This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Fragen zu SSL/TLS Inspection

Hallo zusammen,
wir sehen folgendes Verhalten bei der "SSL/TLS Inspection".
Die Gegenstelle zur Sophos XG v18.5.1 hat TLS 1.2 aktiv, bietet aber noch TLS 1.1 / 1.0 als fallback an.
Hier blockiert die Sophos XG die Verbindung mit der Meldung:

tls_version="TLS1.0"
reason="Blocked due to TLS protocol version"

Frage dazu, macht "SSL/TLS Inspection" einen vorab check des TLS Protokol und lehnt die Verbindung ab wenn es z.B. 1.0 findet
und das obwohl die Gegenstelle TLS 1.2 als default aktiv hat ?

Gruß
Stefan

Added TAGs
[edited by: Erick Jan at 11:38 PM (GMT -7) on 29 May 2023]

Top Replies

StefanS over 2 years ago in reply to StefanS +1 verified

Antworte mir mal selbst... das ist wohl ein Problem der MX selbst die untereinander Free/ Busy austauschen. https://docs.microsoft.com/en-us/answers/questions/142364/exchange-server-2016-freebusy-issue…

Parents

0 LuCar Toni over 2 years ago

Die Firewall nutzt für DPI einen Stream basierten Zugriff. Das bedeutet, wenn das Paket durch die Firewall passiert, wird es on the fly blockiert. Der Zugriff ist dann wirklich TLS1.0.

Siehe: https://tls.ulfheim.net/ So sehen die Pakete dann aus. Das kannst du auch via tcpdump überprüfen, wenn du möchtest.

Warum der Client TLS1.0 aufruft, kann musst du bei der Gegenstelle oder dem Client überprüfen.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 LuCar Toni over 2 years ago

Die Firewall nutzt für DPI einen Stream basierten Zugriff. Das bedeutet, wenn das Paket durch die Firewall passiert, wird es on the fly blockiert. Der Zugriff ist dann wirklich TLS1.0.

Siehe: https://tls.ulfheim.net/ So sehen die Pakete dann aus. Das kannst du auch via tcpdump überprüfen, wenn du möchtest.

Warum der Client TLS1.0 aufruft, kann musst du bei der Gegenstelle oder dem Client überprüfen.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel

Children

0 StefanS over 2 years ago in reply to LuCar Toni

Hi LuCar Toni && Dirk,
also die Gegenstelle ist eine SG 9.7 WAF, dahinter ist ein MX 2016.
Wir fragen von unserem MX 2016 der hinter der XG steht den Free / Busy Kalender ab vom MX der hinter SG/UTM steht.
Bei der XG Seite ist die SSL/TLS Inspection nur für LAN-WAN aktiv, deshalb haben wir das bemerkt weil wir keine Free/Busy Infos mehr von der
UMT Seite bekommen haben. Bisher ist uns dies sonst bei keiner anderen Verbindung aufgefallen.
Gibt es ev. einen Bug bei der UTM WAF auf der anderen Seite das die obwohl diese auf TLS 1.2 steht direkt 1.0 anbietet ?
Cancel
Vote Up 0 Vote Down

Cancel
+1 StefanS over 2 years ago in reply to StefanS

Antworte mir mal selbst...
das ist wohl ein Problem der MX selbst die untereinander Free/ Busy austauschen.
https://docs.microsoft.com/en-us/answers/questions/142364/exchange-server-2016-freebusy-issue-after-disablin.html

Hier wird geschrieben das bei daktivieren von TLS 1.0 Free/ Busy nicht mehr geht.
Cancel
Vote Up +1 Vote Down

Cancel