Applikationen in dem Firewall Regelwerk verwenden

Solche Services leben und sterben von der Datenbank, die dahinter sind. Das bedeutet, die Frage ist, und ich kann das nicht kommentieren, wie gut die Pattern dahinter sind. Bei SFOS existieren auch solche Pattern Datenbanken, um entsprechende Services zu erlauben. Das geht über die Application Control. Dort kannst du auch mit Zoom/Conferencing, etc. arbeiten und das erlauben. 

Was Sophos zur Zeit verfolgt sind zu erst die Managed TLS Exclusion List, um eben auch eine solche Datenbank für DPI Engine zu pflegen. Effektiv möchtest du die DPI verwenden und "known issues sites" bereits vorab heraus nehmen. 

Ich war noch nie ein Fan von solche automatisierten Datenbanken. Weil auf dem Papier klingen sie immer gut. Du sagst "Zoom erlauben". Aber dahinter muss "etwas" diese Services permanent überwachen und schauen, ob diese noch "in Ordnung sind". 

Es gab auch in der UTM solche Themen, aber am Ende hat sich raus gestellt, dass das Pflegen von "allen Internet Services" nicht funktioniert.

Dann sind viele Hersteller rüber gewechselt und haben "open source Gits" auf Github genutzt. Aber da "schaudert es mir als Security Mensch. Wer pflegt das, woher kommen die Daten - Ich lade hier gerade automatisiert irgendwelche Pattern, IPs etc. auf meine Firewall und erlaube das. (Supply Chain Attack zum mitnehmen bitte". 

Also am Ende ist es die Frage, was man erreichen möchte. Ich sehe bei vielen Kunden im Jahre 2021 immer noch ANY - ANY Regeln. Daher weiß ich nicht, ob so ein Feature wirklich hilft, oder ob es weiter dazu beiträgt, dass man sich "keine Gedanken mehr macht". 

PS: Ja, Sophos möchte auch in diese Sparte mehr Investieren. Application Control wird in Zukunft interessanter. Jedoch ist die Frage "Wo". IPS/SSL Decryption ist ja bereits ein Punkt. Home Office zeigt, Mitarbeiter sitzen zu Hause. Nutzen Sie noch die Firewall? Ist VPN die Zukunft (Laut Analysten ist es ZTNA, welches eben NICHT auf VPN aufsetzt). Daher ist die Frage, ob sich nicht mehr Technologie auf dem Endpoint auslagern wird. 

Solche Services leben und sterben von der Datenbank, die dahinter sind. Das bedeutet, die Frage ist, und ich kann das nicht kommentieren, wie gut die Pattern dahinter sind. Bei SFOS existieren auch solche Pattern Datenbanken, um entsprechende Services zu erlauben. Das geht über die Application Control. Dort kannst du auch mit Zoom/Conferencing, etc. arbeiten und das erlauben. 

Was Sophos zur Zeit verfolgt sind zu erst die Managed TLS Exclusion List, um eben auch eine solche Datenbank für DPI Engine zu pflegen. Effektiv möchtest du die DPI verwenden und "known issues sites" bereits vorab heraus nehmen. 

Ich war noch nie ein Fan von solche automatisierten Datenbanken. Weil auf dem Papier klingen sie immer gut. Du sagst "Zoom erlauben". Aber dahinter muss "etwas" diese Services permanent überwachen und schauen, ob diese noch "in Ordnung sind". 

Es gab auch in der UTM solche Themen, aber am Ende hat sich raus gestellt, dass das Pflegen von "allen Internet Services" nicht funktioniert.

Dann sind viele Hersteller rüber gewechselt und haben "open source Gits" auf Github genutzt. Aber da "schaudert es mir als Security Mensch. Wer pflegt das, woher kommen die Daten - Ich lade hier gerade automatisiert irgendwelche Pattern, IPs etc. auf meine Firewall und erlaube das. (Supply Chain Attack zum mitnehmen bitte". 

Also am Ende ist es die Frage, was man erreichen möchte. Ich sehe bei vielen Kunden im Jahre 2021 immer noch ANY - ANY Regeln. Daher weiß ich nicht, ob so ein Feature wirklich hilft, oder ob es weiter dazu beiträgt, dass man sich "keine Gedanken mehr macht". 

PS: Ja, Sophos möchte auch in diese Sparte mehr Investieren. Application Control wird in Zukunft interessanter. Jedoch ist die Frage "Wo". IPS/SSL Decryption ist ja bereits ein Punkt. Home Office zeigt, Mitarbeiter sitzen zu Hause. Nutzen Sie noch die Firewall? Ist VPN die Zukunft (Laut Analysten ist es ZTNA, welches eben NICHT auf VPN aufsetzt). Daher ist die Frage, ob sich nicht mehr Technologie auf dem Endpoint auslagern wird. 

Hallo Luca,

in erster Linie möchte (und habe auch keine) Any <-> Any Regel. Genau deshalb Frage ich ja was für ein Ansatz gewählt werden kann / sollte um diese ganzen VOIP / Videokonferenzen einzugrenzen. Ich kenne das seit Jahren von der UTM dort habe ich über unseren SUM viele Kunden mit 100 - 1000 Netzen / IP-Ranges usw. (laut Angabe des Herstellers) zentral versorgt. Der Aufwand ist natürlich nicht gerade klein gewesen. Dazu kommt das der SUM nun auch noch abgekündigt wurde (aber das soll hier ja nicht das Thema sein).

Einer der Vorteile bei der XG / SFOS ist ja nun mal die deutlich größere AppControl DB. Deshalb die Frage ob nicht einfach die "Applikation" als Destination im Regelwerk verwendet werden kann (aktuell soweit ich weiß nicht). Natürlich unter der Voraussetzung das Sophos bzw. die Labs die Netz / IP-Ranges im Hintergrund pflegt. Ich weiß du bist ein Freund der API aber für uns Admins im Feld ist dies sehr speziell. Gerade im Leitsatz "Security made simple" verstehe ich da etwas anderes sorry. Die Umsetzung auf der Forti in dem Punkt war schon wirklich cool.

Da stimme ich dir zu für die Kollegen im Home Office ist das nochmal etwas anderes. Aber bleiben wir erstmal bei der Konstellation User/Client hinter der FW (SFOS) .... wie würdest du vorgehen wenn du 4-5 unterschiedliche Videokonferenzlösungen hast welche so gut wie es geht beschränkt ins WAN sollen ... 

Applikationen arbeiten in der Regel über Port443 und zu CDNs/AWS etc. Ressourcen. Abhängig, wie gut sie programmiert sind, weiß man sogar nicht mal wirklich, wohin Sie funken bzw. arbeiten manche mit SNI und manche ohne. Daher ist der erste Schritt sowieso "IMMER" SSL Decryption zu aktivieren. Ohne SSL Decryption hast du in der Regel auch mit guter IP Datenbank nicht so viele Chancen, weil wie gesagt, die meisten Services mit AWS und anderen zusammen arbeiten. Damit hast du manchmal IPs, die sind auf den Hersteller gemünzt und manchmal ist die IP nur ein Loadbalancer von Amazon. Wenn die Applikation dann auch ohne SNI anfragt, hast du kaum Visibilität, um zu entscheiden, ob das erlaubt sein soll oder nicht.

Was du machen kannst auf der Sophos Firewall: SSL Decryption generell aktivieren und schauen, Wo welcher Traffic raus geht. Dann entsprechend mit den fehlerhaften Applikationen umgehen (Wie und wieso hören sie auf zu funktionieren). Danach mittels Webfilter und Application Control diese Apps limitieren / blockieren. 

Du wirst heutzutage sowieso nur noch 443 sehen. 

Du könntest auch die 1:1 Kopie von SUM auch in Central machen. Du baust als Partner eine Liste von IPs im Partner Dashboard und rollst dieses Profile auf deine Kunden aus. Die Kunden ziehen dann aus dieser Gruppe die Liste in deren Firewalls. 

Aber wie angesprochen sollte man hier mittels SSL Decryption erst arbeiten und dann entsprechend dort auch mit den Gruppen in den Exclusions arbeiten. Oft kannst du solche Dinge wie Zoom nicht aufbrechen. 

Die Frage ist gerade, was möchtest du blockieren? Also was möchtest du am Ende erreichen? Wir werden höchstwahrscheinlich in naher Zukunft sehr viel in Richtung "WAN443 Free" laufen, da wie gesagt, viele Services diesen Port nutzen und alles darüber raus funkt - Und ist das ein Problem? Wenn du den Traffic aufbrichst und entsprechend inspizierst, kann man dabei viele Dinge schon bereits vorab blockieren.