OPNsense Forum

International Forums => German - Deutsch => Topic started by: zeropage on January 13, 2023, 10:38:13 am

Title: Bestimmte Hosts/Ports nur von/ins Internet lassen
Post by: zeropage on January 13, 2023, 10:38:13 am
Hallo,

ich habe ein VLAN für "nicht vertrauenswürdige Hosts" eingerichtet. Dort sollen hosts nur ausnahmsweise untereinander kommunizieren dürfen. Bestimmte Services wie HTTP/S sollen in das Internet erlaubt sein. Letzteres habe ich durch folgende Regel unter Angabe des PPPOE-Gateway bewerkstelligt:

Action: Pass
Quick: Checked
Interface: VLAN20
Direction: in
Protocol: IPv4 TCP/UDP
Source: VLAN20 net
Port: *
Destination: *
Port: 443 (HTTPS)
Gateway: WAN_PPPOE

Ich frage mich nun aber, ob das der richtige Weg ist. Was meint ihr? Auch allgemein interessiert mich, wie man ein solches Subnetz mit opnSense konfiguriert. Gibt es ein Beispiel für ein solches Ruleset hier im Forum oder anderswo?

Anhang: Auszug VLAN20 Rules.
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: zeropage on January 18, 2023, 09:50:06 am
Schade, keine Antwort.  ::)

War meine Frage zu doof? Wahrscheinlich gibt es für mein Problem Lösungen im Netz. Ich habe mehrmals gesucht, aber nichts passendes gefunden. Falls das von mir gezeigte Beispiel grundsätzlich falsch ist, interessiert mich das natürlich auch.
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: Patrick M. Hausen on January 18, 2023, 09:51:44 am
Du kannst das mit dem expliziten Gateway lösen oder mit einer Deny-Regel vor der Allow-Regel, die den Zugriff auf alle lokal verbunden Netze unterbindet, abschließend dann eben "allow all".

Also ist schon richtig und eine der beiden Möglichkeiten.
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: zeropage on January 18, 2023, 10:18:43 am
Danke. Ich glaube verstanden zu haben, was du meinst.

In welcher Reihenfolge würdest du Regeln für ein solches Subnetz (mit wenig vertrauenswürdigen Geräten) anordnen? Erst alle speziellen und dann alle allgemeinen oder umgekehrt? Erst Deny, dann allow. Oder umgekehrt? Mir fehlt irgendwie ein vollständiges, praktisches Beispiel. Im Netz finde ich nur Lösungen zu einzelnen bestimmten Fragestellungen. Selten das ganze Bild.
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: Patrick M. Hausen on January 18, 2023, 01:55:50 pm
Die Regeln werden von oben nach unten abgearbeitet, die erste passende Regel greift, die Regelverarbeitung endet.
Das gilt für alle Regeln, die das "quick" oder "first match" Attribut gesetzt haben, das ist diese kleine gelbe Blitz.

Als Beispiel:

Quelle: alle - Ziel: alle meine anderen privaten Netze - verbieten
Quelle: privilegierter PC in dem Netz - Ziel: alles, alle Ports - erlauben
Quelle: alle in dem Netz - Ziel: alles, Ports 80 und 443 - erlauben
Quelle: alle - Ziel: alle - verbieten

Damit kommt

- kein Rechner aus dem Netz an Rechner in anderen privaten Netzen, die erste Regel greift
- ein einzelner Rechner in dem Netz an alles im Internet
- alle anderen Rechner in dem Netz an Webserver im Internet
- sonst keiner in dem Netz an irgendwas

Was genau du da konfigurieren musst, musst du dann schon selbst wissen. Eine Firewall ist ein "Policy Enforcement Device". Dazu braucht es eine Policy. Diese legst du fest und niemand sonst.

HTH,
Patrick

Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: zeropage on January 19, 2023, 09:00:14 am
Quelle: alle - Ziel: alle meine anderen privaten Netze - verbieten

Wie kann ich das Konfigurieren, ohne "meine anderen privaten Netze" angeben zu müssen? Ich denke, "nicht dieses Netzwerk" würde auch das Internet ausschließen. Hintergrund ist, dass ich nicht für jedes Netz einen Alias mit Ausschlussliste erstellen möchte.

Quote
Quelle: alle in dem Netz - Ziel: alles, Ports 80 und 443 - erlauben
Quelle: alle - Ziel: alle - verbieten

Macht es eine Unterschied, ob ich als Quelle das Subnetz (z.B. VLAN20) angeben oder "any"?

Quote
Was genau du da konfigurieren musst, musst du dann schon selbst wissen. Eine Firewall ist ein "Policy Enforcement Device". Dazu braucht es eine Policy. Diese legst du fest und niemand sonst.

Meine Policy habe ich sehr genau im Kopf. Was ich dazu auf der OPNsense vernünftigerweise konfigurieren muss/sollte aber nicht immer.
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: Patrick M. Hausen on January 19, 2023, 09:26:50 am
Wie kann ich das Konfigurieren, ohne "meine anderen privaten Netze" angeben zu müssen? Ich denke, "nicht dieses Netzwerk" würde auch das Internet ausschließen. Hintergrund ist, dass ich nicht für jedes Netz einen Alias mit Ausschlussliste erstellen möchte.

Kannst du nicht. Du musst Ausschlusslisten komplett konfigurieren. Im allgemeinen Fall reicht aber auch eine, die einfach alle privaten Netze enthält, auch das Quell-Netz selbst.

Quelle: Netz um das es geht - Ziel: IP der Firewall selbst - erlauben (hier evtl. nur einzelne Ports - DNS, DHCP, ...)
Quelle: Netz im das es geht oder "any" - Ziel: private Netze - verbieten
... dann weitermachen

Verbindungen innerhalb eines Netzes laufen ja nicht durch die Firewall durch.
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: zeropage on January 19, 2023, 12:20:06 pm
Verbindungen innerhalb eines Netzes laufen ja nicht durch die Firewall durch.

Das war mir peinlicher Weise gar nicht so bewusst.  :-\ Ich hätte sowieso gerne ein Tool, mit dem ich den Weg von IP-Paketen ausgehend von einem Host durch mein Netzwerk und den Interfaces der OPNsense tracen kann.
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: zeropage on January 20, 2023, 10:08:19 am
Verbindungen innerhalb eines Netzes laufen ja nicht durch die Firewall durch.

Wenn ich es richtig verstehe, würde man die Kommunikation innerhalb eines Netzes auf dem Switch regeln? Weil die IP-Pakete gar nicht durch den Router (in meinem Fall die OPNsense) laufen?
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: kruemelmonster on January 20, 2023, 11:26:18 am
Wenn ich es richtig verstehe, würde man die Kommunikation innerhalb eines Netzes auf dem Switch regeln? Weil die IP-Pakete gar nicht durch den Router (in meinem Fall die OPNsense) laufen?

Innerhalb eine Netzes kannst du m. W. nichts direkt regeln. Die IP-Pakete gehen von Client zu Client. Ich wüsste auch nicht, wie das mit einen Switch gehen soll, stecke da aber nicht ausreichend tief in der Materie. Aber was du machen kannst, ist den eingehende Netzwerkverkehr mittels Firewall auf dem jeweiligen Client regeln - sprich eingrenzen. Ist allerdings etwas aufwendig, weil du Regeln pro Client (von dem aus eine Verbindung erlaubt sein soll) und ggf. auch noch getrennt nach Port benötigst. Und DHCP mit dynamischen Adressen ist dann ggf. keine gute Idee.
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: Patrick M. Hausen on January 20, 2023, 11:46:27 am
Wenn ich es richtig verstehe, würde man die Kommunikation innerhalb eines Netzes auf dem Switch regeln? Weil die IP-Pakete gar nicht durch den Router (in meinem Fall die OPNsense) laufen?
Was willst du denn da regeln? Alle Geräte, die man in dasselbe Netz steckt, können miteinander sprechen. Das ist der Sinn der Übung. Wenn du Geräte isolieren möchtest, brauchst du getrennte Netze. Da Ports an Routern und Firewalls meist wenige und eher "teuer" sind, benutzt man dazu gerne einen Switch und VLANs.

Aber im Ernst: ein PC oder Mac, ein paar Telefone, ein Drucker, ein Apple-TV oder Firestick - natürlich quatschen die alle fröhlich miteinander. Sollen sie ja auch. Und da will ich mich auch nicht drum kümmern, was ein iPad jetzt genau macht, wenn ich eine Datei an meinen Mac "airdroppe" oder was der Mac tut, wenn ich einen Film zum Fernseher streame ... funktionieren soll es.
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: chemlud on January 20, 2023, 11:52:33 am
Wenn ich es richtig verstehe, würde man die Kommunikation innerhalb eines Netzes auf dem Switch regeln? Weil die IP-Pakete gar nicht durch den Router (in meinem Fall die OPNsense) laufen?
Was willst du denn da regeln? Alle Geräte, die man in dasselbe Netz steckt, können miteinander sprechen. Das ist der Sinn der Übung. Wenn du Geräte isolieren möchtest, brauchst du getrennte Netze. Da Ports an Routern und Firewalls meist wenige und eher "teuer" sind, benutzt man dazu gerne einen Switch und VLANs.

Aber im Ernst: ein PC oder Mac, ein paar Telefone, ein Drucker, ein Apple-TV oder Firestick - natürlich quatschen die alle fröhlich miteinander. Sollen sie ja auch. Und da will ich mich auch nicht drum kümmern, was ein iPad jetzt genau macht, wenn ich eine Datei an meinen Mac "airdroppe" oder was der Mac tut, wenn ich einen Film zum Fernseher streame ... funktionieren soll es.

Naja nun, Geschmäcker sind unterschiedlich. Man kann ja z.B. Windows clients in ein Netz packen, und kontrollierbare OS (Linux) in ein anderes. Und Android/Apple (total freidrehenden Müll) in ein drittes Netz. Warum nicht, wenn man's gerne so hat... :-D
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: Patrick M. Hausen on January 20, 2023, 11:54:03 am
Ich schrieb "Wenn du Geräte isolieren möchtest, brauchst du getrennte Netze. Da Ports an Routern und Firewalls meist wenige und eher "teuer" sind, benutzt man dazu gerne einen Switch und VLANs."  ;)
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: zeropage on January 20, 2023, 01:03:07 pm
... Aber was du machen kannst, ist den eingehende Netzwerkverkehr mittels Firewall auf dem jeweiligen Client regeln - sprich eingrenzen.

Ja, das habe ich auf bestimmten Hosts auch so gemacht. Wenn nun allerdings ein Angreifer Kontrolle über einen Host bekommt, kann er da natürlich auch die Firewall Rules ändern. Es kann deshalb sicherer sein, die von Host(s) ausgehende Kommunikation auf dem Router/Switch zu konfigurieren. Ich denke da an meinen Host dem Smart-Home drauf. Die angeschlossenen, funkenden Geräte sind bekanntlich nicht gut geschützt.

Dieser Host ist zwar in einem entsprechenden VLAN, dort aber auch nicht allein. Nun war die Idee, ihn in diesem VLAN zusätzlich zu isolieren.

Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: zeropage on January 20, 2023, 01:07:38 pm
Aber im Ernst: ein PC oder Mac, ein paar Telefone, ein Drucker, ein Apple-TV oder Firestick - natürlich quatschen die alle fröhlich miteinander.

Es mag sein, dass meine Anforderungen für ein Heimnetzwerk übertrieben sind. Es geht mir aber auch um das theoretische Wissen. Außerdem macht mir das Phänomen "Jump Host" Sorgen.

Gewiss habe ich auch schon bemerkt, dass es nervig sein kann, nicht alle Geräte von allen aus erreichbar zu haben. Auf der anderen Seite ist das je genau meine Policy. Der ganze funkende Kram ist in einem eigenen Subnetz. Unter untereinander sollen die auch nur so viel, wie ich zulasse.

PS: ich merke gerade, dass wir von meiner ursprünglichen Frage etwas abschweifen.
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: Patrick M. Hausen on January 20, 2023, 01:17:58 pm
Wenn nun allerdings ein Angreifer Kontrolle über einen Host bekommt, kann er da natürlich auch die Firewall Rules ändern.
Ein Angreifer erlangt die Kontrolle über einen - bleiben wir mal beim Klischee - Windows PC. Wieso hat er jetzt auch die Kontrolle (also das Admin-Login) über die Firewall, um da Regeln zu ändern?

Es kann deshalb sicherer sein, die von Host(s) ausgehende Kommunikation auf dem Router/Switch zu konfigurieren. Ich denke da an meinen Host dem Smart-Home drauf. Die angeschlossenen, funkenden Geräte sind bekanntlich nicht gut geschützt.
Jo, die packst du ein ein extra VLAN, wenn dein Smarthome-Kram ohne "Cloud" vom Anbieter läuft, lässt du sie gar nicht ins Internet, ... etc.

Dieser Host ist zwar in einem entsprechenden VLAN, dort aber auch nicht allein. Nun war die Idee, ihn in diesem VLAN zusätzlich zu isolieren.
Dann pack ihn alleine in ein VLAN, erlaube von deinem normalen Heimnetz den Zugriff auf den Host und vom Host-VLAN aus den Zugriff auf die ganzen IoT-Teile ...

Alles was eine eigenständige Policy braucht in eine extra Zone. Einschränkungen auf IP-Adress-Basis (außer für inbound) funktionieren meiner Erfahrung nach nicht. Also skalieren nicht, sind fehleranfällig, Adressen können gefälscht werden, etc.
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: Tuxtom007 on January 20, 2023, 02:24:17 pm
Es mag sein, dass meine Anforderungen für ein Heimnetzwerk übertrieben sind. Es geht mir aber auch um das theoretische Wissen. Außerdem macht mir das Phänomen "Jump Host" Sorgen.
Nimm dir mal ein Blatt Papier - neumodisch auch ne Excel-Tabelle - schreibe dir auf, welche unterschiedlichen System du in deinem Netzt hast und wo es Sinn macht, diese in einem eigenen Netz zu haben und dann machst du dir Gedanken darüber, wer über haupt mit wem sprechen muss und welches System in Internet müssen und welche nicht.

Nennt sich dann Kommunikationsmatrix.

Ich hab das auch so gemacht, Server haben einges VLAN, Notebooks, Smartphone etc in einem VLAN, ganz Smarthomezeug in einem inkl. des Servers, Mediageräte für Amazon-Alexa, FireTV usw. in einem, IoT in einem, Telefon in einem usw.

Meine Telefone müssen mit der FritzBox sprechen können also sind die im selben VLAN, aber es braucht von aussen nur mein Notebook darauf zuzugreifen um die zu konfigurieren.


Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: meyergru on January 20, 2023, 07:48:06 pm
Übrigens: Wenn Deine Switches das erlauben, kannst Du "port isolation" in bestimmten VLANs machen, wobei dann nur derjenige Port davon ausgenommen wird, wo das Gateway drauf läuft. Damit sehen sich die Geräte in diesen VLANs nicht, sonden müssen über das Gateway (= Firewall) kommunizieren. In diesem Fall kannst Du dann auch auf der Firewall den VLAN-internen Traffic regeln.

Unifi kann das z.B. auf Switches und auch für ganze WLANs.
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: zeropage on January 23, 2023, 01:37:22 pm
Nimm dir mal ein Blatt Papier ... Nennt sich dann Kommunikationsmatrix.

Ich finde das mit der Matrix einen interessanten Ansatz zur Veranschaulichung und habe das gleich mal angewendet (siehe Anhang). Wie man sieht, darf VLAN10 überall hin, VLAN20 nur eingeschränkt und VLAN30 nur ins Internet.

Insbesondere bei dem DNS-Server und dem Reverse-Proxy bin ich mir nicht sicher, in welches Subnetz diese Dienste gehören. Der DNS-Server muss von allen (außer den Gästen) erreichbar sein. Sollte aber gleichfalls vor Manipulation gut geschützt sein. Der Reverse Proxy muss vom Internet erreichbar sein, baut seinerseits aber geschützte Verbindungen zum NAS auf.
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: zeropage on January 23, 2023, 01:44:04 pm
Übrigens: Wenn Deine Switches das erlauben, kannst Du "port isolation" in bestimmten VLANs machen...

Ich habe einen Zyxel GS 1920 und wenn ich es richtig sehe, kann er das. Danke für den Hinweis.

Inzwischen hatte ich allerdings mal etwas in dessen Guide gestöbert und eine ACL bestehend aus Classifier und Policy Rules für den Smart Home Server konfiguriert. Es funktioniert.
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: zeropage on January 23, 2023, 01:50:04 pm
Wenn nun allerdings ein Angreifer Kontrolle über einen Host bekommt, kann er da natürlich auch die Firewall Rules ändern.
Ein Angreifer erlangt die Kontrolle über einen - bleiben wir mal beim Klischee - Windows PC. Wieso hat er jetzt auch die Kontrolle (also das Admin-Login) über die Firewall, um da Regeln zu ändern?

Oh, ich habe mich diesbezüglich wohl missverständlich ausgedrückt. Mit "kann er da natürlich auch die Firewall Rules ändern." meinte ich die Firewall des Hosts selbst. Nicht die Regeln auf einer Firewall im Netzwerk oder auf einem Switch.

Sprich: Ich kann auf dem Smart-Home-Server in der iptables outgoing alles mögliche verbieten. Das nützt aber nix, wenn jemand die Zigbee-Glühbirne hackt und darüber auf den Server kommt. Im Prinzip gleich verhält es sich mit dem Wifi-AP. Oder ist das zu paranoid?
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: Patrick M. Hausen on January 23, 2023, 01:56:42 pm
Weshalb solltest du dich auf einzelnen Hosts mit iptables rumschlagen, wenn du eine OPNsense hast? Ich zumindest mache ungern alles doppelt.

Und wie das mit der "Glühbirne hacken" geht, wenn die nicht ins Internet darf und auch von draußen keine Verbindungen reinkommen, begreife ich auch nicht. Häng das Zeug in isolierte Zonen mit restriktiver Policy und gut ist.

Anmerkung: es mag zugegebenermaßen andere Zugriffsmöglichkeiten auf dieses IoT Zeug geben, die gar nichts mit WiFi und IP zu tun haben, und die ich nicht kenne. Solches Zeug kommt mir persönlich aber gar nicht erst ins Haus. Dinge, die nicht 100% lokal funktionieren sondern nur über eine "Cloud", Dinge, die über was anderes kommunizieren als IP. Njet.
Title: Re: Bestimmte Hosts/Ports nur ins Internet lassen
Post by: zeropage on January 23, 2023, 03:44:52 pm
Dinge, die nicht 100% lokal funktionieren sondern nur über eine "Cloud", Dinge, die über was anderes kommunizieren als IP. Njet.

Oh, hier muss ich dringend etwas klarstellen: Meine IoT-Geräte laufen grundsätzlich ohne Anbindung an eine Hersteller-Cloud. Alles läuft lokal per MQTT und OpenHAB. Der Server (ein Raspi) kann lediglich über Port 443 mit dem Internet kommunizieren, um Updates installieren zu können.

Das wiederum in einer Wohnung in einem Mehrfamilienhaus. Nun möchte ich allerdings den Aufwand vermeiden, meine Wohnung mit Alufolie zu tapezieren, um Nachbarn funktechnisch den Zugang in mein Netzwerk erschweren.
Title: Re: Bestimmte Hosts/Ports nur von/ins Internet lassen
Post by: Patrick M. Hausen on January 23, 2023, 03:56:44 pm
Also das Zeugs kommuniziert per Funk mit dem Raspi. Und ist theoretisch auch per Funk angreifbar. Dann steckst du den in ein extra VLAN und erlaubst genau gar nichts. Tust du ja schon. Allerdings von allen "freundlichen" Netzen den Zugriff auf die Anwendung (Homeassistant?). Und damit ist doch alles in Butter.