Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 895 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Protection HTTPS Entschlüsseln und scannen - min TLS 1.2 funktioniert nicht

stetze

Hallo liebe Community,

entweder stehe ich gerade auf dem Schlauch, bin verwirrt oder was auch immer.

Vom BSI gibt es ja diese Basis Anforderung für Webbrowser:

APP.1.2.A2 Unterstützung sicherer Verschlüsselung der Kommunikation (B) Der Webbrowser MUSS Transport Layer Security (TLS) in einer sicheren Version unterstützen. Unsichere Versionen von TLS SOLLTEN deaktiviert werden. Der Webbrowser MUSS den Sicherheitsmechanismus HTTP Strict Transport Security (HSTS) gemäß RFC 6797 unterstützen. Für alle wichtigen öffentlichen TLS-verschlüsselten Web-Dienste SOLLTEN die Domains in die HSTS-Preload Liste des Browsers eingefügt werden.

Unsichere Versionen von TLS = <= TLS 1.2

Ich kann in Chrome, Edge Chromium, Internet Explorer usw. min TLS 1.2 aktivieren, bzw. die Haken bei den älteren TLS Versionen entfernen.

Soweit klar. Jetzt nutzen wir aber über die UTM (9.705-3) die Web Protection mit HTTPS "Entschlüssen und scannen" mit einem vorgeschaltetem Zertifikat unserer CA.

Wenn ich jetzt auf der Webseite badssl.com die Seiten TLS 1.0, TLS 1.1 überprüfe, öffnet er über den Proxy diese Seiten ganz normal.

Surfe ich ohne Proxy erhalte ich wie zu erwarten und auch wie gewünscht die Meldungen:

tls-v1-0.badssl.com verwendet ein nicht unterstütztes Protokoll

tls-v1-1.badssl.com verwendet ein nicht unterstütztes Protokoll

Wie kann ich verhindern, dass sich über den Proxy Seiten mit TLS <= 1.2 öffnen lassen?

Danke im Voraus für eine Rückmeldung.

 

Gruß stetze



This thread was automatically locked due to age.
  • +1

    You need a DPI engine to deny this instead of a proxy. The issue is, you build up two different connections, one client to UTM, the other UTM to website. You can disable TLS1.0 and the communication from client to UTM will be TLS1.2, but the UTM to website downgrades the connection, as the website demands it. 

    Sophos XG Firewall can actually block such pattern with the DPI engine, as it introduced a stream based approach with TLS1.3 decryption. 

    See: https://partnernews.sophos.com/de-de/2020/07/products/making-the-most-of-xg-firewall-v18-part-2/

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hallo LuCar Toni,

    danke für deine Rückmeldung.

    So etwas ähnliches habe ich mir schon gedacht.

    Kann man dies mit einer UTM umsetzen oder benötigt man hierfür zwingend eine XG? Unsere UTM Lizenz läuft noch bis Ende des Jahres, solange wollten wir mit der Migration noch warten.

    Wie erfüllen andere mit einer UTM die Anforderung des BSI? 

    Danke im Voraus für eine Rückmeldung.

    Freundliche Grüsse

    stetze

  • 0 in reply to stetze

    Ich bin sicher die falsche Person, um darüber zu diskutieren, jedoch gibt es einen unterschied zwischen MUSS und SOLLTE. 

    Man kann diese Frage beim BSI platzieren, wenn man nähere Informationen dazu braucht.


    PS: Die UTM Lizenz kann 1:1 migriert und mitgenommen werden. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Ja, das SOLLTE wäre natürlich nur ein Bonus gewesen. Dann muss ich damit erstmal bis zur XG Migration warten. 

    Die Mitnahme der UTM Lizenz ist natürlich eine gute Idee, dann kann man das Projekt vorher schon angehen und muss nicht bis Ende der Laufzeit warten.

    Ich danke dir.

Unfiltered HTML