Firewall mit Virenscanner / Content Filter / SSL Inspection sinnvoll?

roema

roema

Well-Known Member
Hallo Zusammen!

Ich würde gerne von den Netzwerkspezialisten wissen, was ihr davon haltet, auf einer Firewall wie z.B. die Forti einen Virenscanner / Content Filte / SSL Inspectionr zu aktivieren?

Bei uns in der Bude gibt es verschiedene Meinungen.

Ich hatte vor rund zwei Jahren das Problem, dass die Forti mit aktivierten SSL / Content / Virenscanner den Spedd im Down fast um 50% reduzierte, sie schaffte gerade mal 150 MBit/s.

Ich selbst stehe dem etwas kritisch gegenüber, da sowieso jeder Cliient (Windows) einen Virenscanner installiert hat, aber vielleicht täusche ich mich und das ist heute Standard...

Lg roema
 
Ich stehe dem aushebeln von SSL extrem kritisch gegenüber, läuft bei uns auch nicht. Wir haben als IT Firma aber natürlich schon etwas IT Kompetenz bei den Leuten. Klar muss sein: Gegen wirkliche Angriffe - sei es von außen oder innen - hilfts nichts, nur eventuell gegen dumme MAs.
 
medV2 schrieb:
Ich stehe dem aushebeln von SSL extrem kritisch gegenüber, läuft bei uns auch nicht. Wir haben als IT Firma aber natürlich schon etwas IT Kompetenz bei den Leuten. Klar muss sein: Gegen wirkliche Angriffe - sei es von außen oder innen - hilfts nichts, nur eventuell gegen dumme MAs.
Zum Vergrößern anklicken....

Ja, dieser Meinung bin ich auch. Wir hatten vorallem einige Probeme sodass gewisse Webseiten nicht mehr richtig funktionierten etc..
 
Ja verträgt sich nicht gut mit PublicKey-Pinning, wobei das eigentlich stark zurück gegangen ist. Aber bei Apps auf Mobilgeräten kommt mir das immer mal wieder noch unter.
Aber Allgemein: Zumindest bei uns kann der MA auch auf seine Webmails, das EBanking oder auch seine private Cloud zugreifen, wenn er denn möchte (und das sich nicht mit anderen Richtlinien beißt). Da möchte ich mich garnicht dazwischen hängen.
 
SSL bei https würde ich nicht aufbrechen, das bringt den Leistungsverlust, etwaige Zugriffsprobleme und die Mitarbeiter müssen das unterschreiben.
Es kann nicht schaden, den Virenscanner für unverschlüsseltes http und Downloads bis ~20MB und nur bis Verzeichnistiefe1 bei Archiven zu aktivieren. So wenig Seiten wie das noch betrifft, so wenig wird das auf die Leistung hauen.
Ebenfalls denkbar wäre das für Mailanhänge.

Je nachdem wie dein Netz aufgebaut ist (Server in eigenem vlan), könnte man ggf. dafür das SSL aufbrechen, für die Clients aber definitiv nicht.
 
Der Mailserver terminiert ja sowieso das SSL und macht dann hoffentlich auch Viren/Spam/Compliance Scan, das nehme ich jetzt mal an bei einer Unternehmens IT.
 
Lieber mal ansprechen, ja...schadet nicht.
Wenn die Firewall (Forti kenne ich nicht, kocht aber auch nur mit Wasser) in die Knie geht, müsste man ggf. auch mal genau schauen. Liegts an der CPU (SSL, kein AES-NI?), sind tausende Regeln geladen (reden wir von suricata oder clamav?), zuviele offene Verbindungen oder reicht der RAM nicht, weil alles aktiviert, da "viel hilft viel"?

Das klassische Negativbeispiel ist ein größerer Archivdownload (ohne Limit für den Scan), der noch beim Entpacken ist und daher noch nicht an den Client kommt. Dann wird noch 2-3x gedrückt, weil "nix kommt" und zack ist die Karre überlastet (RAM voll) und alles hängt.
 
hi

punkt 1: finger weg von Fortinet , nur beim lesen der schwer wiegenden bugs der letzten 12 monate dreht sich einem der magen um.

Virenscanner nie auf einer Firewall , Virenscanner sind und bleiben CPU intensiv und wenn das eine FW machst
bist du deutlich schnell in der Situation ein HW Upgrade durch zu führen als wenn die eine dedizierte Anviren Appliance kaufst, eine FW ans Limit zu bringen die "nur" Paketfilter und Deep Inspection mach ist deutlich
schwerer .

Mit Deep Inspection / SSL Offload / MITM ist das so eine Sache , es gibt Scenarien / Applicationen die wie
eine Blackbox zu sehen sind und hier macht eine entsprechend vorgeschaltete Lösung sinn.

Wenn ich aber einen Loadbalancer einsetze kann , macht , dieser I.d.r. das SSL Offload und hat somit den nativen Traffic sichtbar , der kann dann mit IDS/IDP überwacht werden.

Alternativ gibt es auch Lösungen die das ganze IDS/IDP via Logs der z.b. beteiligen Webserver machen.
Hier müsste die Firewall dann nur Stateful Inspection Paketfilter machen.

Die Entscheidung welche FW Lösung und wie man etwas macht sollte immer davon abhängen :
was ist vorhanden ? ( Hard und Software )
Vorhandenes Netzwerk Design ?
Was will ich erreichen ?
Welche Kommunikation / Daten will ich schützen ?

Es sollte keine dem Buget geschuldete Entscheidung sein !

Holger
 
@mark05 wir hatten die Forti schon vor meiner Zeit, leider...
Ich habe ebenfalls die Bugs der letzten Monate gesehen und eigentlich einen Wechsel angedacht..

Danke für eure Beiträge!
 
Sehe ich genauso. Auf einem Gateway / Firewall sollte sowenig Angriffsflaeche wie moeglich vorhanden sein. Je mehr dort laeuft, desto groesser die Angriffsflaeche durch Bugs oder Fehlkonfigurationen und desto eher kann die Firewall ausgehebelt werden. Ich reduziere meine Gateways/Firewalls auf ein Minimum. Soviel wie moeglich read-only, keine Compiler, keine unnoetig laufenden Daemons, sowenig wie moeglich offene Ports, usw..
 
roema schrieb:
@mark05 wir hatten die Forti schon vor meiner Zeit, leider...
Ich habe ebenfalls die Bugs der letzten Monate gesehen und eigentlich einen Wechsel angedacht..

Danke für eure Beiträge!
Zum Vergrößern anklicken....

Es gibt die Forti-Boxen ja auch in "hinreichend" schnell. Wir sind da (leider) auch ziemlich fest mit denen verbaselt. Gerade haben wir sonne SD-Wan-Box von denen vorgesetzt bekommen, die ist aber wirklich nicht so langsam wie beschrieben, mit mehrfachen Gigabit hab ich die nicht ausgelastet bekommen.

SSL aufzubrechen und alles auf den Boxen Scannen zu lassen öffnet imho auch wieder deutliche Risiken die einen abseits des Marketingsrepchs von Forti und Co einen bewusst sein sollten.

Denke "ob das sinn macht" kommt auf das Bedrohungsszenario an und da muss man sehr genau gucken.

Hab ich ne richtig tolle Clientlandschaft mit sehr IT-Bewussten personen, die Rechner sind gut gepatcht, villeicht alle mit Linux, MacOS oder gar FreeBSD ausgestattet, kein MS Office und O365 läuft und viele weitere Security-Dinge sind bedacht. Dann brauch ich das vermutlich nicht sondern gefährde eher das Netz.

Hab ich hunderte Leute die von IT 0,0 Ahnung haben, die ne eMail nicht von der Tastatur unterscheiden können und bei der Bildschirm und PC das gleiche ist, die alle vor maximal mäßig gepatchten Windows sitzen, alle mit O365, AD und wegen Spezialsoftware xyz einige auch noch admin-rechte haben, auf jedem neben O365 auch noch viel größeres Elend wie SAP läuft, ja dann denke ich kann so eine Büchse schon sinn machen, auch wenn man natürlich versuchen sollte die eigentliche Probleme zu verbessern - aber seien wir ehrlich: Das ist teilweise komplett Unrealistisch, aus vielen gründen.

midnight schrieb:
Sehe ich genauso. Auf einem Gateway / Firewall sollte sowenig Angriffsflaeche wie moeglich vorhanden sein. Je mehr dort laeuft, desto groesser die Angriffsflaeche durch Bugs oder Fehlkonfigurationen und desto eher kann die Firewall ausgehebelt werden. Ich reduziere meine Gateways/Firewalls auf ein Minimum. Soviel wie moeglich read-only, keine Compiler, keine unnoetig laufenden Daemons, sowenig wie moeglich offene Ports, usw..
Zum Vergrößern anklicken....

Ich glaube wir sprechen da von unterschiedlichen Geräten. Das sind ja eher so geschlossene Appliances für lokale (Windows) Client-Netze die z.B. den HTTPS traffic aufbrechen und nach gefährlichen Seiten, Code, Downloads etc suchen, evtl. auch Webseiten komplett sperren, sonstigen Traffic kontrollieren, teilweise auch dynamisch schauen welcher Traffic welche Leitung bekommt, QOS machen etc - dazu müssen die Quasi zwischen "Den Internetgateways" und dem lokalen netz geschaltet sein, das macht schon sinn.

"Gateway" ist da eher ein Marketing begriff als "dein" technischer Gateway/Firewall Begriff.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben