Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall Port 80, 443 genau filtern

Frage Sicherheit Firewall

Mitglied: TheBesth

TheBesth (Level 1) - Jetzt verbinden

29.03.2011 um 08:51 Uhr, 11686 Aufrufe, 16 Kommentare

Hallo,

ich bräuchte mal eine gedankliche Hilfe bei folgenden Problem:

Wie wir alle wissen, werden ja immer öfter Port 80 und vorallem 443 von sämtlichen Hacker und Trojaner-Tools und auch anderen Programmen benutzt um zu kommunizieren. Für zuhause ist das zwar schön, weil ich mich nicht mit Firewall-Konfiguration rumschlagen muss, aber für Unternehmen möchte ich das nicht so akzeptieren.
Ich möchte genau wissen, welche Programme oder Dienste auf den Ports (vorallem 443) kommunizieren und nur bestimmte durchlassen.
Ich kenne so etwas von Watchguard - die bieten ein Application-Blocking an - dabei wird der Kommunikationsverkehr von zb: Port 80 auf bekannte Muster (zb Authentifizierung beim Skype-Server) untersucht und dann dementsprechend erlaubt oder verboten. Nur hab ich hier das Problem das eben nur die Anwendungen unterstützt werden, die die dort kennen und wofür die programmiert haben - es gibt keine Möglichkeit eigene Anwendungen zu untersuchen und Templates für die Kommunikation zu erstellen. Ich bin hier immer auf den Hersteller angewiesen und wenn der eben nicht mein Produkt da mit reinbringt (warum auch immer) steh ich im Regen.

Gibt es hier vielleicht etwas im Open-Source Sektor?
Oder haltet ihr den Ansatz für Schwachsinn - dann bitte mit Begründung und Alternativen zur Umsetzung des Problems.

Oder kann ich es garnicht verhindern, dass beliebige Programm ihre Infos über Port 80/443 an einen fremden Server schickn ohne das ich es mitbekomme? Wie eine Art Websiten-Aufruf
Mitglied: john-doe
29.03.2011 um 09:11 Uhr
Hallo

Wenn ich es richtig verstanden habe, wäre ein Proxy-Server die Perfekte Lösung. Und in der Firewall stellst du am besten ein, dass nur der Proxy ins Internet kommt.
Proxy´s gibts auch OpenSource. z.B. Squid.

Ich persönlich bevorzuge allerdings eigene Proxy-Gateways und in kleinerem Umfeld bieten sich UTM-Gateway an.


Zusätzlich zum Proxy sollte auf den Clients eine Softwarefirewall inbetrieb genommen werden. Hier kannst du definitiv erlauben welche Programme raus dürfen und welchen nicht.

Aber nur um es klar zu stellen 100%ig kannst du es nicht verhindern das ein Schädling nach Hause funkt.


L.G.
Bitte warten ..
Mitglied: TheBesth
29.03.2011 um 09:31 Uhr
Nein das meine ich nicht ganz.
Proxy ist mir schon klar.

Folgende Struktur bei uns:

http://img827.imageshack.us/img827/3384/bildzs.png

Alle Ports sind erstmal in der Firewall gesperrt.
Es gibt dann diverse Ausnahmen wie beispielsweise darf Port 80 und 443 nur vom Proxy besucht werden - die Clients müssen also über den Proxy raus.

Nun kann ich aber ein Programm haben, welches seine Infos auch einfach über Port 80 oder 443 schickt und ich kann diese "bösen" Sachen nicht abfangen.

Die Firewall oder der Proxy müssten eine Möglichkeit bieten den Traffic gezielt zu überwachen. Unser Proxy von Trendmicro filtert halt nur nach bösen URLs oder Viren oder ähnlichen - aber welche Daten wirklich durchgehen kann ich nicht beeinflussen. Oder hab ich hier einen falschen Denkansatz?

Wie oben bereits beschrieben hat mir Watchguard mal dieses Application-Blocking vorgestellt nur treff ich da auf oben beschriebenes Problem.

Clientseitig möchte ich keine Firewall administrieren müssen, das sollte alles an zentraler Stelle erfolgen.
Bitte warten ..
Mitglied: keksdieb
29.03.2011 um 10:08 Uhr
Moin moin,

Das kann doch der Proxy erledigen, der sowieso der einzige ist, der über die Firewall ins Welt Weite Netz kommt...

Der ISA und der Squid unterstützen das beide, glaube ich.


Gruß Keksdieb
Bitte warten ..
Mitglied: TheBesth
29.03.2011 um 12:51 Uhr
Squid kann das?
Out of the box? Oder ist da ein Plugin nötig?
Bitte warten ..
Mitglied: ackerdiesel
29.03.2011 um 13:21 Uhr
Hallo,

was hat Du denn für eine Firewall ?

In der brauchst Du doch nur eine Protokollierung einstellen, d.h. alles Regelverstöße protokollieren. Wenn jemand anders außer dem Proxy - Server auf Port 80 ins Internet sendet ist dies doch ein regelverstoß (wenn ich das richtig gelesen habe) und wird protokolliert. Das Protokoll kannst Du dann auswerten.

Gruß
ackerdiesel
Bitte warten ..
Mitglied: TheBesth
29.03.2011 um 15:11 Uhr
das meine ich nicht.
Alle Clients gehen über den Proxy.
Aber wenn ich ein Programm auf dem Client hab wie zb: ICQ oder ähnliches dann kann man auch in dem Programm den Proxy hinterlegen und dann funktioniert das auch bzw es holt sich die Proxy-Informationen automatisch aus der registry.
Ich würde jetzt gerne nur diese Programme blocken - bzw nur die bestimmten Programme erlauben
Ich denke mal eine Verbindungssession von so einem Programm sieht anders aus als ein Seitenabruf vom Internet-Explorer - oder täusche ich mich da?
Hierbei muss es ja möglich sein mit bestimmten Templates die verschiedenen Programmeigenheiten bei einem Verbindungsaufbau festzustellen und dann zu entscheiden darf dieses Programm oder nicht.
Genau das macht ja das Application-Blocking von Watchguard ...
Bitte warten ..
Mitglied: ackerdiesel
29.03.2011 um 15:51 Uhr
Hallo,

jetzt habe ich das auch verstanden

Du möchtest die Zugriffe nicht auf der Portebene sondern auf der Programmebene einschränken. Das können die neusten Firewalls (Next generation Firewalls) . z.B. http://www.paloaltonetworks.com oder http://www.astaro.com/de-de?no-geo=1.

Es muss ja quasi der Datenstrom in Echtzeit durchsucht werden.

Ob der Squid das kann, weiß ich nicht. Mit Squidguard kann man Webseiten sperren, vielleicht weiß jemand anderes darüber mehr, ob das mit Squid geht.

Gruß
ackerdiesel
Bitte warten ..
Mitglied: TheBesth
29.03.2011 um 16:17 Uhr
wie gesagt bin ich an einem hersteller interessiert bei dem es möglich ist selber diese Templates für die Anwendungen zu erstellen (siehe oben)
oder besser noch open source - da muss so etwas ja sowieso möglich sein bzw wird von einer größeren community vorangetragen
Bitte warten ..
Mitglied: john-doe
29.03.2011 um 16:28 Uhr
Du könntest dir aber auch die Windowsfirewall anschauen und das ganze über GPOs Zentral verwalten.

Eigentlich ist ja eine Softwarefirewall für solche Sachen da, um nur bestimmten Programmen Zugriff ins Netzwerk / Internet zu erlauben.
Ich muss sagen die Win7 Firewall ist nicht so schlecht und sehr flexibel.

Oder du kaufst dir eine Protection Suite die Zentral managebar ist, z.B. Symantec Endpoint Protection oder von TrendMicro wirds sowas sicher auch geben...


In deinem Fall würde ich das wahrscheinlich mittels SW-Firewalls regeln, da du mehr Flexiblität hast als mit einer zentralen Application Firewall. Und zusätzlich
schwirren keine Pakete im Netzwerk herum die sowieso nicht raus kommen.

LG
Bitte warten ..
Mitglied: TheBesth
29.03.2011 um 16:36 Uhr
das ist mir ehrlich gesagt zu unsicher
ich finde zentrale systeme die nur einen angriffspunkt bieten besser - denn jeder verkehr muss hier lang - also am besten hier blocken
Bitte warten ..
Mitglied: john-doe
29.03.2011 um 16:56 Uhr
??? Unsicher

Also.

Am Client eine Softwarefirewall die regelt welche Programme überhaupt ins Netzwerk kommen (Application)
Alle Anfragen ins Internet müssen auch noch über den Proxy (Inhalt)
Und als letzte Instanz ist noch eine Hardwarefirewall da (Port)

Sicher kann man noch andere Spielerein machen. Aber das ist mal die Grundlage mit dem besten Preis/Leisungsverhältnis.

Man könnte ja auch noch das Netzwerk segmentieren und jeweils die Segmente mit NG Firewalls inkl. Virenscanner und IPS sichern.

In einem Punkt hast du recht, es ist ein zentraler Angriffspunkt. Allerdings wenns dort ein Problem gibt viel Spaß.
Das Zauberwort heißt Mehrstufigkeit. Am besten von unterschiedlichen Herstellern.

LG
Bitte warten ..
Mitglied: dog
29.03.2011 um 23:59 Uhr
Wenn man viel Zeit hat kann man für den ISA als ALG beliebige Plugins schreiben für alle Arten von Traffic.
Zudem kann er ab FTMG HTTPS-Inspection.

Aber da sich ohnehin alles über HTTP tunneln lässt hilft dir nur eine Firewall im Whitelist-Modus.
Bitte warten ..
Mitglied: TheBesth
30.03.2011 um 07:57 Uhr
Wie kann ich das verstehen - es lässt sich alles über HTTP tunneln?
Heißt das ein Programm könnte seinen Traffic wie eine Anfrage nach einer Website vom Internet Explorer aussehen lassen? Und kann trotzdem seine Informationen verschicken/empfangen?
Machen das ICQ, Skype, etc? Machen das eventuelle Trojaner?
Leider stecke ich hier nicht ganz so sehr in der Materie - daher bitte ich um etwas mehr Details.
Vielen Dank schon einmal.
Bitte warten ..
Mitglied: john-doe
30.03.2011 um 08:55 Uhr
Jain...

Es lässt sich eigentlich alles über Port 80/443 Tunneln, HTTP nutzt halt standardmäßig Port 80
Skype, ICQ usw. verwenden auch Port 80/443 als Dst-Port eben um Firewalls den Traffic durch Firewalls zu ermöglichen.

Hier kommt dann der Proxy ins Spiel, der Proxy schaut in den Traffic der auf Dst-Port 80/443 geht und kann die Inhalte analysieren.
Somit kann der Proxy erkennen, ob es sich um eine http/https Anfrage handelt oder ob skype, icq, msn usw. durch wollen und ggf. blocken.
Übrigens denk mal an Teamviewer oder PCvisit die tunneln auch durch Port 80/443. Also somit könnte auch ein Schädling so nach Hause funken.

Ein Schutz dagegen könnte z.B. sein, den Proxy nur http/https anfragen bearbeiten zu lassen. Auch eine Authentifizierung erhöht das Sicherheitslevel.

LG
Bitte warten ..
Mitglied: TheBesth
30.03.2011 um 10:21 Uhr
Das ist mir alles schon klar - würdest du meine Beiträge lesen die ich geschrieben habe solltest du das auch feststellen.
Ich suche halt genau hier eine sinnvolle Lösung für den Proxy - da ich im Proxy eben eigentlich nur einstellen kann - block mir Seite xyz oder lass abc durch.
Direkt in den Traffic um die programmtypischen Verbindungsabläufe festzustellen kann dieser meines Wissens nicht - es sei denn es gibt hier ein Plugin?
Bitte warten ..
Mitglied: john-doe
30.03.2011 um 20:33 Uhr
Also ich versteh glaub ich noch immer nicht so ganz was dein Problem ist Vielleicht denk ich ja zu kompliziert.

Content Filter, der immer mit aktuellen Updates versorgt wird sollte eigentlich das Thema für dich erledigen.
Bitte warten ..
Ähnliche Inhalte
Debian
SSH über Webinterface Port 80 u. 443
gelöst Frage von ModdryDebian17 Kommentare

Guten Abend! Bei uns in der Schule sind nach außen nur 80 und 443 offen, noch nicht mal ICMP ...

Router & Routing
Port 443 und 80 an verschiedene Server weiterleiten
gelöst Frage von ares00Router & Routing10 Kommentare

Hallo zusammen, ich habe einen Server der dringend die Ports 443 und 80 verwenden muss, ich wollte nun einen ...

Windows Server
Server 2003 Port 443
Frage von epspeterWindows Server4 Kommentare

Hallo zusammen, ich verzweifle gerade an folgendem Problem: Hier laufen 2 Server 2003 ohne Firewall! auf die soll eine ...

Linux Netzwerk
Port 443 gemeinsam nutzen
Frage von otto66Linux Netzwerk6 Kommentare

Guten Abend, Ich betreibe Hobby mäßig einen Virtuellen Server den ich gemietet habe! Auf diesem Server läuft ein Apache ...

Neue Wissensbeiträge
Windows 10

Windows 10 Hello-Anmeldung per Foto ausgehebelt

Tipp von kgborn vor 3 StundenWindows 10

Windows Hello ist eine Funktion, um sich per Fingerabdruck-, Gesichts- oder Iriserkennung bei Windows 10-Geräten anzumelden (siehe), setzt aber ...

Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 11 StundenPerl2 Kommentare

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 12 StundenSicherheit1 Kommentar

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 1012 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Heiß diskutierte Inhalte
Windows Server
SCCM 2016: PXE Boot des Clients schlägt fehl
Frage von gabeBUWindows Server23 Kommentare

Hallo Zusammen Ich habe eine Testumgebung erstellt um über SCCM 2016 einen virtuellen Client aufzusetzen. Folgende Maschinen habe ich ...

Netzwerkgrundlagen
Belibiges Teilnetz einer Subnetzmaske rausfinden?
gelöst Frage von CenuzeNetzwerkgrundlagen19 Kommentare

Wundervollen Gutentag, mittlerweile kann ich Subnetting so einigermaßen, aber ein Problem habe ich noch. Netzwerkadresse und Boradcast errechnen ist ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless12 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Exchange Server
Exchange empfängt Emails - Kann aber keine Senden
gelöst Frage von niklasschaeferExchange Server11 Kommentare

Hallo, ich stehe gerade bei mir zuhause vor folgender Problemstellung. Gegeben sind 2x Hyper-V Host mit Windows Server 2016 ...