TLS-Prüfung erkennt und verhindert erweiterte Bedrohungen in Ihrem Netzwerk über verschlüsselte TLS-Kanäle. Dieses Thema enthält Konzepte im Zusammenhang mit TLS-Prüfung-Funktionen.
TLS-Protokoll
In diesem Thema wird beschrieben, wie der TLS-Protokoll-Handshake funktioniert, um einen verschlüsselten Kanal zwischen dem Client und dem Server einzurichten. In der folgenden Abbildung des TLS-Protokolls werden die verschiedenen Schritte für die Einrichtung eines verschlüsselten Kanals dargestellt.
Zusammenfassung des TLS-Protokolls:
- TLS initiiert eine TLS-Sitzung über eine eingerichtete TCP-Sitzung zwischen dem Client und dem Server (auch bekannt als 3-Wege-Handshake).
- Der Client sendet einen Client-Hello, der die unterstützte TLS-Version und ‑Verschlüsselung sowie die SNI-Erweiterung (Server Name Indication) enthält. TLS-Prüfung verwendet SNI im TLS-Client-Hello, um den Datenverkehr mithilfe des Kontextprofils zu klassifizieren, damit das Profil für die interne Entschlüsselung, die externe Entschlüsselung oder die Umgehung der Entschlüsselung verwendet wird.
- Der Server antwortet mit dem Serverzertifikat zur Authentifizierung und Identifizierung und einem Server-Hello mit der vom Client vorgeschlagenen Version und Verschlüsselung.
- Sobald der Client das Zertifikat validiert und die endgültige Version und Verschlüsselung überprüft, generiert er einen symmetrischen Sitzungsschlüssel und sendet ihn an den Server.
- Um den sicheren TLS-Tunnel zu initiieren, der Anwendungsdaten über den verschlüsselten TLS-Kanal austauscht, validiert der Server den Sitzungsschlüssel und sendet die abgeschlossene Meldung.
Standardmäßig zeigt das TLS-Protokoll nur die Identität des Servers für den Client mithilfe des X.509-Zertifikats an, und die Authentifizierung des Clients beim Server bleibt der Anwendungsschicht überlassen.
TLS-Entschlüsselungstypen
Mit der
TLS-Prüfung-Funktion können Benutzer Richtlinien zur Entschlüsselung oder Umgehung der Entschlüsselung definieren. Die TLS-Prüfungsfunktion ermöglicht zwei Arten der Entschlüsselung:
- Interne TLS-Entschlüsselung: für Datenverkehr, der zu einem internen Unternehmensdienst geht, wobei Sie den Dienst, das Zertifikat und den Privatschlüssel besitzen. Dies wird auch als TLS-Reverse-Proxy oder eingehende Entschlüsselung bezeichnet.
- Externe TLS-Entschlüsselung: für Datenverkehr, der zu einem externen Dienst (Internet) geht, bei dem das Unternehmen nicht Besitzer des Diensts, seines Zertifikats und des Privatschlüssels ist. Dies wird auch als TLS-Weiterleitungs-Proxy oder ausgehende Entschlüsselung bezeichnet.
Das folgende Diagramm zeigt, wie der Datenverkehr von den internen und externen TLS-Entschlüsselungstypen verarbeitet wird.
Das folgende Diagramm und die folgende Tabelle erläutern, wie die externe TLS-Entschlüsselung mit NSX funktioniert.
Beschriftung | Workflow |
---|---|
1 | Die TLS-Client-Hello-SNI wird mit dem Kontextprofil der TLS-Prüfung-Richtlinie abgeglichen. |
2 | NSX fängt die TLS-Sitzung vom Client ab und initiiert eine neue Sitzung auf dem vorgesehenen Server. |
3 | NSX erzwingt die TLS-Version und ‑Verschlüsselung (die konfigurierbar ist). |
4 | Der Server antwortet dem Client mit einem TLS-Zertifikat |
5 | NSX validiert das Serverzertifikat mithilfe des vertrauenswürdigen CA-Pakets, generiert dynamisch ein Proxy-CA-Zertifikat und präsentiert es dem Client. |
Das folgende Diagramm und die folgende Tabelle erläutern, wie die interne TLS-Entschlüsselung mit NSX funktioniert.
Beschriftung | Workflow |
---|---|
1 | Die TLS-Client-Hello-SNI wird mit dem Kontextprofil für die TLS-Prüfungsrichtlinie abgeglichen, das für die interne Domäne konfiguriert wurde. |
2 | NSX fängt die TLS-Sitzung vom Client ab und initiiert eine neue Sitzung auf dem beabsichtigten Server. |
3 | NSX erzwingt die TLS-Version bzw. ‑Verschlüsselung (konfigurierbar). |
4 | Der Server antwortet mit einem Zertifikat als Teil des TLS-Handshakes (Validierung optional). |
5 | NSX präsentiert dem Client das Zertifikat des Servers, das als Teil der Konfiguration hochgeladen wurde. |