Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Fragen zu SSL/TLS Inspection

StefanS

Hallo zusammen,
wir sehen folgendes Verhalten bei der "SSL/TLS Inspection".
Die Gegenstelle zur Sophos XG v18.5.1 hat TLS 1.2 aktiv, bietet aber noch TLS 1.1 / 1.0 als fallback an.
Hier blockiert die Sophos XG die Verbindung mit der Meldung:

tls_version="TLS1.0" 
reason="Blocked due to TLS protocol version"

Frage dazu, macht "SSL/TLS Inspection" einen vorab check des TLS Protokol und lehnt die Verbindung ab wenn es z.B. 1.0 findet
und das obwohl die Gegenstelle TLS 1.2 als default aktiv hat ?

Gruß
Stefan



Added TAGs
[edited by: Erick Jan at 11:38 PM (GMT -7) on 29 May 2023]
  • 0

    Hallo,

    ist die Gegenstelle ein Geheimnis?

    Sonst würde ich es gern mal probieren.

    Evtl. Link als PM.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

    • 0

      Die Firewall nutzt für DPI einen Stream basierten Zugriff. Das bedeutet, wenn das Paket durch die Firewall passiert, wird es on the fly blockiert. Der Zugriff ist dann wirklich TLS1.0. 

      Siehe: https://tls.ulfheim.net/ So sehen die Pakete dann aus. Das kannst du auch via tcpdump überprüfen, wenn du möchtest. 

      Warum der Client TLS1.0 aufruft, kann musst du bei der Gegenstelle oder dem Client überprüfen. 

      __________________________________________________________________________________________________________________

      • 0 in reply to LuCar Toni

        Hi LuCar Toni && Dirk,
        also die Gegenstelle ist eine SG 9.7 WAF, dahinter ist ein MX 2016.
        Wir fragen von unserem MX 2016 der hinter der XG steht den Free / Busy Kalender ab vom MX der hinter SG/UTM steht.
        Bei der XG Seite ist die SSL/TLS Inspection nur für LAN-WAN aktiv, deshalb haben wir das bemerkt weil wir keine Free/Busy Infos mehr von der
        UMT Seite bekommen haben. Bisher ist uns dies sonst bei keiner anderen Verbindung aufgefallen.
        Gibt es ev. einen Bug bei der UTM WAF auf der anderen Seite das die obwohl diese auf TLS 1.2 steht direkt 1.0 anbietet ?

    Unfiltered HTML