16
Firewall Port 80, 443 genau filtern
Hallo,
ich bräuchte mal eine gedankliche Hilfe bei folgenden Problem:
Wie wir alle wissen, werden ja immer öfter Port 80 und vorallem 443 von sämtlichen Hacker und Trojaner-Tools und auch anderen Programmen benutzt um zu kommunizieren. Für zuhause ist das zwar schön, weil ich mich nicht mit Firewall-Konfiguration rumschlagen muss, aber für Unternehmen möchte ich das nicht so akzeptieren.
Ich möchte genau wissen, welche Programme oder Dienste auf den Ports (vorallem 443) kommunizieren und nur bestimmte durchlassen.
Ich kenne so etwas von Watchguard - die bieten ein Application-Blocking an - dabei wird der Kommunikationsverkehr von zb: Port 80 auf bekannte Muster (zb Authentifizierung beim Skype-Server) untersucht und dann dementsprechend erlaubt oder verboten. Nur hab ich hier das Problem das eben nur die Anwendungen unterstützt werden, die die dort kennen und wofür die programmiert haben - es gibt keine Möglichkeit eigene Anwendungen zu untersuchen und Templates für die Kommunikation zu erstellen. Ich bin hier immer auf den Hersteller angewiesen und wenn der eben nicht mein Produkt da mit reinbringt (warum auch immer) steh ich im Regen.
Gibt es hier vielleicht etwas im Open-Source Sektor?
Oder haltet ihr den Ansatz für Schwachsinn - dann bitte mit Begründung und Alternativen zur Umsetzung des Problems.
Oder kann ich es garnicht verhindern, dass beliebige Programm ihre Infos über Port 80/443 an einen fremden Server schickn ohne das ich es mitbekomme? Wie eine Art Websiten-Aufruf
ich bräuchte mal eine gedankliche Hilfe bei folgenden Problem:
Wie wir alle wissen, werden ja immer öfter Port 80 und vorallem 443 von sämtlichen Hacker und Trojaner-Tools und auch anderen Programmen benutzt um zu kommunizieren. Für zuhause ist das zwar schön, weil ich mich nicht mit Firewall-Konfiguration rumschlagen muss, aber für Unternehmen möchte ich das nicht so akzeptieren.
Ich möchte genau wissen, welche Programme oder Dienste auf den Ports (vorallem 443) kommunizieren und nur bestimmte durchlassen.
Ich kenne so etwas von Watchguard - die bieten ein Application-Blocking an - dabei wird der Kommunikationsverkehr von zb: Port 80 auf bekannte Muster (zb Authentifizierung beim Skype-Server) untersucht und dann dementsprechend erlaubt oder verboten. Nur hab ich hier das Problem das eben nur die Anwendungen unterstützt werden, die die dort kennen und wofür die programmiert haben - es gibt keine Möglichkeit eigene Anwendungen zu untersuchen und Templates für die Kommunikation zu erstellen. Ich bin hier immer auf den Hersteller angewiesen und wenn der eben nicht mein Produkt da mit reinbringt (warum auch immer) steh ich im Regen.
Gibt es hier vielleicht etwas im Open-Source Sektor?
Oder haltet ihr den Ansatz für Schwachsinn - dann bitte mit Begründung und Alternativen zur Umsetzung des Problems.
Oder kann ich es garnicht verhindern, dass beliebige Programm ihre Infos über Port 80/443 an einen fremden Server schickn ohne das ich es mitbekomme? Wie eine Art Websiten-Aufruf
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 163523
Url: https://administrator.de/contentid/163523
Printed on: April 24, 2024 at 21:04 o'clock
16 Comments
Latest comment
Hallo
Wenn ich es richtig verstanden habe, wäre ein Proxy-Server die Perfekte Lösung. Und in der Firewall stellst du am besten ein, dass nur der Proxy ins Internet kommt.
Proxy´s gibts auch OpenSource. z.B. Squid.
Ich persönlich bevorzuge allerdings eigene Proxy-Gateways und in kleinerem Umfeld bieten sich UTM-Gateway an.
Zusätzlich zum Proxy sollte auf den Clients eine Softwarefirewall inbetrieb genommen werden. Hier kannst du definitiv erlauben welche Programme raus dürfen und welchen nicht.
Aber nur um es klar zu stellen 100%ig kannst du es nicht verhindern das ein Schädling nach Hause funkt.
L.G.
Wenn ich es richtig verstanden habe, wäre ein Proxy-Server die Perfekte Lösung. Und in der Firewall stellst du am besten ein, dass nur der Proxy ins Internet kommt.
Proxy´s gibts auch OpenSource. z.B. Squid.
Ich persönlich bevorzuge allerdings eigene Proxy-Gateways und in kleinerem Umfeld bieten sich UTM-Gateway an.
Zusätzlich zum Proxy sollte auf den Clients eine Softwarefirewall inbetrieb genommen werden. Hier kannst du definitiv erlauben welche Programme raus dürfen und welchen nicht.
Aber nur um es klar zu stellen 100%ig kannst du es nicht verhindern das ein Schädling nach Hause funkt.
L.G.
Nein das meine ich nicht ganz.
Proxy ist mir schon klar.
Folgende Struktur bei uns:
http://img827.imageshack.us/img827/3384/bildzs.png
Alle Ports sind erstmal in der Firewall gesperrt.
Es gibt dann diverse Ausnahmen wie beispielsweise darf Port 80 und 443 nur vom Proxy besucht werden - die Clients müssen also über den Proxy raus.
Nun kann ich aber ein Programm haben, welches seine Infos auch einfach über Port 80 oder 443 schickt und ich kann diese "bösen" Sachen nicht abfangen.
Die Firewall oder der Proxy müssten eine Möglichkeit bieten den Traffic gezielt zu überwachen. Unser Proxy von Trendmicro filtert halt nur nach bösen URLs oder Viren oder ähnlichen - aber welche Daten wirklich durchgehen kann ich nicht beeinflussen. Oder hab ich hier einen falschen Denkansatz?
Wie oben bereits beschrieben hat mir Watchguard mal dieses Application-Blocking vorgestellt nur treff ich da auf oben beschriebenes Problem.
Clientseitig möchte ich keine Firewall administrieren müssen, das sollte alles an zentraler Stelle erfolgen.
Proxy ist mir schon klar.
Folgende Struktur bei uns:
http://img827.imageshack.us/img827/3384/bildzs.png
Alle Ports sind erstmal in der Firewall gesperrt.
Es gibt dann diverse Ausnahmen wie beispielsweise darf Port 80 und 443 nur vom Proxy besucht werden - die Clients müssen also über den Proxy raus.
Nun kann ich aber ein Programm haben, welches seine Infos auch einfach über Port 80 oder 443 schickt und ich kann diese "bösen" Sachen nicht abfangen.
Die Firewall oder der Proxy müssten eine Möglichkeit bieten den Traffic gezielt zu überwachen. Unser Proxy von Trendmicro filtert halt nur nach bösen URLs oder Viren oder ähnlichen - aber welche Daten wirklich durchgehen kann ich nicht beeinflussen. Oder hab ich hier einen falschen Denkansatz?
Wie oben bereits beschrieben hat mir Watchguard mal dieses Application-Blocking vorgestellt nur treff ich da auf oben beschriebenes Problem.
Clientseitig möchte ich keine Firewall administrieren müssen, das sollte alles an zentraler Stelle erfolgen.
Moin moin,
Das kann doch der Proxy erledigen, der sowieso der einzige ist, der über die Firewall ins Welt Weite Netz kommt...
Der ISA und der Squid unterstützen das beide, glaube ich.
Gruß Keksdieb
Das kann doch der Proxy erledigen, der sowieso der einzige ist, der über die Firewall ins Welt Weite Netz kommt...
Der ISA und der Squid unterstützen das beide, glaube ich.
Gruß Keksdieb
Squid kann das?
Out of the box? Oder ist da ein Plugin nötig?
Out of the box? Oder ist da ein Plugin nötig?
Hallo,
was hat Du denn für eine Firewall ?
In der brauchst Du doch nur eine Protokollierung einstellen, d.h. alles Regelverstöße protokollieren. Wenn jemand anders außer dem Proxy - Server auf Port 80 ins Internet sendet ist dies doch ein regelverstoß (wenn ich das richtig gelesen habe) und wird protokolliert. Das Protokoll kannst Du dann auswerten.
Gruß
ackerdiesel
was hat Du denn für eine Firewall ?
In der brauchst Du doch nur eine Protokollierung einstellen, d.h. alles Regelverstöße protokollieren. Wenn jemand anders außer dem Proxy - Server auf Port 80 ins Internet sendet ist dies doch ein regelverstoß (wenn ich das richtig gelesen habe) und wird protokolliert. Das Protokoll kannst Du dann auswerten.
Gruß
ackerdiesel
das meine ich nicht.
Alle Clients gehen über den Proxy.
Aber wenn ich ein Programm auf dem Client hab wie zb: ICQ oder ähnliches dann kann man auch in dem Programm den Proxy hinterlegen und dann funktioniert das auch bzw es holt sich die Proxy-Informationen automatisch aus der registry.
Ich würde jetzt gerne nur diese Programme blocken - bzw nur die bestimmten Programme erlauben
Ich denke mal eine Verbindungssession von so einem Programm sieht anders aus als ein Seitenabruf vom Internet-Explorer - oder täusche ich mich da?
Hierbei muss es ja möglich sein mit bestimmten Templates die verschiedenen Programmeigenheiten bei einem Verbindungsaufbau festzustellen und dann zu entscheiden darf dieses Programm oder nicht.
Genau das macht ja das Application-Blocking von Watchguard ...
Alle Clients gehen über den Proxy.
Aber wenn ich ein Programm auf dem Client hab wie zb: ICQ oder ähnliches dann kann man auch in dem Programm den Proxy hinterlegen und dann funktioniert das auch bzw es holt sich die Proxy-Informationen automatisch aus der registry.
Ich würde jetzt gerne nur diese Programme blocken - bzw nur die bestimmten Programme erlauben
Ich denke mal eine Verbindungssession von so einem Programm sieht anders aus als ein Seitenabruf vom Internet-Explorer - oder täusche ich mich da?
Hierbei muss es ja möglich sein mit bestimmten Templates die verschiedenen Programmeigenheiten bei einem Verbindungsaufbau festzustellen und dann zu entscheiden darf dieses Programm oder nicht.
Genau das macht ja das Application-Blocking von Watchguard ...
Hallo,
jetzt habe ich das auch verstanden
Du möchtest die Zugriffe nicht auf der Portebene sondern auf der Programmebene einschränken. Das können die neusten Firewalls (Next generation Firewalls) . z.B. http://www.paloaltonetworks.com oder http://www.astaro.com/de-de?no-geo=1.
Es muss ja quasi der Datenstrom in Echtzeit durchsucht werden.
Ob der Squid das kann, weiß ich nicht. Mit Squidguard kann man Webseiten sperren, vielleicht weiß jemand anderes darüber mehr, ob das mit Squid geht.
Gruß
ackerdiesel
jetzt habe ich das auch verstanden
Du möchtest die Zugriffe nicht auf der Portebene sondern auf der Programmebene einschränken. Das können die neusten Firewalls (Next generation Firewalls) . z.B. http://www.paloaltonetworks.com oder http://www.astaro.com/de-de?no-geo=1.
Es muss ja quasi der Datenstrom in Echtzeit durchsucht werden.
Ob der Squid das kann, weiß ich nicht. Mit Squidguard kann man Webseiten sperren, vielleicht weiß jemand anderes darüber mehr, ob das mit Squid geht.
Gruß
ackerdiesel
wie gesagt bin ich an einem hersteller interessiert bei dem es möglich ist selber diese Templates für die Anwendungen zu erstellen (siehe oben)
oder besser noch open source - da muss so etwas ja sowieso möglich sein bzw wird von einer größeren community vorangetragen
oder besser noch open source - da muss so etwas ja sowieso möglich sein bzw wird von einer größeren community vorangetragen
Du könntest dir aber auch die Windowsfirewall anschauen und das ganze über GPOs Zentral verwalten.
Eigentlich ist ja eine Softwarefirewall für solche Sachen da, um nur bestimmten Programmen Zugriff ins Netzwerk / Internet zu erlauben.
Ich muss sagen die Win7 Firewall ist nicht so schlecht und sehr flexibel.
Oder du kaufst dir eine Protection Suite die Zentral managebar ist, z.B. Symantec Endpoint Protection oder von TrendMicro wirds sowas sicher auch geben...
In deinem Fall würde ich das wahrscheinlich mittels SW-Firewalls regeln, da du mehr Flexiblität hast als mit einer zentralen Application Firewall. Und zusätzlich
schwirren keine Pakete im Netzwerk herum die sowieso nicht raus kommen.
LG
Eigentlich ist ja eine Softwarefirewall für solche Sachen da, um nur bestimmten Programmen Zugriff ins Netzwerk / Internet zu erlauben.
Ich muss sagen die Win7 Firewall ist nicht so schlecht und sehr flexibel.
Oder du kaufst dir eine Protection Suite die Zentral managebar ist, z.B. Symantec Endpoint Protection oder von TrendMicro wirds sowas sicher auch geben...
In deinem Fall würde ich das wahrscheinlich mittels SW-Firewalls regeln, da du mehr Flexiblität hast als mit einer zentralen Application Firewall. Und zusätzlich
schwirren keine Pakete im Netzwerk herum die sowieso nicht raus kommen.
LG
das ist mir ehrlich gesagt zu unsicher
ich finde zentrale systeme die nur einen angriffspunkt bieten besser - denn jeder verkehr muss hier lang - also am besten hier blocken
ich finde zentrale systeme die nur einen angriffspunkt bieten besser - denn jeder verkehr muss hier lang - also am besten hier blocken
??? Unsicher
Also.
Am Client eine Softwarefirewall die regelt welche Programme überhaupt ins Netzwerk kommen (Application)
Alle Anfragen ins Internet müssen auch noch über den Proxy (Inhalt)
Und als letzte Instanz ist noch eine Hardwarefirewall da (Port)
Sicher kann man noch andere Spielerein machen. Aber das ist mal die Grundlage mit dem besten Preis/Leisungsverhältnis.
Man könnte ja auch noch das Netzwerk segmentieren und jeweils die Segmente mit NG Firewalls inkl. Virenscanner und IPS sichern.
In einem Punkt hast du recht, es ist ein zentraler Angriffspunkt. Allerdings wenns dort ein Problem gibt viel Spaß.
Das Zauberwort heißt Mehrstufigkeit. Am besten von unterschiedlichen Herstellern.
LG
Also.
Am Client eine Softwarefirewall die regelt welche Programme überhaupt ins Netzwerk kommen (Application)
Alle Anfragen ins Internet müssen auch noch über den Proxy (Inhalt)
Und als letzte Instanz ist noch eine Hardwarefirewall da (Port)
Sicher kann man noch andere Spielerein machen. Aber das ist mal die Grundlage mit dem besten Preis/Leisungsverhältnis.
Man könnte ja auch noch das Netzwerk segmentieren und jeweils die Segmente mit NG Firewalls inkl. Virenscanner und IPS sichern.
In einem Punkt hast du recht, es ist ein zentraler Angriffspunkt. Allerdings wenns dort ein Problem gibt viel Spaß.
Das Zauberwort heißt Mehrstufigkeit. Am besten von unterschiedlichen Herstellern.
LG
Wenn man viel Zeit hat kann man für den ISA als ALG beliebige Plugins schreiben für alle Arten von Traffic.
Zudem kann er ab FTMG HTTPS-Inspection.
Aber da sich ohnehin alles über HTTP tunneln lässt hilft dir nur eine Firewall im Whitelist-Modus.
Zudem kann er ab FTMG HTTPS-Inspection.
Aber da sich ohnehin alles über HTTP tunneln lässt hilft dir nur eine Firewall im Whitelist-Modus.
Wie kann ich das verstehen - es lässt sich alles über HTTP tunneln?
Heißt das ein Programm könnte seinen Traffic wie eine Anfrage nach einer Website vom Internet Explorer aussehen lassen? Und kann trotzdem seine Informationen verschicken/empfangen?
Machen das ICQ, Skype, etc? Machen das eventuelle Trojaner?
Leider stecke ich hier nicht ganz so sehr in der Materie - daher bitte ich um etwas mehr Details.
Vielen Dank schon einmal.
Heißt das ein Programm könnte seinen Traffic wie eine Anfrage nach einer Website vom Internet Explorer aussehen lassen? Und kann trotzdem seine Informationen verschicken/empfangen?
Machen das ICQ, Skype, etc? Machen das eventuelle Trojaner?
Leider stecke ich hier nicht ganz so sehr in der Materie - daher bitte ich um etwas mehr Details.
Vielen Dank schon einmal.
Jain...
Es lässt sich eigentlich alles über Port 80/443 Tunneln, HTTP nutzt halt standardmäßig Port 80
Skype, ICQ usw. verwenden auch Port 80/443 als Dst-Port eben um Firewalls den Traffic durch Firewalls zu ermöglichen.
Hier kommt dann der Proxy ins Spiel, der Proxy schaut in den Traffic der auf Dst-Port 80/443 geht und kann die Inhalte analysieren.
Somit kann der Proxy erkennen, ob es sich um eine http/https Anfrage handelt oder ob skype, icq, msn usw. durch wollen und ggf. blocken.
Übrigens denk mal an Teamviewer oder PCvisit die tunneln auch durch Port 80/443. Also somit könnte auch ein Schädling so nach Hause funken.
Ein Schutz dagegen könnte z.B. sein, den Proxy nur http/https anfragen bearbeiten zu lassen. Auch eine Authentifizierung erhöht das Sicherheitslevel.
LG
Es lässt sich eigentlich alles über Port 80/443 Tunneln, HTTP nutzt halt standardmäßig Port 80
Skype, ICQ usw. verwenden auch Port 80/443 als Dst-Port eben um Firewalls den Traffic durch Firewalls zu ermöglichen.
Hier kommt dann der Proxy ins Spiel, der Proxy schaut in den Traffic der auf Dst-Port 80/443 geht und kann die Inhalte analysieren.
Somit kann der Proxy erkennen, ob es sich um eine http/https Anfrage handelt oder ob skype, icq, msn usw. durch wollen und ggf. blocken.
Übrigens denk mal an Teamviewer oder PCvisit die tunneln auch durch Port 80/443. Also somit könnte auch ein Schädling so nach Hause funken.
Ein Schutz dagegen könnte z.B. sein, den Proxy nur http/https anfragen bearbeiten zu lassen. Auch eine Authentifizierung erhöht das Sicherheitslevel.
LG
Das ist mir alles schon klar - würdest du meine Beiträge lesen die ich geschrieben habe solltest du das auch feststellen.
Ich suche halt genau hier eine sinnvolle Lösung für den Proxy - da ich im Proxy eben eigentlich nur einstellen kann - block mir Seite xyz oder lass abc durch.
Direkt in den Traffic um die programmtypischen Verbindungsabläufe festzustellen kann dieser meines Wissens nicht - es sei denn es gibt hier ein Plugin?
Ich suche halt genau hier eine sinnvolle Lösung für den Proxy - da ich im Proxy eben eigentlich nur einstellen kann - block mir Seite xyz oder lass abc durch.
Direkt in den Traffic um die programmtypischen Verbindungsabläufe festzustellen kann dieser meines Wissens nicht - es sei denn es gibt hier ein Plugin?
Also ich versteh glaub ich noch immer nicht so ganz was dein Problem ist Vielleicht denk ich ja zu kompliziert.
Content Filter, der immer mit aktuellen Updates versorgt wird sollte eigentlich das Thema für dich erledigen.
Vielleicht denk ich ja zu kompliziert.Content Filter, der immer mit aktuellen Updates versorgt wird sollte eigentlich das Thema für dich erledigen.
