Hallöchen zusammen,
ich bin begeisterter User von OPNsense. Ich hab damit mal angefangen und zig Regeln eingerichtet, etc. und alles funktioniert auch. In den nächsten Tagen erhalte ich leistungsfähigere Hardware für eine Firewall und möchte bei dieser Gelegenheit mal sauber mein Netzwerk planen und auch die Firewall Konfiguration.
Ich suche nun ein Tool mit dem ich ein Netzwerk zeichnen/aufbauen kann und in welchem ich versch. VLans sowie Firewall Regeln testen kann. Einen Simulator. Ich möchte ja ungern auf der "produktiven" Firewall herumbasteln.
Was würdet ihr mir empfehlen? Ich habe ein wenig ein Ghetto mit Rules, etc. und da ich sehr visuell denke, würde mir sowas helfen :-)
Danke für eure Inputs!
Liebe Grüsse
Abhijit
mit Dia kannst du einen Netzwerkplan zeichnen:
http://dia-installer.de/
Wenn du simulieren willst, kannst du ja VMs erstellen und diese über virtuelle Netzwerke zusammen hängen. Wenn du da VMs und Container kombinierst, geht da schon einiges.
Oder eben gleich ne nummer größer: https://shadow.github.io/
Einfach: https://www.draw.io/
Auf "device" gehen zum Speichern, dann wird das Ganze als lokales File gespeichert. Bei neuem Diagramm Netzwerk auswählen und eines der gewünschten Arten (Cisco Symbolstyle, eher Visio mäßig, whatever) als Basis auswählen und loslegen. Plus man muss nicht erst groß Software installieren und mit dem gespeicherten File kann man das auch schnell mal an E-Mail oder auf nen Stick ziehen und unterwegs dran weiterbasteln.
Simulator für Firewall Regeln kenne ich in der Form keinen. Ist aber IMHO auch nicht notwendig wenn man sich an ein zwei Standard-Regeln bzw. Bezüge hält. Bspw. "Regeln werden dort erstellt, wo das Paket die Firewall zuerst tangiert" und "WAN bzw. WAN network" ist NICHT das Internet, sondern das IP Subnetz, was auf WAN Seite konfiguriert ist oder ggf. dem Provider gehört/zugewandt ist.
> Ich möchte ja ungern auf der "produktiven" Firewall herumbasteln.
Produktiv oder nicht, ansonsten wird man die Auswirkungen live kaum sehen, wenn man nichts anwendet ;)
Wichtig ist mehr - und dafür kann man auch Diagramme zeichnen - dass man sich Gedanken um sog. Kommunikationsbeziehungen macht. Wer also mit wem was worüber und wie austauschen darf. Wenn ich also scharf alle Netze intern eingrenzen will muss ich mir Fragen stellen (Beispiel):
* VLANs 10, 20, 30 -> Dürfen untereinander kommunizieren? (Ja/Nein/Ausnahmen)
* VLANs 10, 20, 30 -> Dürfen frei ins Internet? (Ja/Nein/Ausnahmen)
* WAN -> Biete ich Dienste an? (Ja/Nein/Ausnahmen)
* DMZ -> Darf ich in VLANs? (Ja/Nein/Ausnahmen)
* DMZ -> Darf ich frei ins Internet (Ja/Nein/Ausnahmen)
Und das ggf. auf ganze Netze bzw. bei Ausnahmen dann auf Hosts runterbrechen:
Bspw. DMZ:
* DMZ -> Internet - generell: nein
* DMZ -> Internet - Ausnahmen: HTTPS, SSH, GIT, GPG (weil nötig für Updates bspw.)
* DMZ Host A -> Internet: SMTP, SMTPS, Submission
* DMZ Host A -> LAN: MSDS, Netbios, MS AD -> DC; Mailports -> Exchange
So definiert man sich Kommunikationsbeziehungen und trägt die in ein Diagramm ein. Dann ist die Regelerstellung später ein Klacks!
Grüße
Danke euch beiden! Lieb von euch und hilft mir schon sehr.
Ich muss das auch deshalb aufzeichnen weil ich nie genau weiss auf welchem Interface ich die Regeln erstellen muss. Da hilft Zeichnen ungemein... :-)
Viele Grüsse und nochmals: Merci
Abi
> Ich muss das auch deshalb aufzeichnen weil ich nie genau weiss auf welchem Interface ich die Regeln erstellen muss.
> Da hilft Zeichnen ungemein... :-)
Absolut. Aber daher der Hinweis auf die 2-3 Dinge die man einfach im Hinterkopf haben sollte (Wo kommt das Paket zuerst an?). Hat man das verinnerlicht, ist die Frage "auf welchem IF" recht fix beantwortet.