SMTP- und HTTPS-Proxy mit Perfect Forward Security

Im Fireware-Releases 11.11.2 kam eine Option für Perfect Forward Security in den TLS / Deep-Inspection Einstellungen hinzu. Die Einstellungen der jeweiligen Proxies sollten überprüft werden. 

Perfect Forward Security

Perfect Forward Secrecy (PFS) […] ist in der Kryptographie eine Eigenschaft bestimmter Schlüsselaustauschprotokolle. Schlüsselaustauschprotokolle verwenden zuvor ausgetauschte Langzeitschlüssel, um für jede zu verschlüsselnde Sitzung einen neuen geheimen Sitzungsschlüssel zu vereinbaren. Ein Protokoll hat Perfect Forward Secrecy, wenn die verwendeten Sitzungsschlüssel nach der Beendigung der Sitzung nicht mehr aus den geheimen Langzeitschlüsseln rekonstruiert werden können. (Quelle: Wikipedia)

Die Einstellungen befinden sich in den jeweiligen Proxy Actions; die möglichen Einstellungen sind jeweils “none”, “allowed” und “required”.

je nach Fireware Release und Alter der Policy sind diese Einstellungen unterschiedlich vorbesetzt und sollten daher geprüft werden. Am sinnvollsten dürfte es sein, hier überall ein Allowed zu setzen.

Achtung: bei Fireware 11.12.1 wird hier für Devices T50 und kleiner automatisch “none” gesetzt und ist nicht konfigurierbar. Dies soll in Fireware 11.12.2 behoben werden. Siehe hierzu auch unseren Artikel über cipher mismatch.