TLS-Prüfung erkennt und verhindert erweiterte Bedrohungen in Ihrem Netzwerk über verschlüsselte TLS-Kanäle. Dieses Thema enthält Konzepte im Zusammenhang mit TLS-Prüfung-Funktionen.

TLS-Protokoll

In diesem Thema wird beschrieben, wie der TLS-Protokoll-Handshake funktioniert, um einen verschlüsselten Kanal zwischen dem Client und dem Server einzurichten. In der folgenden Abbildung des TLS-Protokolls werden die verschiedenen Schritte für die Einrichtung eines verschlüsselten Kanals dargestellt.
Abbildung 1. TLS-Protokoll
TLS-3-Wege-Handshake-Prozess von der Synchronisierung auf dem Client mit dem Server und zurück, bis die Anwendungsdaten für Client und Server freigegeben wurden
Zusammenfassung des TLS-Protokolls:
  • TLS initiiert eine TLS-Sitzung über eine eingerichtete TCP-Sitzung zwischen dem Client und dem Server (auch bekannt als 3-Wege-Handshake).
  • Der Client sendet einen Client-Hello, der die unterstützte TLS-Version und ‑Verschlüsselung sowie die SNI-Erweiterung (Server Name Indication) enthält. TLS-Prüfung verwendet SNI im TLS-Client-Hello, um den Datenverkehr mithilfe des Kontextprofils zu klassifizieren, damit das Profil für die interne Entschlüsselung, die externe Entschlüsselung oder die Umgehung der Entschlüsselung verwendet wird.
  • Der Server antwortet mit dem Serverzertifikat zur Authentifizierung und Identifizierung und einem Server-Hello mit der vom Client vorgeschlagenen Version und Verschlüsselung.
  • Sobald der Client das Zertifikat validiert und die endgültige Version und Verschlüsselung überprüft, generiert er einen symmetrischen Sitzungsschlüssel und sendet ihn an den Server.
  • Um den sicheren TLS-Tunnel zu initiieren, der Anwendungsdaten über den verschlüsselten TLS-Kanal austauscht, validiert der Server den Sitzungsschlüssel und sendet die abgeschlossene Meldung.

Standardmäßig zeigt das TLS-Protokoll nur die Identität des Servers für den Client mithilfe des X.509-Zertifikats an, und die Authentifizierung des Clients beim Server bleibt der Anwendungsschicht überlassen.

TLS-Entschlüsselungstypen

Mit der TLS-Prüfung-Funktion können Benutzer Richtlinien zur Entschlüsselung oder Umgehung der Entschlüsselung definieren. Die TLS-Prüfungsfunktion ermöglicht zwei Arten der Entschlüsselung:
  • Interne TLS-Entschlüsselung: für Datenverkehr, der zu einem internen Unternehmensdienst geht, wobei Sie den Dienst, das Zertifikat und den Privatschlüssel besitzen. Dies wird auch als TLS-Reverse-Proxy oder eingehende Entschlüsselung bezeichnet.
  • Externe TLS-Entschlüsselung: für Datenverkehr, der zu einem externen Dienst (Internet) geht, bei dem das Unternehmen nicht Besitzer des Diensts, seines Zertifikats und des Privatschlüssels ist. Dies wird auch als TLS-Weiterleitungs-Proxy oder ausgehende Entschlüsselung bezeichnet.
Das Diagramm zu NSX TLS-Entschlüsselungstypen zeigt, wie der Datenverkehr von den internen und externen TLS-Entschlüsselungstypen verarbeitet wird.
Abbildung 2. NSX TLS-Entschlüsselungstypen
TLS-Entschlüsselung der NSX Gateway Firewall für interne und externe Typen vom Unternehmensnetzwerk über die NSX Gateway Firewall zum Internet
Im Diagramm und in der Tabelle „Funktionsweise der externen Entschlüsselung“ wird erläutert, wie die externe TLS-Entschlüsselung von NSX funktioniert.
Abbildung 3. Funktionsweise der externen Entschlüsselung
Workflow der externen Entschlüsselung für die TLS-Prüfung von der Validierung des Client-Hellos zum Proxy-Zertifikat
Beschriftung Workflow
1 Die TLS-Client-Hello-SNI wird mit dem Kontextprofil der TLS-Prüfung-Richtlinie abgeglichen.
2 NSX fängt die TLS-Sitzung vom Client ab und initiiert eine neue Sitzung auf dem vorgesehenen Server.
3 NSX erzwingt die TLS-Version und ‑Verschlüsselung (die konfigurierbar ist).
4 Der Server antwortet dem Client mit einem TLS-Zertifikat
5 NSX validiert das Serverzertifikat mithilfe des vertrauenswürdigen CA-Pakets, generiert dynamisch ein Proxy-CA-Zertifikat und präsentiert es dem Client.

Im Diagramm und in der Tabelle „Funktionsweise der internen Entschlüsselung“ wird erläutert, wie die interne TLS-Entschlüsselung von NSX funktioniert.

Abbildung 4. Funktionsweise der internen Entschlüsselung
Workflow der externen Entschlüsselung für die TLS-Prüfung
Beschriftung Workflow
1 Die TLS-Client-Hello-SNI wird mit dem Kontextprofil für die TLS-Prüfungsrichtlinie abgeglichen, das für die interne Domäne konfiguriert wurde.
2 NSX fängt die TLS-Sitzung vom Client ab und initiiert eine neue Sitzung auf dem vorgesehenen Server.
3 NSX erzwingt die TLS-Version bzw. ‑Verschlüsselung (konfigurierbar).
4 Der Server antwortet mit einem Zertifikat als Teil des TLS-Handshakes (Validierung optional).
5 NSX präsentiert dem Client das Zertifikat des Servers, das als Teil der Konfiguration hochgeladen wurde.