OPNsense Forum
International Forums => German - Deutsch => Topic started by: gergap on March 08, 2024, 03:00:44 pm
-
Hallo Firewall Experten,
ich habe da mal so eine Grundsatzfrage. Von draußen nach drinnen ist per default alles gesperrt und ich schalte halt die Dienste frei dich haben will, z.b. für einen Webserver. Soweit so gut.
Von drinnen nach draußen ist das aber so eine Sache. Per Default erlauben die meisten Firewalls alles, auch OPNSense.
Man kann jetzt einzelne Dinge sperren mit den diversen Sperrlisten (DNSBL, IPBL) und eventuell mit einem IPS, falls eine Suricata Regel was auffälliges bemerkt.
Oder ich sperre auch nach draußen alles per Default und erlaube nur einzelne Dinge per Whitelist. Das ist natürlich aufwendig.
Hintergrund ist, dass ich das Ausschleusen von Daten, Nachladen von Malware oder CommandAndControl Server möglichst unterbinden will.
Ich kann Dinge wenn den Zugriff auf 587 (Submission) und 993 (IMAPS) auf meine Mailserver IP erlauben, noch den einen oder anderen eigenen Webdienst (Gitlab, Nextcloud, Redmine, etc. aus der DMZ), plus Port 22 (SSH) auf meine Server. Was sicherlich nicht geht ist jeden einzelnen Webserver im Internet zu whitelisten den einer unserer Mitarbeiter braucht. Deswegen wird wohl in vielen Firmen pauschal Port 80 und 443 erlaubt, wobei Port 80 heute nicht mehr wirklich gebraucht werden sollte, da der Großteil der Webseiten heute HTTPS unterstützt.
Letzteres ist gut, aber auch ein Problem. Als Angreifer kann ich so gut wie alles per HTTPS tunneln, was bringt also das Blockieren anderer Ports, außer dass es die Leute nervt, weil legitime Dinge dann auch gesperrt sind. Seit es ein git clone von github, ein FTP Download, Teams, Spotify oder was auch immer.
Früher wurde jedenfalls gern eine HTTP Proxy eingesetzt zum Filtern und als Cache (z.b. Squid), auch ein IDS kann da gut ansetzen. Mit HTTPS ist das aber Geschichte sofern man nicht einen MITM Proxy aufsetzt und überall sein "faules" CA Zert einspielt. Ohne das Wissen der Mitarbeiter wäre das rechtlich also auch noch problematisch.
Es bleibt das Problem das auch ein HTTP(s) Proxy (ohne MITM) per HTTP CONNECT Kommando alles tunneln kann. Also auch kein Problem SSH oder anderes Zeug per HTTPS zu tunneln. Aus eigener Erfahrung weiß ich, dass die meisten Proxies den connect zu einem SSH server durchlassen, solange dieser auf Port 443 läuft und nicht auf 22.
Es gibt ja auch fertige Tools wie stunnel für diesen Zweck.
Man sperrt also die normalen User aus (die genervt sind), und die Hacker kommen trotzdem raus...
Wie ist hier eure Meinung bzw. Vorgehen per der Konfiguration der Firewall nach draußen?
Vielleicht will jemand auch exemplarisch ein paar seiner eigenen Firewall regeln dazu posten.
Ich könnte hierzu noch Inspiration gebrauchen, vielleicht gibt es da ja noch schlaue Ideen die mir neu sind.
Vielen Dank schon mal an alle im voraus.
-
Nun da gibt es nicht die eine Antwort.
1. Nur dienste wie Web zu erlauben ist schon mal nicht so verkehrt. Wenn auch die bösen sich tunneln können.
Das geht auch wunderbar auf Port 80 und 53. Ich sehe aber oft eben doch andere Ports.
2. Blocklisten von bösen Zielen. Da gibt es verschiedene Anbieter von Listen (firehole). Die freien Listen sind oftmals nicht superaktuell.
3. IDS/IPS Systeme. Eingebautes Suricata. Ich habe das nicht wirklich so zum laufen bekommen das ich das kontrolliert nutzen kann. Zenarmor ist ein Zusatz Plugin. In der Basis frei. Ich teste gerade die Business Version und die ist zwar kostenpflichtig aber es scheint mir die bisher komfortabelste Lösung zu sein.