TLS-Prüfung erkennt und verhindert erweiterte Bedrohungen in Ihrem Netzwerk über verschlüsselte TLS-Kanäle. Dieses Thema enthält Konzepte im Zusammenhang mit TLS-Prüfung-Funktionen.

TLS-Protokoll

In diesem Thema wird beschrieben, wie der TLS-Protokoll-Handshake funktioniert, um einen verschlüsselten Kanal zwischen dem Client und dem Server einzurichten. In der folgenden Abbildung des TLS-Protokolls werden die verschiedenen Schritte für die Einrichtung eines verschlüsselten Kanals dargestellt.
Abbildung 1. TLS-Protokoll
3-Wege-TLS-Handshake
Zusammenfassung des TLS-Protokolls:
  • TLS initiiert eine TLS-Sitzung über eine eingerichtete TCP-Sitzung zwischen dem Client und dem Server (auch bekannt als 3-Wege-Handshake).
  • Der Client sendet einen Client-Hello, der die unterstützte TLS-Version und ‑Verschlüsselung sowie die SNI-Erweiterung (Server Name Indication) enthält. TLS-Prüfung verwendet SNI im TLS-Client-Hello, um den Datenverkehr mithilfe des Kontextprofils zu klassifizieren, damit das Profil für die interne Entschlüsselung, die externe Entschlüsselung oder die Umgehung der Entschlüsselung verwendet wird.
  • Der Server antwortet mit dem Serverzertifikat zur Authentifizierung und Identifizierung und einem Server-Hello mit der vom Client vorgeschlagenen Version und Verschlüsselung.
  • Sobald der Client das Zertifikat validiert und die endgültige Version und Verschlüsselung überprüft, generiert er einen symmetrischen Sitzungsschlüssel und sendet ihn an den Server.
  • Um den sicheren TLS-Tunnel zu initiieren, der Anwendungsdaten über den verschlüsselten TLS-Kanal austauscht, validiert der Server den Sitzungsschlüssel und sendet die abgeschlossene Meldung.

Standardmäßig zeigt das TLS-Protokoll nur die Identität des Servers für den Client mithilfe des X.509-Zertifikats an, und die Authentifizierung des Clients beim Server bleibt der Anwendungsschicht überlassen.

TLS-Entschlüsselungstypen

Mit der TLS-Prüfung-Funktion können Benutzer Richtlinien zur Entschlüsselung oder Umgehung der Entschlüsselung definieren. Die TLS-Prüfungsfunktion ermöglicht zwei Arten der Entschlüsselung:
  • Interne TLS-Entschlüsselung: für Datenverkehr, der zu einem internen Unternehmensdienst geht, wobei Sie den Dienst, das Zertifikat und den Privatschlüssel besitzen. Dies wird auch als TLS-Reverse-Proxy oder eingehende Entschlüsselung bezeichnet.
  • Externe TLS-Entschlüsselung: für Datenverkehr, der zu einem externen Dienst (Internet) geht, bei dem das Unternehmen nicht Besitzer des Diensts, seines Zertifikats und des Privatschlüssels ist. Dies wird auch als TLS-Weiterleitungs-Proxy oder ausgehende Entschlüsselung bezeichnet.
Das folgende Diagramm zeigt, wie der Datenverkehr von den internen und externen TLS-Entschlüsselungstypen verarbeitet wird.
Abbildung 2. NSX-TLS-Entschlüsselungstypen
Interne und externe TLS-Entschlüsselung auf der NSX Gateway-Firewall
Das folgende Diagramm und die folgende Tabelle erläutern, wie die externe TLS-Entschlüsselung mit NSX funktioniert.
Abbildung 3. Funktionsweise der externen Entschlüsselung
Workflow der externen Entschlüsselung für die TLS-Prüfung
Beschriftung Workflow
1 Die TLS-Client-Hello-SNI wird mit dem Kontextprofil der TLS-Prüfung-Richtlinie abgeglichen.
2 NSX fängt die TLS-Sitzung vom Client ab und initiiert eine neue Sitzung auf dem vorgesehenen Server.
3 NSX erzwingt die TLS-Version und ‑Verschlüsselung (die konfigurierbar ist).
4 Der Server antwortet dem Client mit einem TLS-Zertifikat
5 NSX validiert das Serverzertifikat mithilfe des vertrauenswürdigen CA-Pakets, generiert dynamisch ein Proxy-CA-Zertifikat und präsentiert es dem Client.

Das folgende Diagramm und die folgende Tabelle erläutern, wie die interne TLS-Entschlüsselung mit NSX funktioniert.

Abbildung 4. Funktionsweise der internen Entschlüsselung
Workflow der externen Entschlüsselung für die TLS-Prüfung
Beschriftung Workflow
1 Die TLS-Client-Hello-SNI wird mit dem Kontextprofil für die TLS-Prüfungsrichtlinie abgeglichen, das für die interne Domäne konfiguriert wurde.
2 NSX fängt die TLS-Sitzung vom Client ab und initiiert eine neue Sitzung auf dem beabsichtigten Server.
3 NSX erzwingt die TLS-Version bzw. ‑Verschlüsselung (konfigurierbar).
4 Der Server antwortet mit einem Zertifikat als Teil des TLS-Handshakes (Validierung optional).
5 NSX präsentiert dem Client das Zertifikat des Servers, das als Teil der Konfiguration hochgeladen wurde.