Reverse Proxy
Moderator: Securepoint
-
- Beiträge: 9
- Registriert: Di 27.12.2022, 15:18
Reverse Proxy
Ich betreibe eine UTM v12 mit aktueller Firmware und möchte die Funktion "Reverse Proxy" nutzen um, entsprechend der gerufenen URL auf unterschiedliche Webserver in meinem Netz zu verteilen.
Info:
Da eine Unternehmens-Zertifizierungsstelle, mit entsprechender Intermediate CA verwendet wird, werden diese mittels Gruppenrichtlinien verteilt.
Entsprechend sind diese Informationen auf den Maschinen vorhanden.
- Die ROOT-CA und auch die UNTERGEORDNETE-CA jeweils über mmc.exe mit Key exportiert und in die Firewall importiert.
- Im Anschluss dann ein entsprechendes SAN-Zertifikat erzeugt und ebenfalls eingebunden.
- Jetzt den Assistenten durchgeklickt und beide Server entsprechend für die Kommunikation freigeschaltet.
- Alles super bis hierhin... Komme zumindest 2 Schritte weiter...
- Jetzt bekomme ich beim Zugriff auf die Seiten den folgenden, ekeligen Fehler...
(71) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:1408F10B:SSL routines:ssl3_get_record:wrong version number
Info:
Da eine Unternehmens-Zertifizierungsstelle, mit entsprechender Intermediate CA verwendet wird, werden diese mittels Gruppenrichtlinien verteilt.
Entsprechend sind diese Informationen auf den Maschinen vorhanden.
- Die ROOT-CA und auch die UNTERGEORDNETE-CA jeweils über mmc.exe mit Key exportiert und in die Firewall importiert.
- Im Anschluss dann ein entsprechendes SAN-Zertifikat erzeugt und ebenfalls eingebunden.
- Jetzt den Assistenten durchgeklickt und beide Server entsprechend für die Kommunikation freigeschaltet.
- Alles super bis hierhin... Komme zumindest 2 Schritte weiter...
- Jetzt bekomme ich beim Zugriff auf die Seiten den folgenden, ekeligen Fehler...
(71) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:1408F10B:SSL routines:ssl3_get_record:wrong version number
Die Firewall mag gerne mit einer aktuellen TLS-Version quatschen. Wenn Ihr Server nur TLS1.0/ TLS1.1 oder so beherrscht, kann da schon passieren. Zumindest waere das meine erste Idee.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
-
- Beiträge: 9
- Registriert: Di 27.12.2022, 15:18
Hallo, ich habe mal eine meiner beiden Domains auf der Seite https://www.ssllabs.com/ssltest/ eingetragen und die Analyse gestartet.
Demnach wird ausgewiesen, dass der Server TLS 1.3 unterstützt, allerdings ist hier wohl eher die Firewall gemeint.
Bei dem Test wurde ebenfalls ausgegeben, dass die Zertifikate nicht bekannt sind (weltweit) was ja richtig ist.
Auf den betreffenden Linux-Maschinen (Webserver-Rechner; Debian) habe ich mal den folgenden Befehl eingegeben:
openssl ciphers -v | awk '{print $2}' | sort | uniq
Der Output lautet:
SSLv3
TLSv1
TLSv1.2
TLSv1.3
Weitere Ideen?
Demnach wird ausgewiesen, dass der Server TLS 1.3 unterstützt, allerdings ist hier wohl eher die Firewall gemeint.
Bei dem Test wurde ebenfalls ausgegeben, dass die Zertifikate nicht bekannt sind (weltweit) was ja richtig ist.
Auf den betreffenden Linux-Maschinen (Webserver-Rechner; Debian) habe ich mal den folgenden Befehl eingegeben:
openssl ciphers -v | awk '{print $2}' | sort | uniq
Der Output lautet:
SSLv3
TLSv1
TLSv1.2
TLSv1.3
Weitere Ideen?
Haben Sie die Zertifikatsbasierte Authentifizierung aktiviert? Dort bitte testweise das CA entfernen
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
-
- Beiträge: 9
- Registriert: Di 27.12.2022, 15:18
Die Methode ist leider nicht aktiviert.
Welche TSL-Version wird denn bei Aufruf des Webservers genutzt um die Verbindung auszuhandeln?
Auf der Firewall koennte man mit curl versuchen, Kontakt aufzunehmen.
Auf der Firewall koennte man mit curl versuchen, Kontakt aufzunehmen.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
-
- Beiträge: 9
- Registriert: Di 27.12.2022, 15:18
In den Internet Properties unter Security sind die Haken für "Use TLS 1.2" und "Use TLS 1.3" gesetzt.
Nicht gesetzt hingegen bei "Use SSL 3.0", "Use TLS 1.0" und "Use TLS 1.1" .
So, wie ich das sehe, ist das System aktuell. Hilft mir nur ein international anerkanntes Intermediate Zertifikat?
Nicht gesetzt hingegen bei "Use SSL 3.0", "Use TLS 1.0" und "Use TLS 1.1" .
So, wie ich das sehe, ist das System aktuell. Hilft mir nur ein international anerkanntes Intermediate Zertifikat?
Von einem Kollegen kam der Vorschlag, temporaer eine Portweiterleitung auf das Ziel zu machen. Dann bitte ueber die Entwicklerwerkzeuge des Browsers schauen, welche TLS Version ausgehandelt wird.
Die Firewall kann ueber "Verschluesselung" auch aeltere TLS-Versionen nutzen. Ob man das moechte steht auf einem anderen Blatt.
Die Firewall kann ueber "Verschluesselung" auch aeltere TLS-Versionen nutzen. Ob man das moechte steht auf einem anderen Blatt.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
-
- Beiträge: 9
- Registriert: Di 27.12.2022, 15:18
Hallo, ich habe die Portweiterleitung eingerichtet, welche jetzt direkt auf den Webserver zeigt.
Der Rechner, auf dem ich die Seite aufrufe, hat die eigenen Zertifizierungsstellen (Stammzertifizierungsstelle des Unternehmens + eine untergeordnete CA) eingebunden.
Die Seite wird angezeigt und das Ergebnis (Entwickler-Tools; Edge; Sicherheit) weist aus:
Die Seite ist sicher (gültiges HTTPS).
Der Rechner, auf dem ich die Seite aufrufe, hat die eigenen Zertifizierungsstellen (Stammzertifizierungsstelle des Unternehmens + eine untergeordnete CA) eingebunden.
Die Seite wird angezeigt und das Ergebnis (Entwickler-Tools; Edge; Sicherheit) weist aus:
Die Seite ist sicher (gültiges HTTPS).
- Zertifikat - Gültig und vertrauenswürdig.
Für die Verbindung mit dieser Website wird ein gültiges, vertrauenswürdiges Serverzertifikat verwenden, das von XXX ausgestellt wurde - Verbindung (Sichere Verbindungseinstellungen)
Die Verbindung mit dieser Website wurde mit TLS 1.3,X25519 und AES_128_GCM verschlüsselt und authentifiziert. - Ressourcen (Sichere Bereitstellung aller Elemente)
Alle Ressourcen auf dieser Seite werden auf sichere Weise bereitgestellt.
-
- Beiträge: 9
- Registriert: Di 27.12.2022, 15:18
Kurze Frage: Kann es sein, dass der über den Reverse Proxy angesteuerte Webserver selbst KEINE Zertifikate besitzen sollte? Wenn ich eine Site OHNE SSL anlege und über den Reverse Proxy darauf zugreife, ist die Übertragung durch den Reverse Proxy verschlüsselt (also dieser überträgt sein Zertifikat), nicht aber der Webserver selbst?
Der Proxy sitzt dazwischen: Nach Außen wird mit dem Zertifikat des Reverse Proxy verschluesselt, nach Intern redet der reverse Proxy je nach gewuenschten Protokoll mit dem internen Webserver, der ein eigenes Zertifikat besitzen kann.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
-
- Beiträge: 9
- Registriert: Di 27.12.2022, 15:18
Sehr seltsam das Ganze. Muss ich weiter untersuchen. Danke für die Info. Der Task könnte für den Moment geschlossen werden.
Aktuell kann es passieren, das der Reverse Proxy und der interne Webserver nicht reden moegen, wenn der interne Server nur TLS 1.0 oder TLS1.1 versteht, selbst wenn Sie das in den Verschluesselungsoptionen in der UTM anpassen. Auch wenn ich dazu sagen muss das es besser waere, den Server in dem Fall zu aktualisieren.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de