch bei ähnlichen Anwendungstypen vornehmen.)
- Klicken Sie mit der rechten Maustaste auf eine Regel im Anwendungstyp und klicken Sie auf Application Type Properties.
- Überschreiben Sie die geerbte "HTTP"-Portliste, sodass Sie den Port, den Sie während der SSL-Konfiguration definiert haben, sowie Port 80 einschließen. Geben Sie die Ports als durch Kommas getrennte Werte ein. Wenn Sie beispielsweise Port 9090 in der SSL-Konfiguration verwenden, geben Sie 9090, 80 ein.
- Um die Leistung zu verbessern, deaktivieren Sie auf der Konfiguration-Registerkarte Inherited and Monitor responses from Web Server.
- Klicken Sie auf OK, um das Dialogfeld zu schließen.
Verwenden Sie die Eindringungserkennung, wenn der Datenverkehr mit Perfect Forward Secrecy (PFS) verschlüsselt ist
Perfect Forward Secrecy (PFS) kann verwendet werden, um einen Kommunikationskanal zu erstellen, der nicht entschlüsselt
werden kann, wenn zu einem späteren Zeitpunkt der private Schlüssel des Servers kompromittiert
wird. Da das Ziel von Perfect Forward Secrecy darin besteht, die Entschlüsselung nach
Beendigung der Sitzung zu verhindern, wird auch verhindert, dass das Intrusion Prevention-Modul
den Datenverkehr durch SSL-Inspektion sieht.
|
HinweisMit der erweiterten TLS-Verkehrsinspektionsfunktion kann das Intrusion-Prevention-Modul
den mit PFS-Chiffren verschlüsselten Verkehr ohne zusätzliche Konfiguration analysieren.
|
Um PFS-Chiffren stattdessen mit der SSL-Inspektion zu verwenden, können Sie Folgendes
tun:
- Verwenden Sie Perfect Forward Secrecy für TLS-Datenverkehr zwischen dem Internet und Ihrem Load Balancer (oder Reverse Proxy).
- Beenden Sie die Perfect Forward Secrecy-Sitzung an Ihrem Load Balancer (oder Reverse Proxy).
- Verwenden Sie eine Nicht-PFS-Verschlüsselungssuite (siehe SSL-Inspektion unterstützt die folgenden Verschlüsselungssuiten unten) für den Datenverkehr zwischen dem Lastenausgleich (oder Reverse-Proxy) und dem Webserver oder Anwendungsserver, damit das Intrusion-Prevention-Modul auf dem Server die TLS-Sitzungen entschlüsseln und überprüfen kann.
- Beschränken Sie den Datenverkehr zum Webserver für Anwendungsserver-Ports, die keine Perfect Forward Secrecy verwenden.
Besondere Überlegungen zu Diffie-Hellman-Chiffren
|
HinweisDieser Abschnitt gilt nur bei der Verwendung von SSL-Inspektion anstelle der erweiterten
TLS-Verkehrsinspektion.
|
Perfect Forward Secrecy basiert auf dem Diffie-Hellman-Schlüsselaustauschalgorithmus.
Auf einigen Webservern könnte Diffie-Hellman standardmäßig aktiviert sein, was bedeutet,
dass die SSL-Inspektion nicht ordnungsgemäß funktioniert. Es ist daher wichtig, die
Konfigurationsdatei des Servers zu überprüfen und Diffie-Hellman-Verschlüsselungen
für TLS-Verkehr zwischen dem Webserver und dem Load Balancer (oder Reverse Proxy)
zu deaktivieren. Zum Beispiel, um Diffie-Hellman auf einem Apache Server zu deaktivieren:
- Öffnen Sie die Konfigurationsdatei des Servers. Der Dateiname und der Speicherort
der Webserver-Konfigurationsdateien variieren je nach Betriebssystem (OS) und Distribution.
Zum Beispiel könnte der Pfad sein:
- Default installation on RHEL4:
/etc/httpd/conf.d/ssl.conf - Apache 2.2.2 on Red Hat Linux:
/apache2/conf/extra/httpd-ssl.conf
- Default installation on RHEL4:
- Suchen Sie in der Konfigurationsdatei die Variable "
SSLCipherSuite". - Fügen Sie
!DH:!EDH:!ADH:zu diesen Feldern hinzu, wenn dieser String noch nicht vorhanden ist. (Das "!" weist Apache an, diesen Chiffre "nicht" zu verwenden.) - Zum Beispiel könnten Sie die Cipher-Suite der Apache-Konfigurationsdatei so bearbeiten, dass sie folgendermaßen aussieht:
SSLCipherSuite !DH:!EDH:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
Für weitere Informationen siehe die Apache-Dokumentation zur SSLCipherSuite-Direktive.
Unterstützte Chiffriersuiten
|
Hex-Wert
|
OpenSSL-Name
|
IANA-Name
|
NSS-Name
|
Erweiterte TLS-Inspektion
|
SSL-Inspektion (veraltet)
|
|
0x00,0x04
|
RC4-MD5
|
TLS_RSA_WITH_RC4_128_MD5
|
SSL_RSA_WITH_RC4_128_MD5
|
✔
|
✔
|
|
0x00,0x05
|
RC4-SHA
|
TLS_RSA_WITH_RC4_128_SHA
|
SSL_RSA_WITH_RC4_128_SHA
|
✔
|
✔
|
|
0x00,0x09
|
DES-CBC-SHA
|
TLS_RSA_WITH_DES_CBC_SHA
|
SSL_RSA_WITH_DES_CBC_SHA
|
✔
|
✔
|
|
0x00,0x0A
|
DES-CBC3-SHA
|
TLS_RSA_WITH_3DES_EDE_CBC_SHA
|
SSL_RSA_WITH_3DES_EDE_CBC_SHA
|
✔
|
✔
|
|
0x00,0x2F
|
AES128-SHA
|
TLS_RSA_WITH_AES_128_CBC_SHA
|
TLS_RSA_WITH_AES_128_CBC_SHA
|
✔
|
✔
|
|
0x00,0x33
|
DHE-RSA-AES128-SHA
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
|
✔
|
|
|
0x00,0x35
|
AES256-SHA
|
TLS_RSA_WITH_AES_256_CBC_SHA
|
TLS_RSA_WITH_AES_256_CBC_SHA
|
✔
|
✔
|
|
0x00,0x39
|
DHE-RSA-AES256-SHA
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
|
✔
|
|
|
0x00,0x3C
|
AES128-SHA256
|
TLS_RSA_WITH_AES_128_CBC_SHA256
|
TLS_RSA_WITH_AES_128_CBC_SHA256
|
✔
|
✔
|
|
0x00,0x3D
|
AES256-SHA256
|
TLS_RSA_WITH_AES_256_CBC_SHA256
|
TLS_RSA_WITH_AES_256_CBC_SHA256
|
✔
|
✔
|
|
0x00,0x41
|
CAMELLIA128-SHA
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
|
✔
|
✔
|
|
0x00,0x67
|
DHE-RSA-AES128-SHA256
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
|
✔
|
|
|
0x00,0x6b
|
DHE-RSA-AES256-SHA256
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
|
✔
|
|
|
0x00,0x84
|
CAMELLIA256-SHA
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
|
✔
|
✔
|
|
0x00,0x9c
|
AES128-GCM-SHA256
|
TLS_RSA_WITH_AES_128_GCM_SHA256
|
TLS_RSA_WITH_AES_128_GCM_SHA256
|
✔
|
✔
|
|
0x00,0x9d
|
AES256-GCM-SHA384
|
TLS_RSA_WITH_AES_256_GCM_SHA384
|
TLS_RSA_WITH_AES_256_GCM_SHA384
|
✔
|
✔
|
|
0x00,0x9e
|
DHE-RSA-AES128-GCM-SHA256
|
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
|
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
|
✔
|
|
|
0x00,0x9f
|
DHE-RSA-AES256-GCM-SHA384
|
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
|
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
|
✔
|
|
|
0x00,0xBA
|
CAMELLIA128-SHA256
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256
|
✔
|
✔
|
|
0x00,0xC0
|
CAMELLIA256-SHA256
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256
|
✔
|
✔
|
|
0xc0,0x09
|
ECDHE-ECDSA-AES128-SHA
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
|
✔
|
|
|
0xC0,0x0A
|
ECDHE-ECDSA-AES256-SHA
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
|
✔
|
|
|
0xc0,0x13
|
ECDHE-RSA-AES128-SHA
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
|
✔
|
|
|
0xc0,0x14
|
ECDHE-RSA-AES256-SHA
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
|
✔
|
|
|
0xc0,0x23
|
ECDHE-ECDSA-AES128-SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
|
✔
|
|
|
0xc0,0x24
|
ECDHE-ECDSA-AES256-SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
|
✔
|
|
|
0xc0,0x27
|
ECDHE-RSA-AES128-SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
|
✔
|
|
|
0xc0,0x28
|
ECDHE-RSA-AES256-SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
|
✔
|
|
|
0xc0,0x2b
|
ECDHE-ECDSA-AES128-GCM-SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
|
✔
|
|
|
0xc0,0x2c
|
ECDHE-ECDSA-AES256-GCM-SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
|
✔
|
|
|
0xc0,0x2f
|
ECDHE-RSA-AES128-GCM-SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
|
✔
|
|
|
0xc0,0x30
|
ECDHE-RSA-AES256-GCM-SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
|
✔
|
|
|
0xC0,0x9C
|
AES128-CCM
|
TLS_RSA_WITH_AES_128_CCM
|
TLS_RSA_WITH_AES_128_CCM
|
✔
|
✔
|
|
0xC0,0x9D
|
AES256-CCM
|
TLS_RSA_WITH_AES_256_CCM
|
TLS_RSA_WITH_AES_256_CCM
|
✔
|
✔
|
|
0xC0,0xA0
|
AES128-CCM8
|
TLS_RSA_WITH_AES_128_CCM_8
|
TLS_RSA_WITH_AES_128_CCM_8
|
✔
|
✔
|
|
0xC0,0xA1
|
AES256-CCM8
|
TLS_RSA_WITH_AES_256_CCM_8
|
TLS_RSA_WITH_AES_256_CCM_8
|
✔
|
✔
|
|
0xcc,0xa8
|
ECDHE-RSA-CHACHA20-POLY1305
|
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
✔
|
|
|
0xcc,0xa9
|
ECDHE-ECDSA-CHACHA20-POLY1305
|
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
|
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
|
✔
|
|
|
0xcc,0xaa
|
DHE-RSA-CHACHA20-POLY1305
|
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
✔
|
Unterstützte Protokolle
Folgende Protokolle werden unterstützt:
- TLS 1.0
- TLS 1.1
- TLS 1.2
SSL 3.0-Überprüfung wird not unterstützt und standardmäßig gesperrt.