SSL Deepinspection mit Watchguard Firewalls - Part I

SSL Deepinspection mit Watchguard Firewalls – Part I

In einer fünfteiligen Artikelserie möchte ich darüber berichten wie es möglich ist aus- und eingehende SSL Verbindungen mit einer Watchguard Firewall aufzubrechen und die zahlreichen Security Features so einzurichten das verschlüsselter Verkehr überwacht werden kann.

Part I – Einleitung

Part II – Einbinden von Zertifikaten in eine Watchguard

Part III – Konfiguration eines eingehenden SMTP Proxy

Part IV – Konfiguration eines ausgehenden HTTPS Proxy

Part V – Import von Watchguard Zertifikaten im Active Directory

Part I – Einleitung

Die Produkte des Herstellers Watchguard sind dazu in der Lage SSL Verbindungen aufzubrechen und untersuchen. Die gilt für diverse Proxy Typen wie HTTPS und SMTPS.
Im Folgenden möchte ich darauf eingehen wie SSL Zertifikate korrekt in eine Watchguard importiert, Proxies eingerichtet und die Zertifikate der CA im Active Directory Umfeld ausgerollt werden.

Voraussetzungen:

  • Eine Watchguard die die aktuelle Fireware (12.3) unterstützt. Ein Gerät mit älterer Firmware wird ebenfalls dazu in der Lage zu sein die gewünschten Operationen durchzuführen unter Umständen sind einzelne Punkte im Interface anders benannt oder an einem anderen Platz zu finden sind.
  • Watchguard System Manager (WSM) in der aktuellsten Version (12.3). Hier gilt das gleiche wie bei der Firmware. Der WSM muss zwingend die gleiche Version oder höher als die Version der Fireware haben, ansonsten ist es nicht möglich die Konfiguration der Firewall zu bearbeiten. Es ist auch möglich alle Schritte die ich im WSM durchführe auch in dem Webinterface der Watchguard durchzuführen.
  • Die Watchguard muss wenigstens eine Basic Security Subscription besitzen. Falls keine gültige Subscription für das Gerät vorhanden ist sind die Möglichkeiten den Datenstrom zu manipulieren sehr begrenzt.
  • Eine Active Directory Umgebung. Wir werden im letzten Teil darüber sprechen wie die Zertifikate der Watchguard in den Zertifikatsspeicher der Clients geladen werden um Fehlermeldungen zu unterdrücken und ungestört surfen zu können. Dieser Import wird über AD Gruppenrichtlinien erfolgen, ist aber auch lokal ohne AD Struktur machbar.

Bei dem Einsatz von Watchguard Firewalls ist es möglich ein- und ausgehende HTTPS und SMTPS Verbindungen aufzubrechen und den Datenstrom zu manipulieren. Es ist dann möglich Virenscans durchzuführen, SPAM Abwehrmaßnamen zu konfigurieren, Datenverlust zu verhindern und noch einiges mehr. Bei normalen, unverschlüsselten Protokollen sind die gleichen Aktionen möglich.

Generelles zu den Proxies:

SMTP(S)

Die Kommunikation zwischen Mailservern funktioniert, grob gehalten wie folgt:
Der Quellserver fragt seinen DNS Server nach dem MX Eintrag der Domain des Empfängers, bekommt eine IP Adresse zurück und baut dann eine Verbindung zu dem Zielserver auf. Beide Mailserver kommunizieren dann miteinander und einigen sich, falls möglich auf die Art der Verschlüsselung der weitern Kommunikation. In unserem Szenario befindet sich zwischen dem Internet und dem Zielserver eine Watchguard Firewall die eingehenden Verkehr von Port 25 an die Interne IP des Mailservers weiterleitet. Falls eine unverschlüsselte Verbindung stattfindet wird die Kommunikation des SMTP Verkehrs im Klartext übertragen und die Firewall kann den kompletten Verkehr mitlesen und ggf. beeinflussen. Dadurch sind Operationen wie das ablehnen von SPAM Nachrichten, das Scannen von Anhängen auf Viren und weitere Dinge möglich. Wenn der Verkehr jedoch verschlüsselt durchgeführt wird kann die Firewall den Datenstrom sehen aber keinerlei Beeinflussung vornehmen sodass sämtliche Möglichkeiten der Manipulation nicht möglich sind. Um diesen Zustand zu ändern ist es Notwendig das die Watchguard die eingehenden SSL Verbindungen mit der Gegenstelle aufbricht und den Verkehr an den internen Mailserver, wieder verschlüsselt weiterleitet. Einfach gesprochen ist dafür nur notwendig das SSL Zertifikat das der interne Mailserver nach außen verwendet in die Watchguard zu importieren und damit dann die eingehenden Verbindungen aufbricht um wieder einen Klartext im Datenstrom zu erreichen.

HTTP(S)

In unserem Fall sprechen wir von ausgehenden HTTPS Verbindungen. Ein Client im Internen Netz versucht also eine Internetseite aufzurufen. Der Verkehr wird dabei durch einen HTTPS Proxy der Firewall geschickt. Durch das Aufbrechen der SSL Verbindung ist es auch hier der Firewall möglich den Verkehr zu lesen und zu beeinflussen. Klassischerweise handelt es sich hierbei eigentlich um eine Man-in-the-middle-attack.