Sind kommerzielle UTM Firewalls besser als Open source Reverse Proxys?
Hallo,
ja, es ist Freitag. Da darf man sowas fragen.
Nachdem ich mich für ein Projekt ausgiebig mit HAProxy (einem Reverse-Proxy und Loadbalancer) beschäftigt habe, stellte ich mir Frage ob bzw. wieviel besser kommerzielle UTM Firewalls als Open source Reverse Proxys sind.
Die Umgebung der Frage sind On-Premise-Exchange-Server im KMU Umfeld.
Als Maßstab nehmen wir das Proxy-Login-Desaster.
Ich habe diesbezüglich auch mit 2 relativ großen IT-Systemhäusern gesprochen und ein paar Erfahrungswerte zu meinen eigenen dazugenommen.
Die Beobachtungen sind, aufgrund der geringen Datenbasis, recht subjektiv.
Es gibt 4 Gruppen:
1. Zugriff nur via VPN
2. Portweiterleitung im Router
3. Reverse Proxy (z.B. HAProxy)
4. UTM Firewall
1. Bei einem Zugriff nur via VPN gibt es keine Angriffsfläche und somit kein Sicherheitsproblem.
Kein Problem bei dem Proxy-Login-Desaster.
2. Die Sicherheit wird ausschliesslich durch Microsoft Exchange, die Sicherheitsupdates von Microsoft und die regelmäßige Installation der Sicherheitsupdates gewährleistet.
Interessanterweise werden kaum Exchange-Server gehackt.
Dazu kommen aber Exchange-Server die gehackt wurden wo es die Firma aber nicht mitbekommen hat.
Bei dem Proxy-Login-Desaster waren die Exchange Schutzlos ausgeliefert.
Bei fast allen nakten Exchange wurde eingedrungen. Aber nur auf wenigen wurden aktiv etwas gemacht.
Mehrer Kunden auch vor den Patches durch Microsoft.
3. Ein Reverse-Proxy kann vielfältige Schutzfunktionen übernehmen
- Geo-Blocking
- Load-Balancing (Zugriff über verschiedene Internetanbindungen des Kunden)
- URI Checking (nur bestimmte URLs kommen durch)
- Tarpit (falsche Anfragen werden verzögert)
- SSL Security (Neuere Verschlüsselung als der Exchange es kann)
- Header Security 1 (Löschen von Headern des Exchange (z.B. X-AspNet-Version: 4.0.30319)
- Header Security 2 (Hinzufügen von modernen Sicherheitsheadern die Exchange nicht kann)
Das Problem hier ist vermutlich eher, dass es keinen einheitlichen Standard gibt und jeder sich aus Open-Source und Anleitungen was zusammenbaut. Das ist mal mehr und mal weniger gut.
Bei dem Proxy-Login-Desaster bot diese Variante einen sehr hohen Schutz.
Es gab aber wenige Kunden wo trotzdem eingedrungen wurde.
Informationen über die Anzahl und die Konfiguration von deren Proxys liegen nicht vor.
4. Eine Firewall ist auch "nur" ein Reverse-Proxy aber mit zusätzlichen Regeln und automatischer Aktualisierung der Regeln.
Die zusätzliche Sicherheit ergibt sich durch die Pflege der Regeln des Proxys und deren automatische Installation.
Im Idealfall beschäftig sich Jemand den ganzen Tag damit, liest Bericht, stellt Szenarien nach und veröffentlicht Regeln.
Bei dem Proxy-Login-Desaster bot diese Variante einen sehr hohen Schutz.
Es gab aber wenige Kunden wo trotzdem eingedrungen wurde.
Informationen über die Anzahl und den Hersteller der Firewalls liegen nicht vor.
Ich habe mal bei einem Firewall-Hersteller in Lüneburg angefragt und nur schwammige Aussagen dazu bekommen was deren Firewall nun wirklich kann in dieser Hinsicht.
Wer hat Informationen zum Schutz von Exchange-Servern durch Firewalls?
Besonders im Hinblick auf diese Punkte:
- Brute-Force-Schutz
- Rate-Limiter
- Geo-Blocking
- Fail2Ban
Viele Grüße
Stefan
ja, es ist Freitag. Da darf man sowas fragen.
Nachdem ich mich für ein Projekt ausgiebig mit HAProxy (einem Reverse-Proxy und Loadbalancer) beschäftigt habe, stellte ich mir Frage ob bzw. wieviel besser kommerzielle UTM Firewalls als Open source Reverse Proxys sind.
Die Umgebung der Frage sind On-Premise-Exchange-Server im KMU Umfeld.
Als Maßstab nehmen wir das Proxy-Login-Desaster.
Ich habe diesbezüglich auch mit 2 relativ großen IT-Systemhäusern gesprochen und ein paar Erfahrungswerte zu meinen eigenen dazugenommen.
Die Beobachtungen sind, aufgrund der geringen Datenbasis, recht subjektiv.
Es gibt 4 Gruppen:
1. Zugriff nur via VPN
2. Portweiterleitung im Router
3. Reverse Proxy (z.B. HAProxy)
4. UTM Firewall
1. Bei einem Zugriff nur via VPN gibt es keine Angriffsfläche und somit kein Sicherheitsproblem.
Kein Problem bei dem Proxy-Login-Desaster.
2. Die Sicherheit wird ausschliesslich durch Microsoft Exchange, die Sicherheitsupdates von Microsoft und die regelmäßige Installation der Sicherheitsupdates gewährleistet.
Interessanterweise werden kaum Exchange-Server gehackt.
Dazu kommen aber Exchange-Server die gehackt wurden wo es die Firma aber nicht mitbekommen hat.
Bei dem Proxy-Login-Desaster waren die Exchange Schutzlos ausgeliefert.
Bei fast allen nakten Exchange wurde eingedrungen. Aber nur auf wenigen wurden aktiv etwas gemacht.
Mehrer Kunden auch vor den Patches durch Microsoft.
3. Ein Reverse-Proxy kann vielfältige Schutzfunktionen übernehmen
- Geo-Blocking
- Load-Balancing (Zugriff über verschiedene Internetanbindungen des Kunden)
- URI Checking (nur bestimmte URLs kommen durch)
- Tarpit (falsche Anfragen werden verzögert)
- SSL Security (Neuere Verschlüsselung als der Exchange es kann)
- Header Security 1 (Löschen von Headern des Exchange (z.B. X-AspNet-Version: 4.0.30319)
- Header Security 2 (Hinzufügen von modernen Sicherheitsheadern die Exchange nicht kann)
Das Problem hier ist vermutlich eher, dass es keinen einheitlichen Standard gibt und jeder sich aus Open-Source und Anleitungen was zusammenbaut. Das ist mal mehr und mal weniger gut.
Bei dem Proxy-Login-Desaster bot diese Variante einen sehr hohen Schutz.
Es gab aber wenige Kunden wo trotzdem eingedrungen wurde.
Informationen über die Anzahl und die Konfiguration von deren Proxys liegen nicht vor.
4. Eine Firewall ist auch "nur" ein Reverse-Proxy aber mit zusätzlichen Regeln und automatischer Aktualisierung der Regeln.
Die zusätzliche Sicherheit ergibt sich durch die Pflege der Regeln des Proxys und deren automatische Installation.
Im Idealfall beschäftig sich Jemand den ganzen Tag damit, liest Bericht, stellt Szenarien nach und veröffentlicht Regeln.
Bei dem Proxy-Login-Desaster bot diese Variante einen sehr hohen Schutz.
Es gab aber wenige Kunden wo trotzdem eingedrungen wurde.
Informationen über die Anzahl und den Hersteller der Firewalls liegen nicht vor.
Ich habe mal bei einem Firewall-Hersteller in Lüneburg angefragt und nur schwammige Aussagen dazu bekommen was deren Firewall nun wirklich kann in dieser Hinsicht.
Wer hat Informationen zum Schutz von Exchange-Servern durch Firewalls?
Besonders im Hinblick auf diese Punkte:
- Brute-Force-Schutz
- Rate-Limiter
- Geo-Blocking
- Fail2Ban
Viele Grüße
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 73760229131
Url: https://administrator.de/contentid/73760229131
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
25 Kommentare
Neuester Kommentar
Ich kann dir sagen das sophos xg zwar konfigurationstemplates für Exchange anbietet, diese jedoch dermaßen schwammig im default sind das es geradezu lächerlich ist. Seitdem jemand vor Jahren einen Case dazu aufgemacht hat ist das offizielle Statement "unsupported". Bruteforce, Bandbreitenmgmt, GeoBlocking hat das ding. Drunter läuft ein exim.
Wie du schon sagst: können ist eine Sache, die aktuelle config/template mit optimaler härtung zu haben eine andere.
Wie du schon sagst: können ist eine Sache, die aktuelle config/template mit optimaler härtung zu haben eine andere.
@StefanKittel
Besser oder Schlechter wird man wohl kaum sagen können.
Nachteil einiger HardwareFirewals ist, dass sie irgendwann EOL sind und damit auch die schicke Hardware futsch ist. Das kann einem bei reinen Software-Lösungen nicht passieren, das halte ich für nachhaltiger.
Welche Firewall für deinen Zweck besseres kann ist eben ...... naja.............
Kreuzberger
Besser oder Schlechter wird man wohl kaum sagen können.
Nachteil einiger HardwareFirewals ist, dass sie irgendwann EOL sind und damit auch die schicke Hardware futsch ist. Das kann einem bei reinen Software-Lösungen nicht passieren, das halte ich für nachhaltiger.
Welche Firewall für deinen Zweck besseres kann ist eben ...... naja.............
Kreuzberger
Moin,
ich beschränke meine Antwort zunächst mal "nur" auf deine Eingangsfrage:
Der "große" Vorteil ist aber die Wartung/ der Support: i.d.R. werden keine Updates bereitgestellt, die durch den Hersteller nicht getestet wurden (kann bei kritischen Update aus ein Nachteil werden). Geht zudem etwas nicht (weil Modul kaputt, nicht Fehlkonfiguriert), hast du jemanden in der Hinterhand, der das Problem übernehmen/ lösen kann.
Man verlagert somit die Verantwortung (ob nun gut oder schlecht, sei mal dahingestellt).
Bzgl. des Exchange-Debakels: ein reiner ReverseProxy hat, meines Wissens nach, das Problem aber auch nicht behoben/ abgefedert. Erst, wenn du eine PreAuth einbindest, war/ ist der Exchange sicherer ans WAN angebunden.
Aber in jedem Fall ist ein ReverseProxy besser, als ihn nakeckd (durch PortForwarding) ins Netz zu stellen.
ich beschränke meine Antwort zunächst mal "nur" auf deine Eingangsfrage:
Wieviel besser sind kommerzielle UTM Firewalls als Open source Reverse Proxys?
technisch gibt es da nicht immer nennenswerte Unterschiede. Manche Hersteller haben im Unterbau ebenfalls einen Reverse-Proxy auf Basis "irgendeiner" Unix-Lösung implementiert.Der "große" Vorteil ist aber die Wartung/ der Support: i.d.R. werden keine Updates bereitgestellt, die durch den Hersteller nicht getestet wurden (kann bei kritischen Update aus ein Nachteil werden). Geht zudem etwas nicht (weil Modul kaputt, nicht Fehlkonfiguriert), hast du jemanden in der Hinterhand, der das Problem übernehmen/ lösen kann.
Man verlagert somit die Verantwortung (ob nun gut oder schlecht, sei mal dahingestellt).
Bzgl. des Exchange-Debakels: ein reiner ReverseProxy hat, meines Wissens nach, das Problem aber auch nicht behoben/ abgefedert. Erst, wenn du eine PreAuth einbindest, war/ ist der Exchange sicherer ans WAN angebunden.
Aber in jedem Fall ist ein ReverseProxy besser, als ihn nakeckd (durch PortForwarding) ins Netz zu stellen.
Moin,
den einzigen Vorteil welchen ich auf anhieb bei einer UTM sehe ist das Management des Proxys. Läuft halt meist einfacher klicki bunti.
Im Unterbau ist bei den meisten Lösungen eh sowas wie HAproxy am Start.
Ein weiterer Punkt könnte höchstens das aufbrechen von Traffic sein. Wenn man darauf eh verzichtet, macht es kaum Sinn.
Gruß
Spirit
den einzigen Vorteil welchen ich auf anhieb bei einer UTM sehe ist das Management des Proxys. Läuft halt meist einfacher klicki bunti.
Im Unterbau ist bei den meisten Lösungen eh sowas wie HAproxy am Start.
Ein weiterer Punkt könnte höchstens das aufbrechen von Traffic sein. Wenn man darauf eh verzichtet, macht es kaum Sinn.
Gruß
Spirit
Die Frage ist: Was kannst du selbst und was wird an eine kommerzeille Lösung "outgesourced"?
Wenn du selbst WAF-Regeln schreiben und testen kannst, fährst du mit der offenen Lösung natürlich besser, weil du da ebendiese Freiheiten hast.
Wenn nicht, kaufst du das als Dienstleistung über eine kommerzielle Lösung ein.
Das ist aus meiner Sicht der Hauptunterschied.
Irgendein magisches "das ist stabiler" ist das eher nicht. Auf vielen Appliances läuft auch nur die selbe OpenSource-Software, die du auch bei einem normalen Linux oder BSD betreiben kannst. Oft genug wird die konkret eingesetzte Software auch in einem GPL-Statement genannt ("Open Source Software Attributions").
Nur wird diese Software halt dann von Leuten vorkonfiguriert, die sich damit sehr tief und sehr gut auskennen.
Oder anders gesagt: Wenn du das Wissen hast, kannst du eine eigene UTM bauen. Wenn nicht, kaufst du es ein.
Wenn du selbst WAF-Regeln schreiben und testen kannst, fährst du mit der offenen Lösung natürlich besser, weil du da ebendiese Freiheiten hast.
Wenn nicht, kaufst du das als Dienstleistung über eine kommerzielle Lösung ein.
Das ist aus meiner Sicht der Hauptunterschied.
Irgendein magisches "das ist stabiler" ist das eher nicht. Auf vielen Appliances läuft auch nur die selbe OpenSource-Software, die du auch bei einem normalen Linux oder BSD betreiben kannst. Oft genug wird die konkret eingesetzte Software auch in einem GPL-Statement genannt ("Open Source Software Attributions").
Nur wird diese Software halt dann von Leuten vorkonfiguriert, die sich damit sehr tief und sehr gut auskennen.
Oder anders gesagt: Wenn du das Wissen hast, kannst du eine eigene UTM bauen. Wenn nicht, kaufst du es ein.
Moin,
Gruß,
Dani
Nachdem ich mich für ein Projekt ausgiebig mit HAProxy (einem Reverse-Proxy und Loadbalancer) beschäftigt habe, stellte ich mir Frage ob bzw. wieviel besser kommerzielle UTM Firewalls als Open source Reverse Proxys sind.
Größter Vorteil den ich bei kommerziellen Produkte sehe, ist die Pflege der Signatur Datenbank sowie die Erstellung von benutzerdefinierten Signaturen. Weil oftmals es eben Angriffsmuster gibt, die Anwendung spezifisch sind und in Standard nur wenigen ein paar Kunden relevant sind. Das gilt für IPS, IDS sowie WAF.1. Bei einem Zugriff nur via VPN gibt es keine Angriffsfläche und somit kein Sicherheitsproblem.
sehe ich nicht so. Das VPN ist nur so gut geschützt, wie der User mit einem Zugang umgeht. Daher würde ich das per so nicht als Sicher ansehen, sondern als unsicher. Es gibt leider lokal und global operierende Unternehmen, denen VPN Zugänge abhanden gekommen sind.2. Die Sicherheit wird ausschliesslich durch Microsoft Exchange, die Sicherheitsupdates von Microsoft und die regelmäßige Installation der Sicherheitsupdates gewährleistet.
Sehe ich ebenfalls nicht so. Ich kenne leider Fälle von großen Unternehmen, die zu dem Zeitpunkt alle verfügbaren Sicherheitsupdates eingespielt hatte, und trotzdem erfolgreich angriffen worden sind.Bei dem Proxy-Login-Desaster waren die Exchange Schutzlos ausgeliefert.
Ich habe es schon mehrfach gesagt: An AD FS + WAP + WAF ( Pre-Auth) + MFA führt aus meiner Sicht heute kein Weg mehr vorbei - egal ob OWA, Outlook Anywhere oder Active Sync. Dazu ist die Exchange Plattform zu umfangreich und komplex geworden und die Anzahl der gefundenen Sicherheitslücken werden nicht weniger - sondern das Gegenteil.Ein Reverse-Proxy kann vielfältige Schutzfunktionen übernehmen
Deine Aufzählung klingt nach einer WAF und Load Balancer = Reverse Proxy = Eierlegende Wollmilchsau?! Das ist die klassische Erwartungshaltung eines KMU. Diese Mischprodukte am Markt fallen in der Regel beim Vergleich mit spezialisierten Herstellern meist zurück. Das sieht man am Funktionsumfang, technischen Support und auch Leistungsdaten.Das Problem hier ist vermutlich eher, dass es keinen einheitlichen Standard gibt und jeder sich aus Open-Source und Anleitungen was zusammenbaut. Das ist mal mehr und mal weniger gut.
Das Problem spiegelt sich meiner Meinung nach auch bei käuflichen Produkten 1:1 wieder.Eine Firewall ist auch "nur" ein Reverse-Proxy aber mit zusätzlichen Regeln und automatischer Aktualisierung der Regeln.
Da ist wieder das Unwort "Reverse Proxy". Ein plumper HA Proxy der einfach 1:1 alle Verbindungen durchleitet ist heutzutage für die Katz. Denn vor welchen Szenario schützt er das Backend?Wer hat Informationen zum Schutz von Exchange-Servern durch Firewalls?
Wir eruieren das Thema seit 7 Jahren jedes Jahr mit unseren Herstellern der eingesetzten Firewalls. Laut unseren Tests und Erkenntnissen kann kein Hersteller nach wie vor das Konstrukt AD FS + WAP + WAF + MFA abbilden kann. Kann ich ein Stück weit auch nachvollziehen. Die Consultants schmunzeln inzwischen jedes Mal, wenn der Punkt auf der Agenda steht. Gruß,
Dani
Open source Appliances werden immer Probleme haben mit professionellen Appliances die entsprechende Lizenzen haben.
Die Frage sollte sein, was ist Bedarf und kann ich das alles verwalten.
Die Frage sollte sein, was ist Bedarf und kann ich das alles verwalten.
Ich meine damit, dass es keine Open Source Appliance gibt die mit oder ohne Entgelt, gegen die entsprechenden Kommerziellen anstinken können.
Es hat ja einen Grund, der nicht allein im Support liegt, dass die Lizenzen und deren Features sich so teuer verkaufen lassen.
Es hat ja einen Grund, der nicht allein im Support liegt, dass die Lizenzen und deren Features sich so teuer verkaufen lassen.
Moin,
Gruß,
Dani
Vorher ins VPN einwählen oder jede andere Form der Pre-Auth wo man was machen muss wird explizit abgelehnt.
Seit wann ist VPN eine Pre-Authentifizierung für Exchange Server? Und Pre-Authentifizierung ist nicht gleich MFA.Gegenfrage: Gibt es eine Form von PreAuth die mit Android und IOS (IOS Mail, keine Outlook App) funktioniert wo der Benutzer nach einer einmaligen Einrichtung nichts mehr machen muss?
ADFS + WAP ist im Microsoft On-Premise Umfeld das und einzige Pre-Authtification.Ein Client-Zertifikat was man in IOS Mail hinterlegen kann?
Für die Authentifizierung anstatt Benutzername und Passwort oder für S/MIME?Gruß,
Dani
Für die Absicherung von Mail-Servern würde ich folgende Lösung bevorzugen
https://www.ironportstore.com/Technology.asp
Oder eine Hosted-Mail-Security
Ggf auch reddox
https://www.ironportstore.com/Technology.asp
Oder eine Hosted-Mail-Security
Ggf auch reddox
@8330710430
In wie fern schützen die genannten Produkte einen Exchange Server und zwar die Features Active Sync, OWA, ECP, Outlook Anywhere?
Gruß,
Dani
In wie fern schützen die genannten Produkte einen Exchange Server und zwar die Features Active Sync, OWA, ECP, Outlook Anywhere?
Gruß,
Dani
Stimmt, da hast Du Recht. Manchmal hilft es, wenn man den gesamten Text liest😏
https://www.barracuda.com/products/application-protection/web-applicatio ...
https://www.barracuda.com/products/application-protection/web-applicatio ...
Man kann sich auch beim BDI bedienen
https://www.google.com/url?sa=t&source=web&rct=j&opi=8997844 ...
https://www.google.com/url?sa=t&source=web&rct=j&opi=8997844 ...
Es gibt bei jedem Hersteller mal einen Aufreger. Egal, wie er heißt.
Unter Phion war die WebApplikation Firewall sicherlich ein besseres Produkt
Unter Phion war die WebApplikation Firewall sicherlich ein besseres Produkt
Zitat von @LordGurke:
LOL, Barracuda? Die, deren Hardware irreparabel mit Malware verseucht wurde? Wo man neue Hardware kaufen muss, um die Malware loszuwerden? Denen traut man zu, dass sie Produkte anderer Firmen schützen?
LOL, Barracuda? Die, deren Hardware irreparabel mit Malware verseucht wurde? Wo man neue Hardware kaufen muss, um die Malware loszuwerden? Denen traut man zu, dass sie Produkte anderer Firmen schützen?
Dein Bug bezieht sich auf die Mail Security Lösung.
Klar ist das kacke. Die Box bekommt man allerdings kostenlos ersetzt.