Anwendungsfilter anwenden

Hallo,

ich habe Schwierigkeiten das Verständnis für das Anwenden der Anwendungsfilter zu bekommen.

Ich habe schonmal versucht auf English das Problem zu lösen. Leider komme ich da nicht weiter.

Ich würde gerne z.B. Facebook entsprechend für ein paar Clients zulassen bzw. blockieren.

Entweder kann ich ja über die "ClientLess" Benutzer oder über die IP-Hosts in der Regel die Zugriffe steuern.

Jetzt habe ich den Anwendungsfilter für Facebook erstellt. Dazu gibt es ja Sophos KBAs.

Jetzt kommt der Fall das ich die Firewall Regel anlege. Darin kann man dann den neuen Anwendungsfilter entsprechend mit Anwenden.

Das funktioniert auch soweit. Jetzt kommt der Punkt, das ich ja rein theoretisch speziell für "FaceBook" die Regel angelegt habe.

Jetzt schaue ich mir den Traffic für die Regel an und sehe das ja dann jeder weiterer Dienst wie z.B. Websurfing auch darüber läuft.

Mir ist das bedingt schon klar warum, weil man ja in der Regel erstmal alle Dienste als "Beliebig" zugelassen hat.

Ich hätte aber gerne bzw. erwartet das eigentlich nur die Anwendung "Facebook" nur über die Regle läuft und nicht weitere alle Dienste.

Wo liegt hier mein Verständnisproblem ?

Ist es nicht möglich eine Regel zu erstellen worüber nur die Anwendung läuft bzw. erkannt wird.

Gruß

Parents
  • Der Unterschied besteht zwischen Applikationen und Websites. 

    Früher waren Applikationen in der Regel Anwendungen, die bestimmte Ports verwendet haben. Websites wurden über Proxies erreicht, die Port80/443 genutzt haben.

    Heutzutage nutzen die meisten Applikationen jedoch auch 443, daher verschwimmt es etwas, jedoch bleibt es in der Regel in dem selben Bereich:

    Eine App sieht immer gleich aus vom Traffic, daher kann man eine Signatur für den Traffic schreiben (Der Traffic sieht wie folgt aus: ). Ein Webfilter arbeitet anhand von Requests, die angefragt werden: Der Client möchte gerne über HTTP GET eine Website wie Facebook.com erreichen. 

    Daher kann man im Application Filter eine Application wie facebook blockieren (oder Facebook message etc.). Der Traffic sieht in der Regel ähnlich aus, die Firewall kann diesen Portunabhängig erkennen und dementsprechend sperren. Im Webfilter kann man verhindern, dass jemand auf die Website "facebook.com" zugreift und diese aufruft mit einem Browser. 

    Eine Firewall Regel inkludiert Web und Applikation Control. Eine Firewall Rule wird angewendet, wenn Source IP, Destination IP und Service (Port) zutrifft. Da wie oben angesprochen die meisten Apps sowieso Port443 haben, trifft auch Webfilter und Application Control auf diese Art des Traffics. 

    Du kannst auf einer Sophos Firewall das nicht von einander Trennen. 

    __________________________________________________________________________________________________________________

  • Hi,

    ja soweit konnte ich das auch eingrenzen das es hier um die Standardports von 80/443 geht.

    Ok, für mich zum Verständnis, wie geht man denn da vor um diverse Benutzer ohne die Zusatztools von Sophos zu nutzen, die WebFilter, Anwendungsfilter anzuwenden.

    Worauf ich hinaus möchte ist, wenn ich z.B. Zuhause meine Kinder entsprechend eingrenzen möchte.

    Wie kann ich diverse Anwendungen für einen/mehrere IP-Client entsprechend behandeln ?

    Jetzt habe ich diverse Anwendungen wie

    WhatsApp, Facebook und usw. oder auch FileSharing Dienste, das würde ich gerne gesteuert haben.

    Da sehe ich gerade nicht die Möglichkeit wie man das einrichtet. Da fehlt mir der Blick dafür das Sinnvoll anzuwenden.

    Aber kurze Zwischenfrage nochmal, es geht aber immer alles nur indem man eine Firewallregel erstellt und entsprechend die WebFilter und oder

    Anwenungsfilter zuweist?

    Gruß

  • Hallo,

    Das kannst du über verschiedene Firewall-rules, an welche die jeweiligen Applikations- und Webfilter-Rules gebunden werden und auf die (reservierten) IP's (als Source) festgelegt werden realisieren.

    Oder du verwendest "Clientless users" (zu finden unter authentication). Dabei werden Nutzeraccounts an IP Adressen gebunden. 

    Diese Nutzer können dann auch in Rules verwendet werden.

    Spezifischere fragen am besten separat stellen.


    Dirk

    Sophos Solution Partner since 2003
    If a post solves your question click the 'Verify Answer' link.

  • Hi,

    Ich habe da absolut keine  Ansatz wie ich meine Ideen umsetzen soll.

    Von der Sache her verstehe ich das. Aber wie schon Lucar Toni gesagt hat, da so gut wie alle Applikationen über Port 443 laufen, hänge ich da an der Stelle.

    Es ist ja auch so, z.B. für Kinder. Sollte ich denn eine großen Anwendungsfilter erstellen worin alles mögliche für die Kinder geregelt wird, genau auch gleich erstellen was den WebFilter betrifft.

    Weil so wie es ja aussieht, kann ich ja jetzt keine einzige Regel erstellen für Facebook(Kids) z.B.

    Da kann ich ja keine Trennung zwischen den Anwendungen machen.

    Mein Problem ist das entsprechend gut sortiert und verständlich zwischen verschiedene Gruppen und Anwendungen Regeln Sinnvoll zu erstellen.

    Da liegt mein Problem das vernünftig aufzubauen.

    Wie geht man da vor wenn man für diverse Gruppen verschiedene Websites und Anwendungsfilter anlegt.

    Kann das jemand vielleicht beschreiben. 

    Danke und Gruß

  • Man bezieht sich immer auf die Source IP. Also die Kinder erhalten eine Regel (Kinder App control, Kinder Web control). Dort blockiert man eben Facebook, dort blockiert man eben Websurfing etc.

    Dann baut man eine zweite regel für die Erwachsenen, in den man beides durchlässt. 

    __________________________________________________________________________________________________________________

  • Guten Morgen,

    das heißt aber, das z.B. für die Kids in der WebControl  und im Anwendungsfilter alles beinhalten muss was man zulassen oder blockieren möchte ?

    Man kann aber nicht mehrere Anwendungsfilter anlegen, so das man z.B. die Anwendungen anhand der Regel differenzieren könnte, weil ja die Regle nur auf die IP sich bezieht und damit auslöst und entsprechend die WebFilter und Anwendungsfilter anwendet, ist das richtig ?

    Gruß

  • Hi,

    kannst du bitte nochmal kurz wenn möglich zu meiner letzten Antwort ein Statement abgeben.

    Danke und Gruß

  • Hi,

    nochmal meine Frage bitte, könntest du nochmal hierauf auf Fragen eingehen.

    Danke und Gruß

  • Du kannst in der Regel (App Control oder Web Filter) definieren, was erlaubt ist. Du kannst nicht mehrere Filter Regeln auf ein Gerät anwenden. Jedoch kannst du einfach eine Regel bauen, die "Kids" bedeutet, dort blockierst du die Applications, die du nicht möchtest und damit können Sie nicht mehr auf die Apps zugreifen. Diese Regel "Kids" wendest du dann auf die Firewall Regel von den Geräten der Kinder an. 

    Am Ende ist das Ganze jedoch nicht zielführend, da ISPs Geräte ausliefern mit XY GB Data Volumen und solche Firewall Produkte einfach mit LTE umgangen werden. Ich halte es nicht für Zielführend, Facebook zu blockieren, nur um das Verhalten zu trainieren, eben über LTE zu gehen. 

    __________________________________________________________________________________________________________________

Reply
  • Du kannst in der Regel (App Control oder Web Filter) definieren, was erlaubt ist. Du kannst nicht mehrere Filter Regeln auf ein Gerät anwenden. Jedoch kannst du einfach eine Regel bauen, die "Kids" bedeutet, dort blockierst du die Applications, die du nicht möchtest und damit können Sie nicht mehr auf die Apps zugreifen. Diese Regel "Kids" wendest du dann auf die Firewall Regel von den Geräten der Kinder an. 

    Am Ende ist das Ganze jedoch nicht zielführend, da ISPs Geräte ausliefern mit XY GB Data Volumen und solche Firewall Produkte einfach mit LTE umgangen werden. Ich halte es nicht für Zielführend, Facebook zu blockieren, nur um das Verhalten zu trainieren, eben über LTE zu gehen. 

    __________________________________________________________________________________________________________________

Children
No Data