Ab Fireware v12.11: Firebox HTTPS-Proxy setzt auf TLS 1.2

Comment

Ab Fireware v12.11 unterstützt der Firebox HTTPS-Proxy ausschließlich das moderne und sichere TLS 1.2-Protokoll. Ältere TLS-Versionen wie TLS 1.0 und 1.1 weisen lange bekannte Sicherheitslücken auf und werden dementsprechend abgelöst, um den aktuellen Sicherheitsstandards zu entsprechen.

Hinweis: Beim Firmware-Update werden die bisherigen TLS-Einstellungen automatisch angepasst.

Mögliche Probleme

Gegebenenfalls nutzen Sie Spezialsoftware oder Geräte wie beispielsweise Alarmanlagen oder Drucker, die per HTTPS mit externen Zielen kommunizieren.
Sollten diese Systeme noch TLS 1.0 oder 1.1 für die HTTPS-Kommunikation verwenden, werden diese nach dem Upgrade auf Fireware v12.11 aufgrund der fehlenden TLS-Unterstützung im HTTPS-Proxy blockiert.
Beim Versuch einer HTTPS-Kommunikation mit einem veralteten Protokoll erscheint nun die Meldung “ProxyDrop: HTTPS invalid protocol”:

 

Hinweis
  • Im Policy Manager ist die Auswahl der TLS Version 1.0 oder 1.1 zwar weiterhin noch vorhanden,  jedoch werden Änderungen auf diese Protokolle beim Upload auf die Firebox verworfen. In der Web-UI gibt es diese Auswahlmöglichkeit gar nicht mehr.

In der Web-UI hingegen steht Ihnen keine Auswahl der älteren TLS-Versionen zur Verfügung:

Vorübergehende Lösung: Paketfilter konfigurieren

Falls bestimmte Geräte oder Anwendungen weiterhin auf die alten TLS-Versionen angewiesen sind, können Sie eine temporäre Ausnahme mit einem HTTPS-Paketfilter erstellen.

Hinweis: Der Zugriff sollte nur für die unbedingt notwendigen Geräte und Ziele erlaubt werden. Vermeiden Sie großflächige Freigaben, denn der Weg via Paketfilter bietet deutlich weniger Möglichkeiten für die Firebox auf mögliche Bedrohungen zu prüfen!

Anleitung:

Legen Sie einen HTTPS-Paketfilter, bspw. per WatchGuard System Manager (WSM), für die benötigte Kommunikation der betroffenen Systeme an.

  1. Fügen Sie dafür eine neue Regel mit Add Policy hinzu und wählen Sie den vordefinierten Paketfilter HTTPS aus:
  2. Tragen Sie in die Felder FROM und TO die notwendigen Aliase, Fully Qualified Domain Names (FQDNs) oder IP-Adressen so spezifisch wie möglich ein und schreiben Sie anschließend die neue Konfiguration auf Ihre Firebox.

Fazit

Das Update auf TLS 1.2 ist ein notwendiger Schritt, um die Sicherheit moderner Netzwerke zu gewährleisten. Heutzutage sollte im Idealfall kein System noch die veralteten TLS-Versionen 1.0 und 1.1 zur Kommunikation nutzen. In der Realität lässt sich das jedoch nicht immer ausschließen. Typische Client-Computer sind hiervon nicht betroffen, da alle gängigen Browser schon seit geraumer Zeit die aktuelle TLS-Version 1.2 nutzen. Auch wenn der Übergang manchmal mit Kompatibilitätsproblemen verbunden ist, bieten temporäre Maßnahmen wie Paketfilter eine praktikable Lösung. Auf Dauer empfiehlt sich jedoch ein Upgrade der betroffenen Software oder Hardware. Dadurch stellen Sie sicher, dass Ihre gesamte Infrastruktur den aktuellen Sicherheitsstandards entspricht und vor potenziellen Angriffen geschützt bleibt.

Hinterlasse eine Nachricht

Deine E-Mail-Adressse wird nicht veröffentlicht. Markierte Felder sind Pflichtfelder *