Zertifikate richtig nutzen bei einer Firewall

Mitglied: nrw1040

nrw1040 (Level 1) - Jetzt verbinden

06.04.2021 um 14:42 Uhr, 442 Aufrufe, 8 Kommentare

Hallo,
ich bin derzeit dabei mich in das Thema Firewalls hereinzuarbeiten und habe zu Testzwecken eine Sophos XG, die ich aber nur in einer Testumgebung einsetze.
Was mir nicht so ganz klar ist, ist das Thema Zertifikate.
Dort gibt es einmal das default-Zertifikat, welches ich mit persönlichen Daten ergänzen muss, so dass es anwendbar ist.
Dann gibt es da auch noch ein SecurityAppliance_SSL_CA. Und die Sophos fungiert ja auch quasi als Zertifizierungsstelle (CA).
Wozu genau brauche ich diese Zertifikate und muss ich diese verteilen?
Mitglied: warranty
06.04.2021, aktualisiert um 16:59 Uhr
Zitat von @nrw1040:
Dann gibt es da auch noch ein SecurityAppliance_SSL_CA. Und die Sophos fungiert ja auch quasi als Zertifizierungsstelle (CA).
Wozu genau brauche ich diese Zertifikate und muss ich diese verteilen?
Wenn die Firewall/UTM den sie passierenden SSL Traffic untersuchen können soll (z.B. um diesen auf Malware zu überprüfen) muss sie den SSL Traffic aufbrechen. Damit dies möglich wird, muss diese für jede vom Client via SSL aufgerufene Domain on the fly ein entsprechendes Zertifikat generieren. Deswegen ist es dann erforderlich das CA Zertifikat (Root-Zertifikat der Zertifizierungsstelle) an die internen Clients in die "vertrauenswürdigen Stammzertifizierungsstellen" zu verteilen, da sie ansonsten diese generierten Zertifikate nicht als vertrauenswürdig einstufen würden und es somit Fehlermeldungen am Client hageln würde.

Gruß w.
Bitte warten ..
Mitglied: aqui
06.04.2021, aktualisiert um 17:16 Uhr
Man braucht es zum Verifizieren der Firewall das sie auch wirklich deine Firewall ist. Ohne ein Zertifikat kann dir ja jeder x-beliebige dir oder deinen Clients zig Firewalls unterschieben und damit bösen Schindluder treiben.

Du kannst das auch hier einmal am Beispiel einer pfSense Firewall sehen:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Bitte warten ..
Mitglied: lcer00
06.04.2021 um 19:33 Uhr
Hallo,

Du brauchst Zertifikate für verschiedene Dinge:
  • die Weboberfläche der Firewall, damit du HTTPS für die GUI nutzen kannst und Du im Browser überprüfen kannst, ob die Firewall echt ist
  • für den HTTPS-SSL-Proxy, wenn er die Verbindung aufbrechen und den Inhalt untersuchen soll
  • für VPN zum Absichern der Verbindung

Zum Testen kannst Du das also komplett ignorieren, es sei denn, einer der Punkte ist für Dich relevant.

Grüße

lcer
Bitte warten ..
Mitglied: nrw1040
06.04.2021 um 20:48 Uhr
Ok,
danke für eure Rückmeldungen.
So langsam wird es klarer.
Aber wie verteile ich denn dann das Zertifikat? Es muss ja nur einmal verteilt werden oder?
Nimmt man dann das default oder das SecurityAppliance_SSL_CA?
Bitte warten ..
Mitglied: lcer00
06.04.2021 um 21:05 Uhr
Hallo,
Zitat von @nrw1040:

Ok,
danke für eure Rückmeldungen.
So langsam wird es klarer.
Sicher?
Aber wie verteile ich denn dann das Zertifikat? Es muss ja nur einmal verteilt werden oder?
Für welchen Zweck willst Du denn das Zertifikat verteilen?

Eigentlich musst Du, egal für welchen Zweck, nicht das Zertifikat selbst, sondern das Zertifikat der Ausstellenden Zertifierungsstelle verteilen. Im Falle des SSL-Zertifikat für die GUI muss das dem Browser oder dem PC als vertrauenswürdig bekannt gemacht werden (es muss im Zwrtifikarsspeicher für Vertrauenswürdige Stammzertigizierungsstellen landen). Beim VPN muss es bei der VPN Gegenstelle landen.

Deine Hausaufgaben-Stichworte sind PKI, Root-CA, IPSec, X.509.

Grüße

lcer
Bitte warten ..
Mitglied: nrw1040
06.04.2021 um 21:17 Uhr
Gibts da vielleicht ein gutes Tutorial im Netz?
Bitte warten ..
Mitglied: lcer00
06.04.2021 um 21:30 Uhr
Zitat von @nrw1040:

Gibts da vielleicht ein gutes Tutorial im Netz?

Zitat von @aqui:

Du kannst das auch hier einmal am Beispiel einer pfSense Firewall sehen:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...

Grüße

lcer
Bitte warten ..
Mitglied: nrw1040
06.04.2021 um 21:53 Uhr
Sorry,
hatte ich nicht gesehen!
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 1 TagFrageFestplatten, SSD, Raid14 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 16 StundenTippErkennung und -Abwehr3 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

LAN, WAN, Wireless
WLAN Bridge mit VLAN Übertragung
kcmurdocVor 1 TagFrageLAN, WAN, Wireless18 Kommentare

ich bin leider im Netzwerk Thema nicht so drinne. Daher wende ich mich an euch. Folgende Aufgabe habe ich. Aktuell gibt es in einem ...