johndorian
Goto Top

Best Practice für Adobe CC hinter Proxy und Firewall

Hallo zusammen,

nach der Grundregel "nicht mehr und nicht weniger als nötig öffnen" möchte ich einen gangbaren Weg finden, Adobe CC-Programme hinter Proxy und Firewall zu betreiben.
Den Proxy für die URL-Liste von Adobe (https://helpx.adobe.com/de/enterprise/kb/network-endpoints.html) pauschal zu umgehen, möchte ich nach Möglichkeit verhindern.

Leider ist es recht schwer herauszufinden, welche Zugriffe wann und wofür genau von den CC-Komponenten benötigt werden, damit das System uneingeschränkt genutzt werden kann.

Gibt es hierzu Erfahrungen, wo es bereits funktioniert?

Grüße, JD

Content-ID: 454419

Url: https://administrator.de/contentid/454419

Ausgedruckt am: 19.11.2024 um 05:11 Uhr

StefanKittel
StefanKittel 22.05.2019 um 17:13:49 Uhr
Goto Top
Zitat von @JohnDorian:
Hallo zusammen,
Gibt es hierzu Erfahrungen, wo es bereits funktioniert?
Ja, leidvolle und zeitraubende... Firewall abschalten für die Aktivierung.
Am Ende von 2 Wochen hin und wieder mal fummeln hatte ich ca. 100 IP-Blöcke mit der unterschiedlichsten Ports.
Es wird mit einer art dynamischen CDN kommuniziert.

Stefan
Pjordorf
Pjordorf 22.05.2019 um 17:22:43 Uhr
Goto Top
Hallo,

Zitat von @JohnDorian:
nach der Grundregel "nicht mehr und nicht weniger als nötig öffnen" möchte ich einen gangbaren Weg finden, Adobe CC-Programme hinter Proxy und Firewall zu betreiben.
Wireshark mitschneiden lassen welches Programm wohin eine Verbindung aufbauen will. Und nicht alle Programmen nutzen HTTP bzw HTTPS, und je nach dein Proxy wird der dann Probleme machen bzw. haben. Und wofür die genutzt werden, kann dir nur Adobe eine sichere auskunft geben

Gruß,
Peter
StefanKittel
StefanKittel 22.05.2019 um 17:26:48 Uhr
Goto Top
Zitat von @Pjordorf:
Und wofür die genutzt werden, kann dir nur Adobe eine sichere auskunft geben

Es gibt eine "Liste" oder besser eine Webseite mit "Listen".
https://helpx.adobe.com/de/enterprise/kb/network-endpoints.html

Wenn man versucht das auf IPs umzusetzen wird man nie fertig.
Dani
Dani 22.05.2019 um 17:29:31 Uhr
Goto Top
@StefanKittel
Ja, leidvolle und zeitraubende... Firewall abschalten für die Aktivierung.
damit ist es nicht getan... Adobe CC Produkte prüfen die Lizenzierung immer wieder. Da ist es mit einmal nicht getan.

Am Ende von 2 Wochen hin und wieder mal fummeln hatte ich ca. 100 IP-Blöcke mit der unterschiedlichsten Ports.
Das ist nicht einmal das Problem. Das Problem sind URLs die mit Sternchen versehen sind. Da kann es gut sein, dass mit einem Programmupdate au einmal eine weitere URL dazu kommt. Erstellt man Regeln auf Basis von IP-Adressen, hast du einen Vollzeitjob.

Gruß,
Dani
Dani
Dani 22.05.2019, aktualisiert am 23.07.2019 um 23:45:59 Uhr
Goto Top
@Pjordorf
Und wofür die genutzt werden, kann dir nur Adobe eine sichere auskunft geben
wen du den Supporter gefunden hast, sag Bescheid. Wir haben bei der Einführung von Adobe CC Produkten vor 2-3 Jahren mit dem Thema ausführlich beschäftigt. Sag dir etwas Passierschein A38? So kamen wir uns nach knapp vier Wochen vor.

Schlussendlich haben wir es über Application Detection der Firewall gelöst - Kein Proxy, kein SSL Inspection, etc... Denn alle paar Wochen/Monate IP-Adressen nachzusteuern ist kaum vermittelbar wenn dadurch Kollegen nicht vernünftig arbeiten können.


Gruß,
Dani
StefanKittel
StefanKittel 22.05.2019 um 17:37:10 Uhr
Goto Top
Zitat von @Dani:
Passierschein A38?

Für die Nichtwissenden
https://www.youtube.com/watch?v=lIiUR2gV0xk
Pjordorf
Pjordorf 22.05.2019 um 17:40:43 Uhr
Goto Top
Hallo,

Zitat von @StefanKittel:
Es gibt eine "Liste" oder besser eine Webseite mit "Listen".
Diese Liste hat der TO ja schon mitgeliefert. Aber was genau jetzt über die z.B. *.adobeku.com abgewickelt wird, wo steht das denn? Da wird nur Adobe drüber etwas wissen was über diese URL alles so agbewickelt wird.

Wenn man versucht das auf IPs umzusetzen wird man nie fertig.
Ack.

Gruß,
Peter
Pjordorf
Pjordorf 22.05.2019 um 17:47:22 Uhr
Goto Top
Hallo,

Zitat von @Dani:
wen du den Supporter gefunden hast
Ich suche ja den Supporter gar nicht, und wenn glaube ich kaum das ein dortiger Supporter an diese Infomation dran kommt.

Sag dir etwas Passierschein A38? So kamen wir uns nach knapp vier Wochen vor.
Joah, trifft zu. face-smile Ich sehe es auch als als eine Beschäftigungsmethode womit manch ein Admin meint "Ohne mich gehts ja nicht"

Gruß,
Peter
Deepsys
Deepsys 23.05.2019 um 10:13:45 Uhr
Goto Top
Zitat von @Dani:
Schlussendlich haben wir es über Application Detection der Firewall gelöst - Kein Proxy, kein SSL Interception, etc... Denn alle paar Wochen/Monate IP-Adressen nachzusteuern ist kaum vermittelbar wenn dadurch Kollegen nicht vernünftig arbeiten können.
Das sehe ich auch als den zur Zeit besten Weg.
Ähnlich sieht es mit Apples iTunes aus, das funkt immer wieder neue IPs an ...
Und auch viele andere Dinge die irgendwie in der Cloud laufen.
Früher war mal, eine Webseite eine IP, ein Programm eine IP. Dann kamen die CDN wie Akamai und schon ändern sich die IPs schneller als bei den meisten die Unterhose face-wink

VG,
Deepsys
StefanKittel
StefanKittel 23.05.2019 um 10:44:02 Uhr
Goto Top
Zitat von @Deepsys:
Früher war mal, eine Webseite eine IP, ein Programm eine IP. Dann kamen die CDN wie Akamai und schon ändern sich die IPs schneller als bei den meisten die Unterhose face-wink
Also mehr als 12 pro Jahr?