Cipher Suites für SSL-Proxy

Unterstützte Cipher Suites

Der SSL-Proxy fungiert als Vermittler und führt die SSL-Verschlüsselung und -Entschlüsselung zwischen dem Client und dem Server durch, aber weder der Server noch der Client können seine Anwesenheit erkennen. SSL stützt sich auf digitale Zertifikate und Private-Public-Key-Austauschpaare für die Client- und Serverauthentifizierung, um eine sichere Kommunikation zu gewährleisten.

Machen wir uns mit allen Begriffen vertraut, auf die wir in diesem Abschnitt verweisen werden.

• Digital Certificate or CA Certificate —Ein digitales Zertifikat ist ein elektronisches Mittel zur Überprüfung Ihrer Identität durch einen vertrauenswürdigen Dritten, der als Zertifizierungsstelle (Certificate Authority, CA) bezeichnet wird. Alternativ können Sie ein selbstsigniertes Zertifikat verwenden, um Ihre Identität zu bestätigen. Jedes Zertifikat enthält einen kryptografischen Schlüssel zum Verschlüsseln von Klartext oder Entschlüsseln von Chiffretext.

• Certificate Contents– Ein digitales Zertifikat verknüpft einen öffentlichen Schlüssel mit der Identität einer einzelnen Entität, für die es das digitale Zertifikat ausstellt. Ein digitales Zertifikat enthält die folgenden Identifikationsmerkmale:

  • Identifizierung und Unterschrift der Zertifizierungsstelle, die das Zertifikat ausgestellt hat.

  • Gültigkeitsdauer

  • Seriennummer

  • Angaben zum Zertifikataussteller

  • Zu den Informationen über den Betreff gehören identifizierende Informationen (der definierte Name) und der öffentliche Schlüssel.

• Cipher Suite—Eine Cipher Suite ist eine Reihe von kryptografischen Algorithmen. Eine SSL-Verschlüsselung umfasst Verschlüsselungsverfahren, eine Authentifizierungsmethode und Komprimierung. In der Firewall der SRX-Serie verwenden SSL-Sitzungen eine Schlüsselaustauschmethode, bei der kryptografische Schlüssel zwischen dem Client und den Servern mithilfe eines kryptografischen Algorithmus ausgetauscht werden. Die Art des Schlüsselaustauschalgorithmus und die verwendeten Cipher Suites müssen von beiden Seiten unterstützt werden.

  SSL-Sitzungen verwenden die Algorithmen einer Cipher Suite, um:

  • Sichere Einrichtung eines geheimen Schlüssels zwischen zwei kommunizierenden Parteien

  • Schützen Sie die Vertraulichkeit von Daten während der Übertragung

Tabelle 1 enthält die Details zu RSA-Schlüsseln, die von verschiedenen Firewalls der SRX-Serie unterstützt werden.

• Ab Junos OS Version 15.1X49-D30 und Junos OS Version 17.3R1 werden Serverzertifikate mit einer Schlüssellänge von 4096 Bit unterstützt. Vor Junos OS Version 15.1X49-D30 wurden Serverzertifikate mit einer Schlüssellänge von mehr als 2048 Bit aufgrund von Hardwarebeschränkungen für Kryptografie nicht unterstützt.

• Ab Junos OS Version 18.1R1 ist SSL-Proxy-Unterstützung auf SRX300- und SRX320-Geräten verfügbar. Auf SRX300- und SRX320-Geräten werden Serverzertifikate mit einer Schlüssellänge von 4096 Bit nicht unterstützt.

In Tabelle 2 wird eine Liste der unterstützten Verschlüsselungen angezeigt. NULL-Verschlüsselungen sind ausgeschlossen.

Ab Junos OS Version 21.2R1 unterstützt der SSL-Proxy auf Firewalls der SRX-Serie TLS Version 1.3 und bietet verbesserte Sicherheit und Leistung. Tabelle 3 enthält eine Liste der von TLS 1.3 unterstützten Verschlüsselungen.

Ab Junos OS Version 18.4R1 wird die Unterstützung für einige Verschlüsselungen in benutzerdefinierten Verschlüsselungen eingestellt. Tabelle 4 enthält eine Liste der veralteten Verschlüsselungen.

Beachten Sie Folgendes:

• Unterstützte SSL-Verschlüsselungen für die HTTPS-Firewall-Authentifizierung sind RSA-3DES-EDE-CBC-SHA, RSA-AES-128-CBC-SHA und RSA-AES-256-CBC-SHA.

• Verschlüsselungssammlungen, deren Titel "export" enthält, sind für die Verwendung außerhalb der USA vorgesehen und verfügen möglicherweise über Verschlüsselungsalgorithmen mit begrenzten Schlüsselgrößen. Exportchiffren sind standardmäßig nicht aktiviert. Sie müssen entweder die Exportchiffren konfigurieren, um sie zu aktivieren, oder ein inländisches Paket installieren.

• ECDHE-basierte Verschlüsselungssuiten unterstützen die perfekte Forward Secrecy-Funktion im SSL-Proxy.

  Perfect Forward Secrecy ist ein spezielles Schlüsselprotokoll, das sicherstellt, dass alle Transaktionen, die über das Internet gesendet werden, sicher sind. Perfect Forward Secrecy generiert für jede vom Benutzer initiierte Sitzung einen eindeutigen Sitzungsschlüssel. Dadurch wird sichergestellt, dass die Kompromittierung eines einzelnen Sitzungsschlüssels keine Auswirkungen auf andere Daten hat als die, die in der spezifischen Sitzung ausgetauscht werden, die durch diesen bestimmten Schlüssel geschützt ist.

Konfigurieren von Cipher Suites für SSL-Proxy

Sie können die folgenden Optionen in der Konfiguration des SSL-Proxyprofils verwenden, um Verschlüsselungssammlungen festzulegen:

• Bevorzugte Verschlüsselungen: Bevorzugte Verschlüsselungen ermöglichen es Ihnen, eine SSL-Verschlüsselung mit akzeptabler Schlüsselstärke zu definieren: stark, mittel oder schwach.

  Wenn Sie keine der drei Kategorien verwenden möchten, können Sie Chiffren aus jeder der Kategorien auswählen, um einen benutzerdefinierten Verschlüsselungssatz zu erstellen. Benutzerdefinierte Chiffren ermöglichen es Ihnen, Ihre eigene Chiffrierliste zu definieren. Um benutzerdefinierte Verschlüsselungen zu konfigurieren, müssen Sie preferred-ciphers auf custom festlegen. Beispiel:

• Benutzerdefinierte Verschlüsselungen: Mit benutzerdefinierten Verschlüsselungen können Sie Ihre eigene Verschlüsselungsliste definieren. Beispiel:

  Ab Junos OS Version 21.2R1 können Sie auch die folgenden benutzerdefinierten Verschlüsselungen verwenden:

Führen Sie die folgenden Schritte aus, um einen SSL-Proxy mit benutzerdefinierten Verschlüsselungen zu konfigurieren:

• Generieren Sie ein Zertifikat der Stammzertifizierungsstelle, oder importieren Sie Ihr eigenes vertrauenswürdiges Zertifizierungsstellenzertifikat sowie private und öffentliche Schlüssel in das Gerät.

• Erstellen Sie ein SSL-Proxyprofil, und ordnen Sie das Zertifikat der Stammzertifizierungsstelle (Stammzertifizierungsstelle oder das Serverzertifikat) zu.

• Aktivieren Sie die bevorzugte Verschlüsselung im SSL-Proxy als benutzerdefinierte Verschlüsselung und fügen Sie eine benutzerdefinierte Verschlüsselung hinzu

Beispiel:

In diesem Beispiel wird gezeigt, wie eine benutzerdefinierte Verschlüsselung erstellt wird. In diesem Beispiel legen Sie benutzerdefiniert fest preferred-cipher und fügen die Verschlüsselungsliste hinzu (ecdhe-ecdsa-with-aes-256-cbc-sha384 und ecdhe-ecdsa-with-aes-128-cbc-sha256):

Oder

Fahren Sie mit der Konfiguration des SSL-Proxyprofils und dem Anwenden des SSL-Proxyprofils auf eine Sicherheitsrichtlinie fort

ECDSA Cipher Suite-Unterstützung für SSL-Proxy

Ab Junos OS Version 18.3R1 unterstützen Firewalls der SRX-Serie ECDSA Cipher Suites für SSL-Proxy. ECDSA ist eine Version des Digital Signature Algorithm (DSA) und basiert auf der Elliptic-Curve-Kryptographie (ECC). Um ECDSA-Verschlüsselungen auf Ihrem Sicherheitsgerät zu verwenden, müssen Sie Folgendes sicherstellen:

• Fügen Sie die Zertifikate mit ECC-fähigen öffentlichen Schlüsseln auf dem Gerät hinzu. Das ECC-Zertifikat (Elliptic Curve Cryptography) wird nur mit dem Elliptic Prime Curve 256 Bit (P-256) unterstützt.

• Fügen Sie die ECDSA-Zertifikatoption für die Stammzertifizierungsstelle hinzu. Sie können jeweils ein RSA-Zertifikat und ein ECDSA-Zertifikat einschließen. Wenn Sie sowohl über ein ECC- als auch über ein RSA-Zertifikat verfügen, können Sie je nach Kompatibilität des Clients und des Servergeräts einen ECC-basierten Schlüsselaustausch oder RSA-basierten Schlüsselaustausch durchführen.

• Fügen Sie für Reverseproxy das ECDSA-Zertifikat für das Serverzertifikat hinzu. Keine Beschränkung der Anzahl der aufgenommenen ECDSA- oder RSA-Zertifikate.

• Ein vertrauenswürdiges CA-Zertifikat kann entweder ein RSA-basiertes Zertifikat und ein ECDSA-basiertes Zertifikat sein. Alle Funktionen, die von einem RSA-basierten Zertifikat unterstützt werden, wie z. B. Zertifikatscache, Zertifikatsperrliste (Certificate Revocation List, CRL), Zertifikatskette, werden von einem ECDSA-Zertifikat unterstützt.

Konfigurieren von Serverzertifikaten mit einer Schlüsselgröße von 4096 Bit auf SRX300 und SRX320

Ab Junos OS Version 19.4R1 unterstützen SRX300- und SRX320-Geräte RSA-Zertifikate mit einer Schlüssellänge von 4096 Bit. Diese Unterstützung ist nur verfügbar, wenn die Geräte SRX300 und SRX320 im Standalone-Modus betrieben werden.

Sie müssen das SSL-Proxyprofil auf SRX300- und SRX320-Geräten explizit so konfigurieren, dass das Serverzertifikat mit einer Schlüssellänge von 4096 Bit verwendet wird. Beispiel:

SSL-Forward-Proxy-Profil

SSL-Reverse-Proxy-Profil