lcer00
Goto Top

Was greift bei UTM-Firewalls wirklich ineinander?

Hallo zusammen,

ich hatte neulich den Gedanken, die Netzwerksicherheit unseres Netzwerks mittels einer "richtigen" UTM-Firewall zu upgraden. Und ich binn etwas verwirrt.

Ich habe derzeit an 4 Standorten eine OPNsense laufen, an 2 dieser Standorte läuft gerade ein Testbetrieb mit dem für die OPNSense verfügbaren Zenarmor Paket, bei den anderen macht Suricata (mir Proofpoint Rulesets) das IPS. Auf den Clients läuft ESET Endpoint und Windows Firewall (zentral per GPO gesteuert). TLS-Inspection habe ich noch nicht probiert. Ausserdem habe ich mir die bunten Werbeseiten von Sophos und Securepoint angeschaut. Der Stand ist also folgender:

1) am Client
  • zentral gesteuerte Windows Defender Firewallregeln per GPO
  • IPS durch ESET
  • Klassifikation und Filterung der Verbindungsziele durch ESET
  • Antivirus durch ESET

2) an der Firewall
  • GeoIP Blocking (OPNSense Firewall)
  • Firewall Regeln (OPNSense)
  • IPS durch Zenarmor oder Suricata
  • Verbindungsziele und Applicationen können mit verschiedene Profile durch Zenarmor klassifiziert werden


Mein Problem ist, dass ich nicht erkennen kann, dass da wirklich etwas "Unified" ist.

Beispiel: Radius Accounting über Port UDP 1813: Ich muss habe eine Firewallregel eingerichtet, die das zuläßt. Zusätzlich muss ich aber dafür Sorge tragen, dass auch das IPS diese Verbindung nicht blockt. Also zwei Konfigurationseinstellungen für eine zulässige Verbindung - doppelte Fehlerquelle!

oder: Benutzerzuordnung

Bei Zenarmor sendet ein Agent die am DC protokollierten Loginereignisse an die Firewall. Diese ordnet dann den Hosts den Benutzer einen zu. Funktioniert leidlich, natürlich kann die Firewall nicht alle Verbindungen auf diese Art und Weise zuordnen, etliche bleiben anonym.

Technisch ist es bei meiner OPNSense-Konfiguration und auch bei Securepoint (soweit ich das im Wiki lesen konnte) so, dass die klassische stateful-Firewall getrennt vom IPS konfiguriert wird. Im Grunde eben nicht Unified sondern Baukastensystem. Ist das bei anderen UTMs auch so?

Sophos bietet eine Integration der Endpoints in das Firewallkonzept an. Hier habe ich keine Erfahrung. Ist dass wirklich eine Stufe weiter oder ebenfalls nur ein Zusatzbaustein mit zusätzlichem Konfigurationsaufwand?

Mit schwebt eigentlich so eine Art softwaredefined-Netzwerk-Firewall-Lösung mit Zero-Trust vor. Also ein System, bei zentral Administriert wird, welcher Benutzer welche Dienste und Verbindungen nutzen darf (ohne dass die Anwendungssoftware das unterstützen muss). Weil - ich erkenne in den "richtigen UTM"-Konzepten letztlich kaum Mehrwert gegenüber einer (sauber konfigurierten) OPNSense mit IPS (mit professionellem Ruleset) + Endpoint-Lösung. Leider bietet ESET keine konfigurierbare IPS-Unterstützung für die Server an. Zumindest kann man nicht wie am Client Benutzerbezogen+Kategorienbezogen Webzugriffe zulassen und blockieren.

Zusatzfrage: Kann man die "professionellen Analyseteams" mit "Schwamintelligenz" etc., die die Rulesets warten irgendwie einschätzen? Oder tauschen da alle nur die selben Infos aus?

Grüße

lcer

Content-ID: 5598759812

Url: https://administrator.de/forum/was-greift-bei-utm-firewalls-wirklich-ineinander-5598759812.html

Ausgedruckt am: 25.12.2024 um 14:12 Uhr

2423392070
2423392070 24.01.2023 um 10:22:13 Uhr
Goto Top
Da ist wirklich nichts UTM, weil das Niveau einer kommerziellen UTM die opnSense um Jahre vorraus ist. Mindestens fünf Jahre.
Spirit-of-Eli
Spirit-of-Eli 24.01.2023 um 10:39:25 Uhr
Goto Top
Zitat von @2423392070:

Da ist wirklich nichts UTM, weil das Niveau einer kommerziellen UTM die opnSense um Jahre vorraus ist. Mindestens fünf Jahre.

Und warum? Wenn du so eine Aussage trifft, solltest du dies spezifizieren!
2423392070
2423392070 24.01.2023 um 10:45:48 Uhr
Goto Top
Wegen des Funktionsumfangs, der Qualität, Support usw...

Es sind zwei völlig verschiedene Ligen.

Außerdem kann eine Sense zu viel was unweigerlich die Qualität kostet.
Spirit-of-Eli
Spirit-of-Eli 24.01.2023 um 10:57:04 Uhr
Goto Top
Zitat von @2423392070:

Wegen des Funktionsumfangs, der Qualität, Support usw...

Es sind zwei völlig verschiedene Ligen.

Außerdem kann eine Sense zu viel was unweigerlich die Qualität kostet.

Jeden Firewall ist ohnehin nur so gut wie sie eingerichtet wurden.
Eine Sophos bietet nur minimal mehr Funktionen als eine Sense und nutzt z.b. ebenfalls Snort. Da sehe ich ehrlochgesagt kaum Unterschiede außer der wischi waschi Oberfläche und der leichteren Einrichtung wenn man weiß was man tut.

Daher sind deine Aussagen für mich keine Argumente.
Klar könnten wir jetzt Systeme wie PaloAlto mit hinein rechnen. Aber die sind definitiv auf einer anderen Liga.
C.R.S.
C.R.S. 24.01.2023 um 11:19:30 Uhr
Goto Top
Hallo,

die Erwartungshaltung ist etwas unklar.

Das "unified" steht für die Integration verschiedener Netzwerksicherheitsverfahren auf einer Appliance. Das ist naturgemäß kein Ideal, sondern ein Kompromiss, um diese Verfahren in kleineren Umgebungen verfügbar zu machen. UTM bedeutet nicht, dass sich alles von selbst miteinander konfiguriert, d.h. auch bei einer kommerziellen UTM wirst du die einzelnen Dienste an die konkrete Anwendungssituation anpassen müssen und kannst sie durch Fehlkonfigurationen gegenseitig blockieren.

Du sprichst außerdem Aspekte an, die verschiedene Produkte als "identity-based" Firewall haben. Die Funktion bestimmt letztlich, woher die Appliance bestimmte Daten über Objekte hat. Das kann in der passenden Umgebung ein granulares Regelwerk unterstützen. Es vollbringt aber keine Wunder, weil zumindest ein Paketfilter eben nutzeragnostisch ist. Ich habe das bislang nur als architektonisch nicht einsetzbar, unzuverlässig oder den Aufwand nicht lohnend (weil notwendigerweise von anderen Ansätzen begleitet) erlebt.

Der effektivste Weg, ein Regelwerk besser zu machen, ist meines Erachtens, mit verschachtelten Objektgruppen zu arbeiten, analog zu gruppenbasierten Dateisystem-ACLs. Die Autorisierungsinformation muss raus aus dem Regelwerk des jeweiligen Werkzeuges und stattdessen in der Objektstruktur abgebildet werden. Ob das durch kommerzielle Features wie Synchronisierung zwischen mehreren Appliances, Abruf von Cloud-Objekten oder Nutzeridentitäten unterstützt wird, ist dann zweitrangig. Ohne CLI und Objektverarbeitung über alle Module hinweg geht das aber praktisch nicht, und deshalb sind die Regelwerke auf *sensen meist so schlecht.

Grüße
Richard
lcer00
lcer00 24.01.2023 um 11:19:36 Uhr
Goto Top
@ alle

es wäre schön, wenn man das konkretisieren könnte. Dass Opensource etwas anderes ist, als kommerziell ist mir klar. Um bei der OPNSense zu bleiben, auch da ist es ein Unterschied, ob man die Community-Rulesets verwendet, oder ob man kommertielle Rulesets bezahlt.

Nur Aussagen wie "5 Jahre voraus" sind das selbe wie die hochglanzpolierten Websites.

Grüße

lcer
lcer00
lcer00 24.01.2023 um 11:29:23 Uhr
Goto Top
Hallo,
Zitat von @c.r.s.:

Der effektivste Weg, ein Regelwerk besser zu machen, ist meines Erachtens, mit verschachtelten Objektgruppen zu arbeiten, analog zu gruppenbasierten Dateisystem-ACLs. Die Autorisierungsinformation muss raus aus dem Regelwerk des jeweiligen Werkzeuges und stattdessen in der Objektstruktur abgebildet werden. Ob das durch kommerzielle Features wie Synchronisierung zwischen mehreren Appliances, Abruf von Cloud-Objekten oder Nutzeridentitäten unterstützt wird, ist dann zweitrangig. Ohne CLI und Objektverarbeitung über alle Module hinweg geht das aber praktisch nicht, und deshalb sind die Regelwerke auf *sensen meist so schlecht.
Hast Mal ein Beispiel, wo das gut geht? Also unabhängig von Preis und Einsatzgröße?

Zur meiner Erwartungshaltung - Ich will verstehen, das heute technisch sinnvoll möglich ist um dann einordnen zu können was ich brauche. Oder anders gesagt - Ich will die Lösung nicht nach Farbe auswählen müssen face-smile !

Grüße

lcer
C.R.S.
C.R.S. 24.01.2023 um 19:00:32 Uhr
Goto Top
Zitat von @lcer00:

Hast Mal ein Beispiel, wo das gut geht? Also unabhängig von Preis und Einsatzgröße?

Ich denke an Fortinet, weil ich damit praktische Erfahrung habe. Sophos und andere scheinen sich aber in derselben Nische zu drängen. Es ist eine Nische, weil man ein Enterprise-Umfeld ohnehin nicht wie eine "Security Fabric" (Fortinet) bauen kann, und andererseits ein Hersteller für dieses Konzept das passende Portfolio haben muss.
tech-flare
tech-flare 25.01.2023 um 06:28:29 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Zitat von @2423392070:

Da ist wirklich nichts UTM, weil das Niveau einer kommerziellen UTM die opnSense um Jahre vorraus ist. Mindestens fünf Jahre.

Und warum? Wenn du so eine Aussage trifft, solltest du dies spezifizieren!


Der Kollege unbelanglos schießt fast jede Woche gegen *Sense und bringt seinen typischen UTM Spruch ohne irgendwelche handfeste Belege
2423392070
2423392070 25.01.2023 um 07:09:18 Uhr
Goto Top
Ich schieße nicht.
Jeder hier kann sich bei dem ein seiner Wahl eine Test-Appliance runterladen und sich selbst ein Bild machen.
Außerdem gibt es genug Aufwendungen diese Vergleichd anzustellen, dass muss ich hier nicht alles nachplappern.

Wenn xyz-Sense es zu Gartner geschafft hat, dann ist der Abstand vielleicht noch 5 Jahre. Im Moment eher mehr.
lcer00
lcer00 25.01.2023 um 07:24:52 Uhr
Goto Top
Hallo,

Also wenn ich Beratungsdienste von Gartner in Anspruch nehmen wollte, würde ich kaum hier posten.

https://www.gartner.com/en/documents/4007809

Das soll mir jetzt helfen? Der Abschnitt „Inclusion and Exclusion Criteria“ ist echt informativ.

Grüße

lcer
2423392070
2423392070 25.01.2023 um 08:07:50 Uhr
Goto Top
In der Zeit, wo du deinen Blödsinn hier postest, hattest du längst eine Appliance runterladen können.

Du sagtest, du hast keine Ahnung und fragst hier nach.... So weit so gut.
Dann sage ich ich das UTM ist bei den Sensen nicht so zu verstehen wie bei den Kommerziellen. Dann bist Du der Meinung, ich hätte keine Ahnung und überzeuge dich nicht.
Völlig Gaga...🤡🤯
lcer00
lcer00 25.01.2023 um 08:22:42 Uhr
Goto Top
Hallo,
Zitat von @2423392070:

Dann sage ich ich das UTM ist bei den Sensen nicht so zu verstehen wie bei den Kommerziellen.
verstehe ich tatsächlich nicht. Du?

Grüße

lcer
2423392070
2423392070 25.01.2023 um 08:45:25 Uhr
Goto Top
Du sollst ja Trial Appliances laden...
Dann kannst auch du verstehen. Du verstehst dann auch warum deine Verhaltensweisen so albern wirken.
lcer00
lcer00 25.01.2023 um 09:08:31 Uhr
Goto Top
Hallo,
Zitat von @2423392070:

Du sollst ja Trial Appliances laden...
Dann kannst auch du verstehen. Du verstehst dann auch warum deine Verhaltensweisen so albern wirken.
Da ist gar nix albern. Was bitte kann ich bei Trial-Appliances testen? Die Bedienung. Toll. Die Bedienung ist nur sicherheisterelvant, wenn man falsch bedient.

Wie bitte soll ich testen, wie gut die Rulesets sind? Hast Du Dir mal Regelsets im Detail angeschaut? Kann bei beispielsweise ganz gut bei Suricata und Snort. Siehe https://suricata.readthedocs.io/en/suricata-6.0.9/ Die Regelsets werden vom IDS/IPS angewendet und fertig - das kann sowohl eine *sense genauso wie kommerzielle Anbieter (wobei diese möglicherweise proprietäre Formate verwenden). Die Qualität des Regelsets entscheidet über die Sicherheit. OPNsense bietet optional kommerzielle Regelsets an: https://shop.opnsense.com/product/proofpoint-et-pro-ruleset-1yr-subscrip ... Bei Fortigate & Co ist das nicht optional kommerziell, sondern halt primär kommerziell. Und? Ist das entscheidende Qualitätsmerkmal? Lies mal die Webseite von Proofpoint und die Fortigate. Da kannst Du sehen, wie eine gute PR-Abteilung arbeitet. Das gleiche gilt übrigens für Virensignaturanbieter. Die sind nach eigenen Aussagen alle SUPER!!.

Wenn Deine einzige Aussage darin besteht, dass nur gut ist, was hochgelobt wird, bist Du bei dieser Frage nicht wirklich hilfreich. Hilfreich wäre, wenn Du z.B. Einblicke hättest, wie die Anbieter zu ihren Regelsets kommen, die über die Werbeaussagen der Webseiten hinausgehen.

Grüße

lcer
2423392070
2423392070 25.01.2023 um 09:59:06 Uhr
Goto Top
Wenn du doch alles über die Sensen weißt, warum fragst du dann?
lcer00
lcer00 25.01.2023 um 10:54:08 Uhr
Goto Top
Hallo,
Zitat von @2423392070:

Wenn du doch alles über die Sensen weißt, warum fragst du dann?
Na weil ich, wie oben beschrieben, über eine Verbesserung nachdenke, und leider wenig Konkretes über den tatsächlichen Grad Verbesserung finden kann.

Ich habe übrigens nicht nach der OPNSense gefragt, sondern nur meine Ausgangssituation beschrieben.

Aber wenn Du technisch nicht so interssiert bist. Würdest Du mir eher zu einer hellroten, dunkelroten oder blauen Appliance raten?

Grüße

lcer
ipzipzap
ipzipzap 25.01.2023 um 11:10:44 Uhr
Goto Top
Was viele nicht auf dem Schirm haben ist, das Fortigate "API-First" lebt. Man kann die komplette Firewall per API einrichten, konfigurieren und verwalten, z.B. per Ansible etc., ohne auch nur einmal auf die GUI zu müssen.

Macht das mal mit einer *sense. Sogar Sophos kann das hier besser mit Ihrer API.

Wenn möglich und Budget da ist, ziehe ich kommerzielle Firewalls IMMER einer *sense vor.

Just my 2c,
ipzipzap (der aktuell mehrere HA-*senses betreibt und supportet)
lcer00
lcer00 25.01.2023 um 11:19:39 Uhr
Goto Top
Hallo,
Zitat von @ipzipzap:

Was viele nicht auf dem Schirm haben ist, das Fortigate "API-First" lebt. Man kann die komplette Firewall per API einrichten, konfigurieren und verwalten, z.B. per Ansible etc., ohne auch nur einmal auf die GUI zu müssen.
Danke, das ist auf jeden Fall ein guter Punkt.
Macht das mal mit einer *sense. Sogar Sophos kann das hier besser mit Ihrer API.

Wenn möglich und Budget da ist, ziehe ich kommerzielle Firewalls IMMER einer *sense vor.
Budget wäre ja da, ich weiss nur gerne, wass ich dafür bekomme.

Grüße

lcer
C.R.S.
C.R.S. 25.01.2023 um 16:03:08 Uhr
Goto Top
Zitat von @lcer00:

Die Qualität des Regelsets entscheidet über die Sicherheit.

Nein, in der Praxis nicht. Der Vergleich mit dem Antivirus ist gut, weil die Sicherheit einer Infrastruktur im Ergebnis auch nicht davon abhängt, ob da Defender, Symantec oder was anderes nach Viren scannt, auch wenn man im Labor Unterschiede heraustesten kann.

Die Sicherheit hängt u.a. davon ab, wieviel Aufwand wirksam in die Anpassung der Konfiguration an die Gegebenheiten fließt, um Sicherheitsgrundsätze wie minimale Berechtigungen zu verwirklichen. Die Erwartungshaltung, irgendwas vorgefertigt Sicheres zu kaufen, spricht schon dagegen, dass der Aufwand überhaupt betrieben wird. Wie so vieles, was man kostenlos bekommt, reibt eine OPNsense den Aufwand außerdem an der Usability und den fehlenden Integrationsmöglichkeiten auf, sodass er nicht in gleichem Maße wirksam wird.
2423392070
2423392070 25.01.2023 um 16:07:21 Uhr
Goto Top
Zitat von @lcer00:

Hallo,
Zitat von @2423392070:

Wenn du doch alles über die Sensen weißt, warum fragst du dann?
Na weil ich, wie oben beschrieben, über eine Verbesserung nachdenke, und leider wenig Konkretes über den tatsächlichen Grad Verbesserung finden kann.

Ich habe übrigens nicht nach der OPNSense gefragt, sondern nur meine Ausgangssituation beschrieben.

Aber wenn Du technisch nicht so interssiert bist. Würdest Du mir eher zu einer hellroten, dunkelroten oder blauen Appliance raten?

Grüße

lcer

Wir hatten vor den Sonicwalls Watchguard und Palo Alto.

Palo Alto war gut, ist gut und bleibt gut. Wollten aber beim letzten Upgrade nicht nur Nieren, Leber und unsere Töchter, daher haben die Vertriebler den Ausgang gezeigt bekommen. War über 100% Preisteigerung.

Watchguard hat auch gute Sachen und ist mittlerweile wieder weiter vorn dabei.

Sonicwall ist auch state of the art und kostet nur viel Geld. Aber weniger als PA.

Huawei hat mich auch aktuell wieder beeindruckt, aber für uns außerhalb Chinas nicht möglich.

Heißer Kandidat der Zukunft ist Fortinet.
2423392070
2423392070 25.01.2023 aktualisiert um 16:19:33 Uhr
Goto Top
Zitat von @c.r.s.:

Zitat von @lcer00:

Die Qualität des Regelsets entscheidet über die Sicherheit.


Die Sicherheit hängt u.a. davon ab, wieviel Aufwand wirksam in die Anpassung der Konfiguration an die Gegebenheiten fließt, um Sicherheitsgrundsätze wie minimale Berechtigungen zu verwirklichen.

Die Sicherheit hängt hauptsächlich davon ab, dass man in verschlüsselte Verbindungen gucken kann, ohne dass dann nichts mehr geht. Und der Aufwand das zu konfigurieren und zu warten darf keine Völkerstämme an Nerds täglich beschäftigen.

Diverse Zero-techniken zur schnellen Adaption neuer Bedrohungen sind auch unbezahlbar.

Das was bei Sonicwall Multi-engine advanced threat analysis, Real-Time Deep Memory Inspection (RTDMI) und Broad File Type Analysis heißt, ist auch unverzichtbar.
Andere OEMs analog dazu mit ihren Vergleichs-Features.
Wenn ich den Realtime Upload dieser Features angucje und was da alles gefunden wird, dann freuen wir uns auf die nächste Lizenzzahlung sogar.

Dass das Konzept halbwegs sinnvoll Regeln erstellen lässt und das dauerhaft effektiv abläuft, sollte selbstverständlich sein und ist kein Kriterium.
lcer00
lcer00 26.01.2023 um 13:28:58 Uhr
Goto Top
Hallo,

Achtung: technisch Off-Topic, passt aber zum Problem:

ich teste gerade etwas herum und habe vom Support des Produktes folgende Info erhalten, nachdem ich gefragt hatte, wie es um TLS-Inspection bestellt sei:
Unlike superficial filtering tools (e.g. dns filtering), ##### is equipped with a powerful Layer7 Enterprise-grade content filter technology allowing you to employ sophisticated security mechanisms capable of detecting and blocking malware and threats which utilize advanced evasion techniques. 

Das ist schon ein beeindruckender Satz oder? Der Endkunde ist vom Produkt sofort begeistert.

Grüße

lcer
C.R.S.
C.R.S. 26.01.2023 um 14:03:19 Uhr
Goto Top
Zitat von @lcer00:

Das ist schon ein beeindruckender Satz oder? Der Endkunde ist vom Produkt sofort begeistert.

Mir fehlen die angesprochenen Zero-Techniken, um eine PowerPoint-Präsentation voll zu bekommen.

Je multipler die Engines und je advanceder die Threats werden, desto mehr vertrickt sich das Konzept der Unified Angriffsfläche aber auch in seinen inneren Widerspruch. Neulich wurde hier ja debattiert, warum man Firewalls kaskadieren könnte. Der Hauptgrund ist heute aus meiner Sicht schlicht die Topologie und der Datenfluss darin. Wenn ich am Perimeter immer komplexere, immer höher integrierte Lösungen einsetzen muss und will, legt das eine tiefere Netzwerkstruktur mit weiteren Appliances nahe. Da der nötige Datenverkehr dort wesentlich kontrollierter ist, auch noch nach einer teilweisen Kompromittierung, ist zweitrangig, ob unterschiedliche Hersteller kombiniert werden.
ipzipzap
ipzipzap 26.01.2023 um 17:16:50 Uhr
Goto Top
Zitat von @lcer00:
Unlike superficial filtering tools (e.g. dns filtering), ##### is equipped with a powerful Layer7 Enterprise-grade content filter technology allowing you to employ sophisticated security mechanisms capable of detecting and blocking malware and threats which utilize advanced evasion techniques. 

BINGO! Wer noch? face-big-smile
2423392070
2423392070 26.01.2023 um 20:11:09 Uhr
Goto Top
Ist eben weiterhin 5-10 Jahre hinterher.
Aber immerhin, malt es schöne Diagramme und schreibt Logs.