Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 14 replies
  • Subscribers 6 subscribers
  • Views 4516 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall-Härtung - Frage zu Filtern + Logging

ddiez

Hallo zusammen,

eine bestehende UTM-Firewall (9.7) Umgebung, die aktuell zum größten Teil mit ANY-Regeln arbeitet, soll optimiert (gehärtet) werden.

Das Problem dabei: Einen Überblick über den Traffic zu bekommen, ist nahezu unmöglich, da via ANY Zentrale und ca. 20 Remote-Standorte über den SG-Cluster laufen, und das Live-Logging wie auch die manuellen Logs (allein für die Firewall ca. 1 GB pro Tag) sind schlicht erschlagend. Die meisten Anfragen sind die klassischen Webzugriffe via HTTPS, vereinzelt auch HTTP, von internen Netzen, Remote-Netzen, Gäste-Netz, WLAN aus - also quasi von überall Richtung Internet.

Meine Hoffnung war folgendes Vorgehen: jeweils die Regel zu klonen und vor die geklonte Policy zu stellen, dort als Service explizit HTTPS auszuwählen und dafür das Logging zu deaktivieren. Allerdings hat das leider nichts gebracht und das Logging für die darauffolgende ANY-Regel scheint immer noch zu greifen - das Log bleibt also unverändert sehr voll.

Hier dargestellt mal konkret als Beispiel:

VORHER

Paketfilter-Regel-3 - Zentrale 10.30.0.0/16 ANY Internet (Logging aktiviert)
Paketfilter-Regel-8 - Standort-A 192.168.33.0/24 ANY Internet (Logging aktiviert)

NACHHER

Paketfilter-Regel-2 - Zentrale 10.30.0.0/16 HTTPS Internet (Logging nicht aktiv)
Paketfilter-Regel-3 - Zentrale 10.30.0.0/16 ANY Internet (Logging aktiviert)
Paketfilter-Regel-7 - Standort-A 192.168.33.0/24 HTTPS Internet (Logging nicht aktiv)
Paketfilter-Regel-8 - Standort-A 192.168.33.0/24 ANY Internet (Logging aktiviert)

Ich würde für die bestehenden Regeln am liebsten eine "ANY minus X" Option für die Service-Definition verwenden, wo ich dann einen oder mehrere Dienste (wie HTTP / HTTPS) ausklammern könnte, denn ich kann die aktuell genutzten Ports / Services aufgrund der schieren Menge gar nicht alle effektiv sammeln und dann auch noch überall händisch anlegen. Sollte es eine Lösung konkret hierfür geben, würde immerhin schon mal das Log deutlich entschlankt werden und ich könnte dann für das gewünschte Firewall Hardening nach und nach die genutzen Services auslesen und entsprechend gezielt als Policy für die jeweiligen Netzsegmente erstellen.

Ansonsten würde mir für ein effizientes Härten der Firewall aktuell leider keine machbare oder brauchbare Option einfallen.

Kennt jemand diese Situation und kann mir vielleicht einen hilfreichen Tipp geben?

Gruß Daniel



This thread was automatically locked due to age.
  • 0 in reply to dirkkotte

    Ich habe jetzt noch mal ein anderes Netz genommen, da dort deutlich mehr im Logging auftaucht. Die Screnshots noch mal vollständig hier, vom Prinzip aber genau die gleiche Grundkonfiguration:

      

  • 0 in reply to dirkkotte

    Soweit sieht das ja erst einmal stimmit aus, da es keine direkten Überschneidungen gibt und das Ganze analog zu den Regeln dort im Log auftaucht ... Und jetzt gerade ist mir erst beim wiederholten Blick darauf aufgefallen, dass hier gar nicht TCP verwendet wird, ich hatte mich bisher nur auf den Port konzentriert. Damit also UDP-443, was in HTTPS ja gar nicht gesprochen wird. Kurz online geschaut, es handelt sich dabei um QUIC - und das wird dort offenbar in den verschiedenen Regeln gar nicht zu knapp verwendet. Damit kann ich nun wohl doch erst einmal dort weiterschauen, aber auf jeden Fall schon mal vielen Dank für die schnelle Reaktion und den bisherigen Input!

    Daniel

  • +1 in reply to ddiez

    UDP 443 wird meist verwendet um "performanter" surfen zu können und gleichzeitig die Firewall bei DNS, WebFilter usw zu umgehen oder um ein VPN damit zu realisieren.

    Wir haben es nahezu immer verboten und für nötige Gegenstellen eine Ausnahmeregel eingerichtet.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to ddiez

    Zum Thema QUIC:

    QUIC wird die Zukunft des HTTPS (und ist am Ende nichts anderes, nur nicht statusbehaftet und deshalb viel schneller) und so gut wie alle Big Player wie Microsoft, Google… nutzen dies bereits.

    Kann man zwar ganz gut per GPO bei den Browsern ausschalten aber Microsoft nutzt QUIC z.B. auch bei 365, Updates und Co. Ganz raus bekommt man es also nicht.

    Die XGS hat immerhin eine Proxy-Option QUIC autom. rauszufiltern. Ist vermutlich auch nur eine Frage der Zeit bis QUIC auf Firewalls voll supportet wird (man wird es nicht ewig ignorieren können).

    Zum Thema ANY to Internet (sofern aktiv):

    Wäre ich (auf der UTM) vorsichtig, da hier der Proxy nur auf die bekannten HTTP(S) Ports schaut. Bis auf eine Hand voll, haben so gut wie alle Well-Known Ports in Richtung Internet nichts verloren. Ebenso die Dynamic Port Range.

    Auf der XGS schaut das schon anders aus, hier wird in alle Pakete geschaut (egal welcher Port). Da kann man auch die Registered Ports zulassen, wenn man keine Lust hat für jeden Web-Meeting Anbieter die Ports einzeln freizuschalten -> einer der deutlichen Verbesserung im Vergleich zur UTM.

Unfiltered HTML