OPNsense Forum

International Forums => German - Deutsch => Topic started by: ArminF on September 30, 2020, 08:59:32 pm

Title: Grundsatzfrage: Firewall mit "block all" Regel und IDS/IPS
Post by: ArminF on September 30, 2020, 08:59:32 pm

Hallo Zusammen,
das beschäftigt mich jetzt schon mehrere Nächte und nun wollt ich Euch mal um Eure Meinung bitten.

Folgendes Szenario:
Internet --> Firewall WAN NIC

Die default Regel ist "drop all" also kein Traffic eingehend erlaubt.
Auf der NIC WAN ist kein Port, Protokoll oder sonstiges geöffnet. Also alles zu von der Internetseite.
Kein Webserver, kein VPN nichts.

Demnach zieht ja die Default Regel Drop All.
Macht es da Sinn ein IPS auf der Karte zu aktivieren?
Wenn kein Port oder Protokoll auf listen stehen wird ja alles per Default geblockt.

IDS/IPS auf dieser Karte hätte ja theoretisch nichts zu tun.

Auf der LAN/DMZ Seite wo Dienste ins Internet greifen ist das ja praktisch. Da läuft bei mir Sensei.
Das IDS/IPS hab ich auf die WAN Nic gelegt.
Aber macht das wirklich Sinn?

Danke fürs erleuchten!

gruss A

PS: OK die NIC hat ja ein- und ausgehende Verbindungen. Demnach würde das IPS ja auch auf ausgehende hören.
Stimmt das?

Ich hab irgendwo nen Knoten im Hirn....

Title: Re: Grundsatzfrage: Firewall mit "block all" Regel und IDS/IPS
Post by: mimugmail on September 30, 2020, 09:18:56 pm

Du kannst es auf dem WAN hören lassen und deine public IP in HOME_NET eintragen, dann macht das Sinn.
Für eingehend macht es keinen Sinn, vor allem weil IPS noch vor dem pf kommt, scannt also umsonst.

Title: Re: Grundsatzfrage: Firewall mit "block all" Regel und IDS/IPS
Post by: ArminF on September 30, 2020, 09:25:41 pm

Danke Michael,
Du hast mich da mit Deinem Webinar draufgebracht.
Auch das mit dem outsourcen der block Regeln an die Firewall hab ich mir angeschaut und Suricata danach in den Regeln reduziert. Da werd ich das Forum hier mal noch löchern damit.

Also würde bei einem Szenario wo Eingehend der PF auf Block/Drop all (default) steht höchstens Sinn machen die gleiche NIC ausgehend zu bestücken und dafür sollte man die WAN IP unter den Home Net eintragen.
Hab ich Dich da richtig verstanden?

Danke
gruss A

Title: Re: Grundsatzfrage: Firewall mit "block all" Regel und IDS/IPS
Post by: mimugmail on September 30, 2020, 10:02:28 pm

Korrekt, aber, wenn es dir nur um ausgehenden Traffic geht, wäre auf LAN sauberer, da aber Sensei darauf läuft, geht nur WAN und dann halt mit der public IP in HOME.

Wie gesagt, ein eingehendes Paket auf WAN wird in jedem Fall von Suricata zuerst bearbeitet, egal ob pf auf allow oder deny steht.

Title: Re: Grundsatzfrage: Firewall mit "block all" Regel und IDS/IPS
Post by: NilsS on October 02, 2020, 08:31:24 am

Quote from: ArminF

Du hast mich da mit Deinem Webinar draufgebracht.
Auch das mit dem outsourcen der block Regeln an die Firewall hab ich mir angeschaut und Suricata danach in den Regeln reduziert.

Jo, das Video war wirklich klasse. Danke Michael.



EDIT: hmm wollte eigentlich auch das Video verlinken, aber das geht wohl nicht.