stefankittel
Goto Top

Sind kommerzielle UTM Firewalls besser als Open source Reverse Proxys?

Hallo,

ja, es ist Freitag. Da darf man sowas fragen.

Nachdem ich mich für ein Projekt ausgiebig mit HAProxy (einem Reverse-Proxy und Loadbalancer) beschäftigt habe, stellte ich mir Frage ob bzw. wieviel besser kommerzielle UTM Firewalls als Open source Reverse Proxys sind.

Die Umgebung der Frage sind On-Premise-Exchange-Server im KMU Umfeld.
Als Maßstab nehmen wir das Proxy-Login-Desaster.

Ich habe diesbezüglich auch mit 2 relativ großen IT-Systemhäusern gesprochen und ein paar Erfahrungswerte zu meinen eigenen dazugenommen.
Die Beobachtungen sind, aufgrund der geringen Datenbasis, recht subjektiv.

Es gibt 4 Gruppen:
1. Zugriff nur via VPN
2. Portweiterleitung im Router
3. Reverse Proxy (z.B. HAProxy)
4. UTM Firewall

1. Bei einem Zugriff nur via VPN gibt es keine Angriffsfläche und somit kein Sicherheitsproblem.

Kein Problem bei dem Proxy-Login-Desaster.


2. Die Sicherheit wird ausschliesslich durch Microsoft Exchange, die Sicherheitsupdates von Microsoft und die regelmäßige Installation der Sicherheitsupdates gewährleistet.

Interessanterweise werden kaum Exchange-Server gehackt.
Dazu kommen aber Exchange-Server die gehackt wurden wo es die Firma aber nicht mitbekommen hat.

Bei dem Proxy-Login-Desaster waren die Exchange Schutzlos ausgeliefert.

Bei fast allen nakten Exchange wurde eingedrungen. Aber nur auf wenigen wurden aktiv etwas gemacht.
Mehrer Kunden auch vor den Patches durch Microsoft.


3. Ein Reverse-Proxy kann vielfältige Schutzfunktionen übernehmen
- Geo-Blocking
- Load-Balancing (Zugriff über verschiedene Internetanbindungen des Kunden)
- URI Checking (nur bestimmte URLs kommen durch)
- Tarpit (falsche Anfragen werden verzögert)
- SSL Security (Neuere Verschlüsselung als der Exchange es kann)
- Header Security 1 (Löschen von Headern des Exchange (z.B. X-AspNet-Version: 4.0.30319)
- Header Security 2 (Hinzufügen von modernen Sicherheitsheadern die Exchange nicht kann)

Das Problem hier ist vermutlich eher, dass es keinen einheitlichen Standard gibt und jeder sich aus Open-Source und Anleitungen was zusammenbaut. Das ist mal mehr und mal weniger gut.

Bei dem Proxy-Login-Desaster bot diese Variante einen sehr hohen Schutz.
Es gab aber wenige Kunden wo trotzdem eingedrungen wurde.
Informationen über die Anzahl und die Konfiguration von deren Proxys liegen nicht vor.


4. Eine Firewall ist auch "nur" ein Reverse-Proxy aber mit zusätzlichen Regeln und automatischer Aktualisierung der Regeln.

Die zusätzliche Sicherheit ergibt sich durch die Pflege der Regeln des Proxys und deren automatische Installation.
Im Idealfall beschäftig sich Jemand den ganzen Tag damit, liest Bericht, stellt Szenarien nach und veröffentlicht Regeln.

Bei dem Proxy-Login-Desaster bot diese Variante einen sehr hohen Schutz.
Es gab aber wenige Kunden wo trotzdem eingedrungen wurde.
Informationen über die Anzahl und den Hersteller der Firewalls liegen nicht vor.


Ich habe mal bei einem Firewall-Hersteller in Lüneburg angefragt und nur schwammige Aussagen dazu bekommen was deren Firewall nun wirklich kann in dieser Hinsicht.


Wer hat Informationen zum Schutz von Exchange-Servern durch Firewalls?

Besonders im Hinblick auf diese Punkte:
- Brute-Force-Schutz
- Rate-Limiter
- Geo-Blocking
- Fail2Ban

Viele Grüße
Stefan

Content-ID: 73760229131

Url: https://administrator.de/contentid/73760229131

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

user217
user217 15.09.2023 um 11:44:07 Uhr
Goto Top
Ich kann dir sagen das sophos xg zwar konfigurationstemplates für Exchange anbietet, diese jedoch dermaßen schwammig im default sind das es geradezu lächerlich ist. Seitdem jemand vor Jahren einen Case dazu aufgemacht hat ist das offizielle Statement "unsupported". Bruteforce, Bandbreitenmgmt, GeoBlocking hat das ding. Drunter läuft ein exim.
Wie du schon sagst: können ist eine Sache, die aktuelle config/template mit optimaler härtung zu haben eine andere.
kreuzberger
kreuzberger 15.09.2023 um 11:50:08 Uhr
Goto Top
@StefanKittel

Besser oder Schlechter wird man wohl kaum sagen können.

Nachteil einiger HardwareFirewals ist, dass sie irgendwann EOL sind und damit auch die schicke Hardware futsch ist. Das kann einem bei reinen Software-Lösungen nicht passieren, das halte ich für nachhaltiger.

Welche Firewall für deinen Zweck besseres kann ist eben ...... naja.............

Kreuzberger
em-pie
em-pie 15.09.2023 um 11:54:44 Uhr
Goto Top
Moin,

ich beschränke meine Antwort zunächst mal "nur" auf deine Eingangsfrage:
Wieviel besser sind kommerzielle UTM Firewalls als Open source Reverse Proxys?
technisch gibt es da nicht immer nennenswerte Unterschiede. Manche Hersteller haben im Unterbau ebenfalls einen Reverse-Proxy auf Basis "irgendeiner" Unix-Lösung implementiert.
Der "große" Vorteil ist aber die Wartung/ der Support: i.d.R. werden keine Updates bereitgestellt, die durch den Hersteller nicht getestet wurden (kann bei kritischen Update aus ein Nachteil werden). Geht zudem etwas nicht (weil Modul kaputt, nicht Fehlkonfiguriert), hast du jemanden in der Hinterhand, der das Problem übernehmen/ lösen kann.
Man verlagert somit die Verantwortung (ob nun gut oder schlecht, sei mal dahingestellt).

Bzgl. des Exchange-Debakels: ein reiner ReverseProxy hat, meines Wissens nach, das Problem aber auch nicht behoben/ abgefedert. Erst, wenn du eine PreAuth einbindest, war/ ist der Exchange sicherer ans WAN angebunden.
Aber in jedem Fall ist ein ReverseProxy besser, als ihn nakeckd (durch PortForwarding) ins Netz zu stellen.
user217
user217 15.09.2023 um 11:57:39 Uhr
Goto Top
Da schließe ich mich an, der Support bzw. config/pattern/fw updates sind am schluss entscheidend.
kreuzberger
kreuzberger 15.09.2023 um 12:02:21 Uhr
Goto Top
Bei freien FireWalls wie PFSense kann man sich aber die Gehäusefarbe selbst wählen!
face-wink

Kreuzberger
Spirit-of-Eli
Spirit-of-Eli 15.09.2023 um 12:03:19 Uhr
Goto Top
Moin,

den einzigen Vorteil welchen ich auf anhieb bei einer UTM sehe ist das Management des Proxys. Läuft halt meist einfacher klicki bunti.

Im Unterbau ist bei den meisten Lösungen eh sowas wie HAproxy am Start.

Ein weiterer Punkt könnte höchstens das aufbrechen von Traffic sein. Wenn man darauf eh verzichtet, macht es kaum Sinn.

Gruß
Spirit
LordGurke
LordGurke 15.09.2023 um 12:29:33 Uhr
Goto Top
Die Frage ist: Was kannst du selbst und was wird an eine kommerzeille Lösung "outgesourced"?
Wenn du selbst WAF-Regeln schreiben und testen kannst, fährst du mit der offenen Lösung natürlich besser, weil du da ebendiese Freiheiten hast.
Wenn nicht, kaufst du das als Dienstleistung über eine kommerzielle Lösung ein.
Das ist aus meiner Sicht der Hauptunterschied.

Irgendein magisches "das ist stabiler" ist das eher nicht. Auf vielen Appliances läuft auch nur die selbe OpenSource-Software, die du auch bei einem normalen Linux oder BSD betreiben kannst. Oft genug wird die konkret eingesetzte Software auch in einem GPL-Statement genannt ("Open Source Software Attributions").
Nur wird diese Software halt dann von Leuten vorkonfiguriert, die sich damit sehr tief und sehr gut auskennen.
Oder anders gesagt: Wenn du das Wissen hast, kannst du eine eigene UTM bauen. Wenn nicht, kaufst du es ein.
StefanKittel
StefanKittel 15.09.2023 um 12:40:55 Uhr
Goto Top
Wenn ich diese Anleitung zu Sophos sehe wird mir ja ganz anders.
https://www.frankysweb.de/sophos-xg-18-webserver-protection-und-exchange ...
"Jetzt können zwei neue “Protection Policy” für Exchange 2019 angelegt werden. Die Sophos Templates eignen sich nicht für Exchange 2019/2016, da sie komplett veraltet sind. Es sollte daher eine neue Policy für Exchange 2019 angelegt werden (funktioniert auch mit Exchange 2016):"
StefanKittel
StefanKittel 15.09.2023 um 12:44:54 Uhr
Goto Top
Gefühlt geht es bei den Firmen auch mehr um Verantwortlichkeit als um wirklichen Schutz.

Der IT-Verantwortliche entscheidet sich für die kommerzielle Firma und lässt diese von einer Fachfirma einrichten und regelmäßig warten. Überprüft dies aber nie. Der Mitarbeiter richtet schlicht eine Any2Any-Regel ein.

Wenn was schiefgeht, kann der IT-Verantwortliche prima auf die IT-Firma verweisen und ist aus dem Schneider.


Der IT-Verantwortliche entscheidet sich für eine Open-Source-Proxy und lässt diesen von einer Firma einrichten und regelmäßig warten. Überprüft auch dies nie. Der Mitarbeiter hat wirklich ein Super-Regel-Set angelegt und aktualisiert dies wöchentlich.

Trotzdem wird der Exchange gehackt weil das Kennwort für den AD-Administrator nur "geheim5" war.

Jetzt darf der IT-Verantwortliche sich anhören, dass es ja unverantwortlich war Open-Source statt einer "richtigen" Firewall zu nehmen....

Stefan
Dani
Dani 15.09.2023 aktualisiert um 15:50:42 Uhr
Goto Top
Moin,
Nachdem ich mich für ein Projekt ausgiebig mit HAProxy (einem Reverse-Proxy und Loadbalancer) beschäftigt habe, stellte ich mir Frage ob bzw. wieviel besser kommerzielle UTM Firewalls als Open source Reverse Proxys sind.
Größter Vorteil den ich bei kommerziellen Produkte sehe, ist die Pflege der Signatur Datenbank sowie die Erstellung von benutzerdefinierten Signaturen. Weil oftmals es eben Angriffsmuster gibt, die Anwendung spezifisch sind und in Standard nur wenigen ein paar Kunden relevant sind. Das gilt für IPS, IDS sowie WAF.

1. Bei einem Zugriff nur via VPN gibt es keine Angriffsfläche und somit kein Sicherheitsproblem.
sehe ich nicht so. Das VPN ist nur so gut geschützt, wie der User mit einem Zugang umgeht. Daher würde ich das per so nicht als Sicher ansehen, sondern als unsicher. Es gibt leider lokal und global operierende Unternehmen, denen VPN Zugänge abhanden gekommen sind.

2. Die Sicherheit wird ausschliesslich durch Microsoft Exchange, die Sicherheitsupdates von Microsoft und die regelmäßige Installation der Sicherheitsupdates gewährleistet.
Sehe ich ebenfalls nicht so. Ich kenne leider Fälle von großen Unternehmen, die zu dem Zeitpunkt alle verfügbaren Sicherheitsupdates eingespielt hatte, und trotzdem erfolgreich angriffen worden sind.

Bei dem Proxy-Login-Desaster waren die Exchange Schutzlos ausgeliefert.
Ich habe es schon mehrfach gesagt: An AD FS + WAP + WAF ( Pre-Auth) + MFA führt aus meiner Sicht heute kein Weg mehr vorbei - egal ob OWA, Outlook Anywhere oder Active Sync. Dazu ist die Exchange Plattform zu umfangreich und komplex geworden und die Anzahl der gefundenen Sicherheitslücken werden nicht weniger - sondern das Gegenteil.

Ein Reverse-Proxy kann vielfältige Schutzfunktionen übernehmen
Deine Aufzählung klingt nach einer WAF und Load Balancer = Reverse Proxy = Eierlegende Wollmilchsau?! Das ist die klassische Erwartungshaltung eines KMU. Diese Mischprodukte am Markt fallen in der Regel beim Vergleich mit spezialisierten Herstellern meist zurück. Das sieht man am Funktionsumfang, technischen Support und auch Leistungsdaten.

Das Problem hier ist vermutlich eher, dass es keinen einheitlichen Standard gibt und jeder sich aus Open-Source und Anleitungen was zusammenbaut. Das ist mal mehr und mal weniger gut.
Das Problem spiegelt sich meiner Meinung nach auch bei käuflichen Produkten 1:1 wieder.

Eine Firewall ist auch "nur" ein Reverse-Proxy aber mit zusätzlichen Regeln und automatischer Aktualisierung der Regeln.
Da ist wieder das Unwort "Reverse Proxy". Ein plumper HA Proxy der einfach 1:1 alle Verbindungen durchleitet ist heutzutage für die Katz. Denn vor welchen Szenario schützt er das Backend?

Wer hat Informationen zum Schutz von Exchange-Servern durch Firewalls?
Wir eruieren das Thema seit 7 Jahren jedes Jahr mit unseren Herstellern der eingesetzten Firewalls. Laut unseren Tests und Erkenntnissen kann kein Hersteller nach wie vor das Konstrukt AD FS + WAP + WAF + MFA abbilden kann. Kann ich ein Stück weit auch nachvollziehen. Die Consultants schmunzeln inzwischen jedes Mal, wenn der Punkt auf der Agenda steht. face-wink


Gruß,
Dani
8585324113
8585324113 15.09.2023 um 16:16:30 Uhr
Goto Top
Open source Appliances werden immer Probleme haben mit professionellen Appliances die entsprechende Lizenzen haben.

Die Frage sollte sein, was ist Bedarf und kann ich das alles verwalten.
Dani
Dani 15.09.2023 um 17:07:16 Uhr
Goto Top
Moin,
Open source Appliances werden immer Probleme haben mit professionellen Appliances die entsprechende Lizenzen haben.
Du meinst sicherlich kostenlose vs. lizenzpflichte Appliance? Weil Open Source heißt nicht automatisch, dass diese keine Lizenzkosten verursachen.


Gruß,
Dani
8585324113
8585324113 15.09.2023 um 18:01:56 Uhr
Goto Top
Ich meine damit, dass es keine Open Source Appliance gibt die mit oder ohne Entgelt, gegen die entsprechenden Kommerziellen anstinken können.
Es hat ja einen Grund, der nicht allein im Support liegt, dass die Lizenzen und deren Features sich so teuer verkaufen lassen.
StefanKittel
StefanKittel 15.09.2023 aktualisiert um 18:55:51 Uhr
Goto Top
Hallo Dani

Zitat von @Dani:
1. Bei einem Zugriff nur via VPN gibt es keine Angriffsfläche und somit kein Sicherheitsproblem.
sehe ich nicht so. Das VPN ist nur so gut geschützt, wie der User mit einem Zugang umgeht. Daher würde ich das per so nicht als Sicher ansehen, sondern als unsicher. Es gibt leider lokal und global operierende Unternehmen, denen VPN Zugänge abhanden gekommen sind.
Die Sicherheit des VPNs ist hier außerhalb des Scopes und deshalb von mir nicht betrachtet.

2. Die Sicherheit wird ausschliesslich durch Microsoft Exchange, die Sicherheitsupdates von Microsoft und die regelmäßige Installation der Sicherheitsupdates gewährleistet.
Sehe ich ebenfalls nicht so. Ich kenne leider Fälle von großen Unternehmen, die zu dem Zeitpunkt alle verfügbaren Sicherheitsupdates eingespielt hatte, und trotzdem erfolgreich angriffen worden sind.
ähhh. Das von mir war sehr negativ gemeint. Logon-Proxy war ja ein schönes Beispiel dafür. Es gab die ersten Angriffe bevor der Patch verfügbar war.

Bei dem Proxy-Login-Desaster waren die Exchange Schutzlos ausgeliefert.
Ich habe es schon mehrfach gesagt: An AD FS + WAP + WAF ( Pre-Auth) + MFA führt aus meiner Sicht heute kein Weg mehr vorbei - egal ob OWA, Outlook Anywhere oder Active Sync. Dazu ist die Exchange Plattform zu umfangreich und komplex geworden und die Anzahl der gefundenen Sicherheitslücken werden nicht weniger - sondern das Gegenteil.

Ja und hier kommen wir zu dem "Problem KMU".

Der Chef will:
- Handy entsperren mit anschauen
- Click auf Mails
- Alle Mails sollen da sein (von seinem 8 Exchange-Postfächern für verschiedene Firmen)
Vorher ins VPN einwählen oder jede andere Form der Pre-Auth wo man was machen muss wird explizit abgelehnt.

Und da Chef nicht will, wollen die Mitarbeiter natürlich auch nicht.
"Wasch mich, aber mach mich nicht nass".

Gegenfrage: Gibt es eine Form von PreAuth die mit Android und IOS (IOS Mail, keine Outlook App) funktioniert wo der Benutzer nach einer einmaligen Einrichtung nichts mehr machen muss? Ein Client-Zertifikat was man in IOS Mail hinterlegen kann? Ich lerne ja gerne dazu.

Stefan
Dani
Dani 15.09.2023 um 21:27:29 Uhr
Goto Top
Moin,
Vorher ins VPN einwählen oder jede andere Form der Pre-Auth wo man was machen muss wird explizit abgelehnt.
Seit wann ist VPN eine Pre-Authentifizierung für Exchange Server? Und Pre-Authentifizierung ist nicht gleich MFA.

Gegenfrage: Gibt es eine Form von PreAuth die mit Android und IOS (IOS Mail, keine Outlook App) funktioniert wo der Benutzer nach einer einmaligen Einrichtung nichts mehr machen muss?
ADFS + WAP ist im Microsoft On-Premise Umfeld das und einzige Pre-Authtification.

Ein Client-Zertifikat was man in IOS Mail hinterlegen kann?
Für die Authentifizierung anstatt Benutzername und Passwort oder für S/MIME?


Gruß,
Dani
temuco
temuco 18.09.2023 um 10:35:21 Uhr
Goto Top
Lüneburg == Securepoint

Der Support ist in diesen Fall ausgezeichnet und es muss nicht nur eine Hardwarelösung sein – reine Softwarelösungen und auch gehostetrn werden angeboten.
StefanKittel
StefanKittel 18.09.2023 um 10:44:49 Uhr
Goto Top
Zitat von @temuco:
Lüneburg == Securepoint
Ja, wollte ich nur so nicht direkt schreiben weil es im Prinzip keine Rolle spielt.

Der Support ist in diesen Fall ausgezeichnet und es muss nicht nur eine Hardwarelösung sein – reine Softwarelösungen und auch gehostetrn werden angeboten.
Ich habe auch nichts Anderes geschrieben. Nur habe ich keine wirklichen Aussagen bekommen was deren Exchange-Proxy denn nun kann oder macht.
8330710430
8330710430 18.09.2023 um 11:18:23 Uhr
Goto Top
Für die Absicherung von Mail-Servern würde ich folgende Lösung bevorzugen


https://www.ironportstore.com/Technology.asp


Oder eine Hosted-Mail-Security

Ggf auch reddox
Dani
Dani 18.09.2023 um 11:21:01 Uhr
Goto Top
@8330710430
https://www.ironportstore.com/Technology.asp
Oder eine Hosted-Mail-Security
Ggf auch reddox
In wie fern schützen die genannten Produkte einen Exchange Server und zwar die Features Active Sync, OWA, ECP, Outlook Anywhere?


Gruß,
Dani
8330710430
8330710430 18.09.2023 um 12:05:33 Uhr
Goto Top
Stimmt, da hast Du Recht. Manchmal hilft es, wenn man den gesamten Text liest😏

https://www.barracuda.com/products/application-protection/web-applicatio ...
LordGurke
LordGurke 18.09.2023 um 12:35:54 Uhr
Goto Top
LOL, Barracuda? Die, deren Hardware irreparabel mit Malware verseucht wurde? Wo man neue Hardware kaufen muss, um die Malware loszuwerden? Denen traut man zu, dass sie Produkte anderer Firmen schützen?
8330710430
8330710430 18.09.2023 um 12:42:59 Uhr
Goto Top
8330710430
8330710430 18.09.2023 um 12:54:58 Uhr
Goto Top
Es gibt bei jedem Hersteller mal einen Aufreger. Egal, wie er heißt.

Unter Phion war die WebApplikation Firewall sicherlich ein besseres Produkt
Spirit-of-Eli
Spirit-of-Eli 18.09.2023 um 13:23:13 Uhr
Goto Top
Zitat von @LordGurke:

LOL, Barracuda? Die, deren Hardware irreparabel mit Malware verseucht wurde? Wo man neue Hardware kaufen muss, um die Malware loszuwerden? Denen traut man zu, dass sie Produkte anderer Firmen schützen?

Dein Bug bezieht sich auf die Mail Security Lösung.

Klar ist das kacke. Die Box bekommt man allerdings kostenlos ersetzt.
StefanKittel
StefanKittel 27.11.2023 um 12:22:44 Uhr
Goto Top