TLS-Prüfung erkennt und verhindert erweiterte Bedrohungen in Ihrem Netzwerk über verschlüsselte TLS-Kanäle. Dieses Thema enthält Konzepte im Zusammenhang mit TLS-Prüfung-Funktionen.
TLS-Protokoll
In diesem Thema wird beschrieben, wie der TLS-Protokoll-Handshake funktioniert, um einen verschlüsselten Kanal zwischen dem Client und dem Server einzurichten. In der folgenden Abbildung des TLS-Protokolls werden die verschiedenen Schritte für die Einrichtung eines verschlüsselten Kanals dargestellt.
Abbildung 1. TLS-Protokoll
Zusammenfassung des TLS-Protokolls:
TLS initiiert eine TLS-Sitzung über eine eingerichtete TCP-Sitzung zwischen dem Client und dem Server (auch bekannt als 3-Wege-Handshake).
Der Client sendet einen Client-Hello, der die unterstützte TLS-Version und ‑Verschlüsselung sowie die SNI-Erweiterung (Server Name Indication) enthält. TLS-Prüfung verwendet SNI im TLS-Client-Hello, um den Datenverkehr mithilfe des Kontextprofils zu klassifizieren, damit das Profil für die interne Entschlüsselung, die externe Entschlüsselung oder die Umgehung der Entschlüsselung verwendet wird.
Der Server antwortet mit dem Serverzertifikat zur Authentifizierung und Identifizierung und einem Server-Hello mit der vom Client vorgeschlagenen Version und Verschlüsselung.
Sobald der Client das Zertifikat validiert und die endgültige Version und Verschlüsselung überprüft, generiert er einen symmetrischen Sitzungsschlüssel und sendet ihn an den Server.
Um den sicheren TLS-Tunnel zu initiieren, der Anwendungsdaten über den verschlüsselten TLS-Kanal austauscht, validiert der Server den Sitzungsschlüssel und sendet die abgeschlossene Meldung.
Standardmäßig zeigt das TLS-Protokoll nur die Identität des Servers für den Client mithilfe des X.509-Zertifikats an, und die Authentifizierung des Clients beim Server bleibt der Anwendungsschicht überlassen.
TLS-Entschlüsselungstypen
Mit der
TLS-Prüfung-Funktion können Benutzer Richtlinien zur Entschlüsselung oder Umgehung der Entschlüsselung definieren. Die TLS-Prüfungsfunktion ermöglicht zwei Arten der Entschlüsselung:
Interne TLS-Entschlüsselung: für Datenverkehr, der zu einem internen Unternehmensdienst geht, wobei Sie den Dienst, das Zertifikat und den Privatschlüssel besitzen. Dies wird auch als TLS-Reverse-Proxy oder eingehende Entschlüsselung bezeichnet.
Externe TLS-Entschlüsselung: für Datenverkehr, der zu einem externen Dienst (Internet) geht, bei dem das Unternehmen nicht Besitzer des Diensts, seines Zertifikats und des Privatschlüssels ist. Dies wird auch als TLS-Weiterleitungs-Proxy oder ausgehende Entschlüsselung bezeichnet.
Das folgende Diagramm zeigt, wie der Datenverkehr von den internen und externen TLS-Entschlüsselungstypen verarbeitet wird.
Abbildung 2. NSX-TLS-Entschlüsselungstypen
Das folgende Diagramm und die folgende Tabelle erläutern, wie die externe TLS-Entschlüsselung mit NSX funktioniert.
Abbildung 3. Funktionsweise der externen Entschlüsselung
Beschriftung
Workflow
1
Die TLS-Client-Hello-SNI wird mit dem Kontextprofil der TLS-Prüfung-Richtlinie abgeglichen.
2
NSX fängt die TLS-Sitzung vom Client ab und initiiert eine neue Sitzung auf dem vorgesehenen Server.
3
NSX erzwingt die TLS-Version und ‑Verschlüsselung (die konfigurierbar ist).
4
Der Server antwortet dem Client mit einem TLS-Zertifikat
5
NSX validiert das Serverzertifikat mithilfe des vertrauenswürdigen CA-Pakets, generiert dynamisch ein Proxy-CA-Zertifikat und präsentiert es dem Client.
Das folgende Diagramm und die folgende Tabelle erläutern, wie die interne TLS-Entschlüsselung mit NSX funktioniert.
Abbildung 4. Funktionsweise der internen Entschlüsselung
Beschriftung
Workflow
1
Die TLS-Client-Hello-SNI wird mit dem Kontextprofil für die TLS-Prüfungsrichtlinie abgeglichen, das für die interne Domäne konfiguriert wurde.
2
NSX fängt die TLS-Sitzung vom Client ab und initiiert eine neue Sitzung auf dem beabsichtigten Server.
3
NSX erzwingt die TLS-Version bzw. ‑Verschlüsselung (konfigurierbar).
4
Der Server antwortet mit einem Zertifikat als Teil des TLS-Handshakes (Validierung optional).
5
NSX präsentiert dem Client das Zertifikat des Servers, das als Teil der Konfiguration hochgeladen wurde.