The Firewall Manufacturers’ Ver(sp)(b) Calculations – Live February 15, 2024

Interne Scans nach Schwachstellen und deren Behebung auch wichtig.
Was hat uns ein sec Berater gesagt, sei besser (sicherer) als dein Nachbar, dann könntest du Glück haben das der Angreifer es kurz probiert und dann weiter zieht.
Herausforderung ist besser zu sein als der Nachbar. Die goldene losung wird es nicht geben. Die Zeiten und Techniken verändern sich zu schnell, die Benutzer sind das größte Sicherheitsrisiko, die müssen meines Erachtens geschult werden nicht auf jeden link zu klicken sonder das Hirn einzuschalten. Ich will niemanden ans Bein pinkeln ja auch Admins ist das schon passiert. Dann geht's darum den schaden so gering wie möglich zu halten um schnell wieder den Regelbetrieb aufnehmen zu können. Ohne Geld an die bösen zu zahlen und doch nichts zu bekommen.
Problem nach einem Angriff, ALLE HW entsorgen, auch switche, Router, Drucker, usw, ob da ein Schläfer Programm wartet weiß keiner, s. Angriff auf den Bund, so ist der zweiter Angriff nach einem Jahr passiert.

1.) Sandstorm ist eine Cloud-Sandbox, die öffnen die Dateien in einer VM und lassen die laufen, um zu schauen was die machen.
Die Dateien werden dann geblockt oder wenn sie zuerst nicht erkannt wurden, später reportet. Dann muss man dem nachgehen.
Problem: Die VM sieht halt nicht aus wie deine Systeme, also nur Standard-Ranz-Client-Software MS Office, Outlook, etc.
Richtig gemacht baut man seine eigenen Sandboxen. Das sperrt aber keine Systeme oder ändert Paketfilterreglen.

2.) Wir waren 20 Jahre lang Astaro- und Sophos-Kunde und hatten ca. 30 große Cluster weltweit. Nachdem die auch noch Cyberoam gekauft haben, wusste ich schon, dass sie die alte Astaro-Firewall einstellen werden und habe mich um Ersatz gekümmert. Einzige Alternativen sind Palo Alto und Fortinet. Sophos wollte einen zur Migration zu ihrer neuen Firewall zwingen, Migration war eh notwendig. Ich war dann mal bockig und hab sie rausgeworfen. Tschüss, Kunde! Da ich selber am Linux-Kernel im Netfilter-Bereich entwickelt habe, hab ich die Astaro/Sophos-UTM sehr gemocht. Da wäre noch so viel Potential gewesen.

3.) Bei NG-Firewalls gibst du z.B. nur den Dienst Micrososft-Updates frei, du brauchst weder IP-Adressen noch Hostnamen pflegen, das machen die Hersteller für dich. Klappt zu 99,9%. 😉

4.) Ich habe z.B. eine komplette Fortinet Labor-Umgebung in Proxmox, wird zwar nicht direkt supportet, aber die KVM-Cloud-Version läuft mit zwei/drei Anpassungen in Proxmox.

5.) WSUS für Linux? Noch einfacher: einfach einen Mirror mit rsync bauen und dann entweder DNS auf den internen Mirror umbiegen oder den Mirror als Paketsource eintragen.

6.) Man muss SSL aufbrechen, sonst kann die Firewal nicht in den Traffic schauen. Ausnahmen pflegen ist etwas Arbeit, einige Hersteller, gerade Banking, Handy-Apps etc machen Certificate Pinning und mögen das gar nicht.