lcer00
Goto Top

Welche Firewallanbieter haben gut gewartete Aliase für Anwendungsendpunkte?

Hallo zusammen,

ich bin derzeit auf der Suche nach einem neuen Firewallanbieter (bisher OPNsense). Welche Anbieter haben den gut gewartete Endpoint-Listen mit Webdiensten die man separat freigeben kann?
Z.B.
- Microsoft Azure-AD
- Microsoft 365
- Windows Update
- Antivirusanbieter XXX
- Cloud-Dienst xxxx

Ich möchte möglichst ohne selbst die Endpunkte recherchieren und warten zu müssen explizit bestimmte Endpunkte freigeben können. Ziel soll es sein, möglichst sauber alles zu verbieten was nicht expliziert erlaubt ist.

Mir geht es um gutes Handling aber auch um Aktualität und Differenzierbarkeit der Dienste. Und nein, ich möchte Microsoft erlauben, nicht verbieten face-smile In den Webdemos / Dokumentationen ist das nicht immer so gut zu erkennen. Und an Testversionen kommt man auch nicht bei jedem so einfach...

Grüße

lcer

Content-ID: 6016604165

Url: https://administrator.de/forum/welche-firewallanbieter-haben-gut-gewartete-aliase-fuer-anwendungsendpunkte-6016604165.html

Ausgedruckt am: 25.12.2024 um 14:12 Uhr

SlainteMhath
Lösung SlainteMhath 17.02.2023 um 09:13:38 Uhr
Goto Top
Moin,

bei Fortinet sind die Listen eigentlich sehr gut gepflegt.

lg,
Slainte
SeaStorm
Lösung SeaStorm 17.02.2023 um 09:17:51 Uhr
Goto Top
Hi

ich finde da Fortigate super. Die nennen das ISDB bzw stumpf Applikationen.
Da kann ich dann per ISDB in einer Regel z.B MS Teams freigeben, was dann am Ende alle IPs und zugehörige Ports von Teams erlaubt.
Oder man geht den Weg alles über die Applikationen zu machen, dann erstellt man eine Regel in der man eben die Applikationen als solche freischaltet. Das setzt dann allerdings oft SSL-Inspection vorraus.
Per ISDB benötigt man das nicht, denn das ist einfach eine Liste von IPs und Ports

Checkpoint steht dem in nichts nach ist aber deutlich teurer als Forti und ist nix für zum nebenbei Administrieren.
stefaan
Lösung stefaan 17.02.2023 um 09:23:23 Uhr
Goto Top
Servus,

Fortinet kann ich bestätigen, schau dir hier die Demo an:
https://fortigate.fortidemo.com
demo/demo
Menü Policy & Objects, Internet Service Database

Grüße, Stefan
Cloudrakete
Cloudrakete 17.02.2023 um 09:31:12 Uhr
Goto Top
Moin,

wenn der Hersteller / das Produkt für dynamische Regeln eine API oder vergleichbar bereitstellt, könntest Du dir sowas theoretisch selbstbauen.

Microsoft veröffentlicht ein entsprechendes JSON für solche Zwecke.

https://endpoints.office.com/endpoints/worldwide?clientrequestid=b10c5ed ...
lcer00
lcer00 17.02.2023 um 09:34:17 Uhr
Goto Top
Hallo,
Zitat von @Cloudrakete:

wenn der Hersteller / das Produkt für dynamische Regeln eine API oder vergleichbar bereitstellt, könntest Du dir sowas theoretisch selbstbauen.

Microsoft veröffentlicht ein entsprechendes JSON für solche Zwecke.

https://endpoints.office.com/endpoints/worldwide?clientrequestid=b10c5ed ...
das nutze ich ja, aber dazu muss ich sicherstellen, dass das Skript regelmäßig sauber ausgeführt wird und bei der Firewall immer aktualisiert wird. Meine Firewall ist damit abhängig von sekundären Systemen - das soll geändert werden.

Grüße

lcer
gravelking
Lösung gravelking 17.02.2023 um 10:14:04 Uhr
Goto Top
Servus,

auch von mir einen Daumen hoch für Fortigate.
Hier sind eigentlich alle gängigen Webdienste in der "Internet Service Database" gelistet.

Grüße
Th0mKa
Lösung Th0mKa 17.02.2023 um 11:15:04 Uhr
Goto Top
Zitat von @lcer00:
das nutze ich ja, aber dazu muss ich sicherstellen, dass das Skript regelmäßig sauber ausgeführt wird und bei der Firewall immer aktualisiert wird. Meine Firewall ist damit abhängig von sekundären Systemen - das soll geändert werden.

+1 für Fortigate, aber dir sollte klar sein das auch die nur mit Wasser kochen und (für Microsoft) höchstswahrscheinlich das gleiche JSON File benutzen. 😁

/Thomas
SeaStorm
SeaStorm 17.02.2023 um 11:45:53 Uhr
Goto Top
Zitat von @Th0mKa:

+1 für Fortigate, aber dir sollte klar sein das auch die nur mit Wasser kochen und (für Microsoft) höchstswahrscheinlich das gleiche JSON File benutzen. 😁

Das tun sie alle und das ist wohl bei jedem einzelnen der dort vorhandenen Einträge über eine entsprechende Datei oder API befüllt. Manuell pflegt das niemand face-smile
2423392070
2423392070 17.02.2023 um 11:59:47 Uhr
Goto Top
Wie bereits erwähnt, nennen die üblichen Verdächtigen die "Endpoint" Applikation oder ähnliches und dann kannst Du bei einer guten Firewall mehr machen als IPs sperren. Also Layer 4 bis 7 Gedöns.
lcer00
lcer00 17.02.2023 um 12:04:18 Uhr
Goto Top
Zitat von @2423392070:

Wie bereits erwähnt, nennen die üblichen Verdächtigen die "Endpoint" Applikation oder ähnliches und dann kannst Du bei einer guten Firewall mehr machen als IPs sperren. Also Layer 4 bis 7 Gedöns.
Wie die das nennen ist mir egal face-smile Ich will differenzierte und aktuelle Listen dahinter.

Grüße

lcer
Th0mKa
Th0mKa 17.02.2023 um 12:08:24 Uhr
Goto Top
Zitat von @SeaStorm:
Das tun sie alle und das ist wohl bei jedem einzelnen der dort vorhandenen Einträge über eine entsprechende Datei oder API befüllt. Manuell pflegt das niemand face-smile

Ich wollte auch nur sagen das die Liste vermutlich genauso aktuell oder veraltet sein wird wie bei seiner aktuellen Lösung.

/Thomas
C.R.S.
C.R.S. 17.02.2023 um 13:18:55 Uhr
Goto Top
Zitat von @lcer00:

Und an Testversionen kommt man auch nicht bei jedem so einfach...

Du kannst die meisten Produkte auf AWS oder Azure per PAYG betreiben.

Grüße
Richard
Dani
Dani 18.02.2023 um 09:59:41 Uhr
Goto Top
Moin,
ich werfe noch Barracuda ins Rennen... face-wink


Gruß,
Dani
lcer00
lcer00 11.05.2023 um 07:32:11 Uhr
Goto Top
Hallo,

kleiner Nachtrag zur Information:

Ich habe meine OPNsense durch FortiGate ersetzt. Bis jetzt bin ich zufrieden. Etwas Einarbeitung in das Bedienkonzept war nötig, ist aber kein Hexenwerk gewesen.

Danke an alle.

Grüße

lcer