KES & Extended Protection / SSL Bridging

[Khappa]

Hallo Alex,

da mit der Exchange Extended Protection das Aufbrechen der SSL Verbindung ( Exchange - Outlook Traffic) von KES nicht mehr erlaubt ist, hätte ich 2 Fragen:

- was ist die genaue Folge, wenn man die Exchange Server als vertrauenswürdige Adressen einträgt & für diese die geschützten Verbindungen nicht mehr untersuchen lässt ? Nach meinem Verständnis wird ja lediglich auf das Aufbrechen = Scan des Inhalts der SSL Streams verzichtet. Die Komponente "Schutz vor E-Mail Bedrohungen" ist aber dennoch aktiv & grätscht rein, wenn eine Schad-Mail in Outlook ankommt. Dazu greift die Komponente "Schutz vor bedrohlichen Dateien" im RAM ja auch ein, sobald eine Datei / Mail geöffnet wird. Sehe ich das so richtig, dass es quasi kein Sicherheitsrisiko ist, die SSL-Verbindungen zum Exchange nicht mehr aufbrechen zu lassen ( Domäne wird dann je nach Konfig automatisch in die Ausnahmeliste hinzugefügt) ?

- KES bricht die SSL Verbindung ja auf -> scannt -> sendet dann  verschlüsselt mit seinem eigenen Zertifikat / (oder ohne ? also SSL Offloading) ?. Wäre es denkbar, der KES ein SSL Bridging ausführen zu lassen ? Also die SSL Verbindung aufbrechen -> Scan -> verschlüsseln wieder mit dem ursprünglichen Zertifikat. Dieses müsste man halt dann im KSC irgendwo importieren können wie z. B. auf einem ReverseProxy.

Danke für deine Antwort, Gruß

Khappa

 

[alexcad]

Hallo Khappa,

das Thema SSL-Inspection wird sehr kontrovers diskutiert. Ich setze es z. B. nicht auf den Endpoints ein, sprich: In der KES-Richtlinie deaktiviere ich den Scan verschlüsselten Traffics komplett.

Zum einen sehe ich SSL-Inspection auf der Firewall/UTM, nicht auf dem Endpoint. Der Traffic von/nach außen sollte hier gescannt werden, der interne Traffic ist nicht so spannend (siehe "zum anderen"). Den externen Traffic auf dem Endpoint nochmal zu scannen ist aus meiner Sicht nicht sinnvoll, zumal das relativ viel Last erzeugt (CPU). 
Zum anderen greifen auf dem Endpoint ja noch die ganzen anderen Schutzmodule, wie du ja schon richtig geschrieben hast. 

Aber das ist nur meine Sicht und wir haben auch Kunden, die das wünschen und dann setzen wir das aktiv.

Zum Kern deiner ersten Frage:
Ich sehe kein Problem in den Einstellungen "Untersuchung verschlüsselter Verbindungen" eine Ausnahme für den Exchange-Server zu setzen. Diese Ausnahme beeinflusst nicht die anderen Schutzmodule - die sind nach wie vor uneingeschränkt aktiv. 

Zu deiner zweiten Frage: 
Es gilt "KES bricht die SSL Verbindung auf -> scannt -> sendet dann verschlüsselt mit seinem eigenen Zertifikat". Das siehst du z. B., wenn du in einem Browser das Zertifikat einer HTTPS-Seite überprüfst.

Den Traffic nach dem Scannen mit dem Original-Zertifikat erneut zu verschlüsseln ist nicht möglich. Ich würde mal vermuten bzw. hoffen, dass dies generell nicht möglich ist. Da bin ich aber zu wenig in der Materie.
Man müsste ja auch hunderte von Zertifikaten pflegen und aktuell halten. Wer will das schon...

Grüße
Alex


PS: Bitte im Forum nicht persönlich anschreiben, das geht ja in die Community

 

 

[Khappa]

Hia Alex,

 

thx👌

Gruß Khappa