wacky80
Goto Top

Suche eine gute Firewall um diverse Dateitypen innerhalb von HTTPS zu blockieren

Hallo zusammen,

wir benutzen derzeit eine Sonicwall Firewatch. Eigentlich sind wir damit ganz zufrieden, jedoch funktioniert die Funktion HTTPs inspection nicht zu unserer Zufriedenheit. Der Webseitenaufbau ist dadurch sehr lahm und einige Websites funktionieren auch nicht richtig. Im Grunde möchten wir einfach gewissen Dateitypen wie .exe etc. innerhalb von einer HTTPS-Kommunikation verbieten. Vielleicht kann mir jmd. von euch eine vernünftige Firewall empfehlen, die das kann und noch mehr als ein WAN-Port bietet.

Danke und Grüße,
Matthias

Content-Key: 1968339687

Url: https://administrator.de/contentid/1968339687

Printed on: July 21, 2024 at 06:07 o'clock

Member: holliknolli
holliknolli Feb 21, 2022 at 10:03:28 (UTC)
Goto Top
Hm,

Dateitypen sollte man genau wegen der Performance auch nicht auf der Firewall sondern lokal am Client durchs AV-Programm blockieren.

LG,
Member: yoface
yoface Feb 21, 2022 updated at 10:17:29 (UTC)
Goto Top
Hi,

vielleicht ne Sophos XG, je nach dem wieviel User ihr hinten dran habt. Da kannst die Web Protection Subscription aktivieren und Dateifilter aktivieren plus HTTPS Inspection aktivieren.

Die virtuelle Sophos XG Home gibt es sogar für umsonst, ist aber eher für den Heimgebrauch geeignet.
Ansonsten ne virtuelle XG mit Web Protection Subscription oder eben ne physische.
Mitglied: 117471
117471 Feb 21, 2022 updated at 10:29:37 (UTC)
Goto Top
Hallo,

ich könnte mir für so etwas auch gut 'n Proxy vorstellen:

Squid Proxy – Blockieren von Bestimmten Dateitypen

Gruß,
Jörg
Member: SlainteMhath
SlainteMhath Feb 21, 2022 at 10:32:31 (UTC)
Goto Top
Moin,

wir fahren mit Watchguard UTMs recht gut.

Inspizieren von HTTPS Inhalten ist aber immer problemberhaftet, da der TLS Traffic von der FW neu verschlüsselt werden muss - das führt bei Seiten die z.B. Certificate Pinning verwenden zu Fehlermeldungen und/oder leeren Seiten.

lg,
Slainte
Member: tech-flare
tech-flare Feb 21, 2022 updated at 11:26:26 (UTC)
Goto Top
Alternativ könntest du auch Cisco Umbrella mit einem SIG Tunnel verwenden.

Dann läuft alles per Site2Site über deren Tunnel. Dadurch bringst du auch die Last von der Firewall

Wie die Kollegen sagten musst du aber für manche Seite eine HTTPS Inspection Ausnahme machen.
Member: wacky80
wacky80 Feb 21, 2022 at 12:29:05 (UTC)
Goto Top
Zitat von @SlainteMhath:

Moin,

wir fahren mit Watchguard UTMs recht gut.

Inspizieren von HTTPS Inhalten ist aber immer problemberhaftet, da der TLS Traffic von der FW neu verschlüsselt werden muss - das führt bei Seiten die z.B. Certificate Pinning verwenden zu Fehlermeldungen und/oder leeren Seiten.

lg,
Slainte

haben wir ja auch, aber der Websiteaufbau dauert im Schnitt 3-4 Sekunden mit HTTPS-Inspection. Das ist einfach etwas zu lange.
Member: SlainteMhath
SlainteMhath Feb 21, 2022 at 14:34:53 (UTC)
Goto Top
aber der Websiteaufbau dauert im Schnitt 3-4 Sekunden
Dann ist eure Sonicwall zu schwach auf der Brust. Mit einer entsprechend gesizten Kiste ist das mit Watchguards (und sicher auch mit anderen UTMs) kein Problem.
Member: ManuManu2021
ManuManu2021 Feb 21, 2022 updated at 16:11:12 (UTC)
Goto Top
Zitat von @SlainteMhath:

aber der Websiteaufbau dauert im Schnitt 3-4 Sekunden
Dann ist eure Sonicwall zu schwach auf der Brust. Mit einer entsprechend gesizten Kiste ist das mit Watchguards (und sicher auch mit anderen UTMs) kein Problem.

verzögert
Application Control und Webblocker (bei einem Watchguard HTTPs Proxy)
den Webseitenaufbau ebenfalls um 3-4 Sekunden?

Diese Applikations kann man übrigens blocken:
https://securityportal.watchguard.com/Applications
(auch über HTTPs soweit ich weiß)

Ich meine z.B. eine T55 oder M290
Member: SlainteMhath
SlainteMhath Feb 22, 2022 at 07:41:50 (UTC)
Goto Top
Bei unserer M500 gibt's beim Aufruf von HTTPS Seite keine Verzögerung
Member: ManuManu2021
ManuManu2021 Feb 22, 2022 at 13:02:49 (UTC)
Goto Top
danke!

merken die lokalen Echtzeit-Trader-Leute einen Surf-Delay (die dürfen im Internet mehr)
wenn
die Aushelfspraktikaten via PC-IP Adresse und Watchguard
webblocker, application controll und https content inspection "fast nix im Internet dürfen"?
Member: wacky80
wacky80 Feb 22, 2022 at 14:59:14 (UTC)
Goto Top
Danke für die Beiträge. Wir werden das Problem lösen, indem wir uns eine performantere Firewall zulegen.