14
Welche Firewallanbieter haben gut gewartete Aliase für Anwendungsendpunkte?
Hallo zusammen,
ich bin derzeit auf der Suche nach einem neuen Firewallanbieter (bisher OPNsense). Welche Anbieter haben den gut gewartete Endpoint-Listen mit Webdiensten die man separat freigeben kann?
Z.B.
- Microsoft Azure-AD
- Microsoft 365
- Windows Update
- Antivirusanbieter XXX
- Cloud-Dienst xxxx
Ich möchte möglichst ohne selbst die Endpunkte recherchieren und warten zu müssen explizit bestimmte Endpunkte freigeben können. Ziel soll es sein, möglichst sauber alles zu verbieten was nicht expliziert erlaubt ist.
Mir geht es um gutes Handling aber auch um Aktualität und Differenzierbarkeit der Dienste. Und nein, ich möchte Microsoft erlauben, nicht verbieten
In den Webdemos / Dokumentationen ist das nicht immer so gut zu erkennen. Und an Testversionen kommt man auch nicht bei jedem so einfach...
Grüße
lcer
ich bin derzeit auf der Suche nach einem neuen Firewallanbieter (bisher OPNsense). Welche Anbieter haben den gut gewartete Endpoint-Listen mit Webdiensten die man separat freigeben kann?
Z.B.
- Microsoft Azure-AD
- Microsoft 365
- Windows Update
- Antivirusanbieter XXX
- Cloud-Dienst xxxx
Ich möchte möglichst ohne selbst die Endpunkte recherchieren und warten zu müssen explizit bestimmte Endpunkte freigeben können. Ziel soll es sein, möglichst sauber alles zu verbieten was nicht expliziert erlaubt ist.
Mir geht es um gutes Handling aber auch um Aktualität und Differenzierbarkeit der Dienste. Und nein, ich möchte Microsoft erlauben, nicht verbieten
In den Webdemos / Dokumentationen ist das nicht immer so gut zu erkennen. Und an Testversionen kommt man auch nicht bei jedem so einfach...Grüße
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6016604165
Url: https://administrator.de/contentid/6016604165
Printed on: April 28, 2024 at 17:04 o'clock
14 Comments
Latest comment
Moin,
bei Fortinet sind die Listen eigentlich sehr gut gepflegt.
lg,
Slainte
bei Fortinet sind die Listen eigentlich sehr gut gepflegt.
lg,
Slainte
Hi
ich finde da Fortigate super. Die nennen das ISDB bzw stumpf Applikationen.
Da kann ich dann per ISDB in einer Regel z.B MS Teams freigeben, was dann am Ende alle IPs und zugehörige Ports von Teams erlaubt.
Oder man geht den Weg alles über die Applikationen zu machen, dann erstellt man eine Regel in der man eben die Applikationen als solche freischaltet. Das setzt dann allerdings oft SSL-Inspection vorraus.
Per ISDB benötigt man das nicht, denn das ist einfach eine Liste von IPs und Ports
Checkpoint steht dem in nichts nach ist aber deutlich teurer als Forti und ist nix für zum nebenbei Administrieren.
ich finde da Fortigate super. Die nennen das ISDB bzw stumpf Applikationen.
Da kann ich dann per ISDB in einer Regel z.B MS Teams freigeben, was dann am Ende alle IPs und zugehörige Ports von Teams erlaubt.
Oder man geht den Weg alles über die Applikationen zu machen, dann erstellt man eine Regel in der man eben die Applikationen als solche freischaltet. Das setzt dann allerdings oft SSL-Inspection vorraus.
Per ISDB benötigt man das nicht, denn das ist einfach eine Liste von IPs und Ports
Checkpoint steht dem in nichts nach ist aber deutlich teurer als Forti und ist nix für zum nebenbei Administrieren.
Servus,
Fortinet kann ich bestätigen, schau dir hier die Demo an:
https://fortigate.fortidemo.com
demo/demo
Menü Policy & Objects, Internet Service Database
Grüße, Stefan
Fortinet kann ich bestätigen, schau dir hier die Demo an:
https://fortigate.fortidemo.com
demo/demo
Menü Policy & Objects, Internet Service Database
Grüße, Stefan
Moin,
wenn der Hersteller / das Produkt für dynamische Regeln eine API oder vergleichbar bereitstellt, könntest Du dir sowas theoretisch selbstbauen.
Microsoft veröffentlicht ein entsprechendes JSON für solche Zwecke.
https://endpoints.office.com/endpoints/worldwide?clientrequestid=b10c5ed ...
wenn der Hersteller / das Produkt für dynamische Regeln eine API oder vergleichbar bereitstellt, könntest Du dir sowas theoretisch selbstbauen.
Microsoft veröffentlicht ein entsprechendes JSON für solche Zwecke.
https://endpoints.office.com/endpoints/worldwide?clientrequestid=b10c5ed ...
Hallo,
Grüße
lcer
Zitat von @Cloudrakete:
wenn der Hersteller / das Produkt für dynamische Regeln eine API oder vergleichbar bereitstellt, könntest Du dir sowas theoretisch selbstbauen.
Microsoft veröffentlicht ein entsprechendes JSON für solche Zwecke.
https://endpoints.office.com/endpoints/worldwide?clientrequestid=b10c5ed ...
das nutze ich ja, aber dazu muss ich sicherstellen, dass das Skript regelmäßig sauber ausgeführt wird und bei der Firewall immer aktualisiert wird. Meine Firewall ist damit abhängig von sekundären Systemen - das soll geändert werden.wenn der Hersteller / das Produkt für dynamische Regeln eine API oder vergleichbar bereitstellt, könntest Du dir sowas theoretisch selbstbauen.
Microsoft veröffentlicht ein entsprechendes JSON für solche Zwecke.
https://endpoints.office.com/endpoints/worldwide?clientrequestid=b10c5ed ...
Grüße
lcer
Servus,
auch von mir einen Daumen hoch für Fortigate.
Hier sind eigentlich alle gängigen Webdienste in der "Internet Service Database" gelistet.
Grüße
auch von mir einen Daumen hoch für Fortigate.
Hier sind eigentlich alle gängigen Webdienste in der "Internet Service Database" gelistet.
Grüße
Zitat von @lcer00:
das nutze ich ja, aber dazu muss ich sicherstellen, dass das Skript regelmäßig sauber ausgeführt wird und bei der Firewall immer aktualisiert wird. Meine Firewall ist damit abhängig von sekundären Systemen - das soll geändert werden.
das nutze ich ja, aber dazu muss ich sicherstellen, dass das Skript regelmäßig sauber ausgeführt wird und bei der Firewall immer aktualisiert wird. Meine Firewall ist damit abhängig von sekundären Systemen - das soll geändert werden.
+1 für Fortigate, aber dir sollte klar sein das auch die nur mit Wasser kochen und (für Microsoft) höchstswahrscheinlich das gleiche JSON File benutzen. 😁
/Thomas
Zitat von @Th0mKa:
+1 für Fortigate, aber dir sollte klar sein das auch die nur mit Wasser kochen und (für Microsoft) höchstswahrscheinlich das gleiche JSON File benutzen. 😁
+1 für Fortigate, aber dir sollte klar sein das auch die nur mit Wasser kochen und (für Microsoft) höchstswahrscheinlich das gleiche JSON File benutzen. 😁
Das tun sie alle und das ist wohl bei jedem einzelnen der dort vorhandenen Einträge über eine entsprechende Datei oder API befüllt. Manuell pflegt das niemand
1
Wie bereits erwähnt, nennen die üblichen Verdächtigen die "Endpoint" Applikation oder ähnliches und dann kannst Du bei einer guten Firewall mehr machen als IPs sperren. Also Layer 4 bis 7 Gedöns.
Zitat von @2423392070:
Wie bereits erwähnt, nennen die üblichen Verdächtigen die "Endpoint" Applikation oder ähnliches und dann kannst Du bei einer guten Firewall mehr machen als IPs sperren. Also Layer 4 bis 7 Gedöns.
Wie die das nennen ist mir egal Wie bereits erwähnt, nennen die üblichen Verdächtigen die "Endpoint" Applikation oder ähnliches und dann kannst Du bei einer guten Firewall mehr machen als IPs sperren. Also Layer 4 bis 7 Gedöns.
Ich will differenzierte und aktuelle Listen dahinter.Grüße
lcer
Zitat von @SeaStorm:
Das tun sie alle und das ist wohl bei jedem einzelnen der dort vorhandenen Einträge über eine entsprechende Datei oder API befüllt. Manuell pflegt das niemand
Das tun sie alle und das ist wohl bei jedem einzelnen der dort vorhandenen Einträge über eine entsprechende Datei oder API befüllt. Manuell pflegt das niemand
Ich wollte auch nur sagen das die Liste vermutlich genauso aktuell oder veraltet sein wird wie bei seiner aktuellen Lösung.
/Thomas
Du kannst die meisten Produkte auf AWS oder Azure per PAYG betreiben.
Grüße
Richard
Moin,
ich werfe noch Barracuda ins Rennen...
Gruß,
Dani
ich werfe noch Barracuda ins Rennen...
Gruß,
Dani
Hallo,
kleiner Nachtrag zur Information:
Ich habe meine OPNsense durch FortiGate ersetzt. Bis jetzt bin ich zufrieden. Etwas Einarbeitung in das Bedienkonzept war nötig, ist aber kein Hexenwerk gewesen.
Danke an alle.
Grüße
lcer
kleiner Nachtrag zur Information:
Ich habe meine OPNsense durch FortiGate ersetzt. Bis jetzt bin ich zufrieden. Etwas Einarbeitung in das Bedienkonzept war nötig, ist aber kein Hexenwerk gewesen.
Danke an alle.
Grüße
lcer
