chr1zZo schrieb:
Ich glaube du verstehst in keinerweiste, wie eine moderne Firewall funktioniert? 1. Sind nur die Ports offen, die ich auch Freigebe. 2. IDS/IPS scant meine Pakete bzw. Traffic 3. ZeroDay Protection 4. Web und Application Filter sowie Scans 5. TLS Inspection.
Wir betreiben Palo Alto und Fortigates mit derartigen Konstellationen. Und wir haben auch User, die so denken wie du und falsche Schlussfolgerungen ziehen. Im Detail:
zu 1.: irrelevant, denn wie oben beschreiben die meisten Infektionen von Endusersystemen kommen durch die Sessions, die von den Usern oder den Prozessen auf dem Endgerät initiiert werden. So lange du von deinem Endgeräte HTTPS oder andere Protokolle aus dem Internet aufrufen kannst, bist du in dieser Hinsicht verwundbar.
zu 2. und 5.: IDS und IPS kann nicht in den HTTPS-Traffic schauen, es sei denn du machst SSL-Inspection mit z.B. eigenen Zertifikatsverteilungen. Oft ist es so, dass Leute die z.B. kleine Fortigates kaufen, denken, sie würden SSL Inspection machen und wenn man sich die Profile dann anschaut, dann ist es zwar aktiv, aber z.B. nur mit Zertifikatsprüfung, aber ohne die Möglichkeit reinzuschauen. Solltest du den SSL-Traffic aufbrechen können (was für ein Gerät hast du denn, so dass es auch leistungsfähig genug ist? denn die kleinen SoC-Systeme sind dafür meist zu schwach) gilt auch dann, dass Malware nicht pauschal erkannt werden kann, sondern nur wenn sie schon in irgendeiner Form detektiert und decodiert wurde und die Signaturen an die Systeme verteilt werden. Und auch IDS und IPS sind Signatur- und manchmal heuristikbasiert, die eine Teilmenge, aber nicht alles entdecken können.
zu 3.: wenn du wirklich eine gute 0Day-Protection von den Herstellern nutzt, dann haben die dir sicher schon verklausuliert gesagt, dass logischerweise nur vor bekannten ZeroDay-Vektoren ein gewisser Schutz geboten werden kann.
zu 4: du hast HTTPS freigegeben, dass es von deinen CLients aus aufgerufen werden kann. Das reicht aus, dass darüber Dateien übertragen werden können, denn dafür ist es u.a. auch gemacht. Der Application Filter wird da auch kein Problem darin sehen. Der ist dafür gedacht um zu prüfen, ob auch wirklich die Applikation drin ist, die es zu sein scheint und dass z.B. nicht jemand unsicheres Telnet über einen anderen freigegeben Port fährt.
Du redest von Brain. Und von MultiLayer-Schutz. Ja dann benutze Brain und dann wird dir klar, dass Patchen ebenfalls eine Ebene des Schutzes ist. Aktuell überschätzt du die Fähigkeiten einer typischen NGFW und vergisst den untersten Layer des Schutzes. Firewalls können kein Patchen ersetzen. Und Patchen kann keine Firewalls ersetzen.
