Sophos Firewall Grundregel

Guten Morgen,
so habe gestern noch einiges gelesen zum Thema Proxy in der XG. Eine Frage hierzu:
Es wird immer wieder davon geschrieben, dass man das von der Firewall ausgestellte Zertifikat (default), welches ich dann mit den persönlichen Daten erweitert habe, an alle Clients verteilen sollte. Wofür wird dieses Zertifikat genau benötigt und kann ich es auch einfach in der Domäne bereit stellen?

Also ich habe ja einmal das Default-Zertifikat und das SecurityAppliance_SSL_CA - welches setze ich wann ein?
 
Zuletzt bearbeitet:
Danke für deine Rückmeldung.
Also müsste dann ja quasi das SecurityAppliance_SSL_CA an die Clients einmalig verteilt werden-richtig?
Kann ich das automatisieren oder muss ich jetzt bei jedem Client das händisch installieren?
Und wie sieht es bei Tablets und Handys aus?
 
Nabend,

die benötigten Zertifikate kannst du über GPOs auf deinem Domaincontroller verteilen. Für Mobile Geräte macht man das wohl mit einem entsprechenden MDM. Zumindest bei der Sophos SG haben wir dafür Sophos Device Management genutzt. Allerdings musste man das zusätzlich mit lizensieren und als entsprechenden Dienst aufsetzen.

Wenn die Sophos als Reverse Proxy arbeitet kann sie z.B. HTTP Anfragen annehmen und diese auf HTTPS "umschreiben". Hierfür wird ein gültiges Zertifikat einer gültigen CA benötigt. Wenn man jetzt, so wie du Self Signed Zertifikate nutzt, muss diese Zertifikatkette den Clients natürlich bekannt und vertraut sein, da es sonst zu Fehlermeldungen kommt.

Wenn ich mich richtig erinnere haben wir damals unser public Wildcard Zertifikat genutzt, da wir verschiedenste Webdienste durch den Proxy geschützt haben. Wenn du das Ganze nur intern nutzt mag das mit Self Signed Certificates funktionieren. Sobald jedoch Dienste veröffentlich werden, klappt das Ganze nicht mehr.

Ähnlich läuft das bei SSL-VPN.
Für eine korrekte Verbindung muss der Client eine gültige Zertifikatskette besitzen, ob Self Signed, oder von einer Public CA ist erstmal egal.

Sinnvoll ist es aufjendenfall die "Serverdienste" über verschiedene Serverzertifikate zu ziehen. Für den Fall, dass ein Zertifikat kompromittiert wird, ist dann "nur" der jeweilige Dienst betroffen. Das wäre jedoch trotzdem ein sehr ernst zu nehmendes Sicherheitsrisiko!
Je mehr Zertifikate sich ansammeln umso wichtiger wird auch das Thema der Zertifikatsverwaltung, da du die verschiedenen Ablaufdaten, Gültigkeiten, Revocation Lists und ggf. unterschiedliche Schlüsselalgorithmen im Blick haben solltest.

Grüße

EDIT: möchte nur nochmal betonen, ich hab nicht wirklich Erfahrung mit der XG. Ich reime mir das gerade so zusammen. Es gibt sicherlich elegantere, oder sinnvollere Wege.
 
Zuletzt bearbeitet:
Danke für deine ausführliche Antwort.
Aber die Firewall stellt doch ein Zertifikat zur Verfügung - dann ist doch die Firewall in dem Sinne die Ausstellungsstelle oder?
Würde es für meinen Fall nicht reichen, dass Zertifikat der Firewall per GPO an die Clients zu verteilen?
"Mehr" muss doch an sich nicht gemacht werden oder?
 
Richtig, deine Firewall ist auch gleichzeitig die CA. Deswegen ja Self Signed Certificate ;)
Für mein Empfinden würde das von dir beschrieben vorgehen ausreichen.

Sobald du jedoch Dienste im Internet bereitstellen möchtest, gibt es eine Fehlermeldung da dein verwendetes Zertifikat bei keiner Root CA bekannt ist.
 
Ja ok, Dienste stelle ich ja ersteinmal nicht zur Verfügung und habe ich auch nicht vor.
Mir geht es einfach nur darum, um das Surfen der Clients und das dort nicht immer die Fehlermeldungen "nicht sicher bzw. nicht privat" erscheinen. Das würde ich doch dann beheben oder?

Ach ja, kann man die Firewall eigentlich generell als Stammzertifizierungsstelle für die Domäne nutzen?
 
Guten Morgen,
wenn ich mich lokal auf die Sophos aufschalte per Browser und IP-warum wird mir dann immer "nicht sicher" angezeigt? Muss ich dafür ein anderes Zertifikat installieren?
444444.jpg
 
Klick mal auf "nicht sicher", lass dir das Zertifikat anzeigen & vergleich es mal mit dem was du in der Adresszeile eingegeben hast ;)
 
Zurück
Oben