This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL-Fernzugriff "Authentifizierungsalgorithmus"

Hallo zusammen,

bin gerade in der Einstellungen für den SSL-Fernzugriff über den Authentifizierungsalgorithmus gestolpert und habe gesehen, dass dieser bei uns auf MD5 gestellt ist anstatt auf SHA-1 wie von Sophos standardmäßig empfohlen und die Schlüssellänge auf 1024 anstatt 2048. Kann/Darf/Sollte ich das nun trotz bereits bestehender SSL-Verbindungen abändern oder funktionieren die bereits eingerichteten Verbindungen dann nicht mehr?

This thread was automatically locked due to age.

Top Replies

*Ludo* over 3 years ago in reply to dirkkotte +1

Was bedeutet für dich "gering belastet"? Wir haben wenn`s hoch kommt 10 SSL-User zeitgleich - im Ausnahmefall viell. auch mal 15... Der Ø wird eher bei 7-8 Usern zeitgleich liegen....

Parents

0 dirkkotte over 3 years ago

Hallo Ludo,

Die bestehenden/bereits ausgerollten Verbindungen funktionieren dann nicht mehr.

Die .ovpn Config-Datei muss an alle clients neu verteilt werden.

Dirk

Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Cancel
Vote Up 0 Vote Down

Cancel
0 *Ludo* over 3 years ago in reply to dirkkotte

Wäre es denn zu empfehlen den Authentifizierungsalgorithmus und die Schlüssellänge zu ändern (auf SHA-1 und 2048)?
Cancel
Vote Up 0 Vote Down

Cancel
0 dirkkotte over 3 years ago in reply to *Ludo*

Ich würde auch kein SHA1 mehr einsetzen.

Der Sophos-Client kommt mit allem angebotenen klar.

Sonst: ja, aktualisieren, auch wenn es einiges an Arbeit und Planung bedeutet. Ein Mischbetrieb neu/alt ist leider nicht möglich. Also keine "Übergangszeit"

Dirk

Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 dirkkotte over 3 years ago in reply to *Ludo*

Ich würde auch kein SHA1 mehr einsetzen.

Der Sophos-Client kommt mit allem angebotenen klar.

Sonst: ja, aktualisieren, auch wenn es einiges an Arbeit und Planung bedeutet. Ein Mischbetrieb neu/alt ist leider nicht möglich. Also keine "Übergangszeit"

Dirk

Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Cancel
Vote Up 0 Vote Down

Cancel

Children

0 *Ludo* over 3 years ago in reply to dirkkotte

Was würdest du dann anstatt SHA-1 nutzen? Und welche Schlüssellänge?

Ja, Mischbetrieb ist leider nicht möglich :-(
Cancel
Vote Up 0 Vote Down

Cancel
0 dirkkotte over 3 years ago in reply to *Ludo*

Ich verwende aktuell AES128-cbc / SHA2-256 / 2048Bit ein. Die key-Lifetime von 28800 setze ich hoch, da bei 2FA sonst nach 8 Stunden (weniger als ein Arbeitstag) neu angemeldet werden muss.

Bei gering belasteten Systemen/wenigen gleichzeitigen Verbindungen haben wir auch höhere Werte (AES128 / SHA2-512 / 4069)

... das "hält" wahrscheinlich länger und man spart sich eine Weile weitere Anpassungen.

Dirk

Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Cancel
Vote Up 0 Vote Down

Cancel
0 *Ludo* over 3 years ago in reply to dirkkotte

Was bedeutet für dich "gering belastet"? Wir haben wenn`s hoch kommt 10 SSL-User zeitgleich - im Ausnahmefall viell. auch mal 15... Der Ø wird eher bei 7-8 Usern zeitgleich liegen....
Cancel
Vote Up +1 Vote Down

Cancel
0 dirkkotte over 3 years ago in reply to *Ludo*

10 Verbindungen sollten kein Problem darstellen ... denke ich.

Was für ein Gerät hast du?

Dirk

Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Cancel
Vote Up 0 Vote Down

Cancel
0 *Ludo* over 3 years ago in reply to dirkkotte

SG230 im Aktiv-Passiv-Cluster
Cancel
Vote Up 0 Vote Down

Cancel
0 dirkkotte over 3 years ago in reply to *Ludo*

Mit der sind auch bei hohen Einstellungen bei 10-20 VPN-Usern noch keine Engpässe zu erwarten..

Dirk

Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Cancel
Vote Up 0 Vote Down

Cancel
0 *Ludo* over 3 years ago in reply to dirkkotte

Erstmal vielen Dank für deine hilfreichen Kommentare. Da ich nun aber eh Hand anlegen muss bin ich am überlegen, ob ich nicht von SSL auf IPsec switche. IPsec soll ja nochmals performanter sein?!
Cancel
Vote Up 0 Vote Down

Cancel
0 dirkkotte over 3 years ago in reply to *Ludo*

Das ist sicher einen Versuch wert.

https://support.sophos.com/support/s/article/KB-000038819?language=en_US

Dirk

Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Cancel
Vote Up 0 Vote Down

Cancel
0 *Ludo* over 3 years ago in reply to dirkkotte

Ui, ob das der Aufwand bei meinen paar Usern wert ist?! Habe ich mit IPSec einen elementaren Vorteil (außer dass ich Mischbetrieb fahren könnte)?
Cancel
Vote Up 0 Vote Down

Cancel
0 dirkkotte over 3 years ago in reply to *Ludo*

Ich bleibe derzeit bei OVPN. Das kann der Connect-Client erfreulicherweise ja auch.

Dirk

Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Cancel
Vote Up 0 Vote Down

Cancel