Servus an alle,
würde mal gerne die Kollektivmeinung hören.
Ich hatte diese Woche die Anforderung “Wir nutzen einen Web Dienst und da steht in der Beschreibung ‘Geben Sie an der Firewall Port 8090 zu api.xxx.xxx frei sonst funktioniert das nicht’”
Nun blockt unsere Firewall das natürlich. Der “einfach Weg” wäre jetzt einfach eine Regel zu machen. Ich sehe da aber das große Ganze, wenn jeder Website Betreiber solche “Extras” wollen würde, wäre der Aufwand enorm.
Wie seht Ihr das? Hättet Ihr einfach die Firewall angepasst? Seht Ihr zwingende Gründe warum das so sein muss. (IP Knappheit ließe sich m.E. mit einem Reverse Proxy besser lösen)
Schönen Gruß
Was habt ihr für eine Firewall? Mit einer, die auf Anwendungsebene filtern kann, würde ich einfach “HTTPS” freigeben, unabhängig vom Port.
Es passiert leider oft genug, dass Anwendungen auf alternativen Ports angeboten werden, da hast du schon ziemliche Einschränkungen nur mit 80/443.
Ohne Verschlüsselung aufzubrechen kannst du nicht sagen ob da HTTPS oder irgendein anderes TLS verschlüsseltes Protokoll läuft.
Könnte ich machen (Palo Alto) - dazu müsste ich aber die Standard Anwendungseigenschaften überschreiben. Palo Alto ist auch der Meinung das der Standard Port für SSL/HTTPS 443 ist.
Nö. Wieso sollte ich deren Arbeit erledigen, wenn die zu faul sind ein Reverse Proxy einzurichten.
Was ist das überhaupt für eine API dass du auf deiner Seite den Port öffnen musst? Das bedeutet ja, dass die API eine aktive Verbindung zu dir aufbaut.
Klingt für mich, als wüsste jemand nicht was er macht.
genau…geile api wo du lan ports aufmachen musst…episch
Der Port muss ausgehend offen sein. Bei uns ist ausgehend nur 80/443 für Web Traffic erlaubt. Bei einem Standard Telekom Router würde das alles gehen. Pfusch ist es m.E. trotzdem.
Bitte sag mir, dass hier wenigstens verschlüsselt wird.
Warum? Komplett unnötig und macht euch nur die Arbeit schwer. Content Aware Filterung und gut ist
Sorry, das hat mein Spatzenhirn in der früh nicht kapiert :)
Ist dieser Web-Dienst im Internet und Ihr blockiert ausgehende Verbindungen? Oder möchten die Kollegen einen Web-Dienst anbieten, der auf Port 8090 hört?
Der Dienst ist im Internet und auf Port 8090 ansprechbar. Wir erlauben an der Firewall für Web nur 80/443 ausgehend. Das ganze Web spielt sich ja im Prinzip auf 80/443 ab.
Diese Logik habe ich noch nie verstanden. Also insbesondere das Blocken von ausgehenden Ports. Es gibt genug Dienste, die auf anderen Ports laufen. z. B. MySQL 3306, Postgres 5432, MongoDB 27015 etc. Klar kann man das alles über einen Reverse-Proxy lösen, aber genau deswegen macht es ein System ja nicht sicherer. Malware wird natürlich nur über 80/443 Daten exfiltrieren.
Ja klar - aber alles was du nennst sind auch keine Web Dienste. Unsere Firewall ist recht restriktiv. Und ich würde auch nicht wollen das unsere Andwender nach außen eine MySQL Datenbank ansprechen. Für Dienste die etabliert und standardisiert sind werden dann Regeln angelegt.
Ok, dann leg die Regel halt an. “Kennen wir nicht, ham wir keine Lust zu” ist als Grund ein bisschen schwach. Wäre die API denn sicherer oder besser, wenn sie auf Port 80 oder 443 liefe? Da würdest Du nicht mal mitbekommen, dass jemand sie benutzt.
Die API wäre dann vermutlich nicht besser, aber mein Gefühl bei einem Dienstleister (?), der zu faul / planlos ist, seine Webservices auf Standardports ansprechbar zu machen ist nicht gut. Das riecht nach “da hat der Praktikant mal was mit nem Framework auf gebastelt und das ist jetzt produktiv”
Ist mehr ein Gesamteindruck-Bauchgefühl als eine ganz stringente Herleitung, aber ich kann OPs Bedenken durchaus nachvollziehen.
Insbesondere, weil es halt mit “Port auf” nicht getan ist. Da wollen dann noch SSL-Inspection und der Rest vom Regelwerk angepasst werden.
Einen Port zu genau einer Endaddresse? Fein. Rein famit in den Filter. Dein Gegenüber wird sich die Arbeit nicht machen die perfekte Lösung zu finden. Mach dir deine Arbeit einfach. Du hast eine Begründung warum der Port offen ist, also macht auch die Versicherung keine faxen.
Edit: Der Aufwand ist auch nicht enorm. Der ist recht klein. Wie viele Betreiber fordern das von euch?
Ausgehende Firewalls sind eh nicht für viel. Solange du irgend ein Protokoll irgendwohin erlaubst, kann beliebiger Verkehr darüber geschlauft werden. Alles was ein abgehender Port Filter dir bringt ist die Mitarbeitenden zu nerven, weil sie 30 sek länger brauchen. Über 443/tls beliebigen Verkehr zu leiten ist trivial.
Ausgehende Ports filtern erhöht die Sicherheit etwa gleich wie ein Parkverbot Unfälle verhindert.