1
German - Deutsch / Hilfe bei Firewallregeln erbeten
« on: March 02, 2022, 05:43:55 pm »
Guten Tag,
ich bin als aktiver User neu hier im Forum. Ich habe zwar schon viel hier im Forum und auf anderen Plattformen recherchiert, aber war noch nicht als User aktiv. Auch die docs von OPNSense und eBooks von Dritten habe ich gelesen. Ich bin zwar seit gut 30 Jahren in der IT tätig, allerdings habe ich mit dem Bereich Netzwerk nur am Rande zu tun. Ich habe zuhause ein kleines Netzwerk, an dem ich mein Wissen auch abseits des Berufs weiter ausbaue.
übergeordnetes Ziel: Netzwerksicherheit erhöhen
Trigger: die Security-Lage verschlechtert sich kontinuierlich - Täter gehen immer ausgefeilter vor – auch an breitere Ziele (IoT, private Rechner, kleine Unternehmen etc.) – hybride Angriffe (physical Security und IT-Security müssen zusammenarbeiten)
Maßnahme: paralleler Aufbau einer Infrastruktur mit Netzwerksegmentierung (Server_neu) – spätere Datenmigration mit genauer Überprüfung aus dem vorhandenen Netzwerk (Server_alt) und dann nach Übergangsphase abschalten
später: Erweiterung um externe Services (z.B. Intrusion Detection, ET Pro Rulese, Zenarmor)
aktuelles Problem: Firewallregeln in OPNSense
meine Bitte an das Forum: Hilfe beim Finden der Fehlerursache
Um den Rahmen der Darstellung nicht zu sprengen, habe ich die Detailbeschreibung in ein separates pdf-Dokumente gepackt und angehängt. Ich bin unsicher bzgl. der Syntax bei Source & Destination & in/out bei OPNSense-Regelwerken --> bitte kritisch betrachten.
Danke
Tom
Struktur des Anhangs:
• Problembeschreibung
• Beschreibung Umgebung
• Visualisierung Umgebung
• Ziel: Regelwerke
• aktuelle Konfiguration
• Erkenntnisse (was geht / was geht nicht)
Problembeschreibung:
• ich bekomme keine saubere Netzwerktrennung zwischen den drei Netzen aufgebaut
• es ist ein ping in andere Netze möglich
• Firewallregeln mit DENY-ANY und expliziten ALLOW-Ausnahmen bekomme ich nicht nachvollziehbar aufgebaut
Fragen:
• wie muß ich die Firewallregeln anpassen, damit
o die Verbindung zu den anderen Netzwerken nicht funktioniert?
o SMTP funktioniert?
o die GUI OPNSense nur aus dem Management-Netzwerk erreicht wird?
• gibt es Empfehlungen zu Tools, mit denen ich das Regelwerk auf Funktion prüfen kann?
• gibt es Empfehlungen, die Regeln hinsichtlich der Security-Qualität zu verbessern?
Visualisierung Umgebung
WAN / Internet
:
: VDSL-Provider
: (WAN / 203.0.113.123)
:
.-----+-----.
| Router | LANCOM 1906VA
'-----+-----' (192.168.190.10)
|
| .-----+------.
IP-Transfernetz +--------| Test-PC D |
(192.168.190.0/24) | '-----+------'
| (192.168.190.100)
|
| WAN OPNSense
| (192.168.190.66)
.-----+------.
.------------| OPNSense+-------------.
| '-----+------' |
| | |
| 41_Server_alt | 3_Server_neu | 0_Management
| (192.168.241.10) | (192.168.203.10) | (192.168.200.10)
| (Subnet 24) | (Subnet 24) | (Subnet 24)
| | |
| | |
.-----+------. .-----+------. .-----+------.
| Test-PC C | | Test-PC B | | Test-PC A |
'-----+------' '-----+------' '-----+------'
(192.168.241.100) (192.168.203.100) (192.168.200.100)
ich bin als aktiver User neu hier im Forum. Ich habe zwar schon viel hier im Forum und auf anderen Plattformen recherchiert, aber war noch nicht als User aktiv. Auch die docs von OPNSense und eBooks von Dritten habe ich gelesen. Ich bin zwar seit gut 30 Jahren in der IT tätig, allerdings habe ich mit dem Bereich Netzwerk nur am Rande zu tun. Ich habe zuhause ein kleines Netzwerk, an dem ich mein Wissen auch abseits des Berufs weiter ausbaue.
übergeordnetes Ziel: Netzwerksicherheit erhöhen
Trigger: die Security-Lage verschlechtert sich kontinuierlich - Täter gehen immer ausgefeilter vor – auch an breitere Ziele (IoT, private Rechner, kleine Unternehmen etc.) – hybride Angriffe (physical Security und IT-Security müssen zusammenarbeiten)
Maßnahme: paralleler Aufbau einer Infrastruktur mit Netzwerksegmentierung (Server_neu) – spätere Datenmigration mit genauer Überprüfung aus dem vorhandenen Netzwerk (Server_alt) und dann nach Übergangsphase abschalten
später: Erweiterung um externe Services (z.B. Intrusion Detection, ET Pro Rulese, Zenarmor)
aktuelles Problem: Firewallregeln in OPNSense
meine Bitte an das Forum: Hilfe beim Finden der Fehlerursache
Um den Rahmen der Darstellung nicht zu sprengen, habe ich die Detailbeschreibung in ein separates pdf-Dokumente gepackt und angehängt. Ich bin unsicher bzgl. der Syntax bei Source & Destination & in/out bei OPNSense-Regelwerken --> bitte kritisch betrachten.
Danke
Tom
Struktur des Anhangs:
• Problembeschreibung
• Beschreibung Umgebung
• Visualisierung Umgebung
• Ziel: Regelwerke
• aktuelle Konfiguration
• Erkenntnisse (was geht / was geht nicht)
Problembeschreibung:
• ich bekomme keine saubere Netzwerktrennung zwischen den drei Netzen aufgebaut
• es ist ein ping in andere Netze möglich
• Firewallregeln mit DENY-ANY und expliziten ALLOW-Ausnahmen bekomme ich nicht nachvollziehbar aufgebaut
Fragen:
• wie muß ich die Firewallregeln anpassen, damit
o die Verbindung zu den anderen Netzwerken nicht funktioniert?
o SMTP funktioniert?
o die GUI OPNSense nur aus dem Management-Netzwerk erreicht wird?
• gibt es Empfehlungen zu Tools, mit denen ich das Regelwerk auf Funktion prüfen kann?
• gibt es Empfehlungen, die Regeln hinsichtlich der Security-Qualität zu verbessern?
Visualisierung Umgebung
WAN / Internet
:
: VDSL-Provider
: (WAN / 203.0.113.123)
:
.-----+-----.
| Router | LANCOM 1906VA
'-----+-----' (192.168.190.10)
|
| .-----+------.
IP-Transfernetz +--------| Test-PC D |
(192.168.190.0/24) | '-----+------'
| (192.168.190.100)
|
| WAN OPNSense
| (192.168.190.66)
.-----+------.
.------------| OPNSense+-------------.
| '-----+------' |
| | |
| 41_Server_alt | 3_Server_neu | 0_Management
| (192.168.241.10) | (192.168.203.10) | (192.168.200.10)
| (Subnet 24) | (Subnet 24) | (Subnet 24)
| | |
| | |
.-----+------. .-----+------. .-----+------.
| Test-PC C | | Test-PC B | | Test-PC A |
'-----+------' '-----+------' '-----+------'
(192.168.241.100) (192.168.203.100) (192.168.200.100)