deepsys
Goto Top

Port 443 TCP Firewall und Proxy - Wie geht ihr damit um?

Hallo zusammen,

ich brauche mal ein paar Ideen, wie geht ihr mit Port 443 TCP (HTTPS, ausgehend) in der Firewall und oder Proxy um?
Komplett Offen, mit HTTPS-Proxy??

Fürher war es noch einfach, ein HTTPS-Proxy der den Inhalt aufbricht, analysiert und neu verschlüsselt, fertig.
Das hat unser Proxy gemacht, der nicht auf der Firewall ist.
Der Proxy ist vor allem da um die Webseiten der Benutzer zu filtern und ggfs. zu sperren.
Programme hatten ihre festen Ports und gut war.

Mittlerweile benutzen viele Programme HTTPS und bemerken diesen Aufbruch und melden Fehler.
Dummerweise steht dann aber nie das es ein Zertifikatsfehler ist, sondern irgendwas.
OK, diese Dienste dann alle nicht scannen, sondern einfach durch leiten.

Dann kommen gerade jetzt andauernd irgendwelche Konferenzdienste ala MS Teams, Gotomeeting und als allerschlimmstes Skype hinzu die auch alle durchwollen.
Die gehen mal über den Proxy, oder ignorieren den einfach und wollen direkt raus.Das geht nicht, da Port 443 in der Firewall (nicht im Proxy) bei uns gesperrt ist.
Dann suche ich im Proxy nach Fehlern und in der Firewall und baue Ausnahmen.

Irgendwie baue ich gerade andauernd Ausnahmen die dann oft in ein paar Tagen wieder nicht gehen, das sich was geändert hat.
Zumeist die Ziel-Domänen.
Das ist der nächste Punkt, durch die ganzen Cloud Dienst wie Akamai und Co, geht auch ein Filtern auf Ziel-Domänen nicht ....

Ja, ich bin gerade etwas ratlos face-wink

Darum meine Frage, wie macht ihr das?

Vielen Dank!

VG,
Deepsys

Content-Key: 566233

Url: https://administrator.de/contentid/566233

Printed on: May 21, 2024 at 11:05 o'clock

Member: NordicMike
NordicMike Apr 21, 2020 updated at 07:49:59 (UTC)
Goto Top
Wir haben uns einfach ein paar IPs geben lassen und trennen die Dienste auf, dann sind sie leichter zu managen.
Bei anderen Firmen habe ich einen großen Unterschied gemerkt, ob etwas in iptables gemanaged wurde, oder eine Web Oberfläche mit z.B. Sophos sitzt. Da kommt man mit einem Text Editor natürlich nicht weit und man verliert schnell den Überblick.
Member: Looser27
Looser27 Apr 21, 2020 at 08:39:16 (UTC)
Goto Top
Moin,

früher habe ich den https-proxy der Firewall genutzt, doch beim Internetbanking der Geschäftsführung ist es nicht wünschenswert den Traffic aufzubrechen und mitzuschneiden.
Deswegen lasse ich den https-Traffic von innen nach aussen ohne Proxy durch. Allerdings arbeitet bei uns zusätzlich noch der Application-Filter der Firewall, der mir den unerwünschten https-Traffic blockiert (z.B. Facebook & Co.).

Gruß

Looser
Mitglied: 142583
142583 Apr 21, 2020 updated at 10:46:27 (UTC)
Goto Top
Ich darf und muss HTTPS öffnen und auswerten. Die GF hat das mit dem BR beschlossen.

Es ist die schlimmste, nie endende Baustelle die wir haben.
Traffic des BR und der GF darf nicht geöffnet werden ;)

Grundsätzlich muss ich aber sagen, dass das Ganze sehr wichtig ist und die Vorfälle die Maßnahme unterstreichen, die sich täglich ereignen.

Wichtig ist, nicht nur nach 443 auf HTTPS zu suchen.

Ein Vorfall 2018 hat HTTPS über 53 ins Ausland übertragen.
Member: Deepsys
Deepsys Apr 21, 2020 at 09:39:21 (UTC)
Goto Top
Zitat von @NordicMike:

Wir haben uns einfach ein paar IPs geben lassen und trennen die Dienste auf, dann sind sie leichter zu managen.
Das verstehe ich nicht, was meinst du mit "ein paar IPs geben lassen" als Ziel-IPs?
Member: NordicMike
NordicMike Apr 21, 2020 at 09:44:42 (UTC)
Goto Top
Wir trennen einfach die Services auf verschiedene IPs, die von aussen erreichbar sind. Somit hat unser VPN Server, Owncloud Server, Mail Server, Webserver, FTP Server, VoIP Kanal und noch ein paar andere Dienste jeder eine eigene IP und eine eigene Subdomain und lässt sich leichter analysieren und steuern. Somit müssen HTTPS Verbindungen nicht immer aufgebrochen werden und es gibt auch kein Problem mit verschiedenen Zertifikaten.
Member: Deepsys
Deepsys Apr 21, 2020 updated at 10:27:08 (UTC)
Goto Top
Zitat von @NordicMike:

Wir trennen einfach die Services auf verschiedene IPs, die von aussen erreichbar sind.
Ja klar, ich meinte aber HTTPS Ausgehend face-wink
Habe ich in die Frage mit aufgenommen