Reverse Proxy; SSL TLS cipher-suites editieren / downgrade

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
horschd
Beiträge: 25
Registriert: Mo 28.06.2021, 11:39

Reverse Proxy; SSL TLS cipher-suites editieren / downgrade

Beitrag von horschd »

Hallo Forum,

auf unserer v12.x-UTM habe ich im aktuellen Reverse-Proxy vom squid das Problem,
dass ein Client eines IIS wohl ältere, kompatiblere SSL/TLS-cipher-suites benötigt.

Ein (alter) und schlecht programmierter Windows-Client möchte sich auf den IIS verbinden via Reverse Proxy der UTM (da dieser ein beglaubites LE mSAN-Zert hat),
doch dies scheitert, da der Client meldet "SSL Error" - andere Webapplikationen wie zB. ein moderner Webbrowser meckern nicht. 

1.Nun die Frage, wie man und ob man in der squid_reverse.conf rumspielen kann bzw. darf?

Ich sehe hier ua folgende Parameter, an denen man basteln könnte

$override  = application_get_variable("securepoint_firewall", "CRYPTO_OVERRIDE")
$tls_port  = 443
$std_port  = 80
$sslcipher = "ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS"
$sslproto = "!ALL,"


Welchem Standard entsprechen denn die Suites momentan? TLS 1.3, nehme ich an?
Gibt's hier Möglichkeiten, noch ein wenig "kompatibler" zu sein zwecks Client ?
Wenn ja, wo muss ich Hand anlegen und welche Cipher-Suite-Strings könnte ich verwenden?


2. Hilft es, wenn ich im squid-access und im squid-cache-log reinschaue auf der SSH-ebene?



Vielen Dank

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

in der UTM unter Authentifizierung => Verschlüsselung => REVERSE-PROXY kann man die TLS Versionen und Cipher anpassen.
Die alte Cipher-Suite war:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES256-GCM-SHA384:AES128-SHA256:AES128-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK

Gruß Björn

horschd
Beiträge: 25
Registriert: Mo 28.06.2021, 11:39

Beitrag von horschd »

Hallo Björn,

Daumen hoch!
Vielen Dank - das hat geholfen =)

Antworten