Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 38 subscribers
  • Views 2707 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

LAN zu WAN - offene Ports

zeus1976
Hallo Zusammen,

Letzte Woche traf ich einen Kollegen und wir sprachen über die offene Ports von LAN zu WAN. 

Wir sind grundsätzlich der Meinung, dass nur gewisse Ports offen sein sollen:

- FTP
- DNS
- HTTP und HTTPS
- Mail Ports

Jetzt wollte ich einmal die Astaro Community fragen:
- Was denkt Ihr darüber?
- Wenn Ihr Ports offen habt, welche von LAN zu WAN Ports sind offen?

Freue mich auf die Diskussion und bedanke mich für Eure Antworten.

Gruss


This thread was automatically locked due to age.
  • 0
    Natürlich macht das aus Sicht der Sicherheit Sinn nur bestimmte Ports zu öffnen. Nervt dafür auch die User ab und zu, da immer mal wieder etwas nicht richtig funktioniert weil irgend eine komische Software auf einen speziellen Port zugreifen will. Der Administrationsaufwand steigt dadurch etwas.

    Ports brauchst du ganz einfach diejenigen die ihr braucht damit ihr arbeiten könnt. Für DNS kannst du z.B. auch die UTM verwenden.
  • 0
    Vielleicht sollten wir erst mal darüber diskutieren, was Du für grundsätzlich hältst?
    Grundsätzlich sollten (durch die Firewall) gar keine Ports nach außen offen sein (müssen).

    Mit der UTM9.2 sollte es in "üblichen" Umgebungen gar nicht mehr erforderlich sein, irgendwas nach draußen aufmachen zu müssen, oder eben ohne irgendwas mit ANY, also wirklich auf Quelle, Dienst und Ziel beschränkt.

    Scheitert aber meist daran, dass Programmierer und / oder Produktentwickler (der Anwendungen) zu faul, zu ignorant oder ... sind und man dann doch wieder die UTM durchlöchern muss.
  • 0 in reply to K.N.
    Vielleicht sollten wir erst mal darüber diskutieren, was Du für grundsätzlich hältst?
    Grundsätzlich sollten (durch die Firewall) gar keine Ports nach außen offen sein (müssen).

    Mit der UTM9.2 sollte es in "üblichen" Umgebungen gar nicht mehr erforderlich sein, irgendwas nach draußen aufmachen zu müssen, oder eben ohne irgendwas mit ANY, also wirklich auf Quelle, Dienst und Ziel beschränkt.

    Scheitert aber meist daran, dass Programmierer und / oder Produktentwickler (der Anwendungen) zu faul, zu ignorant oder ... sind und man dann doch wieder die UTM durchlöchern muss.


    Sorry, aber ich verstehe Deine Antwort nicht ganz :-):
    - Machst du keine Firewallregeln mehr von LAN zu WAN?

    Danke für Deine Antwort.

    Gruss
  • 0
    Doch natürlich, es ist aber immer wieder ein Krampf, da
    a) sich viele Anwendungen scheuen, einen Proxy zu verwenden oder
    b) nicht so wirklich wissen, zu welchen Ports auf welchen Hosts sie sich verbinden wollen.
    Das macht mich traurig. 

    Ich habe einige UTMs in freier Wildbahn, auf denen nur die Ports 3000 und 3101 zu definierten Zielen offen sind, der Rest läuft über die Proxys.
  • 0 in reply to K.N.
    Doch natürlich, es ist aber immer wieder ein Krampf, da
    a) sich viele Anwendungen scheuen, einen Proxy zu verwenden oder
    b) nicht so wirklich wissen, zu welchen Ports auf welchen Hosts sie sich verbinden wollen.
    Das macht mich traurig. 

    Ich habe einige UTMs in freier Wildbahn, auf denen nur die Ports 3000 und 3101 zu definierten Zielen offen sind, der Rest läuft über die Proxys.


    Ok. danke für die Antwort. Nahm mich einfach wunder.
Unfiltered HTML