Firewall-Härtung - Frage zu Filtern + Logging

Question

Hallo zusammen, 
 eine bestehende UTM-Firewall (9.7) Umgebung, die aktuell zum gr&ouml;&szlig;ten Teil mit ANY-Regeln arbeitet, soll optimiert (geh&auml;rtet) werden. 
 Das Problem dabei: Einen &Uuml;berblick &uuml;ber den Traffic zu bekommen, ist nahezu unm&ouml;glich, da via ANY Zentrale und ca. 20 Remote-Standorte &uuml;ber den SG-Cluster laufen, und das Live-Logging wie auch die manuellen Logs (allein f&uuml;r die Firewall ca. 1 GB pro Tag) sind schlicht erschlagend. Die meisten Anfragen sind die klassischen Webzugriffe via HTTPS, vereinzelt auch HTTP, von internen Netzen, Remote-Netzen, G&auml;ste-Netz, WLAN aus - also quasi von &uuml;berall Richtung Internet. 
 Meine Hoffnung war folgendes Vorgehen: jeweils die Regel zu klonen und vor die geklonte Policy zu stellen, dort als Service explizit HTTPS auszuw&auml;hlen und daf&uuml;r das Logging zu deaktivieren. Allerdings hat das leider nichts gebracht und das Logging f&uuml;r die darauffolgende ANY-Regel scheint immer noch zu greifen - das Log bleibt also unver&auml;ndert sehr voll. 
 Hier dargestellt mal konkret als Beispiel: 
 
 VORHER 
 Paketfilter-Regel-3 - Zentrale 10.30.0.0/16 ANY Internet (Logging aktiviert) Paketfilter-Regel-8 - Standort-A 192.168.33.0/24 ANY Internet (Logging aktiviert) 
 
 NACHHER 
 Paketfilter-Regel-2 - Zentrale 10.30.0.0/16 HTTPS Internet (Logging nicht aktiv) Paketfilter-Regel-3 - Zentrale 10.30.0.0/16 ANY Internet (Logging aktiviert) Paketfilter-Regel-7 - Standort-A 192.168.33.0/24 HTTPS Internet (Logging nicht aktiv) Paketfilter-Regel-8 - Standort-A 192.168.33.0/24 ANY Internet (Logging aktiviert) 
 
 Ich w&uuml;rde f&uuml;r die bestehenden Regeln am liebsten eine "ANY minus X" Option f&uuml;r die Service-Definition verwenden, wo ich dann einen oder mehrere Dienste (wie HTTP / HTTPS) ausklammern k&ouml;nnte, denn ich kann die aktuell genutzten Ports / Services aufgrund der schieren Menge gar nicht alle effektiv sammeln und dann auch noch &uuml;berall h&auml;ndisch anlegen. Sollte es eine L&ouml;sung konkret hierf&uuml;r geben, w&uuml;rde immerhin schon mal das Log deutlich entschlankt werden und ich k&ouml;nnte dann f&uuml;r das gew&uuml;nschte Firewall Hardening nach und nach die genutzen Services auslesen und entsprechend gezielt als Policy f&uuml;r die jeweiligen Netzsegmente erstellen. 
 Ansonsten w&uuml;rde mir f&uuml;r ein effizientes H&auml;rten der Firewall aktuell leider keine machbare oder brauchbare Option einfallen. 
 Kennt jemand diese Situation und kann mir vielleicht einen hilfreichen Tipp geben? Gru&szlig; Daniel

dirkkotte · Accepted Answer

UDP 443 wird meist verwendet um "performanter" surfen zu k&ouml;nnen und gleichzeitig die Firewall bei DNS, WebFilter usw zu umgehen oder um ein VPN damit zu realisieren. 
 Wir haben es nahezu immer verboten und f&uuml;r n&ouml;tige Gegenstellen eine Ausnahmeregel eingerichtet.

Firewall-Härtung - Frage zu Filtern + Logging

Top Replies