Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL-Proxy

Der SSL-Proxy fungiert als Vermittler und führt eine SSL-Verschlüsselung und -Entschlüsselung zwischen dem Client und dem Server durch. Wenn der SSL-Forward-Proxy aktiviert ist, kann eine bessere Transparenz der Anwendungsnutzung bereitgestellt werden.

SSL-Proxy – Übersicht

SSL-Proxy wird nur auf Geräten der SRX-Serie unterstützt.

Secure Sockets Layer (SSL) ist ein Protokoll auf Anwendungsebene, das Verschlüsselungstechnologie für das Internet bereitstellt. SSL, auch TLS (Transport Layer Security) genannt, gewährleistet die sichere Datenübertragung zwischen einem Client und einem Server durch eine Kombination aus Datenschutz, Authentifizierung, Vertraulichkeit und Datenintegrität. SSL stützt sich für dieses Sicherheitsniveau auf Zertifikate und Exchange-Paare mit privaten und öffentlichen Schlüsseln.

SSL-Proxy ist ein transparenter Proxy, der ssl-Verschlüsselung und -Entschlüsselung zwischen dem Client und dem Server durchführt.

Wie funktioniert SSL-Proxy?

SSL-Proxy ermöglicht die sichere Datenübertragung zwischen einem Client und einem Server durch eine Kombination aus folgenden Komponenten:

  • Authentifizierungsserver-Authentifizierung schützt vor betrügerischen Übertragungen, indem ein Webbrowser die Identität eines Webservers validieren kann.

  • Vertraulichkeit : SSL setzt die Vertraulichkeit durch die Verschlüsselung von Daten durch, um zu verhindern, dass unbefugte Benutzer elektronische Kommunikation abhören; so den Datenschutz der Kommunikation gewährleistet.

  • Integrität: Die Nachrichtenintegrität stellt sicher, dass der Inhalt einer Kommunikation nicht manipuliert wird.

Das Gerät der SRX-Serie, das als SSL-Proxy fungiert, verwaltet SSL-Verbindungen zwischen dem Client an einem Ende und dem Server am anderen Ende und führt folgende Aktionen aus:

  • SSL-Sitzung zwischen Client und SRX-Serie: Beendet eine SSL-Verbindung von einem Client, wenn die SSL-Sitzungen vom Client zum Server initiiert werden. Das Gerät der SRX-Serie entschlüsselt den Datenverkehr, inspiziert ihn auf Angriffe (beide Richtungen) und initiiert die Verbindung im Auftrag der Clients zum Server.

  • SSL-Sitzung zwischen Server und SRX-Serie – Beendet eine SSL-Verbindung von einem Server, wenn die SSL-Sitzungen vom externen Server zum lokalen Server initiiert werden. Das Gerät der SRX-Serie empfängt Klartext vom Client und verschlüsselt und überträgt die Daten als Ciphertext an den SSL-Server. Auf der anderen Seite entschlüsselt die SRX-Serie den Datenverkehr vom SSL-Server, prüft ihn auf Angriffe und sendet die Daten als Klartext an den Client.

  • Ermöglicht die Überprüfung des verschlüsselten Datenverkehrs.

SSL-Proxyserver gewährleistet die sichere Datenübertragung mit Verschlüsselungstechnologie. SSL basiert auf Zertifikaten und Exchange-Paaren mit privaten und öffentlichen Schlüsseln, um die sichere Kommunikation zu gewährleisten. Weitere Informationen finden Sie unter SSL-Zertifikate.

Um eine SSL-Sitzung zwischen dem Gerät der SRX-Serie und dem Client/Server einzurichten und zu pflegen, wendet das Gerät der SRX-Serie Sicherheitsrichtlinien für den datenverkehr an, den es empfängt. Wenn der Datenverkehr den Sicherheitsrichtlinienkriterien entspricht, wird der SSL-Proxy als Anwendungsdienst innerhalb einer Sicherheitsrichtlinie aktiviert.

SSL-Proxy mit Anwendungssicherheitsservices

Abbildung 1 zeigt, wie der SSL-Proxy auf einer verschlüsselten Payload funktioniert.

Abbildung 1: SSL-Proxy auf einer verschlüsselten Payload SSL Proxy on an Encrypted Payload

Wenn erweiterte Sicherheitsservices wie Anwendungsfirewall (AppFW), Intrusion Detection and Prevention (IDP), Anwendungsverfolgung (AppTrack), UTM und SkyATP konfiguriert werden, fungiert der SSL-Proxy als SSL-Server, indem die SSL-Sitzung vom Client beendet und eine neue SSL-Sitzung auf dem Server eingerichtet wird. Das Gerät der SRX-Serie entschlüsselt den gesamten SSL-Proxy-Datenverkehr und verschlüsselt sie erneut.

IDP, AppFW, AppTracking, erweitertes richtlinienbasiertes Routing (APBR), UTM, SkyATP und ICAP-Serviceumleitung können den entschlüsselten Inhalt von SSL-Proxy verwenden. Wenn keine dieser Dienste konfiguriert ist, werden SSL-Proxydienste umgangen, selbst wenn ein SSL-Proxyprofil an eine Firewall-Richtlinie angeschlossen ist.

Arten von SSL-Proxy

SSL-Proxy ist ein transparenter Proxy, der SSL-Verschlüsselung und -Entschlüsselung zwischen dem Client und dem Server durchführt. SRX fungiert aus der Perspektive des Clients als Server und aus Der Serverperspektive als Client. Auf Geräten der SRX-Serie werden Client-Schutz (Forward-Proxy) und Serverschutz (Reverse Proxy) mit dem gleichen Echo-System SSL-T-SSL [Terminator auf der Clientseite] und SSL-I-SSL [Initiator auf der Serverseite]) unterstützt.

Geräte der SRX-Serie unterstützen folgende Arten von SSL-Proxy:

  • Clientschutz SSL-Proxy, auch bekannt als Forward Proxy: Das Gerät der SRX-Serie befindet sich zwischen dem internen Und dem externen Server. Proxy für ausgehende Sitzung, das heißt lokal initiierte SSL-Sitzung, an das Internet. Es entschlüsselt und untersucht den Datenverkehr von internen Benutzern zum Web.

  • Serverschutz SSL-Proxy, auch bekannt als Reverse Proxy: Das Gerät der SRX-Serie befindet sich zwischen dem internen Server und dem externen Client. Proxy-eingehende Sitzung, das heißt extern initiierte SSL-Sitzungen vom Internet zum lokalen Server.

Weitere Informationen zu SSL-Forward-Proxy und Reverse Proxy finden Sie unter Konfigurieren von SSL-Proxy.

Unterstützte SSL-Protokolle

Die folgenden SSL-Protokolle werden auf Geräten der SRX-Serie für den SSL-Initiierungs- und Terminierungsdienst unterstützt:

  • TLS-Version 1.0: Bietet Authentifizierung und sichere Kommunikation zwischen kommunizierenden Anwendungen.

  • TLS-Version 1.1– Diese erweiterte Version von TLS bietet Schutz vor CBC-Angriffen (Cipher Block Chaining).

  • TLS-Version 1.2 — Diese erweiterte Version von TLS bietet eine verbesserte Flexibilität für die Aushandlung von Kryptographiealgorithmen.

  • TLS-Version 1.3 – Diese verbesserte Version von TLS bietet verbesserte Sicherheit und bessere Leistung.

Ab Junos OS Version 15.1X49-D30 und Junos OS Version 17.3R1 werden Protokolle der TLS-Version 1.1 und TLS-Version 1.2 auf Geräten der SRX-Serie zusammen mit TLS Version 1.0 unterstützt.

Ab Junos OS Version 15.1X49-D20 und Junos OS Version 17.3R1 ist die Unterstützung für SSL Protocol 3.0 (SSLv3) veraltet.

Der SSL-Proxy unterstützt ab Junos OS Version 21.2R1 auf Geräten der SRX-Serie DIE TLS-Version 1.3.

Vorteile von SSL Proxy

  • Entschlüsselt SSL-Datenverkehr, um granulare Anwendungsinformationen zu erhalten und Ihnen die Anwendung erweiterter Sicherheitsdienste und die Erkennung von Bedrohungen zu ermöglichen.

  • Erzwingt die Verwendung starker Protokolle und Verschlüsselungen durch den Client und den Server.

  • Bietet Visibilität und Schutz vor Bedrohungen, die in SSL-verschlüsselten Datenverkehr eingebettet sind.

  • Steuert, was mit selektivem SSL-Proxy entschlüsselt werden muss.

Unterstützung logischer Systeme

Es ist möglich, SSL-Proxy für Firewall-Richtlinien zu aktivieren, die mit logischen Systemen konfiguriert werden; Beachten Sie jedoch die folgenden Einschränkungen:

  • Die Kategorie "Services" wird derzeit in der Konfiguration logischer Systeme nicht unterstützt. Da der SSL-Proxy unter "Services" steht, können Sie SSL-Proxyprofile nicht auf einer logischen Systembasis konfigurieren.

  • Da auf globaler Ebene konfigurierte Proxyprofile (innerhalb von "Services SSL Proxy") über logische Systemkonfigurationen sichtbar sind, ist es möglich, Proxyprofile auf globaler Ebene zu konfigurieren und sie dann an die Firewall-Richtlinien eines oder mehrerer logischer Systeme anzuhängen.

Einschränkungen

Auf allen Geräten der SRX-Serie weist die aktuelle SSL-Proxyimplementierung folgende Verbindungsbeschränkungen auf:

  • Die SSLv3.0-Protokollunterstützung ist veraltet.

  • Das SSLv2-Protokoll wird nicht unterstützt. SSL-Sitzungen mit SSLv2 werden abgebrochen.

  • Es wird nur ein X.509v3-Zertifikat unterstützt.

  • Die Client-Authentifizierung von SSL-Handshake wird nicht unterstützt.

  • SSL-Sitzungen, bei denen die Client-Zertifikatsauthentifizierung obligatorisch ist, werden abgebrochen.

  • SSL-Sitzungen, bei denen um Neuverhandlungen gebeten wird, werden abgebrochen.

Auf Geräten der SRX-Serie ist der SSL-Proxy für eine bestimmte Sitzung nur aktiviert, wenn auch eine relevante Funktion in Bezug auf SSL-Datenverkehr aktiviert ist. Funktionen, die mit SSL-Datenverkehr zusammenhängen, sind IDP, Anwendungsidentifizierung, Anwendungs-Firewall, Anwendungsverfolgung, erweitertes richtlinienbasiertes Routing, UTM, SkyATP und ICAP-Weiterleitungsdienst. Wenn keine dieser Funktionen in einer Sitzung aktiv ist, wird die Sitzung durch den SSL-Proxy umgangen, und die Protokolle werden in diesem Szenario nicht generiert.