Cipher Suites für SSL-Proxy

Unterstützte Cipher Suites

Der SSL-Proxy fungiert als Vermittler und führt die SSL-Verschlüsselung und -Entschlüsselung zwischen dem Client und dem Server durch, aber weder der Server noch der Client können seine Anwesenheit erkennen. SSL stützt sich bei der Client- und Server-Authentifizierung auf digitale Zertifikate und den Austausch privater und öffentlicher Schlüssel, um eine sichere Kommunikation zu gewährleisten.

Machen wir uns mit allen Begriffen vertraut, auf die wir uns in diesem Abschnitt beziehen werden.

• Digital Certificate or CA Certificate Ein digitales Zertifikat ist ein elektronisches Mittel zur Überprüfung Ihrer Identität durch einen vertrauenswürdigen Dritten, der als Zertifizierungsstelle (Certificate Authority, CA) bezeichnet wird. Alternativ können Sie ein selbstsigniertes Zertifikat verwenden, um Ihre Identität zu bestätigen. Jedes Zertifikat enthält einen kryptografischen Schlüssel zum Verschlüsseln von Klartext oder zum Entschlüsseln von Chiffretext.

• Certificate ContentsEin digitales Zertifikat verknüpft einen öffentlichen Schlüssel mit der Identität einer einzelnen Entität, für die es das digitale Zertifikat ausstellt. Ein digitales Zertifikat enthält die folgenden Identifikationsattribute:

  • Identifizierung und Signatur der Zertifizierungsstelle, die das Zertifikat ausgestellt hat.

  • Gültigkeitsdauer

  • Seriennummer

  • Angaben zum Zertifikatsaussteller

  • Zu den Informationen über das Subjekt gehören identifizierende Informationen (der definierte Name) und der öffentliche Schlüssel.

• Cipher SuiteEine Cipher Suite ist eine Reihe von kryptografischen Algorithmen. Eine SSL-Verschlüsselung umfasst Verschlüsselungschiffren, eine Authentifizierungsmethode und Komprimierung. Bei einer Firewall der SRX-Serie verwenden SSL-Sitzungen eine Schlüsselaustauschmethode, bei der kryptografische Schlüssel zwischen dem Client und den Servern mithilfe eines kryptografischen Algorithmus ausgetauscht werden. Die Art des Schlüsselaustauschalgorithmus und die verwendeten Cipher Suites müssen von beiden Seiten unterstützt werden.

  SSL-Sitzungen verwenden die Algorithmen aus einer Cipher Suite für Folgendes:

  • Sichere Einrichtung eines geheimen Schlüssels zwischen zwei kommunizierenden Parteien

  • Schutz der Vertraulichkeit von Daten während der Übertragung

Plattformspezifisches RSA-Zertifikatsverhalten enthält Details zu den RSA-Schlüsseln, die von verschiedenen Firewalls der SRX-Serie unterstützt werden. Wir unterstützen Serverzertifikate mit einer Schlüsselgröße von 4096 Bit. Bisher wurden Serverzertifikate mit einer Schlüsselgröße von mehr als 2048 Bit aufgrund von Hardwareeinschränkungen für die Kryptografie nicht unterstützt.

Konfigurieren von Serverzertifikaten mit einer Schlüsselgröße von 4096 Bit

Auf ausgewählten Geräten müssen Sie den Knopf im Abschnitt SSL-Proxy-Profilaktionen aktivieren allow-strong-certificate , um RSA-Zertifikate mit einer Schlüsselgröße von 4096 Bit zu verwenden. Weitere Informationen finden Sie unter Plattformspezifisches Verhalten von RSA-Zertifikaten.

SSL-Forward-Proxy-Profil

SSL-Reverse-Proxy-Profil

ECDSA Cipher Suite-Unterstützung für SSL-Proxy

Firewalls der SRX-Serie unterstützen ECDSA-Cipher Suites für SSL-Proxy. ECDSA ist eine Version des Digital Signature Algorithm (DSA) und basiert auf der Kryptografie mit elliptischen Kurven (ECC).

Um ECDSA-Verschlüsselungen auf Ihrem Sicherheitsgerät verwenden zu können, müssen Sie Folgendes sicherstellen:

• Schließen Sie die Zertifikate mit ECC-fähigen öffentlichen Schlüsseln auf dem Gerät ein. Unterstützung ist für das Elliptic Curve Cryptography (ECC)-Zertifikat nur mit dem Elliptic Prime Curve 256 Bit (P-256) verfügbar.

• Schließen Sie die ECDSA-Zertifikatoption für die Stammzertifizierungsstelle ein. Sie können jeweils ein RSA-Zertifikat und ein ECDSA-Zertifikat beifügen. Mit einem ECC- und RSA-Zertifikat können Sie je nach Kompatibilität des Clients und des Servergeräts einen ECC- oder RSA-basierten Schlüsselaustausch durchführen.

• Schließen Sie für den Reverseproxy das ECDSA-Zertifikat für das Serverzertifikat ein. Keine Begrenzung der Anzahl der ECDSA- oder RSA-Zertifikate.

• Ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle kann entweder ein RSA-basiertes Zertifikat oder ein ECDSA-basiertes Zertifikat sein. Alle Funktionen, die für ein RSA-basiertes Zertifikat unterstützt werden, z. B. Zertifikatcache, Zertifikatsperrliste (Certificate Revocation List, CRL), Zertifikatkette, werden für ein ECDSA-Zertifikat unterstützt.

EC-Gruppen (Elliptic Curve) werden in der SSL/TLS-Kommunikation für den Schlüsselaustausch während des Handshake-Prozesses verwendet. Diese Gruppen sind Teil der Elliptic Curve Cryptography (ECC), die eine sichere Kommunikation mit kleinerer Schlüsselgröße ermöglicht, was zu weniger Speicherplatz und einer schnelleren Übertragung und sicheren Kommunikation führt.

Wir unterstützen die folgenden ECC-Kurventypen in SSL-Initiierung, SSL-Beendigung und SSL-Proxy-Profilen:

• P-256-KARTON
• P-384
• P-512-KARTON

Die oben genannten EC-Gruppen sind standardmäßig für die SSL-Initiierung, die SSL-Terminierung und die SSL-Proxy-Profile konfiguriert, und die Prioritätsreihenfolge dieser EC-Gruppen ist die Prioritätsreihenfolge P-256, P-384 und P-521.

Beachten Sie, dass sowohl der Server als auch der Client dieselbe EC-Gruppe unterstützen müssen, um erfolgreich eine sichere Verbindung herzustellen.

Die Konfiguration dieser EC-Gruppen in der SSL-Proxy-Client- und Server-Kommunikation gewährleistet Kompatibilität und Flexibilität beim Aufbau sicherer Verbindungen.

SSL-Verschlüsselungsliste

Tabelle 1 zeigt eine Liste der unterstützten Verschlüsselungen. NULL-Chiffren sind ausgeschlossen.

SSL-Proxy unterstützt TLS Version 1.3 und bietet verbesserte Sicherheit und bessere Leistung. Tabelle 2 zeigt eine Liste der von TLS 1.3 unterstützten Verschlüsselungen.

Tabelle 3 enthält die Liste der veralteten Chiffren.

Beachten Sie Folgendes:

• Unterstützte SSL-Verschlüsselungen für die HTTPS-Firewall-Authentifizierung sind RSA-AES-128-CBC-SHA und RSA-AES-256-CBC-SHA.

• Cipher Suites mit "export" im Titel sind für die Verwendung außerhalb der USA vorgesehen und verfügen möglicherweise über Verschlüsselungsalgorithmen mit begrenzten Schlüsselgrößen. Exportchiffren sind standardmäßig nicht aktiviert. Sie müssen entweder die Exportverschlüsselungen konfigurieren, um ein inländisches Paket zu aktivieren oder zu installieren.

• ECDHE-basierte Cipher Suits unterstützen die Perfect Forward Secrecy-Funktion in SSL-Proxy.

  Perfect Forward Secrecy ist ein spezielles Schlüsselvereinbarungsprotokoll, das sicherstellt, dass alle Transaktionen, die über das Internet gesendet werden, sicher sind. Perfect Forward Secrecy generiert für jede vom Benutzer initiierte Sitzung einen eindeutigen Sitzungsschlüssel. Dadurch wird sichergestellt, dass die Kompromittierung eines einzelnen Sitzungsschlüssels keine Auswirkungen auf andere Daten hat als die Daten, die in der jeweiligen Sitzung ausgetauscht werden, die durch diesen bestimmten Schlüssel geschützt ist.

Konfigurieren von Cipher Suites für SSL-Proxy

Sie können die folgenden Optionen in der Konfiguration des SSL-Proxyprofils verwenden, um Cipher Suites festzulegen:

• Bevorzugte Chiffren: Mit bevorzugten Verschlüsselungen können Sie eine SSL-Verschlüsselung mit akzeptabler Schlüsselstärke definieren: stark, mittel oder schwach.

  Wenn Sie keine der drei Kategorien verwenden möchten, können Sie aus jeder der Kategorien Chiffren auswählen, um einen benutzerdefinierten Verschlüsselungssatz zu bilden. Mit benutzerdefinierten Chiffren können Sie Ihre eigene Verschlüsselungsliste definieren. Um benutzerdefinierte Chiffren zu konfigurieren, müssen Sie preferred-ciphers auf benutzerdefiniert festlegen. Beispiel:

• Benutzerdefinierte Chiffren: Mit benutzerdefinierten Chiffren können Sie Ihre eigene Verschlüsselungsliste definieren. Beispiel:

  Sie können auch die folgenden benutzerdefinierten Chiffren verwenden:

Führen Sie die folgenden Schritte aus, um einen SSL-Proxy mit benutzerdefinierten Verschlüsselungen zu konfigurieren:

• Generieren Sie ein Zertifikat der Stammzertifizierungsstelle, oder importieren Sie Ihr eigenes vertrauenswürdiges Zertifizierungsstellenzertifikat sowie private und öffentliche Schlüssel in das Gerät.

• Erstellen Sie ein SSL-Proxyprofil und ordnen Sie das Zertifikat der Stammzertifizierungsstelle (Stammzertifizierungsstelle oder das Serverzertifikat) zu.

• Aktivieren Sie die bevorzugte Verschlüsselung im SSL-Proxy als benutzerdefinierte Verschlüsselung und fügen Sie eine benutzerdefinierte Verschlüsselung hinzu

Beispiel:

In diesem Beispiel wird gezeigt, wie eine benutzerdefinierte Verschlüsselung erstellt wird. In diesem Beispiel legen preferred-cipher Sie die Option "benutzerdefiniert" fest und fügen die Verschlüsselungsliste hinzu (ecdhe-ecdsa-with-aes-256-cbc-sha384 und ecdhe-ecdsa-with-aes-128-cbc-sha256):

Oder

Fahren Sie mit der Konfiguration des SSL-Proxyprofils und dem Anwenden des SSL-Proxyprofils auf eine Sicherheitsrichtlinie fort