6
Port 443 TCP Firewall und Proxy - Wie geht ihr damit um?
Hallo zusammen,
ich brauche mal ein paar Ideen, wie geht ihr mit Port 443 TCP (HTTPS, ausgehend) in der Firewall und oder Proxy um?
Komplett Offen, mit HTTPS-Proxy??
Fürher war es noch einfach, ein HTTPS-Proxy der den Inhalt aufbricht, analysiert und neu verschlüsselt, fertig.
Das hat unser Proxy gemacht, der nicht auf der Firewall ist.
Der Proxy ist vor allem da um die Webseiten der Benutzer zu filtern und ggfs. zu sperren.
Programme hatten ihre festen Ports und gut war.
Mittlerweile benutzen viele Programme HTTPS und bemerken diesen Aufbruch und melden Fehler.
Dummerweise steht dann aber nie das es ein Zertifikatsfehler ist, sondern irgendwas.
OK, diese Dienste dann alle nicht scannen, sondern einfach durch leiten.
Dann kommen gerade jetzt andauernd irgendwelche Konferenzdienste ala MS Teams, Gotomeeting und als allerschlimmstes Skype hinzu die auch alle durchwollen.
Die gehen mal über den Proxy, oder ignorieren den einfach und wollen direkt raus.Das geht nicht, da Port 443 in der Firewall (nicht im Proxy) bei uns gesperrt ist.
Dann suche ich im Proxy nach Fehlern und in der Firewall und baue Ausnahmen.
Irgendwie baue ich gerade andauernd Ausnahmen die dann oft in ein paar Tagen wieder nicht gehen, das sich was geändert hat.
Zumeist die Ziel-Domänen.
Das ist der nächste Punkt, durch die ganzen Cloud Dienst wie Akamai und Co, geht auch ein Filtern auf Ziel-Domänen nicht ....
Ja, ich bin gerade etwas ratlos
Darum meine Frage, wie macht ihr das?
Vielen Dank!
VG,
Deepsys
ich brauche mal ein paar Ideen, wie geht ihr mit Port 443 TCP (HTTPS, ausgehend) in der Firewall und oder Proxy um?
Komplett Offen, mit HTTPS-Proxy??
Fürher war es noch einfach, ein HTTPS-Proxy der den Inhalt aufbricht, analysiert und neu verschlüsselt, fertig.
Das hat unser Proxy gemacht, der nicht auf der Firewall ist.
Der Proxy ist vor allem da um die Webseiten der Benutzer zu filtern und ggfs. zu sperren.
Programme hatten ihre festen Ports und gut war.
Mittlerweile benutzen viele Programme HTTPS und bemerken diesen Aufbruch und melden Fehler.
Dummerweise steht dann aber nie das es ein Zertifikatsfehler ist, sondern irgendwas.
OK, diese Dienste dann alle nicht scannen, sondern einfach durch leiten.
Dann kommen gerade jetzt andauernd irgendwelche Konferenzdienste ala MS Teams, Gotomeeting und als allerschlimmstes Skype hinzu die auch alle durchwollen.
Die gehen mal über den Proxy, oder ignorieren den einfach und wollen direkt raus.Das geht nicht, da Port 443 in der Firewall (nicht im Proxy) bei uns gesperrt ist.
Dann suche ich im Proxy nach Fehlern und in der Firewall und baue Ausnahmen.
Irgendwie baue ich gerade andauernd Ausnahmen die dann oft in ein paar Tagen wieder nicht gehen, das sich was geändert hat.
Zumeist die Ziel-Domänen.
Das ist der nächste Punkt, durch die ganzen Cloud Dienst wie Akamai und Co, geht auch ein Filtern auf Ziel-Domänen nicht ....
Ja, ich bin gerade etwas ratlos
Darum meine Frage, wie macht ihr das?
Vielen Dank!
VG,
Deepsys
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 566233
Url: https://administrator.de/contentid/566233
Printed on: April 25, 2024 at 08:04 o'clock
6 Comments
Latest comment
Wir haben uns einfach ein paar IPs geben lassen und trennen die Dienste auf, dann sind sie leichter zu managen.
Bei anderen Firmen habe ich einen großen Unterschied gemerkt, ob etwas in iptables gemanaged wurde, oder eine Web Oberfläche mit z.B. Sophos sitzt. Da kommt man mit einem Text Editor natürlich nicht weit und man verliert schnell den Überblick.
Bei anderen Firmen habe ich einen großen Unterschied gemerkt, ob etwas in iptables gemanaged wurde, oder eine Web Oberfläche mit z.B. Sophos sitzt. Da kommt man mit einem Text Editor natürlich nicht weit und man verliert schnell den Überblick.
Moin,
früher habe ich den https-proxy der Firewall genutzt, doch beim Internetbanking der Geschäftsführung ist es nicht wünschenswert den Traffic aufzubrechen und mitzuschneiden.
Deswegen lasse ich den https-Traffic von innen nach aussen ohne Proxy durch. Allerdings arbeitet bei uns zusätzlich noch der Application-Filter der Firewall, der mir den unerwünschten https-Traffic blockiert (z.B. Facebook & Co.).
Gruß
Looser
früher habe ich den https-proxy der Firewall genutzt, doch beim Internetbanking der Geschäftsführung ist es nicht wünschenswert den Traffic aufzubrechen und mitzuschneiden.
Deswegen lasse ich den https-Traffic von innen nach aussen ohne Proxy durch. Allerdings arbeitet bei uns zusätzlich noch der Application-Filter der Firewall, der mir den unerwünschten https-Traffic blockiert (z.B. Facebook & Co.).
Gruß
Looser
Ich darf und muss HTTPS öffnen und auswerten. Die GF hat das mit dem BR beschlossen.
Es ist die schlimmste, nie endende Baustelle die wir haben.
Traffic des BR und der GF darf nicht geöffnet werden ;)
Grundsätzlich muss ich aber sagen, dass das Ganze sehr wichtig ist und die Vorfälle die Maßnahme unterstreichen, die sich täglich ereignen.
Wichtig ist, nicht nur nach 443 auf HTTPS zu suchen.
Ein Vorfall 2018 hat HTTPS über 53 ins Ausland übertragen.
Es ist die schlimmste, nie endende Baustelle die wir haben.
Traffic des BR und der GF darf nicht geöffnet werden ;)
Grundsätzlich muss ich aber sagen, dass das Ganze sehr wichtig ist und die Vorfälle die Maßnahme unterstreichen, die sich täglich ereignen.
Wichtig ist, nicht nur nach 443 auf HTTPS zu suchen.
Ein Vorfall 2018 hat HTTPS über 53 ins Ausland übertragen.
Zitat von @NordicMike:
Wir haben uns einfach ein paar IPs geben lassen und trennen die Dienste auf, dann sind sie leichter zu managen.
Das verstehe ich nicht, was meinst du mit "ein paar IPs geben lassen" als Ziel-IPs?Wir haben uns einfach ein paar IPs geben lassen und trennen die Dienste auf, dann sind sie leichter zu managen.
Wir trennen einfach die Services auf verschiedene IPs, die von aussen erreichbar sind. Somit hat unser VPN Server, Owncloud Server, Mail Server, Webserver, FTP Server, VoIP Kanal und noch ein paar andere Dienste jeder eine eigene IP und eine eigene Subdomain und lässt sich leichter analysieren und steuern. Somit müssen HTTPS Verbindungen nicht immer aufgebrochen werden und es gibt auch kein Problem mit verschiedenen Zertifikaten.
Zitat von @NordicMike:
Wir trennen einfach die Services auf verschiedene IPs, die von aussen erreichbar sind.
Ja klar, ich meinte aber HTTPS Ausgehend Wir trennen einfach die Services auf verschiedene IPs, die von aussen erreichbar sind.
Habe ich in die Frage mit aufgenommen
