Hallo!
Ich finde IDS und TLS Inspection interessant bzw. nützlich. Meine bisher eingesetzten Router (Draytek) machen das nicht. Sicher auch aus Performance Gründen.
Ist es denkbar, dass eine OPNSense Appliance diesen Part ausschließlich übernimmt? So dass sie als Transparent Bridge (?) zwischen Router/Gateway und Switch steckt?
Ja, eine OPNSense statt des bisherigen Routers zu verwenden ist sicher auch eine Lösung. Ich würde mich aber freuen, zunächst den o.g. Punkt zu überdenken. Danke schon einmal im Voraus!
Das funktioniert prinzipiell, aber dir ist klar, was TLS Inspection mit sich bringt? Du musst auf jedem Client das Root-Zertifikat deiner privaten CA hinterlegen.
Ich sehe in dem Aufbrechen der Verschlüsselung ganz allgemein 2 gewaltige Sicherheitsprobleme:
1. ISD und TLS-Inspektion sollte m. E. nicht auf der Firewall selber laufen. Denn die ist die erste Verteidigungslinie für das lokale Netz. Wenn dann gut gesichert dediziert auf einem separatem System. Denn wenn die Firewall fällt, liefert Ihr so einem Angreifer auch gleich Zugriff auf die Zertifikate aller dahinter liegenden Systeme. Dieser Punkt gilt genauso für solche Spässe wie ein AD etc.
2. ISD und TLS-Inspektion haben den großen Nachteil (kenne ich aus eigener Erfahrung mit der EDV meiner Dienststelle) das der Anwender niemals das Zertifikat der aufgerufenen Seite im Browser angezeigt bekommt und es demzufolge nicht prüfen kann. Er sieht nur das Zertifikat der Sense. Denn dort wird die verschlüsselte Übertragung ja faktisch beendet. Heißt für den Anwender und für Euch als Admins: Ihr habt keinerlei Kontrolle ob nicht hinter eurer Firewall der Anwender mittels BGP oder anderweitig auf Fakeseiten geschickt wird. Problematisch, wenn da jemand Sozial-/Personendaten rüberschickt oder Bezahldaten oder gar Homebanking....
Vielen Dank für die Gedanken!
Bisher war ich der Meinung, dass nur diese Dienste echte Firewalldienste mit Mehrwert sind. Gerade solche "Extended Detection Systeme" sind es doch, die Angriffe erkennen und ggf. abwehren lassen? Alles andere macht ja der hier häufig erwähnte Baumarkt-Router von Haus aus.
Oder verwechsle ich da was?
Eine Firewall ist erstmal ein Netzwerk-Sicherheits-Gerät. Das macht, salopp gesagt, "Ports auf und zu", und das ist es.
Quote from: OPNRoger on September 30, 2025, 01:17:48 PMVielen Dank für die Gedanken!
Bisher war ich der Meinung, dass nur diese Dienste echte Firewalldienste mit Mehrwert sind. Gerade solche "Extended Detection Systeme" sind es doch, die Angriffe erkennen und ggf. abwehren lassen? Alles andere macht ja der hier häufig erwähnte Baumarkt-Router von Haus aus.
Oder verwechsle ich da was?
Nein. Fritte und Co. machen das nicht. Nur das was Patrick schon beschrieben hat.
Es sind ganz sicher Mehrwert-Dienste. Die sind auch nicht per-se zu verteufeln. Aber man muss sich bei der Nutzung über die Risiken im klaren sein, insbesondere wenn die direkt auf der Firewall laufen.
Man kann allerlei Dienste auf die OpnSense packen. Das funktioniert auch. Aber wenn man alles und jeden Dienst auf der Sense hat muss man die Konsequenzen bedenken. Das kann dann ggf. zu einer 24/7 Überwachung der Sense ausufern...
Verstehe ich das richtig, die OPNSense ist das falsche Tool für IDS und TLS Inspection?
Wie oben schon geschrieben, soll sie eben zwischen Router und Switch stehen und nicht Gateway und damit auch Firewall sein.
Sie ist das richtige Tool für den falschen Job. Da treffen sich alle paar Monate die besten Cryptographen und Netzwerkspezialisten der Welt, um zu verhindern, dass man TLS aufbrechen kann, und manche Admins bestehen darauf, genau das zu tun. 🤷�♂️
Ich würde das nicht machen. Ganz einfach.