15
Firewall Ports nach außen öffnen
Guten Abend zusammen
Ich wollte euch Fragen, wie ihr es mit euren Hardware (oder normale) Firewalls handhabt mit Ports nach außen? Öffnet ihr alles und schließt nur gewisse Ports oder schließt ihr alles und öffnet nur das nötigste. Oder lebt ihr hart und öffnet komplett alles ohne Regeln?
Für die, die alles schließen. Wie handhabt ihr es mit den höheren Ports? Es gibt ja einige Applikationen die ab dem 50.000er bereich nach random einen Port benötigen. Lasst ihr die Ports grundsätzlich offen, oder Analysiert ihr so lange bis ihr alle Ports habt.
Danke für euer Input
Ich wollte euch Fragen, wie ihr es mit euren Hardware (oder normale) Firewalls handhabt mit Ports nach außen? Öffnet ihr alles und schließt nur gewisse Ports oder schließt ihr alles und öffnet nur das nötigste. Oder lebt ihr hart und öffnet komplett alles ohne Regeln?
Für die, die alles schließen. Wie handhabt ihr es mit den höheren Ports? Es gibt ja einige Applikationen die ab dem 50.000er bereich nach random einen Port benötigen. Lasst ihr die Ports grundsätzlich offen, oder Analysiert ihr so lange bis ihr alle Ports habt.
Danke für euer Input
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 266414
Url: https://administrator.de/contentid/266414
Printed on: April 26, 2024 at 13:04 o'clock
15 Comments
Latest comment
Moin,
Port 25 für den Mailserver und 443 für den Webmailer zur DMZ hin ist hier offen.
Der Rest geht über VPN.
Gruß,
Uwe
Port 25 für den Mailserver und 443 für den Webmailer zur DMZ hin ist hier offen.
Der Rest geht über VPN.
Gruß,
Uwe
Hallo,
alles dicht und Kontakt nur via IPSec VPN in die DMZ,
nicht ins ganze LAN.
Gruß
Dobby
alles dicht und Kontakt nur via IPSec VPN in die DMZ,
nicht ins ganze LAN.
Gruß
Dobby
Hallo geocast,
nehme mal an, Du meinst die Richtung intern nach extern (LAN nach WAN).
Wenn das so ist, nur das nötigste öffnen (da kann, je nach Typ der User, einiges zusammenkommen).
Falls in Deinem LAN ein SMTP-Server läuft, sollte nur er nach aussen mailen dürfen. Ebenso DNS und NTP.
Die Antwort auf Deine Frage hängt von dem Bedarf ab, den Deine User im LAN haben.
Ansonsten, egal welche Richtung, nur das Nötige ermöglichen.
Gruß
LS
nehme mal an, Du meinst die Richtung intern nach extern (LAN nach WAN).
Wenn das so ist, nur das nötigste öffnen (da kann, je nach Typ der User, einiges zusammenkommen).
Falls in Deinem LAN ein SMTP-Server läuft, sollte nur er nach aussen mailen dürfen. Ebenso DNS und NTP.
Die Antwort auf Deine Frage hängt von dem Bedarf ab, den Deine User im LAN haben.
Ansonsten, egal welche Richtung, nur das Nötige ermöglichen.
Gruß
LS
Hallo laster
Ja genau LAN nach WAN ist gemeint, sorry hatte ich doch grad vergessen.
Grundsätzlich ist es ja eigentlich schon sinnig, allerdings liest man sehr wenig darüber was viele nach Außen öffnen bzw. das überhaupt jemand sowas konfiguriert, deswegen dacht ich, ich frage einfach mal.
Also könnte folgende konfiguration für einige schon reichen bzw. schon zuviel sein
DNS 53
FTP 20/21
HTTP 80
HTTPS 443
IMAP 143/993
POP 110/995
NTP 123
SMTP 25/587
Ja genau LAN nach WAN ist gemeint, sorry hatte ich doch grad vergessen.
Grundsätzlich ist es ja eigentlich schon sinnig, allerdings liest man sehr wenig darüber was viele nach Außen öffnen bzw. das überhaupt jemand sowas konfiguriert, deswegen dacht ich, ich frage einfach mal.
Also könnte folgende konfiguration für einige schon reichen bzw. schon zuviel sein
DNS 53
FTP 20/21
HTTP 80
HTTPS 443
IMAP 143/993
POP 110/995
NTP 123
SMTP 25/587
Ja, man öffnet nur das was man wirklich braucht. (Wie schon geschrieben)
Z.b. SMTP nur für den Mailserver
NTP, DNS brauchst du auch nicht für jeden Rechner.
HTTP/HTTPS würde sich auch ein Proxy anbieten.
usw.
Z.b. SMTP nur für den Mailserver
NTP, DNS brauchst du auch nicht für jeden Rechner.
HTTP/HTTPS würde sich auch ein Proxy anbieten.
usw.
Wenn zu wenig offen ist, werden Deine Kollegen Dir schon Bescheid geben...
Du erklärst ihnen dann Deine Sicherheitsstrategie und gibst eine Runde Bier aus. Dann wird alles gut.
Du erklärst ihnen dann Deine Sicherheitsstrategie und gibst eine Runde Bier aus. Dann wird alles gut.
Ja genau LAN nach WAN ist gemeint, sorry hatte ich
doch grad vergessen.
Ist ja nicht so schlimm.doch grad vergessen.
Grundsätzlich ist es ja eigentlich schon sinnig, allerdings
liest man sehr wenig darüber was viele nach Außen öffnen
Wenn sie das überhaupt können! Denn das geht auch nur beiliest man sehr wenig darüber was viele nach Außen öffnen
einer Firewall oder einem Router mit Firewallreglen wie einem
Lancom.
bzw. das überhaupt jemand sowas konfiguriert, deswegen
dacht ich, ich frage einfach mal.
Sinnig ist das sicherlich schon nur dann muss man auch fürdacht ich, ich frage einfach mal.
alles was benutzt wird die Ports und Protokolle kennen
- Skype
- Telnet
- SSH
- Spiele
- Alle Updatekanäle von Programmen
- Secunia PSI
Gruß
Dobby
Guten Abend @geocast,
alle ausgehende Anfragen gehen über die DMZ ins Internet. Direktzugriff (LAN -> WAN) gibt es bei uns nicht. Der Datenstrom mit SSL-Interception und Webfilter in Echtzeit geprüft, da Tools wie Teamviewer und Co verboten sind.
Grundsätzlich ist HTTP(s) nur für authentifiziere Benutzer zugänglich. Alles andere wird explizit an Hand von TCP/UDP, Port, Source-IP-Adresse, Destination-IP-Adresse, Benutzername und Zeitraum freigeschalten.
Gruß,
Dani
alle ausgehende Anfragen gehen über die DMZ ins Internet. Direktzugriff (LAN -> WAN) gibt es bei uns nicht. Der Datenstrom mit SSL-Interception und Webfilter in Echtzeit geprüft, da Tools wie Teamviewer und Co verboten sind.
Grundsätzlich ist HTTP(s) nur für authentifiziere Benutzer zugänglich. Alles andere wird explizit an Hand von TCP/UDP, Port, Source-IP-Adresse, Destination-IP-Adresse, Benutzername und Zeitraum freigeschalten.
Gruß,
Dani
Öffnet ihr alles und schließt nur gewisse Ports oder schließt ihr alles und öffnet nur das nötigste.
Generell öffnet mal gar nix bohrt also keinerlei Löcher in die Firewall sondern nutzt immer nur ein VPN für den remoten Zugriff.Wenn du es dennoch nicht lassen kannst Ports zu öffnen nutzt man immer eine Whitelist und keine Blacklist.
Whitelist heisst man öffnet nur einzig die Ports die man unbedingt erlauben muss und lässt den Rest geblockt.
Guten Morgen @aqui
Wohin soll den der VPN gehen, wenn die Konstellation z.B. eine FW (nehmen wir mal eine Zywall USG an) und 5 PCs hintendran sind, ohne sonstigen Setup?
Wohin soll den der VPN gehen, wenn die Konstellation z.B. eine FW (nehmen wir mal eine Zywall USG an) und 5 PCs hintendran sind, ohne sonstigen Setup?
Zitat von @geocast:
Guten Morgen @aqui
Wohin soll den der VPN gehen, wenn die Konstellation z.B. eine FW (nehmen wir mal eine Zywall USG an) und 5 PCs hintendran sind,
ohne sonstigen Setup?
Guten Morgen @aqui
Wohin soll den der VPN gehen, wenn die Konstellation z.B. eine FW (nehmen wir mal eine Zywall USG an) und 5 PCs hintendran sind,
ohne sonstigen Setup?
Du solltest vielleicht die Richtung spezifizieren.
Meine Strategie ist auch, alles dicht und dann wird sukzessive das aufgemacht, das zum produktiven Arbeiten notwendig ist.
SMTP, IMAP, POP, DNS, FTP, HTTP nach draußen dürfen nur die passenden Server/Proxies, sofern das überhaupt notwendig ist. Clients dürfen erstmal gar nicht direkt raus, es sei denn, es gibt keine Lokalen Server, die die entsprechende Dienste anbieten.
Alles andere Bedarf einer Analyse und ggf Anpassung.
rein darf nur SMTP, falsl ein loakler mailserver die Mails direkt zugestellt bekommt, Ansonsten nur VPN (IPSEC oder SSL, kein PPPTP!).
lks
Meine bisher immer nach Außen. Rein ist mir schon klar, da sollte wenn möglich nichts rein. Da ich nur einen Webserver habe, ist nur der Port 80 und 443 offen.
Und den Webserver packt man in ein separates Netz.
1
...sprich einen DMZ auf einem separatem Firewall Segment:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
1
Zitat von @geocast:
Ich wollte euch Fragen, wie ihr es mit euren Hardware (oder normale) Firewalls handhabt mit Ports nach außen? Öffnet
ihr alles und schließt nur gewisse Ports oder schließt ihr alles und öffnet nur das nötigste. Oder lebt ihr
hart und öffnet komplett alles ohne Regeln?
Ich wollte euch Fragen, wie ihr es mit euren Hardware (oder normale) Firewalls handhabt mit Ports nach außen? Öffnet
ihr alles und schließt nur gewisse Ports oder schließt ihr alles und öffnet nur das nötigste. Oder lebt ihr
hart und öffnet komplett alles ohne Regeln?
Wie Dani bereits schrieb: nach der reinen Lehre gibt es keine direkten Verbindungen zwischen inside und outside. Also nicht nur nicht von WAN nach LAN, sondern auch von LAN nach WAN nicht! Sofern überhaupt Traffic zugelassen wird, dann läuft dieser zwingend über spezielle Application-Layer-Gateways in einer DMZ.
In gut administrierten Netzen mit hohem Schutzbedarf und klarer Sicherheitspolicy wird dies tatsächlich auch so gemacht. Trotz UTM-Hype.
In KMU-Netzen sieht die Praxis leider oft schon aufgrund Unkenntnis, Schlechtberatung und Budgetmangel ganz anders aus.
Aber auch in eigentlich professionelleren Netzen kann das heute oftmals wider besseren Wissens nicht immer so in Reinform umgesetzt werden. Meist liegt es daran, dass "von oben" der Rückhalt für die IT-Sicherheit fehlt, wenn damit Funktions- oder Komforteinbußen einher gehen.
Zitat von @geocast:
Für die, die alles schließen. Wie handhabt ihr es mit den höheren Ports? Es gibt ja einige Applikationen die ab
dem 50.000er bereich nach random einen Port benötigen. Lasst ihr die Ports grundsätzlich offen, oder Analysiert ihr so
lange bis ihr alle Ports habt.
Für die, die alles schließen. Wie handhabt ihr es mit den höheren Ports? Es gibt ja einige Applikationen die ab
dem 50.000er bereich nach random einen Port benötigen. Lasst ihr die Ports grundsätzlich offen, oder Analysiert ihr so
lange bis ihr alle Ports habt.
Wenns wirklich "random" ist, lässt es sich ja bestenfalls auf eine Range eingrenzen. Aber was soll das sein? Soetwas ist mir noch nicht untergekommen.
Gruß
sk