205 Stimme

Wildcard FQDN für Hostname basierte Netzwerkobjekte (Paketfilter)

In der Praxis geben "die Anbieter" (gerne ist das Microsoft mit Azure) ganz bewusst keine Liste von IPs oder DNS-Namen heraus. M$ eine Liste der FQDNs bestimmter Dienste aus den Rippen zu leiern ist praktisch unmöglich. Oft sollen auch temporär Dienste auf dedizierten Hosts (Datenbanken etc.) on demand und/oder automatisiert bereitgestellt und genutzt werden. Auch dann ist es nützlich, wenn eine Wildcard verwendet werden kann, um Servernamen wie FQS33MX.tennant05431108.databases.azure.com (oder so) pauschal unter *.tennant05431108.databases.azure.com berechtigen zu können.

  • Guest
  • Jul 22 2021
  • Feedback von der Community erwünscht
  • Attach files
  • Guest commented
    4 Dec 01:42pm

    Gibt es hierzu updates ?

  • Guest commented
    10 Nov 08:29am

    Hallo Team Securepoint,

    gibt es zu dem Thema FQDN Wildcard (*.domain.com) ein Update oder ein release date?
    Das Feature wird wirklich sehr dringend benötigt und ist heute auf keiner Firewall mehr wegzudenken.

    Wir bitte um ein Feedback.
    Danke

  • Guest commented
    1 Nov 10:12am

    *Push*

  • Guest commented
    22 Aug 08:52am

    Gibt es schon ein Update dazu?

  • Guest commented
    6 May 06:30am

    Tatsächlich zunehmend notwendig. Bin gerade auch ratlos wie ich das jetzt ohne ein Update pfuschen kann.

  • Guest commented
    22 Oct, 2023 05:28am

    Hallo Securepoint,


    dieses Feature wird dringend benötigt um uns den Arbeitsalltag in der Cloudwelt zu vereinfachen.

    Gibts schon nen neuen Status oder evtl. ein release date für das Feature?

  • Guest commented
    6 Sep, 2023 11:32am

    Wir steigen gerade von Sophos UTM um. Dort gibt es Netzwerkobjekte, die sich DNS-HOST (eine auflösbare IP) oder DNS-GRUPPE (mehrere auflösbare IPs) nennen und die ensprechend nicht statisch sind. Solche Objekte werden wirklich dringend benötigt als kleinster, gemeinsamer Nenner.

  • Guest commented
    2 Dec, 2022 07:37am

    Gibt es zu diesem Thema etwas Neues? Wir arbeiten mit Azure und Amazon Tenants und es ist sehr mühselig diese alle als Netzwerkobjekt anzulegen.

  • Guest commented
    9 Jun, 2022 04:53pm

    Ein sehr wichtiges Thema da die Dienstanbieter mittlerweile häufiger mitteilen, dass *.Domain.com freigeschaltet werden sollen über die Ports XYZ.



    Insbesondere bei großen Anbietern die Dienste in Azure / AWS etc. hosten und diese ständig erweitern ist das Feature ein MUSS.

  • Guest commented
    18 Feb, 2022 03:54pm

    Wäre auch super, wenn SRV-Records aufgelöst werden könnten. Telekom IP-Telefonie/SIP-Trunk macht in dieser Hinsicht Probleme. Wildcard FQDN im Allgemeinen fände ich auch super. Auch Hersteller von Medizinsoftware haben oft dieses Wildcard-Problem.

  • Guest commented
    16 Aug, 2021 02:22pm

    Das Feature wäre sehr wünschenswert. Wir haben das Problem bei Datto, AWS, Adobe CC, Azure... The List goes on. Teilweise kann man die IPs nur aus dem Logfile erkennen, da es manchmal überhaupt keine Informationen seitens der Anbieter gibt, außer: *s3*.amazonaws.com erlauben.

  • Guest commented
    23 Jul, 2021 09:24am

    Ich habe das Problem auch und wäre mit einer bedingten Lösung zufrieden. "Bedingt" insofern, als dass dann eben die Auflösung über die UTM erfolgen muss. Auch ein Domänencontroller kann sich ja seine DNS-Auflösung von der UTM holen etc. Spannend stelle ich mir eher vor, dass ja im selben Moment der DNS-Auflösung auch der Portfilter aktualisiert werden muss. Da könnte ich mir vorstellen, dass es zu Problemen kommt, wenn eine Anwendung wenig Toleranz bei Fehlern bzw. TimeOuts zeigt.

  • Admin
    Produkt Manager commented
    22 Jul, 2021 03:14pm

    Wir haben den Wunsch ja selber eingestellt :-)

    Der Anwendungsfall ist klar und DANKE für die gute Beschreibung.

    Ggf. gibt es ja noch Ideen wie man so etwas umsetzen kann. Deswegen hatte ich versucht die existierenden Konzepte und ihre Probleme zu beschreiben.

    Ich habe diese mal in die Wunschbeschreibung mit aufgenommen.

  • Guest commented
    22 Jul, 2021 03:04pm

    In der Praxis geben "die Anbieter" (gerne ist das Microsoft mit Azure) ganz bewusst keine Liste von IPs oder DNS-Namen heraus. M$ eine Liste der FQDNs bestimmter Dienste aus den Rippen zu leiern ist praktisch unmöglich. Oft sollen auch temporär Dienste auf dedizierten Hosts (Datenbanken etc.) on demand und/oder automatisiert bereitgestellt und genutzt werden. Auch dann ist es nützlich, wenn eine Wildcard verwendet werden kann, um Servernamen wie FQS33MX.tennant05431108.databases.azure.com (oder so) pauschal unter *.tennant05431108.databases.azure.com berechtigen zu können.

  • Admin
    Produkt Manager commented
    22 Jul, 2021 02:31pm

    Im Normalfall sollte für eine Cloud Anwendung oder ein Cloud-Dienst ein oder mehrere feste A-Records vom Provider zur Verfügung gestellt werden. Bei vielen Diensten ist das auch möglich. Spannend wird das wie. Wenn man z.B. ein Netzwerkobjekt *.securepoint.de erstellt gibt es ja keine Möglichkeit herauszufinden welche DNS-Einträge sich dahinter verbergen. Man müsste also DNS-Anfragen von Applikationen und Clients auswerten und diese "on-the-fly" in den Portfilter einbauen. Das funktioniert aber auch nur solange, wie die Anwendung oder der Client DNS über die Firewall verwendet. Ist in der Anwendung eine IP hinterlegt oder wird DNS über https aufgelöst gibt es keine Chance für die UTM hier zu reagieren. Oder ich habe an meinem Client gerade eine VPN-Verbindung in ein anderes Netzwerk offen und nutze den DNS-Server dort, dann bekommt meine lokale Firewall wieder nichts davon mit. Also eine sehr instabile Lösung. Für den Anbieter wäre es allerdings ein leichtes mir eine Liste der DNS-Einträge, die ich berücksichtigen muss, zu geben.

  • Guest commented
    22 Jul, 2021 01:33pm

    Für Cloud- und Hybrid-Szenarien ein sehr wichtiges Feature.