Zum Inhalt springen
Avanet

Sophos Firewall TLS Inspection richtig einführen

Sophos Firewall

Ein grosser Teil des heutigen Web-Traffics ist verschlüsselt. Ohne TLS Inspection sieht die Firewall oft nur Ziel-IP, SNI, Zertifikatsinformationen und Metadaten, aber nicht den eigentlichen Inhalt der Verbindung.

Das ist ein Sicherheitsproblem: Viele Schutzfunktionen können verschlüsselten Payload nicht oder nur stark eingeschränkt prüfen. Malware-Scanning, Web Protection, Zero-Day-Analyse, Content-Scanning und Teile der Applikations- oder Bedrohungserkennung werden erst wirklich wirksam, wenn die Firewall den TLS-Traffic entschlüsseln, prüfen und danach wieder verschlüsseln kann. Auch IPS und NDR profitieren von mehr Klartext-Sichtbarkeit. Ohne Entschlüsselung bleiben viele Signale auf Metadaten, Zertifikate, IPs, Domains oder Protokollinformationen beschränkt.

TLS Inspection ist aber kein Feature, das man unvorbereitet für alle Benutzer aktivieren sollte. Es kann Anwendungen stören, Datenschutzfragen berühren und die Firewall stärker belasten. Deshalb sollte man TLS Inspection geplant, schrittweise und mit klarer Ausnahme-Strategie einführen.

Lizenz und Voraussetzungen

Für TLS Inspection und die sinnvolle Auswertung des entschlüsselten Traffics benötigt man die passenden Schutzlizenzen.

Wichtig sind vor allem:

  • Web Protection: Enthält Web Security, Web Control, Application Control und Web Malware Protection.
  • Network Protection: Enthält unter anderem IPS, Security Heartbeat und weitere Netzwerk-Schutzfunktionen.
  • Zero-Day Protection: Wird wichtig, wenn Dateien oder Downloads zusätzlich per Machine Learning oder Sandbox analysiert werden sollen.

Web Protection ist im Lizenzbundle Standard Protection enthalten. Xstream Protection und Epic Protection enthalten ebenfalls Web Protection und weitere Schutzmodule. Sophos beschreibt die Lizenzmodule in der offiziellen Übersicht: Sophos Firewall licensing info.

Vor dem Rollout sollte man prüfen:

  • Aktuelle Sophos Firewall Firmware ist installiert.
  • Web Protection ist lizenziert.
  • CA-Zertifikat der Firewall ist auf den Clients verteilt.
  • Testgruppe oder Testnetz ist definiert.
  • Rollback ist dokumentiert.
  • Ausnahmeprozess ist geklärt.
  • Logging ist aktiviert.

Wenn das CA-Zertifikat noch nicht verteilt ist, hilft der Artikel Sophos Firewall CA Zertifikat für HTTPS Scanning installieren.

⚠️ TLS Inspection kann Anwendungen stören, die Certificate Pinning verwenden oder eigene Zertifikatsprüfungen durchführen. Starte immer mit einer Testgruppe und nicht direkt mit allen Benutzern.

DPI oder Web Proxy?

Die Sophos Firewall kann HTTPS-Decryption in zwei Betriebsarten umsetzen:

  • DPI Mode: Die Firewall-Regel verwendet den DPI Engine. SSL/TLS Inspection Rules unter Rules and policies > SSL/TLS inspection rules entscheiden, was entschlüsselt wird.
  • Web Proxy Mode: Die Firewall-Regel verwendet den Web Proxy. HTTPS-Decryption wird dann über die Web-Proxy-Einstellungen und Web Policies gesteuert.

Für moderne Setups wird häufig DPI Mode verwendet. Wichtig ist dabei die Firewall-Regel:

  1. Öffne Rules and policies > Firewall rules.
  2. Bearbeite die betroffene LAN-to-WAN-Regel.
  3. Öffne Security features > Web filtering.
  4. Aktiviere die passende Web Policy.
  5. Aktiviere Scan HTTP and decrypted HTTPS.
  6. Lasse Use web proxy instead of DPI engine deaktiviert, wenn die SSL/TLS Inspection Rules greifen sollen.

Wenn Use web proxy instead of DPI engine aktiviert ist, läuft Web-Traffic über den Web Proxy. Dann gelten für HTTP/HTTPS andere Decryption-Einstellungen als bei DPI-basierten SSL/TLS Inspection Rules.

Sophos beschreibt diesen Unterschied in der Anleitung Configure SSL/TLS inspection and decryption.

Welchen Traffic sollte man entschlüsseln?

Man sollte nicht blind alles entschlüsseln. Gute TLS Inspection beginnt mit klaren Zielen.

Sinnvolle erste Ziele:

  • LAN > WAN: klassischer Benutzer-Web-Traffic ins Internet.
  • Wi-Fi > WAN: verwaltete Clients im Firmen-WLAN.
  • VPN > WAN: Remote-Access-Benutzer, wenn deren Internet-Traffic über die Firewall läuft.
  • LAN > DMZ: interne Zugriffe auf eigene Server, wenn dort Sicherheitsprüfung gewünscht ist und Zertifikate sauber verteilt sind.

Mit Vorsicht behandeln:

  • Banking, Gesundheit, Behörden und hochsensible Portale.
  • Passwortmanager und Identity-Provider.
  • Betriebssystem- und Hersteller-Update-Dienste.
  • Mobile Apps und Android-Geräte.
  • Anwendungen mit Certificate Pinning.
  • Voice-, Video- und Collaboration-Dienste, wenn sie durch Decryption instabil werden.

Für Server-Veröffentlichungen aus dem Internet in die DMZ ist TLS Inspection nicht automatisch die beste Lösung. Bei Webservern ist häufig Web Server Protection / WAF oder ein Reverse Proxy sinnvoller.

Rollout-Strategie

Bewährt hat sich ein stufenweiser Ansatz:

  1. CA-Zertifikat verteilen.
  2. Web Policy und Firewall-Regel vorbereiten.
  3. Decryption Profile auswählen.
  4. Kleine Testgruppe definieren.
  5. SSL/TLS Inspection Rule nur für diese Gruppe aktivieren.
  6. Control Center und Log Viewer beobachten.
  7. Fehler analysieren und Ausnahmen sauber dokumentieren.
  8. Schrittweise auf weitere Benutzergruppen erweitern.

So erkennt man früh, welche Anwendungen Probleme machen, ohne den gesamten Betrieb zu beeinflussen.

Decryption Profiles verstehen

Ein Decryption Profile legt fest, wie streng die Firewall mit TLS-Verbindungen umgeht. Die Profile findet man unter Profiles > Decryption profiles.

Ein Decryption Profile beantwortet unter anderem diese Fragen:

  • Was passiert bei ungültigen oder nicht vertrauenswürdigen Zertifikaten?
  • Werden alte TLS-Versionen blockiert?
  • Werden unsichere Cipher Suites blockiert?
  • Was passiert bei SSL-Kompression?
  • Was passiert bei unrecognized cipher suites?
  • Was passiert, wenn die Firewall eine Verbindung nicht entschlüsseln kann?
  • Welche CA wird für die erneute Signierung verwendet?

Für einen ersten Rollout ist ein kompatibleres Profil sinnvoll, zum Beispiel Maximum compatibility oder ein eigenes konservatives Profil. Für produktive Sicherheitsregeln kann später ein strengeres Profil wie Block insecure SSL verwendet werden.

Wichtig: Das Decryption Profile wird direkt in der SSL/TLS Inspection Rule ausgewählt. Sophos weist darauf hin, dass das Profil die globalen SSL/TLS-Inspection-Settings für diese Regel übersteuern kann.

SSL/TLS Inspection Rule erstellen

Der Menüpfad lautet Rules and policies > SSL/TLS inspection rules.

Eine erste Regel sollte möglichst gezielt sein:

  • Action: Decrypt
  • Decryption profile: konservatives Testprofil
  • Source zones: LAN oder Testnetz
  • Source networks and devices: Testgruppe oder Testsubnetz
  • Destination zones: meistens WAN
  • Destination networks: zunächst Any
  • Services: für den Start häufig Any, weil SSL/TLS auch auf anderen TCP-Ports erkannt werden kann
  • Websites / Categories: optional einschränken

Sophos beschreibt, dass SSL/TLS Inspection Rules SSL/TLS-Verbindungen auf beliebigen TCP-Ports erkennen können. Die Regeln werden von oben nach unten verarbeitet. Spezifische Regeln gehören deshalb oberhalb allgemeiner Regeln.

Offizielle Doku: SSL/TLS inspection rules.

Exclusion Lists

Nicht jeder TLS-Traffic sollte entschlüsselt werden. Sophos arbeitet dafür mit Exclusion Rules und TLS Exclusion Lists.

Local TLS Exclusion List

Die Local TLS exclusion list ist die lokale Ausnahmeliste der Firewall. Sie ist standardmässig leer und kann durch Troubleshooting im Control Center oder Log Viewer gefüllt werden.

Man kann sie auch manuell bearbeiten:

Web > URL groups > Local TLS exclusion list

Diese Liste ist sinnvoll für Domains, die in der eigenen Umgebung Probleme machen, zum Beispiel wegen Certificate Pinning oder speziellen Client-Anwendungen.

Managed TLS Exclusion List

Die Managed TLS exclusion list enthält von Sophos gepflegte Ausnahmen für bekannte problematische Dienste. Diese Liste wird durch Firmware-Updates aktualisiert.

Typische Beispiele sind Dienste, bei denen TLS Inspection erfahrungsgemäss Probleme verursacht oder technisch nicht sinnvoll ist.

Eigene Exclusion Rules

Zusätzlich kann man eigene SSL/TLS Inspection Rules mit Action > Don’t decrypt erstellen. Diese sollten direkt unter der standardmässigen Exclusion-Regel stehen und nur Traffic enthalten, der wirklich nicht entschlüsselt werden soll.

Mögliche Kriterien:

  • Web-Kategorien
  • URL Groups
  • Benutzer und Gruppen
  • Source- und Destination-Netze
  • IP-Adressen
  • Services

Ausnahmen sollten dokumentiert werden: Domain, Grund, betroffene Benutzer, Datum und Review-Termin.

Dashboard Widget beobachten

Im Control Center gibt es ein Widget für SSL/TLS Inspection. Dieses Widget ist sehr hilfreich, um Rollout und Fehler zu überwachen.

Es zeigt unter anderem:

  • Anteil entschlüsselter SSL/TLS-Sessions.
  • Anteil nicht entschlüsselter SSL/TLS-Sessions.
  • Sonstiger Traffic.
  • Fehler der letzten Tage.
  • Top-Websites oder Top-User mit Problemen.
  • Decryption peak und Decryption limit.
Sophos Firewall - SSL/TLS Inspection Widget mit entschlüsseltem und nicht entschlüsseltem Traffic
Sophos Firewall - Control Center > SSL/TLS Inspection Widget

Wenn im Widget viele Fehler auftauchen, sollte man nicht sofort die gesamte TLS Inspection deaktivieren. Besser ist es, über Fix errors gezielt die betroffenen Ziele zu prüfen und bei Bedarf saubere Ausnahmen zu erstellen.

Log Viewer auswerten

Im Log Viewer kann man den Filter SSL/TLS inspection auswählen. Dort sieht man, was mit einzelnen Verbindungen passiert ist.

Sophos Firewall - Log Viewer mit SSL/TLS Inspection Events
Sophos Firewall - Log Viewer > SSL/TLS inspection

Die Farben helfen bei der ersten Einordnung:

  • Rot: Fehler. Die Verbindung konnte nicht korrekt entschlüsselt oder verarbeitet werden. Hier sollte man Zertifikatsfehler, Cipher Suites, TLS-Versionen oder inkompatible Anwendungen prüfen.
  • Grün: Do not decrypt. Die Verbindung wurde bewusst nicht entschlüsselt, zum Beispiel wegen einer Exclusion Rule oder einer TLS Exclusion List.
  • Blau: Decrypt. Die Verbindung wurde entschlüsselt und danach wieder verschlüsselt weitergeleitet.

Im Log sieht man ausserdem Decryption Profile, Quell-IP, Ziel-IP, Benutzer, Kategorie und Ziel-Domain. Damit lässt sich prüfen, ob die richtige Rule matched und ob eine Ausnahme wirklich greift.

Tests

Nach Aktivierung der TLS Inspection sollte man prüfen:

  • Wird das Sophos CA-Zertifikat im Browser verwendet?
  • Funktionieren wichtige Business-Anwendungen?
  • Gibt es TLS-Fehler im Log Viewer?
  • Werden Malware- oder Web-Policy-Events korrekt erkannt?
  • Wird der Traffic im Control-Center-Widget als decrypted angezeigt?
  • Bleibt die Firewall-Performance im erwarteten Bereich?
  • Gibt es Beschwerden von Testbenutzern?

Für die Fehlersuche sind besonders Log Viewer, Policy Test, Browser-Zertifikatsansicht, Packet Capture und das SSL/TLS-Inspection-Widget hilfreich.

Rollback

Falls es zu Störungen kommt, sollte ein klarer Rollback möglich sein:

  • SSL/TLS Inspection Rule deaktivieren.
  • Testgruppe aus der Regel entfernen.
  • Decryption Profile entschärfen.
  • Ausnahme für betroffene Domain oder Anwendung ergänzen.
  • Firewall-Regel wieder auf Web Proxy umstellen, wenn das bewusst gewünscht ist.

Sophos weist darauf hin, dass SSL/TLS Inspection Rules und der SSL/TLS Engine sichtbar aktiv sein müssen, damit Control Center und Log Viewer die Details anzeigen. Wenn man SSL/TLS Inspection zu Troubleshooting-Zwecken deaktiviert, sollte man sie danach wieder aktivieren.

Empfehlung

TLS Inspection ist kein Ein-Klick-Projekt. Richtig eingeführt liefert sie aber erheblich mehr Sichtbarkeit und verbessert die Wirkung von Web Protection, Malware Scanning, IPS, NDR und Zero-Day-Funktionen.

Für produktive Umgebungen empfehlen wir:

  • Zuerst LAN-to-WAN für eine kleine Testgruppe.
  • CA-Zertifikat sauber verteilen.
  • DPI/Web-Proxy-Modus bewusst wählen.
  • Decryption Profile nicht zu aggressiv starten.
  • Log Viewer und Dashboard täglich beobachten.
  • Ausnahmen dokumentieren und regelmässig prüfen.
  • Erst nach erfolgreichen Tests weiter ausrollen.