Hallo zusammen,
bin der Neue im Forum und kam durch abwegen zu einer OPNsense Installation.
Kurz zur Info... in unserer Firma fand ein Sicherheitsaudit statt. Der Beauftragte sah unsere Sicherheit in Form einer Sophos UTM mit IPSec Tunnel zum Produktionsstandort als kritisch an. Er empfahl meinem IT-Leiter eine 2 stufiges Firewall Konzept.
Heute kam ich aus dem Sommerurlaub zurück und auf dem Tisch lag ein kleiner Server mit 4 Netzwerkkarten und einer OPNsense Installation drauf. OPNsense wurde uns empfohlen da es gut und kostenlos zur Verfügung steht.
An diesem Punkt fällt mein Dilemma an.
Der jetzige Aufbau der Sophos UTM sieht folgendermaßen aus:
Internet <-> Fritzbox <-> Sophos UTM/IPSec <-> LAN
Zukünftig wünscht sich der Sicherheitsbeauftrage zwischen der Sophos und dem LAN die OPNsense FW.
Die Ports der Sophos:
Port 1: Management für Geräte / ILO / Switche etc. (192.168.10.0/24)
Port 2: Internet / IPSec Tunnel
Port 3: Internet Geräte (192.168.20.0/24)
Port 4: CAD Workstations (192.168.30.0/24)
Bei dieser Konstellation war es nur notwendig die Firewall Regeln anzupassen. Nun wird die Sache mit der OPNsense etwas komplexer.
-----------------------------------------
Meine Idee war das Anlegen eines Transfernetzes mit dem Adressbereich 192.168.100.0/24.
Die Sophos erhält auf dem Interface Port 4 die 192.168.100.1 und die OPNsense auf dem Interface Port 4 die 192.168.100.2
Bei der OPNsense kommt am Interface
Port 1: die 192.168.20.0/24 - 192.168.20.1 statische IP auf dem Interface
Port 2: die 192.168.30.0/24 - 192.168.30.1 statische IP auf dem Interface
Als default route die 192.168.100.1 hinterlegen.
Auf der Sophos lege ich eine Route an mit:
Port 4: 192.168.20.0 über die 192.168.100.2
und
Port 4: 192.168.30.0 über die 192.168.100.2
-----------------------------------------
Dummerweise funktioniert das nicht...
Wie macht man das nun richtig... ich sehe meinen Fehler nicht. Habe ich mich total verrannt und den falschen Weg eingeschlagen?
Hi, da sind wir schon 2 ;) ich bin hier auch neu, habe im meinem Business Netz auch eine UTM (als VM) laufen
und eine Opnsense um IP Adressen für die Sophos zu sparen ;)
Welchen Vorteil erhofft sich der Sicherheitsfuzzi denn. Hast du da ein paar Fakten?
In der UTM geht doch das wunderbar den Traffic vom IPSec nur an das Netz (DMZ) oder Host zu lassen den man will.
Sorry das ich Dir nicht helfen kann und dir noch Fragen stelle.
LG
Sinux
Hi,
also der Hintergrund scheint die Art der Daten zu sein. Wir haben einerseits geschäftkritische Daten mit Kundeninformationen als auch Geräte die nur für das Internetverbindung verwendet werden.
Laut BSI ist hier eine P-A-P Struktur zwingend erforderlich.
Bisher lief unsere Umgebung mit einer Firewall hervorragend. Machte nie groß arbeit und lief absolut stabil. Ich frage mich auch was das mehr an Komplexität gegenüber der Sicherheit bringen soll.
Bei uns der Firma sind keine Firewall oder Netzwerk Spezies. Mehr Komplexität = Dienstleiter und Verlust des Wissens wie es tatsächlich funktioniert.
Ich sehe es eher kritisch... mein IT Leiter jetzt auch aber wir müssen es nunmal hinbiegen weil das nächste Audit für Januar 2022 geplant ist :(
Danke, die PAP sagt mir nix, ich trenne bei uns die Netze mittles VLAN (6 Netze) damit z.B. die Geräte Netze nicht ins INet können um wie schon erwähnt IP's und damit Geld zu sparen. Oder externe Dienstleister nicht in unser Netz aber ins Internet können.
Da ist eben VLAN, tagged, untagged oder mac adressen basierend das Zauberwort und über die Sophos und Layer2/3 Switche eine geile Sache;)
Danke nochmals!
Du sagst ihr seid keine Netzwerk-Spezies, aber wer hat dann den 4-NIC Server mit OPNsense bestellt?
Kommt mir bisschen vor, als ob die Anschaffung ohne Konzept gemacht wurde?
Schau mal hier:
https://forum.opnsense.org/index.php?topic=19698.0
Danke für den Link. Also in unserem Sicherheitsauditprotokoll ist festgeschrieben, eine P-A-P Struktur aufzubauen. Der ALG soll auch nur für die Internet PCs mittels Webproxy umgesetzt werden.
Es hilft mir aber alles nichts, der Cheffe hat es unterschrieben, bestellt und soll nun umgesetzt werden.
Der Begriff "Server" ist bei mir jetzt überspitzt verwendet worden. Es handelt sich um einen pobligen Celeron PC mit einer 4-Port Gigabit Netzwerkkarte ;)
Auf der internen SSD ist OPNsense, letzte Version installiert.
Hat vielleicht jemand eine Idee wie ich das Problem lösen könnte? War meine Vorgehensweise im ersten Post soweit i. O. oder eher für die Tonne?
QuoteDer ALG soll auch nur für die Internet PCs mittels Webproxy umgesetzt werden.
Das macht die Sache schon etwas einfacher. OPNsense hat ja Proxy, Sensei...
QuoteEs hilft mir aber alles nichts, der Cheffe hat es unterschrieben, bestellt und soll nun umgesetzt werden.
Schön, und wer setzt es um, wenn ihr nicht in der Lage seid? (-> keine Netzwerk-Spezies)
Verstehe mich nicht falsch, aber du suchst im Forum Hilfe zu einem Projekt wo ein
Sicherheitsbeauftragte dahinter steckt, sich auf BSI beruft, und Bedarf ein relativ hohes Niveau an Netzwerk Know-How um die Sache ordentlich umzusetzen?
Und du hast dabei noch ein zweites Audit kommen, wo dann die Konfiguration nehme ich mal an geprüft wird.
Dahinter sind sensible Daten...
Ich tät da nochmal darüber nachdenken und mit Chef klären ob er damit OK ist, dass die Netzwerk-Konfiguration und Sicherheit seiner Firma auf Meinungen der Foren basiert.
Mir fehlt das bisschen Kopf und Fuß Anbindung...
EDIT:
Und noch was dazu: einerseits sagt dein SB "Firewall dazwischen" schalten, also OPNsense zwischen Sophos und LAN. Dann erwähnst aber P-A-P, was aber PF-ALG-PF ist. Und dann sagst wieder Webproxy...
Also was jetzt wirklich? Was ist die Anforderung genau?
Mit der Meinung bin ich voll bei dir.
Die Webproxy Funktionalität bildet bereits die Sophos ab. Da benötigt es an dieser Stelle kein weiteres zutun.
Unabhängig nun meines Problem, es würde mich trotzdem interessieren wie man eine externe und interne Firewall konform aufbaut um mehrere LAN Netze mit gleichem Schutzbedarf zur Verfügung zu stellen?
Klar, Forumsmeinung, aber ein 2-stufiges Firewall Konzept haben sicher einige hier in der Firma am laufen...
Erstmal, wofür brauchst du für zwei Router ein Transfernetz mit 24er Maske? 30 reicht ja vollkommen.
Zweitens, kannst du bitte einen Netzwerkplan erstellen?
Ich versuche allerdings noch immer zu verstehen, was der Sinn der Sache ist. Was soll die OPNsense besser machen was die Sophos nicht kann? Wo ist tatsächlich die zusätzliche Sicherheitsstufe wenn man die 20er und 30er Netz hinter der OPNsense schaltet und NUR PF verwendet? PF kann die Sophos genauso gut. Außer dein PF in der Sophos ist vermurkst...
Quotees würde mich trotzdem interessieren wie man eine externe und interne Firewall konform aufbaut um mehrere LAN Netze mit gleichem Schutzbedarf zur Verfügung zu stellen?
Was meinst du mit "externe und interne Firewall"? Im Falle eines Transfernetzes sind alle Netze interne (private) Netze. Transfernetz bietet auch keine zusätzliche Sicherheit.
Du hast auch nichts was nach außen offen ist, wie ich das herauslese?
Die einzige Firma, die heutzutage noch ein BSI-konformes P-A-P Setup liefern kann, ist Genua:
https://www.genua.de/fileadmin/Loesungen/Downloads/genugate-broschuere.pdf
Weder die OPNsense noch die Sophos sind Application Level Gateways. Das letzte Produkt dieser Art - außer Genua - war die Sidewinder (Secure Computing, dann McAfee, dann Forcepoint). Mittlerweile eingestellt.
Das Problem ist, dass ein Web Proxy noch keinen ALG darstellt. Du brauchst Proxies für jede einzelne Anwendung, die durch die Firewall durch soll. Also auch Email, DNS, SIP/H.323, auch Oracle, falls das jemand benutzt, auch AD/LDAP, ... einfach alles. *Jedes* Protokoll.
Ich war lange ein Verfechter von solchen echten ALGs, aber die können rein architekturbedingt mit heutigen Bandbreiten nicht mehr mithalten und sind daher zu Recht ausgestorben. In hyperconverged Umgebungen im RZ mit hunderten von VLANs erst recht nicht.
Genua besticht jetzt auch weniger durch Features als dadurch, dass sie eben Richtlinien erfüllen. In Ausschreibungen, wo ein derartiges Niveau gefragt ist, sind sie daher oft die einzige Option.
In was für einer Branche seit Ihr denn tätig, dass eine einstufige Appliance nicht ausreichen soll?
Also zu deiner Frage mit dem Transfernetz, so mein Verständnis:
Grundlegend musst du nur jeder Firewall eine IP zu vergeben, und dann brauchst du auf der Sophos statische Routen für jeweilige Netze und auf der OPNsense eine default Route 0.0.0.0 über OPNsense.
Die einfachste Lösung um die Netze in die Routing-Tabelle der jeweils anderen Firewall einzutragen ist ein Routing-Protokoll nach Wahl. Bei zwei Geräten reicht RIPv2 um möglichst keinen Konfigurationsaufwand zu haben. Bei mehreren Geräten würde ich OSPF empfehlen.
Wenn jemand ein Audit nach BSI macht wird er sicher das hier prüfen.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/09_NET_Netze_und_Kommunikation/NET_3_2_Firewall_Edition_2021.pdf?__blob=publicationFile&v=2
Und diesem hier https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/09_NET_Netze_und_Kommunikation/NET_1_1_Netzarchitektur_und_design_Edition_2021.pdf?__blob=publicationFile&v=2
Da sollte man sich mal durchlesen und vorbereiten.
Hallo zusammen,
baute mir heute mit einer frischen OPNsense Installation die Konfiguration aus Pos Nr. 1 nochmals zusammen. Läuft soweit problemlos :). Statische Routen für 4 Adressbereiche sind überschaubar ;)
Was mir noch etwas Sorge bereitet ist das Management Netzwerk. Auf der Sophos ist ein eignes Interface mit angepasster Zone für das Management hinterlegt.
Auf der OPNsense ist die Interface Belegung aktuell folgende:
Port 1: Transfernetzwerk
Port 2: Management Netzwerk (192.168.50.0/24) -> Sophos ((192.168.10.0/24)
Port 3: Internet Computer (192.168.20.0/24)
Port 4: CAD Workstations (192.168.30.0/24)
Ist es sicherheitstechnisch ein Problem das Transfer- und das Managementnetzwerk zusammenzulegen?
Somit wäre ein Port für zukünftige Erweiterungen frei.
Was mich jetzt verwundert ist die Empfehlung des Sicherheitsbeauftragen für eine OPNsense. Wenn diese kein ALG ist, warum soll ich dann eine P-A-P Struktur aufbauen?
Schließlich war bekannt dass wir eine Sophos UTM seit Jahren verwenden und diese, solange noch Support und Fixe bereitgestellt werden, auch weiterhin verwenden. ???
Bin gespannt was da rauskommen wird...
Quote from: FWStarter on July 20, 2021, 05:51:00 PM
Ist es sicherheitstechnisch ein Problem das Transfer- und das Managementnetzwerk zusammenzulegen?
Somit wäre ein Port für zukünftige Erweiterungen frei.
.
Ich würde sagen ja. Weil bei P-A-P darf auf dem Transfernetz nichts anderes laufen als die Dienste welche via Proxy weitergeleitet werden.
Für management wird klar ein eigenes netz vorrausgesetzt inkl. beschränkung auf zulässige Clients.
Lies Dir mal das verlinkte Paper von Genua durch. Das ist zwar deren Werbematerial, aber das verschafft Dir einen guten Überblick, was P-A-P nach BSI tatsächlich bedeutet.
Magst Du uns erzählen, was das für ein Auditor ist und in welcher Branche Ihr tätig seid? Ungefähr vielleicht? Weil ... Kanonen ... Spatzen - wenn man diese Architektur wirklich durchzieht, ist das was für Großkonzerne vom Kaliber "Bank" oder "Versicherung".
Ich hatte ja auch ein Teil der PDFs vom BSI reingestellt.
Da steht auch schon so einiges drinnen.
Hallo,
klar, wir sind ein Konstruktionsbüro mit ca. 70 Mitarbeiter im Bereich Maschinenbau.
Aktuell mit einem Hauptbüro und einer Zweigniederlassung, die zweite ist für Mitte 2022 geplant. Dann kommt nochmals ein VPN Tunnel dazu.
Ich stecke aktuell aber in einer Sackgasse mit den Internet Geräte.
Das Problem im Detail:
Auf Port 2 der Sophos ist die Fritzbox mit der IP 192.168.178.100 mittels derem DHCP Server verbunden.
Meine Internetrechner im OPNsense liegen unter: 192.168.20.0/24
Wenn ich ein Drop IN von 192.168.20.0/24 nach 192.168.178.0/24 mache
passiert gar nix. Die Regel ist ganz oben angelegt... Im Liveview sehe ich keine Meldungen.
Bin da gerade etwas ratlos. :(
Etwas anderes ist mit in Verbindung mit der OPNsense ebenfalls aufgefallen.
Macht man beispielsweise einen Dauerping auf eine Adresse. Legt man nun eine Drop/Reject Regel für Ping zu dieser Adresse an, schlägt die Regel nicht an. Erst wenn der Ping unterbrochen und anschließend neu angestoßen wird, kommt die Zeitüberschreitung.
Ist das bei Euch auch so oder nur eine Besonderheit in meiner Umgebung?
Hi,
beim Ping ist es so auch bei mir. Wenn das ICMP-Allow-Rule deaktiviert wird, dauert es bisschen bis es wirkt, und Ping muss man stoppen. Aber die Aktivierung wiederum ist schnell.
Das hat was mit die States zu tun, vermute ich.
Da ich aber die Sache nicht ausreichend verstehe, um es zu erklären, überlasse ich das wem anderen.
Für den Rest, rate ich dir noch einmal, einen Netzwerkplan zu erstellen.
Nun,
Du solltest zuerst einaml rausfinden was der Audit Typ bemängelt. Was ich bisher verstanden haben ist das der sagt kritische Rechner dürfen nicht oder nicht dieselbe verbindung ins Internet haben. Ich würde sogar sagen diese Bereiche dürfen kein Internet haben. Das bedeutet das Netz muss in Bereiche (Zonen) aufgeteilt werden.
Du hast es nicht verstanden:
Der Chef HAT bereits ne OPNsense besorgt und er MUSS diese verbauen, unabhängig davon was der Auditor sagt ;D
Doch ich habe es verstanden.
Alles das nützt nichts wenn ich nicht weiß was das Ziel ist. Dann geht das Ding nach hinten los.
Zuerst muss man verstehen was das Ziel ist. Und sei es das Ziel das Audit zu überstehen.
Quoteeine P-A-P Struktur aufzubauen. Der ALG soll auch nur für die Internet PCs mittels Webproxy umgesetzt werden.
Hallo zusammen,
es ist eigentlich ganz einfach:
Internet Geräte = nur Internet, ansonsten isoliert vom restlichen Netz.
CAD Workstation/sonstige Geräte = nur internes Netzwerk aber kein Zugriff auf die Internet Geräte.
Bei uns hat jeder Mitarbeiter einen separaten Internet Rechner zusätzlich zu seinem Arbeits PC/Laptop.
Und warum kann man das nicht elegant mit VLANs auf einer Firewall lösen?
Ist bestimmt in eurer Konstellation sicherer als das Herumgeiere mit zwei Firewalls.
Wenn der Auditor ein P-A-P Setup vorschreibt, dann braucht man 3 unabhängige Geräte. Aus die Maus. Einen Paketfilter - als eigenständiges Gerät. Einen Application Level Gateway - als eigenständiges Gerät. Noch einen Paketfilter - als weiteres eigenständiges Gerät.
Alles andere ist kein P-A-P nach BSI.
Also was will man da mit einer Sophos und einer OPNSense? Die könnten die Paketfilter abbilden. Dann fehlt noch eine Genugate in der Mitte ...
Orakelt doch bitte nicht mit VLANs etc. rum. Entweder das Setup ist so verlangt oder nicht. Wenn es so verlangt ist, sind die Begriffe absolut eindeutig definiert. Weder die Sophos noch die Sense sind ein Application Level Gateway. Es müssen *alle* Protokolle durch dedizierte Proxies durch.
Wenn das Setup so nicht verlangt ist - ja, worüber diskutieren wir dann überhaupt?
Also ich orakel gar nicht sondern frage nach, basierend darauf was bisher geschrieben wurde.
Also:
Er schreibt selbst dass der Auditor dann eben gesagt hat es genügt ein Webproxy, oder habe ich das missverstanden?!
Das ist das was mich die ganze Zeit verwirrt und ich schon am Anfang gesagt habe, dass hier ein Konzept fehlt und vor allem Klarheit was gemacht werden soll.
QuoteWenn das Setup so nicht verlangt ist - ja, worüber diskutieren wir dann überhaupt?
EBEN!