Was greift bei UTM-Firewalls wirklich ineinander?
Hallo zusammen,
ich hatte neulich den Gedanken, die Netzwerksicherheit unseres Netzwerks mittels einer "richtigen" UTM-Firewall zu upgraden. Und ich binn etwas verwirrt.
Ich habe derzeit an 4 Standorten eine OPNsense laufen, an 2 dieser Standorte läuft gerade ein Testbetrieb mit dem für die OPNSense verfügbaren Zenarmor Paket, bei den anderen macht Suricata (mir Proofpoint Rulesets) das IPS. Auf den Clients läuft ESET Endpoint und Windows Firewall (zentral per GPO gesteuert). TLS-Inspection habe ich noch nicht probiert. Ausserdem habe ich mir die bunten Werbeseiten von Sophos und Securepoint angeschaut. Der Stand ist also folgender:
1) am Client
2) an der Firewall
Mein Problem ist, dass ich nicht erkennen kann, dass da wirklich etwas "Unified" ist.
Beispiel: Radius Accounting über Port UDP 1813: Ich muss habe eine Firewallregel eingerichtet, die das zuläßt. Zusätzlich muss ich aber dafür Sorge tragen, dass auch das IPS diese Verbindung nicht blockt. Also zwei Konfigurationseinstellungen für eine zulässige Verbindung - doppelte Fehlerquelle!
oder: Benutzerzuordnung
Bei Zenarmor sendet ein Agent die am DC protokollierten Loginereignisse an die Firewall. Diese ordnet dann den Hosts den Benutzer einen zu. Funktioniert leidlich, natürlich kann die Firewall nicht alle Verbindungen auf diese Art und Weise zuordnen, etliche bleiben anonym.
Technisch ist es bei meiner OPNSense-Konfiguration und auch bei Securepoint (soweit ich das im Wiki lesen konnte) so, dass die klassische stateful-Firewall getrennt vom IPS konfiguriert wird. Im Grunde eben nicht Unified sondern Baukastensystem. Ist das bei anderen UTMs auch so?
Sophos bietet eine Integration der Endpoints in das Firewallkonzept an. Hier habe ich keine Erfahrung. Ist dass wirklich eine Stufe weiter oder ebenfalls nur ein Zusatzbaustein mit zusätzlichem Konfigurationsaufwand?
Mit schwebt eigentlich so eine Art softwaredefined-Netzwerk-Firewall-Lösung mit Zero-Trust vor. Also ein System, bei zentral Administriert wird, welcher Benutzer welche Dienste und Verbindungen nutzen darf (ohne dass die Anwendungssoftware das unterstützen muss). Weil - ich erkenne in den "richtigen UTM"-Konzepten letztlich kaum Mehrwert gegenüber einer (sauber konfigurierten) OPNSense mit IPS (mit professionellem Ruleset) + Endpoint-Lösung. Leider bietet ESET keine konfigurierbare IPS-Unterstützung für die Server an. Zumindest kann man nicht wie am Client Benutzerbezogen+Kategorienbezogen Webzugriffe zulassen und blockieren.
Zusatzfrage: Kann man die "professionellen Analyseteams" mit "Schwamintelligenz" etc., die die Rulesets warten irgendwie einschätzen? Oder tauschen da alle nur die selben Infos aus?
Grüße
lcer
ich hatte neulich den Gedanken, die Netzwerksicherheit unseres Netzwerks mittels einer "richtigen" UTM-Firewall zu upgraden. Und ich binn etwas verwirrt.
Ich habe derzeit an 4 Standorten eine OPNsense laufen, an 2 dieser Standorte läuft gerade ein Testbetrieb mit dem für die OPNSense verfügbaren Zenarmor Paket, bei den anderen macht Suricata (mir Proofpoint Rulesets) das IPS. Auf den Clients läuft ESET Endpoint und Windows Firewall (zentral per GPO gesteuert). TLS-Inspection habe ich noch nicht probiert. Ausserdem habe ich mir die bunten Werbeseiten von Sophos und Securepoint angeschaut. Der Stand ist also folgender:
1) am Client
- zentral gesteuerte Windows Defender Firewallregeln per GPO
- IPS durch ESET
- Klassifikation und Filterung der Verbindungsziele durch ESET
- Antivirus durch ESET
2) an der Firewall
- GeoIP Blocking (OPNSense Firewall)
- Firewall Regeln (OPNSense)
- IPS durch Zenarmor oder Suricata
- Verbindungsziele und Applicationen können mit verschiedene Profile durch Zenarmor klassifiziert werden
Mein Problem ist, dass ich nicht erkennen kann, dass da wirklich etwas "Unified" ist.
Beispiel: Radius Accounting über Port UDP 1813: Ich muss habe eine Firewallregel eingerichtet, die das zuläßt. Zusätzlich muss ich aber dafür Sorge tragen, dass auch das IPS diese Verbindung nicht blockt. Also zwei Konfigurationseinstellungen für eine zulässige Verbindung - doppelte Fehlerquelle!
oder: Benutzerzuordnung
Bei Zenarmor sendet ein Agent die am DC protokollierten Loginereignisse an die Firewall. Diese ordnet dann den Hosts den Benutzer einen zu. Funktioniert leidlich, natürlich kann die Firewall nicht alle Verbindungen auf diese Art und Weise zuordnen, etliche bleiben anonym.
Technisch ist es bei meiner OPNSense-Konfiguration und auch bei Securepoint (soweit ich das im Wiki lesen konnte) so, dass die klassische stateful-Firewall getrennt vom IPS konfiguriert wird. Im Grunde eben nicht Unified sondern Baukastensystem. Ist das bei anderen UTMs auch so?
Sophos bietet eine Integration der Endpoints in das Firewallkonzept an. Hier habe ich keine Erfahrung. Ist dass wirklich eine Stufe weiter oder ebenfalls nur ein Zusatzbaustein mit zusätzlichem Konfigurationsaufwand?
Mit schwebt eigentlich so eine Art softwaredefined-Netzwerk-Firewall-Lösung mit Zero-Trust vor. Also ein System, bei zentral Administriert wird, welcher Benutzer welche Dienste und Verbindungen nutzen darf (ohne dass die Anwendungssoftware das unterstützen muss). Weil - ich erkenne in den "richtigen UTM"-Konzepten letztlich kaum Mehrwert gegenüber einer (sauber konfigurierten) OPNSense mit IPS (mit professionellem Ruleset) + Endpoint-Lösung. Leider bietet ESET keine konfigurierbare IPS-Unterstützung für die Server an. Zumindest kann man nicht wie am Client Benutzerbezogen+Kategorienbezogen Webzugriffe zulassen und blockieren.
Zusatzfrage: Kann man die "professionellen Analyseteams" mit "Schwamintelligenz" etc., die die Rulesets warten irgendwie einschätzen? Oder tauschen da alle nur die selben Infos aus?
Grüße
lcer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5598759812
Url: https://administrator.de/forum/was-greift-bei-utm-firewalls-wirklich-ineinander-5598759812.html
Ausgedruckt am: 25.12.2024 um 14:12 Uhr
26 Kommentare
Neuester Kommentar
Da ist wirklich nichts UTM, weil das Niveau einer kommerziellen UTM die opnSense um Jahre vorraus ist. Mindestens fünf Jahre.
Wegen des Funktionsumfangs, der Qualität, Support usw...
Es sind zwei völlig verschiedene Ligen.
Außerdem kann eine Sense zu viel was unweigerlich die Qualität kostet.
Es sind zwei völlig verschiedene Ligen.
Außerdem kann eine Sense zu viel was unweigerlich die Qualität kostet.
Zitat von @2423392070:
Wegen des Funktionsumfangs, der Qualität, Support usw...
Es sind zwei völlig verschiedene Ligen.
Außerdem kann eine Sense zu viel was unweigerlich die Qualität kostet.
Wegen des Funktionsumfangs, der Qualität, Support usw...
Es sind zwei völlig verschiedene Ligen.
Außerdem kann eine Sense zu viel was unweigerlich die Qualität kostet.
Jeden Firewall ist ohnehin nur so gut wie sie eingerichtet wurden.
Eine Sophos bietet nur minimal mehr Funktionen als eine Sense und nutzt z.b. ebenfalls Snort. Da sehe ich ehrlochgesagt kaum Unterschiede außer der wischi waschi Oberfläche und der leichteren Einrichtung wenn man weiß was man tut.
Daher sind deine Aussagen für mich keine Argumente.
Klar könnten wir jetzt Systeme wie PaloAlto mit hinein rechnen. Aber die sind definitiv auf einer anderen Liga.
Hallo,
die Erwartungshaltung ist etwas unklar.
Das "unified" steht für die Integration verschiedener Netzwerksicherheitsverfahren auf einer Appliance. Das ist naturgemäß kein Ideal, sondern ein Kompromiss, um diese Verfahren in kleineren Umgebungen verfügbar zu machen. UTM bedeutet nicht, dass sich alles von selbst miteinander konfiguriert, d.h. auch bei einer kommerziellen UTM wirst du die einzelnen Dienste an die konkrete Anwendungssituation anpassen müssen und kannst sie durch Fehlkonfigurationen gegenseitig blockieren.
Du sprichst außerdem Aspekte an, die verschiedene Produkte als "identity-based" Firewall haben. Die Funktion bestimmt letztlich, woher die Appliance bestimmte Daten über Objekte hat. Das kann in der passenden Umgebung ein granulares Regelwerk unterstützen. Es vollbringt aber keine Wunder, weil zumindest ein Paketfilter eben nutzeragnostisch ist. Ich habe das bislang nur als architektonisch nicht einsetzbar, unzuverlässig oder den Aufwand nicht lohnend (weil notwendigerweise von anderen Ansätzen begleitet) erlebt.
Der effektivste Weg, ein Regelwerk besser zu machen, ist meines Erachtens, mit verschachtelten Objektgruppen zu arbeiten, analog zu gruppenbasierten Dateisystem-ACLs. Die Autorisierungsinformation muss raus aus dem Regelwerk des jeweiligen Werkzeuges und stattdessen in der Objektstruktur abgebildet werden. Ob das durch kommerzielle Features wie Synchronisierung zwischen mehreren Appliances, Abruf von Cloud-Objekten oder Nutzeridentitäten unterstützt wird, ist dann zweitrangig. Ohne CLI und Objektverarbeitung über alle Module hinweg geht das aber praktisch nicht, und deshalb sind die Regelwerke auf *sensen meist so schlecht.
Grüße
Richard
die Erwartungshaltung ist etwas unklar.
Das "unified" steht für die Integration verschiedener Netzwerksicherheitsverfahren auf einer Appliance. Das ist naturgemäß kein Ideal, sondern ein Kompromiss, um diese Verfahren in kleineren Umgebungen verfügbar zu machen. UTM bedeutet nicht, dass sich alles von selbst miteinander konfiguriert, d.h. auch bei einer kommerziellen UTM wirst du die einzelnen Dienste an die konkrete Anwendungssituation anpassen müssen und kannst sie durch Fehlkonfigurationen gegenseitig blockieren.
Du sprichst außerdem Aspekte an, die verschiedene Produkte als "identity-based" Firewall haben. Die Funktion bestimmt letztlich, woher die Appliance bestimmte Daten über Objekte hat. Das kann in der passenden Umgebung ein granulares Regelwerk unterstützen. Es vollbringt aber keine Wunder, weil zumindest ein Paketfilter eben nutzeragnostisch ist. Ich habe das bislang nur als architektonisch nicht einsetzbar, unzuverlässig oder den Aufwand nicht lohnend (weil notwendigerweise von anderen Ansätzen begleitet) erlebt.
Der effektivste Weg, ein Regelwerk besser zu machen, ist meines Erachtens, mit verschachtelten Objektgruppen zu arbeiten, analog zu gruppenbasierten Dateisystem-ACLs. Die Autorisierungsinformation muss raus aus dem Regelwerk des jeweiligen Werkzeuges und stattdessen in der Objektstruktur abgebildet werden. Ob das durch kommerzielle Features wie Synchronisierung zwischen mehreren Appliances, Abruf von Cloud-Objekten oder Nutzeridentitäten unterstützt wird, ist dann zweitrangig. Ohne CLI und Objektverarbeitung über alle Module hinweg geht das aber praktisch nicht, und deshalb sind die Regelwerke auf *sensen meist so schlecht.
Grüße
Richard
Zitat von @lcer00:
Hast Mal ein Beispiel, wo das gut geht? Also unabhängig von Preis und Einsatzgröße?
Hast Mal ein Beispiel, wo das gut geht? Also unabhängig von Preis und Einsatzgröße?
Ich denke an Fortinet, weil ich damit praktische Erfahrung habe. Sophos und andere scheinen sich aber in derselben Nische zu drängen. Es ist eine Nische, weil man ein Enterprise-Umfeld ohnehin nicht wie eine "Security Fabric" (Fortinet) bauen kann, und andererseits ein Hersteller für dieses Konzept das passende Portfolio haben muss.
Zitat von @Spirit-of-Eli:
Und warum? Wenn du so eine Aussage trifft, solltest du dies spezifizieren!
Zitat von @2423392070:
Da ist wirklich nichts UTM, weil das Niveau einer kommerziellen UTM die opnSense um Jahre vorraus ist. Mindestens fünf Jahre.
Da ist wirklich nichts UTM, weil das Niveau einer kommerziellen UTM die opnSense um Jahre vorraus ist. Mindestens fünf Jahre.
Und warum? Wenn du so eine Aussage trifft, solltest du dies spezifizieren!
Der Kollege unbelanglos schießt fast jede Woche gegen *Sense und bringt seinen typischen UTM Spruch ohne irgendwelche handfeste Belege
Ich schieße nicht.
Jeder hier kann sich bei dem ein seiner Wahl eine Test-Appliance runterladen und sich selbst ein Bild machen.
Außerdem gibt es genug Aufwendungen diese Vergleichd anzustellen, dass muss ich hier nicht alles nachplappern.
Wenn xyz-Sense es zu Gartner geschafft hat, dann ist der Abstand vielleicht noch 5 Jahre. Im Moment eher mehr.
Jeder hier kann sich bei dem ein seiner Wahl eine Test-Appliance runterladen und sich selbst ein Bild machen.
Außerdem gibt es genug Aufwendungen diese Vergleichd anzustellen, dass muss ich hier nicht alles nachplappern.
Wenn xyz-Sense es zu Gartner geschafft hat, dann ist der Abstand vielleicht noch 5 Jahre. Im Moment eher mehr.
In der Zeit, wo du deinen Blödsinn hier postest, hattest du längst eine Appliance runterladen können.
Du sagtest, du hast keine Ahnung und fragst hier nach.... So weit so gut.
Dann sage ich ich das UTM ist bei den Sensen nicht so zu verstehen wie bei den Kommerziellen. Dann bist Du der Meinung, ich hätte keine Ahnung und überzeuge dich nicht.
Völlig Gaga...🤡🤯
Du sagtest, du hast keine Ahnung und fragst hier nach.... So weit so gut.
Dann sage ich ich das UTM ist bei den Sensen nicht so zu verstehen wie bei den Kommerziellen. Dann bist Du der Meinung, ich hätte keine Ahnung und überzeuge dich nicht.
Völlig Gaga...🤡🤯
Du sollst ja Trial Appliances laden...
Dann kannst auch du verstehen. Du verstehst dann auch warum deine Verhaltensweisen so albern wirken.
Dann kannst auch du verstehen. Du verstehst dann auch warum deine Verhaltensweisen so albern wirken.
Wenn du doch alles über die Sensen weißt, warum fragst du dann?
Was viele nicht auf dem Schirm haben ist, das Fortigate "API-First" lebt. Man kann die komplette Firewall per API einrichten, konfigurieren und verwalten, z.B. per Ansible etc., ohne auch nur einmal auf die GUI zu müssen.
Macht das mal mit einer *sense. Sogar Sophos kann das hier besser mit Ihrer API.
Wenn möglich und Budget da ist, ziehe ich kommerzielle Firewalls IMMER einer *sense vor.
Just my 2c,
ipzipzap (der aktuell mehrere HA-*senses betreibt und supportet)
Macht das mal mit einer *sense. Sogar Sophos kann das hier besser mit Ihrer API.
Wenn möglich und Budget da ist, ziehe ich kommerzielle Firewalls IMMER einer *sense vor.
Just my 2c,
ipzipzap (der aktuell mehrere HA-*senses betreibt und supportet)
Nein, in der Praxis nicht. Der Vergleich mit dem Antivirus ist gut, weil die Sicherheit einer Infrastruktur im Ergebnis auch nicht davon abhängt, ob da Defender, Symantec oder was anderes nach Viren scannt, auch wenn man im Labor Unterschiede heraustesten kann.
Die Sicherheit hängt u.a. davon ab, wieviel Aufwand wirksam in die Anpassung der Konfiguration an die Gegebenheiten fließt, um Sicherheitsgrundsätze wie minimale Berechtigungen zu verwirklichen. Die Erwartungshaltung, irgendwas vorgefertigt Sicheres zu kaufen, spricht schon dagegen, dass der Aufwand überhaupt betrieben wird. Wie so vieles, was man kostenlos bekommt, reibt eine OPNsense den Aufwand außerdem an der Usability und den fehlenden Integrationsmöglichkeiten auf, sodass er nicht in gleichem Maße wirksam wird.
Zitat von @lcer00:
Hallo,
Ich habe übrigens nicht nach der OPNSense gefragt, sondern nur meine Ausgangssituation beschrieben.
Aber wenn Du technisch nicht so interssiert bist. Würdest Du mir eher zu einer hellroten, dunkelroten oder blauen Appliance raten?
Grüße
lcer
Hallo,
Zitat von @2423392070:
Wenn du doch alles über die Sensen weißt, warum fragst du dann?
Na weil ich, wie oben beschrieben, über eine Verbesserung nachdenke, und leider wenig Konkretes über den tatsächlichen Grad Verbesserung finden kann.Wenn du doch alles über die Sensen weißt, warum fragst du dann?
Ich habe übrigens nicht nach der OPNSense gefragt, sondern nur meine Ausgangssituation beschrieben.
Aber wenn Du technisch nicht so interssiert bist. Würdest Du mir eher zu einer hellroten, dunkelroten oder blauen Appliance raten?
Grüße
lcer
Wir hatten vor den Sonicwalls Watchguard und Palo Alto.
Palo Alto war gut, ist gut und bleibt gut. Wollten aber beim letzten Upgrade nicht nur Nieren, Leber und unsere Töchter, daher haben die Vertriebler den Ausgang gezeigt bekommen. War über 100% Preisteigerung.
Watchguard hat auch gute Sachen und ist mittlerweile wieder weiter vorn dabei.
Sonicwall ist auch state of the art und kostet nur viel Geld. Aber weniger als PA.
Huawei hat mich auch aktuell wieder beeindruckt, aber für uns außerhalb Chinas nicht möglich.
Heißer Kandidat der Zukunft ist Fortinet.
Zitat von @c.r.s.:
Die Sicherheit hängt u.a. davon ab, wieviel Aufwand wirksam in die Anpassung der Konfiguration an die Gegebenheiten fließt, um Sicherheitsgrundsätze wie minimale Berechtigungen zu verwirklichen.
Die Sicherheit hängt u.a. davon ab, wieviel Aufwand wirksam in die Anpassung der Konfiguration an die Gegebenheiten fließt, um Sicherheitsgrundsätze wie minimale Berechtigungen zu verwirklichen.
Die Sicherheit hängt hauptsächlich davon ab, dass man in verschlüsselte Verbindungen gucken kann, ohne dass dann nichts mehr geht. Und der Aufwand das zu konfigurieren und zu warten darf keine Völkerstämme an Nerds täglich beschäftigen.
Diverse Zero-techniken zur schnellen Adaption neuer Bedrohungen sind auch unbezahlbar.
Das was bei Sonicwall Multi-engine advanced threat analysis, Real-Time Deep Memory Inspection (RTDMI) und Broad File Type Analysis heißt, ist auch unverzichtbar.
Andere OEMs analog dazu mit ihren Vergleichs-Features.
Wenn ich den Realtime Upload dieser Features angucje und was da alles gefunden wird, dann freuen wir uns auf die nächste Lizenzzahlung sogar.
Dass das Konzept halbwegs sinnvoll Regeln erstellen lässt und das dauerhaft effektiv abläuft, sollte selbstverständlich sein und ist kein Kriterium.
Zitat von @lcer00:
Das ist schon ein beeindruckender Satz oder? Der Endkunde ist vom Produkt sofort begeistert.
Das ist schon ein beeindruckender Satz oder? Der Endkunde ist vom Produkt sofort begeistert.
Mir fehlen die angesprochenen Zero-Techniken, um eine PowerPoint-Präsentation voll zu bekommen.
Je multipler die Engines und je advanceder die Threats werden, desto mehr vertrickt sich das Konzept der Unified Angriffsfläche aber auch in seinen inneren Widerspruch. Neulich wurde hier ja debattiert, warum man Firewalls kaskadieren könnte. Der Hauptgrund ist heute aus meiner Sicht schlicht die Topologie und der Datenfluss darin. Wenn ich am Perimeter immer komplexere, immer höher integrierte Lösungen einsetzen muss und will, legt das eine tiefere Netzwerkstruktur mit weiteren Appliances nahe. Da der nötige Datenverkehr dort wesentlich kontrollierter ist, auch noch nach einer teilweisen Kompromittierung, ist zweitrangig, ob unterschiedliche Hersteller kombiniert werden.
Zitat von @lcer00:
Unlike superficial filtering tools (e.g. dns filtering), ##### is equipped with a powerful Layer7 Enterprise-grade content filter technology allowing you to employ sophisticated security mechanisms capable of detecting and blocking malware and threats which utilize advanced evasion techniques.
BINGO! Wer noch?
Ist eben weiterhin 5-10 Jahre hinterher.
Aber immerhin, malt es schöne Diagramme und schreibt Logs.
Aber immerhin, malt es schöne Diagramme und schreibt Logs.