Hallo,
nachdem wir seit rund einem Jahr die OPNsense bei uns und vermehrt auch bei Kunden einsetzen habe ich mir diese Woche einmal Gedanken darüber gemacht ob noch alles am empfohlenen Stand ist und was man besser machen könnte und hätte gerne eure Meinung dazu.
Unser Standard Setup nutzt die FireHOL-1 eingehend und FireHOL-3 ausgehend.
Dienste hinter der Firewall sind vor allem Exchange und NextCloud. Die versuchen wir über den HAproxy zu schützen und erlauben den Zugriff nur aus notwendigen Ländern und nutzen dafür den MaxMind Dienst.
Als VPN nutzen wir OpenVPN und Viscosity Clients.
Teilweise nutzen wir auch das AdGuard home Plugin von mimugmail mit der abp.oisd.nl Liste.
Derzeit denke ich über ZenArmor nach. Wie denkt ihr darüber? Bietet es zusätzliche Sicherheit für mein Standard Setup dass die €30-50 pro Monat rechtfertigt?
Gerade eingefallen ist mir Cloudflare. Wie denkt ihr darüber? Wie es aussieht könnte ich die Exchange Server und NextCloud Instanzen recht gut schützen damit (für € 20 pro Monat). Das erscheint mir sinnvoll wenn der Schutz gut ist (für alle HTTPS basierten Dienste hinter der Firewall).
IDS/IPS haben wir nicht im Einsatz da es recht kompliziert erscheint und der Einsatz auch hier im Forum kontrovers diskutiert wird.
Eingehende und Ausgehende E-Mails gehen bei uns übrigens durch die TrendMicro Cloud als Spam und Virenschutz. Eingehend Port 25 ist nur von dort möglich.
Einen Proxy (mit ClamAV) haben wir nicht im Einsatz. Würde das für normalen Webverkehr ein wesentliches Sicherheits-Plus bedeuten?
Als externe DNS nutzen wir Quad9.
So, das war jetzt mal unser Setup. Wie denkt ihr darüber und was würdet ihr besser machen? Eingehende Verbindungen mit VPN abzusichern ist mir bekannt und wird überlegt, der Cloudflare Schutz scheint mir aber auch eine gute Option.
Vielen, vielen Dank für eure Zeit das alles zu lesen und mir eure Meinung mitzuteilen.
Schöne Grüße,
Thomas.
Eine Frage, die immer wieder bei mir auftaucht: weshalb einen externen DNS Resolver? Das beste, was man bezgl. Datenschutz tun kann, ist einen eigenen lokalen Resolver aufzusetzen, und den einfach machen zu lassen. Man braucht kein "upstream" DNS. Das funktioniert einfach so, verteilt. Mail übrigens auch ;)
Hallo pmhausen,
vielen Dank für deine schnelle Antwort.
Wir verwenden Quad9 als Sicherheits-DNS. Er sollte davor schützen, dass Malware die im Netzwerk ist, keine DNS Abfragen zu Malware Seiten auflösen kann.
Lt. Quad9 ist das die Hauptfunktion.
Bin ich hier falsch bzw. funktioniert das nicht oder ist überflüssig?
Ich dachte mir bisher immer das wäre ein gutes Sicherheits-Plus :(
Vielen Dank,
Thomas.
Das ist schon eine Sicherheitsfunktion. Allerdings hast du nun ein Datenschutzproblem. Alle DNS-Anfragen aller deiner Anwender landen gesammelt bei einem Anbieter.
Mir ist der Datenschutz wichtiger, ich verwende Blocklists.
Weshalb ich nachfrage: man liest oft, es könne ja der böse Provider mitlesen, wenn man dessen DNS verwende. Stimmt. Aber man muss grundsätzlich eben überhaupt keinen fremden Resolver verwenden. Und ich traue der DTAG (in meinem Fall) mit Sitz in der EU immer noch mehr als Google oder Cloudflare - Stichwort DSGVO. Tatsächlich benutze ich weder privat noch @work irgendwo einen Upstream, die müssten also schon meinen ganzen Verkehr abschnorcheln.
Gruß
Patrick
Genau so mache ich es auch, über einen der Root Server. Ein meiner Meinung nach gutes Tutorial mittels Pi-Hole ist wie ich finde dieses hier: https://forum.kuketz-blog.de/viewtopic.php?t=8759
Verbesserung: Alle Root Server
Was meinst du mit "einem der Root-Server"? Ein recursive DNS-Server wird mit allen Root-Servern im Cache gestartet.
Ja, ich weiß jetzt aber nicht wie es mit der Antwort der Root Server aussieht. Aber prinzipiell sind alle eingetragen, da hast du recht.
Ich hab vor einiger Zeit mal ausführlich erklärt wie DNS funktioniert:
https://forum.opnsense.org/index.php?topic=22760.msg108462#msg108462
Quote from: pmhausen on March 24, 2022, 09:51:44 PM
Ich hab vor einiger Zeit mal ausführlich erklärt wie DNS funktioniert:
https://forum.opnsense.org/index.php?topic=22760.msg108462#msg108462
Gut erklärt, das mit dem Zufallsprinzip der A-K Server ist mir ein Rätsel, warum werden da nicht die genommen, welche die kleinste Latenz haben?
Woher soll er denn vor der Abfrage die Latenz kennen? Und das die ganze Zeit zu protokollieren und zu aktualisieren ... dafür ist ja der Cache da. Cache-Zeiten liegen für sowas wie .org NS bei einem bis mehreren Tagen.
Und dann bin ich mir grad nicht sicher, ob die Root-Server nicht auch längst Anycast sind ...
Stichwort "kürzeste Route" und "Anycast", das würde auch Sinn ergeben, die Root Server sind ja auf der ganzen Welt mehr oder weniger verteilt.
Ich glaube ich muss meinen Thread wieder zurückerobern :-)
@pmhausen
Ich verstehe deine Datenschutz-Bedenken schon. Ich nehme aber einfach mal an, dass Quad9 mit Sitz in der Schweiz in Kooperation mit Switch die sich beide die höchsten Datenschutzregeln auf die Fahnen schreiben einigermaßen ok sein sollten. Vielleicht bin ich da aber auch zu naiv.
Du verwendest also Blocklists. Dürfte ich Fragen welche das sind (FireHOL 1 & 3 verwende ich ja schon)? Vielleicht kann ich mein Standard-Setup ja darum erweitern.
Vielen Dank für deine Bemühungen!
Schöne Grüße,
Thomas
Sowie bei DNS Blocklists oder wenn du z.B. Quad9 verwendet, musst du sicherstellen, dass keine anderen DNS Anfragen dein Netz verlassen.
Schadsoftware kann ja sonst einfach einen anderen DNS Server verwenden.
QuoteGerade eingefallen ist mir Cloudflare. Wie denkt ihr darüber? Wie es aussieht könnte ich die Exchange Server und NextCloud Instanzen recht gut schützen damit (für € 20 pro Monat). Das erscheint mir sinnvoll wenn der Schutz gut ist (für alle HTTPS basierten Dienste hinter der Firewall).
Schützen wovor? Läuft dein ganzer Traffic dann über US-Server? Falls ja nicht so cool.
Wenn du deren WAF und TLS Zertifikat nutzt, dann können die übriges auch den sonst verschlüsselten Traffic unverschlüsselt lesen. Weiß nicht ob das jetzt so super ist. Zudem dürfte der Einsatz auch nicht DSGVO/GDPR sauber sein.
QuoteIDS/IPS haben wir nicht im Einsatz da es recht kompliziert erscheint und der Einsatz auch hier im Forum kontrovers diskutiert wird.
Bietet durchaus Vorteile, wenn man Dienste aus dem Internet erreichbar macht.
QuoteEinen Proxy (mit ClamAV) haben wir nicht im Einsatz. Würde das für normalen Webverkehr ein wesentliches Sicherheits-Plus bedeuten?
Ja. Aktuell kann die Firewall nicht in den verschlüsselten HTTPS Traffic schauen. Mit dem Proxy wird die Verbindung aufgebrochen und man kann prüfen ob z.B: Schadsoftware heruntergeladen wird.
Vorher aber mit dem Datenschutzbeauftragten besprechen. Führt zudem gerade bei Online Banking Anwendungen zu Problemen.
Ich schreibe dir mal, wie ich das meist Umsetze.
Exchange haben wir hier nur per VPN oder Client Zertifikat freigegeben. Dienste welche auch für Dritte einfach erreichbar sein müssen (Nextcloud), hängen alle in einer eigenen DMZ, davor dann HAProxy, GeoIP Filter und IDS/IPS.
Hallo lfirewall1243,
vielen Dank für deine Antwort.
Das mit den DNS Abfragen ist mir klar. Dafür gibt es ja die Regel, die den DNS Verkehr auf den lokalen DNS umleitet. Das sollte soweit dann schon passen.
Die Idee mit CloudFlare habe ich eher wieder verworfen. Mir hätte da vor allem die Idee mit der WAF gefallen um den Exchange oder die NextCloud zu schützen. Eingehender Verkehr zu diesen Diensten wäre dann nur von CloudFlare möglich gewesen.
Das Thema IDS/IPS werde ich mir vielleicht noch einmal anschauen. Mich haben vor allem die Komplexität und die kontroversen Meinungen bisher davon abgehalten näher in die Materie einzusteigen.
Die Idee, dass ein Proxy oder eine Firewall eine HTTPS Verbindung öffnet und neu verpackt finde ich nicht gut. Wird das denn hier von den Experten empfohlen? Abgesehen vom Datenschutz gibt es dann auch noch Probleme mit den Zertifikaten und diversen Anwendungen. Da vertraue ich lieber auf meinen Client-basierten Virenscanner (es sei denn natürlich es wird mir hier explizit anders empfohlen, da vertraue ich natürlich den Experten!).
Wenn du schreibst, der Exchange ist durch VPN ODER Client Zertifikate abgesichert hilft dir das aber nicht bei Sicherheitsproblemen aufgrund von Software-Bugs.
Die NextCloud habe ich auf immer in einer DMZ eingerichtet hinter einem HAProxy.
Nur die IDS/IPS unterscheidet mich noch von der Experten-Konfiguration.
Vielen, Vielen Dank dass du auch Teile deiner Konfiguration geteilt hast.
Schöne Grüße,
Thomas
QuoteDie Idee mit CloudFlare habe ich eher wieder verworfen. Mir hätte da vor allem die Idee mit der WAF gefallen um den Exchange oder die NextCloud zu schützen. Eingehender Verkehr zu diesen Diensten wäre dann nur von CloudFlare möglich gewesen.
Kannst auch nginx verwenden - bietet die Möglichkeit einer WAF
QuoteDie Idee, dass ein Proxy oder eine Firewall eine HTTPS Verbindung öffnet und neu verpackt finde ich nicht gut. Wird das denn hier von den Experten empfohlen? Abgesehen vom Datenschutz gibt es dann auch noch Probleme mit den Zertifikaten und diversen Anwendungen. Da vertraue ich lieber auf meinen Client-basierten Virenscanner (es sei denn natürlich es wird mir hier explizit anders empfohlen, da vertraue ich natürlich den Experten!).
In der Regel ist das in Ordnung, wenn z.B. die Private Nutzung vom Arbeitgeber nicht erlaubt ist, dann darfst du da meist auch Verbindungen aufbrechen. Bezüglich der Anwendung ist es natürlich schwerer, ich Pflege da meist Whitelists für Domains die nicht aufgebrochen werden sollen. Dann läuft auch Online Banking etc.
QuoteWenn du schreibst, der Exchange ist durch VPN ODER Client Zertifikate abgesichert hilft dir das aber nicht bei Sicherheitsproblemen aufgrund von Software-Bugs.
Doch. Bei VPN kommt man von außen garnicht unkontrolliert an den Exchange. Bei Client Zertifikaten, welche vom HAProxy geprüft werden ebenfalls.
@Thomas_L ich benutze AdGuard Home zum Blocken von Trackern und Malware.
@pmhausen
Welche Liste(n) verwendest du da im AdGuard Home?
Ich verwende zuhause die folgenden Listen:
https://abp.oisd.nl/ Stellt funktion über Sicherheit, daher praktisch keine False Positives.
https://filters.adtidy.org/extension/chromium/filters/6.txt Die German Blocklist
und die AdGuard DNS filter Liste
Vielen Dank für deine Mithilfe!
Schöne Grüße,
Thomas
Hallo lfirewall1243,
vielen Dank für deine Antwort.
Dass die Client Zertifikate am HAproxy abgefragt werden war mir nicht klar. Dann hilft es natürlich um den Zugriff zum Exchange zu verhindern.
Verwendest du hier eine MDM Lösung oder verteilst du die Client-Zertifikate manuell?
Schöne Grüße,
Thomas
Siehe Anhang.
Quote from: Thomas_L on March 25, 2022, 10:32:54 AM
Verwendest du hier eine MDM Lösung oder verteilst du die Client-Zertifikate manuell?
Schöne Grüße,
Thomas
Sowohl als auch.
In kleineren Umgebungen, wo sich eine MDM Lösung einfach nicht lohnt, machen wir das für die Zertifikate oder VPN manuell.
In größeren natürlich per MDM
Hallo,
@lfirewall1243: Welche MDM Lösung verwendet ihr für diesen Zweck? Gibt es hier was einfaches günstiges das man vor allem für diesen Zweck verwendet oder braucht es hier sowas wie Intune das jeden Monat kostet?
eine Frage noch an alle: Schränkt ihr die ausgehenden Protokolle vor allem für Client PCs ein? Eigentlich sollte ja HTTP(S) ausgehend ausreichen für die meißten Fälle. Was sind da eure Erfahrungen?
Schöne Grüße,
Thomas
Quote from: pmhausen on March 25, 2022, 10:19:55 AM
@Thomas_L ich benutze AdGuard Home zum Blocken von Trackern und Malware.
Hi Patrick,
nutzt Du dann zu Hause gar kein Zenarmor, sondern nur AdGuard Home mit BIND und das war's?
Bin am Überlegen, ob es mit Zenarmor ein großer Zugewinn ist, wenn man AGH schon hat?
Quote from: Nambis on March 24, 2022, 10:22:08 PM
Stichwort "kürzeste Route" und "Anycast", das würde auch Sinn ergeben, die Root Server sind ja auf der ganzen Welt mehr oder weniger verteilt.
Es gibt zwar die 13 root-Server Aliase, aber dahinter stehen um die 1300 Server, die auch wieder verteilt sind, daher kannst du garnicht festlegen, wohin deine kürzeste Latenz ist - nur grob evtl in einen Kontinent.
Aber denke, das werden 95% der Nutzer nicht mal bemerketen, ob die DNS-Anfragen schnell oder langsam waren, die meiste Zeit geht für den Aufbau von Webseiten usw. drauf.
Quote from: dumbo on January 20, 2023, 10:43:18 AM
nutzt Du dann zu Hause gar kein Zenarmor, sondern nur AdGuard Home mit BIND und das war's?
Exakt. Wozu braucht man mehr?
Es ist ja nicht so, dass eine Handvoll Geräte hinter einem Speedport oder einer Fritzbox nun eine katastrophal unsichere Installation sind. Also mach ich mir für das Familien-Netz doch keinen Kopf. Es soll einfach alles funktionieren wie hinter einem Plasterouter auch und bitteschön keine UPNP oder ähnliche Löcher von draußen rein. Fertig. AGH auf der OPNsense statt einem separaten Pihole ist ein netter Bonus gegenüber dem Plasterouter.
Mein Server-Netz mit den aus dem Internet erreichbaren Diensten sieht etwas anders aus, aber auch hier - wenn ich ein Confluence ins Internet stelle, dann steht es da eben. Port 443 offen, fertig. Regelmäßige Updates sind Pflicht. Und das Server-Netz kommt nicht ins Familien-Netz und umgekehrt. Zugriff auf das genannte Confluence per Hairpin-NAT ...
Ich schlaf gut und mache mir möglichst wenig Arbeit wo sie nicht benötigt wird.
Quote from: pmhausen on January 20, 2023, 11:52:31 AM
Quote from: dumbo on January 20, 2023, 10:43:18 AM
nutzt Du dann zu Hause gar kein Zenarmor, sondern nur AdGuard Home mit BIND und das war's?
Exakt. Wozu braucht man mehr?
Danke Dir - ich mag die klaren und richtigen Aussagen sehr 8) Aber so ist es auch - man sollte es einfach nicht zu komplex machen.
Schön, dass hier so lernen zu können - das Forum und das Feedback ist wirklich super in der Sache und noch ein großer Mehrwert eben doch OPNsense zu nutzen als andere Varianten.
Mit dem neuen 23.1 Release werden die Unbound Blocklists ja ein wenig ausgebaut. Das bezieht sich aber denke ich nur auf eine Ansicht/Übersicht, oder?
Oder ist das dann direkt schon ein vollwertiger Ersatz für AGH der da vor der Tür steht?
Hallo zusammen,
Auch ich nutze AdGuard Home für mein Heimnetz. Sehr einfach, klein und schnell.
Eine Alternative dazu stellt der eBlocker da, mit dem ich mittlerweile auch sehr zufrieden bin, seitdem der in Proxmox läuft.
Der Bricht auf Wunsch auch https auf und hat den unglaublichen Vorteil, dass jeder Benutzer seine Settings selbst verwalten kann. Ob der für mittlere bis große Netze geeignet ist, weiss ich nicht.
Im Vergleich zu zenarmor kann er halt nur auf DNS Basis blocken, hat aber sehr viele Apps und URL in der Vorauswahl und kann beliebig erweitert werden. Anschauen lohnt sich!
Zum Thema Nameserver: Ich habe einen 1 Euro VPS, aufdem AdGuard home läuft. Der macht NS Anfragen an 5 verschiedene Server gleichzeitg. Der wiederum wird dann von meinem eBlocker bzw AdGuard lokal abgefragt. Ich wüsste nicht, wie das noch schneller realisiert werden könnte.
LG Neppu