Sophos UTM 9 Webserver Protection – Cipher Suite anpassen

Wer eine UTM als betreibt schützt so seine internen Webservices über eine zentrale Instanz und muss sich primär erst um die Sicherheit der kümmern. Lücken an den internen Systemen lassen sich so gut kaschieren. Insbesondere Systeme welche sich vielleicht nicht mehr updaten lassen (ich sage nur IoT Made in China) können über einen Reverse Proxy geschützt werden. Die zeichnet sich hierbei durch eine einfache Bedienung, einem guten Support sowie regelmäßiger Updates aus. Einzig die unterstützten Cipher Suiten lassen sich nicht über die Web GUI anpassen. Wie das geht zeigt dieser Beitrag.

Wer sich nicht sicher ist ob diese Schritte für die eigenen Server nötig sind sollte seine Systeme regelmäßig via SSL Labs testen! Auch für ein Vorher/Nachher-Vergleich eignet sich der Test von SSL Labs. Also was nicht im Minimum ein A ist sollt entsprechend angegangen werden.

Im ersten Schritt muss, wenn nicht schon geschehen, der Zugang über SSH freigeschalten werden. Dies passiert über Systemeinstellung Shell-Zugriff. Dabei wird ein Passwort für den Benutzer LOGINUSER sowie für den Benutzer ROOT erstellt:

Danach müsst ihr eine Verbindung mit der Shell der Sophos, zum Beispiel via Putty, herstellen. Navigiert anschließend in den Ordner mit der Konfiguration des Apache Reverse Proxy der Sophos:

Je nach Installationsdatum und Aktualität der UTM unterscheidet sich jetzt die Konfiguration. In unserer vor etwas länger Zeit installierten aber aktuellen UTM finden wir die Einstellungen in der http.conf. In einer neuern Version der Sophos wurden die Einstellung in die reverseproxy.conf ausgelagert. Wer also eine reverseproxy.conf hat bearbeitet diese. Bei mir befindet sich die Einstellung in der http.conf und somit bearbeite ich in meinem Beispiel auch diese. Dazu sicher ich erstmal die http.conf wobei ich hierfür Root-Rechte benötige.

Mit dem Editor VI wird diese dann ebenfalls mit Root-Rechten bearbeitet.

Wir suchen den Bereich SSLCipherSuite. Hier stehen in meiner Konfiguration standardmäßig folgende Werte:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:
ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:ECDH+3DES:
DH+3DES:RSA+3DES:!aNULL:!MD5:!DSS

Mit einem Test über SSL Labs führt diese Konfiguration (zum heutigen Tage) zu folgendem Ergebnis:

In meiner Konfiguration habe ich anschließend die Werte ECDH+3DES, DH+3DES und RSA+3DES entfernt, die Datei mit :wq gespeichert und den Dienst für den Reverse-Proxy neu gestartet:

Das Ergebnis bei SSL Labs sieht dann folgendermaßen aus:

Man kann an dieser Stelle noch weitere als schwach markierten Cipher Suiten deaktivieren. Vielleicht reicht es ja sogar für ein A++. Beachtet jedoch die Clientkompatibilität bei euren Anpassungen. Unter Umständen sind ältere Betriebssysteme oder auch alte Android Smartphones nicht mehr in der Lage auf diese Webseiten zuzugreifen.

Hier noch mal alle Befehle im Screenshot in Reihenfolge:

Viel Erfolg wünsche ich!

Dieser Eintrag wurde veröffentlicht in Allgemein, Sicherheit und verschlagwortet mit , von Alexander Damm. Permanenter Link zum Eintrag.
Alexander Damm

Über Alexander Damm

Seit Windows Server 2000 beschäftige ich mich mit den Betriebssystemen von Microsoft. Dabei liegen meine Schwerpunkte auf Active Directory, Exchange Server, Lync bzw. Skype for Business, Cloud Services wie Office 365 oder Azure sowie Security Analysen, Lösungen und Konzepte. Beruflich agiere ich als System Consultant für die datom GmbH aus Dresden und freue mich auf ihre Anmerkungen oder Anfragen.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.