Netzwerkverkehr wird immer häufiger verschlüsselt. Berichten von Google zufolge stieg der Anteil von über HTTPS geladenen Seiten unter Windows im vergangenen Jahr von 82 % auf 87 % an. Bei Macs liegt der Wert sogar bei 93 %. In nicht allzu ferner Zukunft erscheint ein zu 100 % verschlüsseltes Internet also durchaus denkbar. Im zweiten Teil unserer Artikelreihe zur optimalen Nutzung der leistungsstarken neuen Funktionen der XG Firewall v18 stellen wir Ihnen hilfreiche Materialien und Tools für die neue „Xstream TLS 1.3 Inspection“-Lösung in der XG Firewall (v18) vor.
Xstream SSL Inspection
Im Fokus unseres letzten Artikels standen die Xstream-Architektur sowie die neue DPI Engine in der XG Firewall v18. Unsere neue TLS-Inspection-Lösung ist eine zentrale Komponente der neuen Architektur. Sie liefert Entschlüsselung für TLS/SSL-verschlüsselten Datenverkehr mit nativer Unterstützung von TLS 1.3.
Da Traffic mittlerweile in der Regel verschlüsselt durch die Firewall fließt, ist TLS Inspection unverzichtbar geworden. Sie sorgt dafür, dass die Firewall eingehende Inhalte überprüfen kann. In unserem nächsten Artikel zeigen wir, wie effizient die DPI Engine neue, bisher unbekannte Ransomware und andere Bedrohungen erkennt, sofern der Traffic überprüft werden kann (d. h. unverschlüsselt ist).
Funktionsweise
Unverschlüsselter Traffic, der von der DPI Engine untersucht werden soll, wird zunächst zur Entschlüsselung an die TLS Inspection Engine geleitet. Im Anschluss wird der Traffic erneut verschlüsselt und an das Ziel übertragen. Sie möchten mehr über die Funktionsweise und Relevanz von Verschlüsselung und Inspection erfahren? Hilfreiche Informationen finden Sie hier:
Die neue, innovative Xstream TLS Inspection Engine der XG Firewall ist die perfekte Lösung für das moderne, verschlüsselte Internet von heute:
- Hervorragende Performance und hohe Verbindungskapazitäten
- Maximale Transparenz über verschlüsselten Datenverkehr und Fehler
- Intuitive Tools zur Behebung von Fehlern und Ausnahmen mit wenigen Klicks
- Unterstützung von TLS 1.3 ohne Downgrade
- Unterstützung aller modernen Verschlüsselungssammlungen mit robuster Zertifikatverifizierung
- Inspektion des gesamten Datenverkehrs (port- und anwendungsagnostisch)
- Leistungsstarke, flexible Richtlinientools, die eine perfekte Balance zwischen Performance, Datenschutz und Schutz ermöglichen
Erste Schritte mit TLS Inspection
Im letzten Artikel haben wir bereits gezeigt, dass sich die neue TLS-Engine in der XG Firewall v18 ganz einfach nutzen lässt. Ihre Kunden müssen hierzu lediglich ein Kontrollkästchen in der Firewall aktivieren und eine Regel auf der neuen Registerkarte „SSL/TLS-Inspection-Regeln“ (siehe unten) erstellen.
Einen schnellen Überblick über die SSL/TLS-Inspection-Regel finden Sie in unserem kurzen How-to-Video: Unsere Online-Dokumentation bietet eine ausführliche, schrittweise Anleitung zur Erstellung von SSL/TLS-Inspection-Regeln und Entschlüsselungsprofilen:
- SSL/TLS-Inspection-Regeln
- Entschlüsselungsprofile
- SSL/TLS-Inspection-Einstellungen
- SSL-CA-Zertifikat bereitstellen
Wir empfehlen Ihnen und Ihren Kunden einen schrittweisen Einstieg in die TLS-Verschlüsselung. So bietet sich etwa an, die Funktion zunächst in einer begrenzten Verwaltungseinheit oder auf Testsystemen zu installieren, um sich mit der neuen TLS Inspection sowie mit Regeln, Protokollierung, Reporting und Fehlerbehebung vertraut zu machen. Da nicht alle Anwendungen und Server TLS Inspection vollständig unterstützen, empfehlen wir Administratoren, das Control Center auf Fehler zu überwachen und problematische Sites und Services mit den integrierten Tools auszuschließen. Dank der beiden vorkonfigurierten TLS-Inspection-Regeln der XG Firewall lasen sich Ausschlüsse ganz einfach einrichten. Standardmäßig werden vertrauenswürdige Domains, die bekanntermaßen nicht mit der TLS-Entschlüsselung kompatibel sind (z. B. iCloud, diverse Microsoft-Domains usw.) ausgeschlossen. Administratoren können diese Regeln einfach direkt über das Widget im Control Center anpassen oder Ausschlussregeln direkt aktualisieren.
Das neue Widget im Control Center liefert auf einen Blick Informationen zum verschlüsselten Datenverkehr und zu potenziellen Fehlern sowie deren Ursache.
Mit wenigen Klicks lassen sich Fehler beheben.
Wir empfehlen, die DPI Engine und TLS Inspection nach und nach im Netzwerk zu implementieren, wenn Sie und Ihre Kunden sich mit den neuen Features vertraut gemacht haben. Zur schnellen und effizienten Übertragung des CA-Zertifikats der TLS Inspection auf mehr Systeme empfehlen wir Ihnen den in die Gruppenrichtlinienverwaltungs-Tools von Microsoft Active Directory integrierten Assistenten. Beim Roll-out der TLS Inspection im Netzwerk sollten Sie bzw. Ihre Kunden die Systemleistung genau im Auge behalten: Zwar bringt die Xstream Architektur in v18 der XG Firewall dank TLS Inspection enorme Performance-Steigerungen mit sich, da jedoch jetzt 80 bis 90 % des TLS-Datenverkehrs überprüft werden müssen (statt bisher 0 %), kann es im Vergleich zum Normalbetrieb der Firewall zu Leistungseinbußen kommen. Mitunter bietet sich vor diesem Hintergrund auch ein Upgrade auf ein Hardware-Modell mit mehr Kapazitäten an. Auf die Überprüfung von TLS-Datenverkehr sollte jedoch in keinem Fall verzichtet werden, da Cyberkriminelle diese Schwachstelle immer häufiger ausnutzen. Sämtliche Materialien zur optimalen Nutzung der neuen Funktionen der XG Firewall, einschließlich Xstream TLS Inspection, auf einen Blick:
- XG Firewall Getting Started Guide
- Umfassende Online-Dokumentation zur XG Firewall
- How-to-Videos zu den neuen Funktionen in v18
- Ausführliche FAQ zur HTTPS-Entschlüsselung
- Umfassende Liste hilfreicher Community-Artikel zu v18
Erfolgreich verkaufen mit der XG Firewall
Im Partner-Portal steht eine Fülle an Vertriebs-Assets für Sie bereit. Sie können Assets nach Kategorien filtern. Zudem können Sie sich in unserem Partner-Portal über regionale Sales Promotions informieren. Es lohnt sich also, unser Portal regelmäßig zu besuchen, damit Ihnen keine Assets oder Aktionen entgehen.
