FortiGate SSL Inspection deaktivieren

5
(1)

Die FortiGate SSL/TLS-Inspektion ist der Prozess des Abfangens von SSL/TLS-verschlüsselter Internetkommunikation zwischen dem Client und dem Server. Das Abfangen kann zwischen dem Sender und dem Empfänger und umgekehrt (Empfänger zum Sender) ausgeführt werden – es ist die gleiche Technik, wie sie bei Man-in-the-Middle (MiTM)-Angriffen ohne die Zustimmung beider Seiten verwendet wird.

SSL/TLS Deep Inspection in der Praxis

Wenn Deep Inspection verwendet wird, gibt sich die FortiGate als Empfänger der ursprünglichen SSL-Sitzung aus, entschlüsselt und untersucht dann den Inhalt, um Bedrohungen zu finden und zu blockieren. Anschließend wird der Inhalt erneut verschlüsselt und an den echten Empfänger gesendet.

In der Praxis kommt es dabei schon mal zu ungewollten Blockierungen, insbesondere bei der Nutzung von Self-signed SSL-Zertifikate, dabei verhält sich die FortiGate wie eine Blackbox. Auch wird oft festgestellt, dass für Outlook Clients die Verbindung zum Exchange Server verweigert wird, dabei Outlook folgenden Fehler ausgibt.

Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor.
Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen mail.example.org überein.
Outlook kann keine Verbindung zum Proxy-Server herstellen. (Fehlercode 8000000).

Um die FortiGate SSL Inspection ganz zu deaktivieren, kann man unter Security Profiles – SSL/SSH Inspection, für das Read-only Profile no-inspection ein Clone anlegen, und diesen entsprechend konfigurieren.

Unter Protocol Port Mapping wird für HTTPS ein ungenutzter Port eingetragen, hierdurch findet für Port 443 keine SSL/TLS Deep Inspection mehr statt. Das konfigurierte Profile custom-no-inspection für die entsprechnden Policy aktivieren. Bei Policy für interne und VPN Verbindungen sollte eine SSL/TLS Deep Inspection nicht erforderlich sein.

Wie hilfreich war dieser Beitrag?

Klicke auf die Sterne um zu bewerten!

Durchschnittliche Bewertung 5 / 5. Anzahl Bewertungen: 1

Bisher keine Bewertungen! Sei der Erste, der diesen Beitrag bewertet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert