Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall Port 80, 443 genau filtern

Frage Sicherheit Firewall

Mitglied: TheBesth

TheBesth (Level 1) - Jetzt verbinden

29.03.2011 um 08:51 Uhr, 11079 Aufrufe, 16 Kommentare

Hallo,

ich bräuchte mal eine gedankliche Hilfe bei folgenden Problem:

Wie wir alle wissen, werden ja immer öfter Port 80 und vorallem 443 von sämtlichen Hacker und Trojaner-Tools und auch anderen Programmen benutzt um zu kommunizieren. Für zuhause ist das zwar schön, weil ich mich nicht mit Firewall-Konfiguration rumschlagen muss, aber für Unternehmen möchte ich das nicht so akzeptieren.
Ich möchte genau wissen, welche Programme oder Dienste auf den Ports (vorallem 443) kommunizieren und nur bestimmte durchlassen.
Ich kenne so etwas von Watchguard - die bieten ein Application-Blocking an - dabei wird der Kommunikationsverkehr von zb: Port 80 auf bekannte Muster (zb Authentifizierung beim Skype-Server) untersucht und dann dementsprechend erlaubt oder verboten. Nur hab ich hier das Problem das eben nur die Anwendungen unterstützt werden, die die dort kennen und wofür die programmiert haben - es gibt keine Möglichkeit eigene Anwendungen zu untersuchen und Templates für die Kommunikation zu erstellen. Ich bin hier immer auf den Hersteller angewiesen und wenn der eben nicht mein Produkt da mit reinbringt (warum auch immer) steh ich im Regen.

Gibt es hier vielleicht etwas im Open-Source Sektor?
Oder haltet ihr den Ansatz für Schwachsinn - dann bitte mit Begründung und Alternativen zur Umsetzung des Problems.

Oder kann ich es garnicht verhindern, dass beliebige Programm ihre Infos über Port 80/443 an einen fremden Server schickn ohne das ich es mitbekomme? Wie eine Art Websiten-Aufruf
Mitglied: john-doe
29.03.2011 um 09:11 Uhr
Hallo

Wenn ich es richtig verstanden habe, wäre ein Proxy-Server die Perfekte Lösung. Und in der Firewall stellst du am besten ein, dass nur der Proxy ins Internet kommt.
Proxy´s gibts auch OpenSource. z.B. Squid.

Ich persönlich bevorzuge allerdings eigene Proxy-Gateways und in kleinerem Umfeld bieten sich UTM-Gateway an.


Zusätzlich zum Proxy sollte auf den Clients eine Softwarefirewall inbetrieb genommen werden. Hier kannst du definitiv erlauben welche Programme raus dürfen und welchen nicht.

Aber nur um es klar zu stellen 100%ig kannst du es nicht verhindern das ein Schädling nach Hause funkt.


L.G.
Bitte warten ..
Mitglied: TheBesth
29.03.2011 um 09:31 Uhr
Nein das meine ich nicht ganz.
Proxy ist mir schon klar.

Folgende Struktur bei uns:

http://img827.imageshack.us/img827/3384/bildzs.png

Alle Ports sind erstmal in der Firewall gesperrt.
Es gibt dann diverse Ausnahmen wie beispielsweise darf Port 80 und 443 nur vom Proxy besucht werden - die Clients müssen also über den Proxy raus.

Nun kann ich aber ein Programm haben, welches seine Infos auch einfach über Port 80 oder 443 schickt und ich kann diese "bösen" Sachen nicht abfangen.

Die Firewall oder der Proxy müssten eine Möglichkeit bieten den Traffic gezielt zu überwachen. Unser Proxy von Trendmicro filtert halt nur nach bösen URLs oder Viren oder ähnlichen - aber welche Daten wirklich durchgehen kann ich nicht beeinflussen. Oder hab ich hier einen falschen Denkansatz?

Wie oben bereits beschrieben hat mir Watchguard mal dieses Application-Blocking vorgestellt nur treff ich da auf oben beschriebenes Problem.

Clientseitig möchte ich keine Firewall administrieren müssen, das sollte alles an zentraler Stelle erfolgen.
Bitte warten ..
Mitglied: keksdieb
29.03.2011 um 10:08 Uhr
Moin moin,

Das kann doch der Proxy erledigen, der sowieso der einzige ist, der über die Firewall ins Welt Weite Netz kommt...

Der ISA und der Squid unterstützen das beide, glaube ich.


Gruß Keksdieb
Bitte warten ..
Mitglied: TheBesth
29.03.2011 um 12:51 Uhr
Squid kann das?
Out of the box? Oder ist da ein Plugin nötig?
Bitte warten ..
Mitglied: ackerdiesel
29.03.2011 um 13:21 Uhr
Hallo,

was hat Du denn für eine Firewall ?

In der brauchst Du doch nur eine Protokollierung einstellen, d.h. alles Regelverstöße protokollieren. Wenn jemand anders außer dem Proxy - Server auf Port 80 ins Internet sendet ist dies doch ein regelverstoß (wenn ich das richtig gelesen habe) und wird protokolliert. Das Protokoll kannst Du dann auswerten.

Gruß
ackerdiesel
Bitte warten ..
Mitglied: TheBesth
29.03.2011 um 15:11 Uhr
das meine ich nicht.
Alle Clients gehen über den Proxy.
Aber wenn ich ein Programm auf dem Client hab wie zb: ICQ oder ähnliches dann kann man auch in dem Programm den Proxy hinterlegen und dann funktioniert das auch bzw es holt sich die Proxy-Informationen automatisch aus der registry.
Ich würde jetzt gerne nur diese Programme blocken - bzw nur die bestimmten Programme erlauben
Ich denke mal eine Verbindungssession von so einem Programm sieht anders aus als ein Seitenabruf vom Internet-Explorer - oder täusche ich mich da?
Hierbei muss es ja möglich sein mit bestimmten Templates die verschiedenen Programmeigenheiten bei einem Verbindungsaufbau festzustellen und dann zu entscheiden darf dieses Programm oder nicht.
Genau das macht ja das Application-Blocking von Watchguard ...
Bitte warten ..
Mitglied: ackerdiesel
29.03.2011 um 15:51 Uhr
Hallo,

jetzt habe ich das auch verstanden

Du möchtest die Zugriffe nicht auf der Portebene sondern auf der Programmebene einschränken. Das können die neusten Firewalls (Next generation Firewalls) . z.B. http://www.paloaltonetworks.com oder http://www.astaro.com/de-de?no-geo=1.

Es muss ja quasi der Datenstrom in Echtzeit durchsucht werden.

Ob der Squid das kann, weiß ich nicht. Mit Squidguard kann man Webseiten sperren, vielleicht weiß jemand anderes darüber mehr, ob das mit Squid geht.

Gruß
ackerdiesel
Bitte warten ..
Mitglied: TheBesth
29.03.2011 um 16:17 Uhr
wie gesagt bin ich an einem hersteller interessiert bei dem es möglich ist selber diese Templates für die Anwendungen zu erstellen (siehe oben)
oder besser noch open source - da muss so etwas ja sowieso möglich sein bzw wird von einer größeren community vorangetragen
Bitte warten ..
Mitglied: john-doe
29.03.2011 um 16:28 Uhr
Du könntest dir aber auch die Windowsfirewall anschauen und das ganze über GPOs Zentral verwalten.

Eigentlich ist ja eine Softwarefirewall für solche Sachen da, um nur bestimmten Programmen Zugriff ins Netzwerk / Internet zu erlauben.
Ich muss sagen die Win7 Firewall ist nicht so schlecht und sehr flexibel.

Oder du kaufst dir eine Protection Suite die Zentral managebar ist, z.B. Symantec Endpoint Protection oder von TrendMicro wirds sowas sicher auch geben...


In deinem Fall würde ich das wahrscheinlich mittels SW-Firewalls regeln, da du mehr Flexiblität hast als mit einer zentralen Application Firewall. Und zusätzlich
schwirren keine Pakete im Netzwerk herum die sowieso nicht raus kommen.

LG
Bitte warten ..
Mitglied: TheBesth
29.03.2011 um 16:36 Uhr
das ist mir ehrlich gesagt zu unsicher
ich finde zentrale systeme die nur einen angriffspunkt bieten besser - denn jeder verkehr muss hier lang - also am besten hier blocken
Bitte warten ..
Mitglied: john-doe
29.03.2011 um 16:56 Uhr
??? Unsicher

Also.

Am Client eine Softwarefirewall die regelt welche Programme überhaupt ins Netzwerk kommen (Application)
Alle Anfragen ins Internet müssen auch noch über den Proxy (Inhalt)
Und als letzte Instanz ist noch eine Hardwarefirewall da (Port)

Sicher kann man noch andere Spielerein machen. Aber das ist mal die Grundlage mit dem besten Preis/Leisungsverhältnis.

Man könnte ja auch noch das Netzwerk segmentieren und jeweils die Segmente mit NG Firewalls inkl. Virenscanner und IPS sichern.

In einem Punkt hast du recht, es ist ein zentraler Angriffspunkt. Allerdings wenns dort ein Problem gibt viel Spaß.
Das Zauberwort heißt Mehrstufigkeit. Am besten von unterschiedlichen Herstellern.

LG
Bitte warten ..
Mitglied: dog
29.03.2011 um 23:59 Uhr
Wenn man viel Zeit hat kann man für den ISA als ALG beliebige Plugins schreiben für alle Arten von Traffic.
Zudem kann er ab FTMG HTTPS-Inspection.

Aber da sich ohnehin alles über HTTP tunneln lässt hilft dir nur eine Firewall im Whitelist-Modus.
Bitte warten ..
Mitglied: TheBesth
30.03.2011 um 07:57 Uhr
Wie kann ich das verstehen - es lässt sich alles über HTTP tunneln?
Heißt das ein Programm könnte seinen Traffic wie eine Anfrage nach einer Website vom Internet Explorer aussehen lassen? Und kann trotzdem seine Informationen verschicken/empfangen?
Machen das ICQ, Skype, etc? Machen das eventuelle Trojaner?
Leider stecke ich hier nicht ganz so sehr in der Materie - daher bitte ich um etwas mehr Details.
Vielen Dank schon einmal.
Bitte warten ..
Mitglied: john-doe
30.03.2011 um 08:55 Uhr
Jain...

Es lässt sich eigentlich alles über Port 80/443 Tunneln, HTTP nutzt halt standardmäßig Port 80
Skype, ICQ usw. verwenden auch Port 80/443 als Dst-Port eben um Firewalls den Traffic durch Firewalls zu ermöglichen.

Hier kommt dann der Proxy ins Spiel, der Proxy schaut in den Traffic der auf Dst-Port 80/443 geht und kann die Inhalte analysieren.
Somit kann der Proxy erkennen, ob es sich um eine http/https Anfrage handelt oder ob skype, icq, msn usw. durch wollen und ggf. blocken.
Übrigens denk mal an Teamviewer oder PCvisit die tunneln auch durch Port 80/443. Also somit könnte auch ein Schädling so nach Hause funken.

Ein Schutz dagegen könnte z.B. sein, den Proxy nur http/https anfragen bearbeiten zu lassen. Auch eine Authentifizierung erhöht das Sicherheitslevel.

LG
Bitte warten ..
Mitglied: TheBesth
30.03.2011 um 10:21 Uhr
Das ist mir alles schon klar - würdest du meine Beiträge lesen die ich geschrieben habe solltest du das auch feststellen.
Ich suche halt genau hier eine sinnvolle Lösung für den Proxy - da ich im Proxy eben eigentlich nur einstellen kann - block mir Seite xyz oder lass abc durch.
Direkt in den Traffic um die programmtypischen Verbindungsabläufe festzustellen kann dieser meines Wissens nicht - es sei denn es gibt hier ein Plugin?
Bitte warten ..
Mitglied: john-doe
30.03.2011 um 20:33 Uhr
Also ich versteh glaub ich noch immer nicht so ganz was dein Problem ist Vielleicht denk ich ja zu kompliziert.

Content Filter, der immer mit aktuellen Updates versorgt wird sollte eigentlich das Thema für dich erledigen.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Debian
gelöst SSH über Webinterface Port 80 u. 443 (17)

Frage von Moddry zum Thema Debian ...

Netzwerkmanagement
gelöst 2 Server 2012 aber nur ein Port 443 (3)

Frage von PAULOTTO zum Thema Netzwerkmanagement ...

Server
OpenVPN Fritzbox Port weiterleitung TCP 443 (6)

Frage von D46505Pl zum Thema Server ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...