OPNsense Forum
International Forums => German - Deutsch => Topic started by: Oxygen61 on March 16, 2017, 08:12:39 pm
-
Hallo zusammen,
ich bin zurzeit dabei mein Netz soweit zu planen, dass ich mit der Konfiguration los legen kann.
Nun habe ich im Eifer des Gefechts (und weil ich ein DSL Anfänger bin ::)) nicht bemerkt,
dass mein Modem nur ein Interface zur Verfügung hat zur Firewall und deshalb meine Planung für das DMZ nicht funktioniert wie ich will.
Im Anhang sieht man das Netz wie ich es mir ungefähr vorgestellt hatte (die .xml Datei für draw.io zum nachvollziehen).
Ein paar Dinge fehlen noch (ICAP und NAS) aber die spielen erst einmal keine Rolle...
Wichtig war es mir die IP Kameras in einer DMZ einzusperren, jedoch über VPN von außen Zugriff zu erhalten.
Ports wollte ich auf meiner "FW1" eigentlich keine öffnen und für das VPN lieber eine zweite Firewall "FW2" nutzen.
Hier also meine erste Frage....
Aus Security Sicht, wie schlimm ist es für IPSec oder OpenVPN Verbindungen von außen (WAN) auf der Firewall zu erlauben und die notwendigen Ports freizuschalten?
Bin ich da zu übervorsichtig? Lohnt sich an der Stelle der DMZ Aufwand überhaupt?
Die meisten Angriffe von Außen kommen ja eh über 443 und 80/ 8080 oder?
Ich hatte von einer NAT DMZ Umsetzung aus dem M0n0wall Handbuch gelesen.
Aber das kann man ja nicht länger DMZ nennen (im klassischen Sinne),
gerade wenn ich mir was zu UDP hole punching durchlese. :-\
Zweite Frage....
Bekomme ich mein Netz so umgebaut, dass die DMZ Implementation doch noch funktioniert?
Hierfür war mir folgendes wichtig:
- Ports auf FW2 öffnen, nicht auf FW 1
- Das Modem nicht durch eine Fritzbox ersetzen um Doppel-NAT zu verhindern
- Zugriff auf die Kameras (DMZ) aus dem Internet nur über VPN, jedoch ggf. SSH aus dem LAN in die DMZ
Ich hab das Gefühl, dass ich mich bei meiner Planung gerade irgendwie im Kreis drehe. :(
Kann mir jemand auf die Sprünge helfen oder besser, hat wer anderes einen ähnlichen Aufbau und kann darüber was berichten? :)
Ich bin über jede Hilfestellung dankbar. :)
Schöne Grüße
Oxy
-
Guten Morgen :)
Aaalso:
> Wichtig war es mir die IP Kameras in einer DMZ einzusperren, jedoch über VPN von außen Zugriff zu erhalten.
Das ist schonmal ein kluger Ansatz. Es gibt leidigerweise genug IP Kameras die offen im Netz rumschwirren, weil sie nie sauber abgesichert wurden und der Nutzer "mal eben von unterwegs mit ner App" drauf zu greifen wollte...
> Ports wollte ich auf meiner "FW1" eigentlich keine öffnen und für das VPN lieber eine zweite Firewall "FW2" nutzen.
DAS allerdings macht IMHO überhaupt keinen Sinn. VPN ist ja genau dafür da, eben keine anderen Ports öffnen zu müssen als VPN. Ob das nun auf fwl01 oder fwl02 geschieht ist doch nebensächlich. Im Gegenteil du bekommst eher noch mehr Probleme bezüglich Routing, asymmetrische Routen etc. mit rein als dass es dir effektiv einen Nutzen bringt. Macht aus meiner Sicht überhaupt keinen Sinn (für dich).
> Aus Security Sicht, wie schlimm ist es für IPSec oder OpenVPN Verbindungen von außen (WAN) auf der Firewall zu erlauben und die notwendigen Ports freizuschalten?
VPN sollen Sicherheit bringen. Dass der Dienst entsprechend erreichbar sein muss versteht sich von selbst. Korrekt konfiguriert besteht hier kein Risiko, da sich niemand einloggen kann ohne alle Parameter und Schlüssel zu kennen.
> Bin ich da zu übervorsichtig? Lohnt sich an der Stelle der DMZ Aufwand überhaupt?
Bezüglich der Kameras? JA! Zweite Firewall bzw. extra VPN Gegenstelle - not so much :)
> Die meisten Angriffe von Außen kommen ja eh über 443 und 80/ 8080 oder?
Nö. Darüber kommen die meisten Skriptattacken, ja. Aber Angriffe gibt es inzwischen am Laufenden Band auf die unterschiedlichsten Ports. Gerade wenn bspw. irgend ein IoT Device wie Kamera, Kühlschrank, Toaster etc. eben mal wieder entdeckt wird, dass es unsichere Defaults hat... oder Netgear Router :D
> Ich hatte von einer NAT DMZ Umsetzung aus dem M0n0wall Handbuch gelesen.
DMZ ist Firewall Basic Wissen :D Das hat nicht M0n0wall erfunden ;) Aber schön, dass du die korrekte Implementation von DMZ gelesen hast und nicht das was teils Routerhersteller daraus gemacht haben... *kopfauftisch*
> Aber das kann man ja nicht länger DMZ nennen (im klassischen Sinne),
Warum?
> gerade wenn ich mir was zu UDP hole punching durchlese. :-\
Was haben Attacken wie diese mit dem Konzept DMZ zu tun? Das Konzept DMZ sieht eine Zone vor, die andere (geringere) Sicherheitsbedürfnisse hat, weil sie Dienste extern bereitstellen (Webserver bspw.) und daher von WAN Seite erreichbar sein sollen, selbst aber bspw. keinen Zugriff aufs LAN haben sollen. Zugriff VOM LAN aus aber soll bspw. gestattet sein etc.
Es geht bei Firewall Architekturen mehr um die Abschirmung von Zonen unterschiedlicher Nutzung und Sicherheit. Bspw. sollte dein LAN bei guter Planung NULL Zugriff von extern brauchen (gut - ist heute mit Spielen etc. auch nicht mehr ganz so einfach ;) aber im Enterprise Sektor gehts genau daraum).
> Bekomme ich mein Netz so umgebaut, dass die DMZ Implementation doch noch funktioniert?
Warum funktioniert sie denn nicht? :o
> - Ports auf FW2 öffnen, nicht auf FW 1
siehe oben - m.E. unnötig
> - Das Modem nicht durch eine Fritzbox ersetzen um Doppel-NAT zu verhindern
Doppel-NAT Panik wird überbewertet IMHO. Ich fahre das Setup zwangsweise bei Kabelanbietern schon jahrelang ohne Probleme und mit einem laufenden Cluster hintendran :D
> - Zugriff auf die Kameras (DMZ) aus dem Internet nur über VPN, jedoch ggf. SSH aus dem LAN in die DMZ
Dafür ist so eine DMZ ja da :) Also durchaus richtige Überlegung.
> Ich bin über jede Hilfestellung dankbar. :)
Bitte sehr :D
Wie gesagt denk nicht so überkompliziert (was 2. Firewall mit VPN angeht etc.), das bringt nur wieder neue Probleme und Angriffspunkte mit rein.
- Eine Firewall
- Konfiguration als "Dreibein" - also WAN, DMZ, LAN
- Auf WAN entweder IPsec oder OpenVPN annehmen -> was du willst sei dir überlassen
- Zugriff von VPN auf DMZ erlauben - ggf. zweiten VPN User oder zweites VPN definieren wenn man noch LAN Zugriff möchte und das getrennt sein soll
- LAN Zugriff überallhin(?) erlauben oder eben überall außer DMZ und DMZ nur von bestimmten IPs oder nur auf SSH Port o.ä.
- und dann nach und nach weitere Dinge aktivieren wie deinen Virenscanner etc.
Viele Grüße
-
Hi Oxy,
vielleicht sollte man erstmal grundsätzliches klären. In eine DMZ gehören Server die vom bösen Internet und Intranet aus erreichbar sein sollen. Dazu werden Portweiterleitungen und Firewalleinstellungen zu den jeweiligen Servern in die DMZ geöffnet.
Eine Kamera die vom Internet aus erreichbar sein soll, gehört demzufolge in die DMZ. Da die Kamera aber nur über VPN aus erreichbar sein soll, ist das nicht unbedingt notwendig. Diese kann sich auch im LAN befinden, darf natürlich keine zutreffenden Firewall Regeln besitzen.Damit kann diese nicht auf das Internet zugreifen, vom Internet ist sie auch nicht erreichbar (außer per VPN). Deine Vorsicht mit dem VPNs verstehe ich nicht, genau für sowas wurde es entwickelt. Man kann sich streiten ob IPSec richtig konfiguriert etwas sicherer ist wie OpenVPN, aber grundsätzlich kann man beides als ziemlich sicher ansehen.
Das Thema UDP "hole punching" hat an und für sich nichts mit einer DMZ zu tun, sondern ist generell vorhanden, sobald man UDP Ports vom Intranet zum Internet öffnet.
-
> In eine DMZ gehören Server die vom bösen Internet und Intranet aus erreichbar sein sollen.
Ich möchte nicht auf Formalien herumreiten, aber laut meinem durchaus begrenzten Wissen ist eine DMZ genau das - eine demilitarized Zone, sprich eine Zone mit sicherheitstechnisch kontrolliertem Zugang. Ob das sich jetzt auf Internet, LAN oder beides bezieht ist eigentlich egal. Im Fall von Kameras wäre das - zumindest wenn man ein Auge Richtung Firmeneinsatz wirft - durchaus beides der Fall, denn ich will ja vielleicht nicht unbedingt, dass andere Leute/Mitarbeiter die Kameras anschauen können, sondern nur ein begrenzter Personenstamm oder nur ich. Also schirme ich hier nicht nur vom WAN, sondern ggf. auch vom LAN ab. Das ist zumindest mein Ansatz dabei. Natürlich: wenn das nicht nötig/gewollt oder gewünscht ist, kann man die theoretisch auch ins LAN packen. Praktisch gab es aber durch die jüngsten IoT Botnetze genug Gründe, solche embedded Server Kisten lieber woanders als ins LAN zu packen ;)
Grüße
-
demilitarisiert = kein Schutz = exposed to internet
Aber es gibt tatsächlich beide Definitionen der DMZ in der Praxis, iirc Cisco benutzt den Begriff genau anders herum als der Rest der Welt....
-
Hi JeGr,
man muss ja keine Firewallregeln für den Zugriff vom LAN zur DMZ haben, aber man kann es machen wenn es notwendig ist. Auch spielt es kaum eine Rolle (bin jetzt lieber etwas vorsichtiger ;) ) wenn Geräte im LAN stehen und rein Sicherheitstechnisch der Super-GAU sind, aber keine Internetverbindung besitzen. Dafür ist nun mal die Firewall da, um dafür zu sorgen. Auch kann man im LAN mehrere Bereiche mit unterschiedlichen Sicherheitsanforderungen definieren und die per Router / Firewall von einander trennen.
Eine DMZ kenne ich nur als einen Bereich, der einen geringeren bzw. gar keinen Schutzbedarf hat. Dienste die aus dem Internet erreichbar sein müssen, können nicht zu 100% abgesichert werden. Deswegen stehen Webserver oder andere Dienste in der DMZ, um den Zugriff vom Internet aus zu gewährleisten, aber das eigentliche LAN nicht zu gefährden.
-
> demilitarisiert = kein Schutz = exposed to internet
Interessant, die Auffassung habe ich in 20 Jahren bislang noch nie gelesen :) DMZ heißt m.W.n. in keinerlei Literatur zu Security Konzepten, dass hier komplett "exposed" wird. Das ist eine Auffassung, die irgendwelche günstigen Routerhersteller mal angefangen haben, die den Begriff DMZ plötzlich mit exposed Host gleichgesetzt haben. Aber das war schon damals nicht richtig und für viele sehr verwirrend. "Exposing Services", was eine DMZ tun soll, ist aber nicht gleichzusetzen mit "fully exposed", was leider einige Hersteller verbrochen haben.
Richtig ist aber, dass es in diesem Fall - wenn eigentlich keine Ports nach außen geöffnet werden weil der Zugriff lediglich via VPN erfolgen soll - es keine DMZ im klassischen Sinne ist. Es ist vllt. eher als weiteres LAN zu betrachten, das entsprechend "firewalled" sein sollte. :) Aber ich glaube das artet in Nitpicking bei dem Begriff aus ;)
-
Hallo Helge,
Diskussion ist immer toll, gerade bei solch einem Thema :)
Auch spielt es kaum eine Rolle (bin jetzt lieber etwas vorsichtiger ;) ) wenn Geräte im LAN stehen und rein Sicherheitstechnisch der Super-GAU sind, aber keine Internetverbindung besitzen. Dafür ist nun mal die Firewall da, um dafür zu sorgen. Auch kann man in LAN mehrere Bereiche mit unterschiedlichen Sicherheitsanforderungen definieren und die per Router / Firewall von einander trennen.
Also ich finde es durchaus bedenklich, SGAU Geräte im LAN zu haben ;) Das können wie gesagt Gründe sein wie bspw. dass nicht alle Leute auf diese Geräte zugreifen sollen, das kann aber auch schlicht sein, dass diese ggf. trotzdem anfällig sind. Und auch in einem LAN können Probleme auftreten, die Client-induziert sind. Sprich: ein falscher Download/Klick und ein schlechter Tag der AV Software und des Kopfs, der den Rechner bedient und man hat einen Zombie im LAN. Und dann sollte der vielleicht nicht unbedingt an die Kamerabilder, NAS Daten o.ä. so problemlos rankommen. Cryptlocker, Locky und Co. waren da fiese Beispiele. Klar waren da auch mitunter Netzlaufwerke mit drunter die gefallen sind, aber ggf. nicht der ganze Server o.ä. und kann damit wieder aus einem Backup hergestellt werden. Solche Schädlinge scannen ja gerne dann mal ihre Umgebung und je weniger sie dann sehen, umso weniger Blödsinn können sie anrichten.
Eine DMZ kenne ich nur als einen Bereich, der einen geringeren bzw. gar keinen Schutzbedarf hat. Dienste die aus dem Internet erreichbar sein müssen, können nicht zu 100% abgesichert werden. Deswegen stehen Webserver oder andere Dienste in der DMZ, um den Zugriff vom Internet aus zu gewährleisten aber das eigentliche LAN nicht zu gefährden.
Geringen würde ich zwar gegen geringeren austauschen, aber ja. Keinen Schutzbedarf gibt es heute eigentlich nirgends mehr. Die Zeiten sind leider vorbei, heute sind da Botnetze, (D)DOS und Co nur Mausklicks und PayPal entfernt und teils als SaaS Lösung outgesourced. Keinen Schutzbedarf gibts heute eigentlich nicht mehr - es sei denn du gießt den Rechner in Blei ein und verbuddelst ihn im Boden :D
Webserver und Co stehen in der DMZ, weil sie Dienste nach außen zur Verfügung stellen (anders als die Clients im LAN) und daher Zugriff von außen brauchen. Aber nur Zugriff auf die Dienste, nicht auf generell alles. Also nur weil ein Server in der DMZ steht, heißt das nicht, dass er nicht firewalled sein kann, sondern nur dass für ihn (überhaupt) ein (strengeres) Regelset definiert ist, als für das LAN (meist Block All).
Wen das ganze Architektur Thema interessiert, dem kann ich auch heute noch den O'Reilly "Building Internet Firewalls" empfehlen. Ja der ist alt (2005) aber es geht da weniger um sich ständig ändernde Filtersyntax und Tools, sondern eher um ganz generell die Nomenklatur und der Aufbau von diversen Firewalling Mechanismen und Architekturen. Zweibein, Dreibein (Mehrbein), nachgeschaltet, etc. Bastion Host, DMZ, usw. werden dort ganz ausführlich behandelt und auch mit Beispielen belegt. :)
-
https://en.wikipedia.org/wiki/DMZ_(computing)
...man kann das LAN garnicht weit genug kompartimentalisieren und homebanking vom Gästenetz so weit wie möglich trennen. Daher verstehe ich immer diese Helden nicht, die ihre Interfaces bridgen, statt an jedem ein schönes getrenntes LAN-Netz zu betreiben. Eine der Sachen die Derelict aus den pf-Pforum imme schön erklärt hat!
-
Das dachte ich mir dass das jetzt kommt ;) Lies dazu mal den deutschen Eintrag, der ist IMHO korrekter in der Auffassung. Aber auch der englische schreibt nicht "System" sondern "Service". Natürlich wird ein Service exponiert - 80, 443, wasauchimmer :) Aber nicht das komplette System wird exponiert. Nebenbei: Nur weils in Wikipedia steht... und so :D
Ansonsten volle Zustimmung. Bridging etc. sehe ich heute auch eher als überflüssig - es sei denn im Ausnahmefall WLAN im internen Netz wenn da eh nur kontrollierte Clients drin sind (zu Hause bspw.). Aber alles andere sollte man heute durchaus auftrennen und kontrollieren. Da flötet einfach zu viel mit Daten im Netz herum :)
-
Warum...warum...warum nur habe ich schon immer den Eindruck, dass in Deutschland viele Dinge etwas ganz anderes bedeuten als im Rest der Welt. Warum meine sense Microsoft-Mist auflösen will kannst du sicher auch nicht beantworten, oder?
https://forum.opnsense.org/index.php?topic=4791
-
> Warum...warum...warum nur habe ich schon immer den Eindruck, dass in Deutschland viele Dinge etwas ganz anderes bedeuten als im Rest der Welt.
Verstehe ich nicht was du meinst :) Wie gesagt die Definitionen von DMZ und Co sind älter als Wikipedia ;)
> Warum meine sense Microsoft-Mist auflösen will kannst du sicher auch nicht beantworten, oder?
Doch, das sieht mir nach Windows 8.1 respektive Windows 10 Telemetrie Datenaustausch aus. Zumindest passen die aufgerufenen Domains ziemlich genau :)
-
Ja, einziges Problem: Ich habe keinen einzigen Rechner mit Win 8(.1) oder 10. Zusätzlich kommt erschwerden hinzu: Die opnsense Box hat genau NULL (keinen) Clients angeschlossen. Nix. Niente. Das muss aus der sense selbst kommen?!?!
-
Auch wenn OT: Verbunden via VPN oder sonstiges? Generelle DNS Server Settings? NTP?
-
...ein VPN-Tunnel war aktiv. Ohne den ist Schwiegen im Walde. Warum gehen die DNS Anfragen durch den Tunnel? ***glotz**
Allerdings ist auf der anderen Seite des Tunnels überhaupt kein Windows. Nur Raspian, openSuse und ein paar NAS-Laufwerke mit BSD von Buffalo (ich hatte aber schon mal einen Rechner mit PC-BSD, der zu MS-Telemetry funken wollte). Ratlos... Aber Danke für den Tipp mit dem Tunnel, so ist die Sense mal raus aus dem Ratespiel.
-
Hey hey,
vielen Dank erstmal für die rege Diskussion, das hat mir wirklich geholfen. :)
"mal eben von unterwegs mit ner App" drauf zu greifen
Genau das war der Plan, aber eben mit VPN logischerweise :P
Korrekt konfiguriert besteht hier kein Risiko, da sich niemand einloggen kann ohne alle Parameter und Schlüssel zu kennen.
OK. Das beruhigt mich dann schon ungemein. Ich meine ich dachte mir das schon, bekam aber en mulmiges Gefühl bei der Überlegung Ports zu öffnen. :)
Bezüglich der Kameras? JA! Zweite Firewall bzw. extra VPN Gegenstelle - not so much :)
Bedeutet also (für mich) an der Stelle, ein DMZ Interface an der Firewall anzulegen mit restriktiven Regeln zum LAN Interface und halt die VPN Verbindung nur ins DMZ Netz zuzulassen. Denke das lässt sich umsetzen. :)
DMZ ist Firewall Basic Wissen :D Das hat nicht M0n0wall erfunden ;) Aber schön, dass du die korrekte Implementation von DMZ gelesen hast und nicht das was teils Routerhersteller daraus gemacht haben... *kopfauftisch*
Hatte ich ja auch nicht behauptet mit dem Erfinden. :D Das Problem was ich halt bei der M0n0wall Anleitung sah war, dass die DMZ Umsetzung allein auf Grundlage von NAT funktioniert. Das kam mir spanisch vor, weil es komplett gegen meiner Vorstellung von einer DMZ entsprach. (Eine abgetrennte Zone mit Servern die Dienste anbieten, die über das Internet erreichbar sein sollen, durch 2 Firewalls eingeschlossen um das interne Netz vor der DMZ zu trennen/beschützen)
> Bekomme ich mein Netz so umgebaut, dass die DMZ Implementation doch noch funktioniert?
Warum funktioniert sie denn nicht? :o
Na weil ich 2 Firewalls an ein Modem mit nur einem Interface anschließen wollte ::) :P
Doppel-NAT Panik wird überbewertet IMHO. Ich fahre das Setup zwangsweise bei Kabelanbietern schon jahrelang ohne Probleme und mit einem laufenden Cluster hintendran :D
Mal ganz abgesehen davon, dass ich mir nich sicher bin wie man das konfigurieren würde, hatte ich schon des Öfteren hier Posts gelesen wo Leute sich über ihre Doppel-NAT Umsetzung beklagt hatten und auf ein reines Modem im Bridge Mode gewechselt hatten. Aber Cool das es bei dir klappt, ich trau mich da nich ran, wenn ich es jetzt ja eh "einfacher" umsetzen kann ohne das Modem zu ersetzen oder eine zweite Firewall zu besorgen. :)
> Ich bin über jede Hilfestellung dankbar. :)
Bitte sehr :D
Dankeschön :D
- Konfiguration als "Dreibein" - also WAN, DMZ, LAN
Werden bei mir paar mehr Beinchen werden, aber ich habs ja dicke mit den Interfaces. :P
Aber ja theoretisch würde ne drei Beinchen Firewall reichen für alles im Home Netz. :)
- LAN Zugriff überallhin(?) erlauben oder eben überall außer DMZ und DMZ nur von bestimmten IPs oder nur auf SSH Port o.ä.
Da hab ich das Problem, dass die Kameras (DMZ) ab und an auch mal ein paar Aufnahmen auf die NAS (LAN) abspeichern sollen. Mal schauen.... Vielleicht lasse ich die "Große NAS" im LAN und und kauf mir für die Kameras zum abspeichern der Aufnahmen anstatt dessen noch ne billige Zweit-NAS und stell die dann in die DMZ rein nur für die Kameras. Die Müsste nicht mal Raid können o.ä.
Deswegen stehen Webserver oder andere Dienste in der DMZ, um den Zugriff vom Internet aus zu gewährleisten, aber das eigentliche LAN nicht zu gefährden.
Genau DAS war auch eigentlich immer meine Auffassung von einer DMZ, bzw. dem Einsatz von Geräten die aus dem Internet aus erreichbar sein sollen ohne das LAN zu gefährden (ganz gleich wie man auf diese zugreift).
Wie gesagt werde ich die Kameras vom LAN trennen, ganz einfach weil ich es eben so mal gelernt hatte.
Da geh ich auf Nummer sicher, auch wenn es durch VPN Nutzung keinen Grund zur Sorge gibt. (Das habt ihr mir ja erfolgreich eingeprügelt :P ::))
In meinem Fall wäre es dann jetzt ja eh nur ein anderes Interface und ein "härtes Ruleset" für die Kameras.
Von daher ergibt sich kein Mehraufwand, ich seh bloß gleich sofort auf den ersten Blick in der Übersicht auf der GUI wo meine Kameras sind durch das Interface. :)
Zitat von JeGr: "Es ist vllt. eher als weiteres LAN zu betrachten, das entsprechend "firewalled" sein sollte."
So werde ich es auch behandeln dann. :)
O'Reilly "Building Internet Firewalls"
Wenns es das als Hörbuch gibt werde ich mir das auf jeden Fall mal reinziehen. :)
Auch wenns von 2005 ist, vielleicht hat das ja wer mal eingesprochen.
Nochmals Danke an Alle... Da hab ich ja wieder was dazugelernt :P
Schöne Grüße
Oxy
-
Hier hänge ich mich auch noch mal kurz dran, da eine Empfehlung für Literatur gefallen ist.
Habt Ihr sonst noch gute Literatur Empfehlungen für (Unix(Linux) Firewalls?
Gruß
Chris
-
So. Dann habe ich mal auf der anderen Seite des Tunnels geschaut, dort ist kein DNS traffic zu diesen MS-domains. Aber als ich die leere opnsense ein paar Stunden alleine laufen lies (Tunnel ist aus) waren die DNS-Abfragen nach MS-Telemetry domains wieder da.
Damit ist die opnsense wieder im Geschäft bei der Suche nach den Auslösern.
DNS auf der opnsense (17.1.3 i386 nano LibreSSL): DNSResolver, DNSsec aktiviert
NTP: von mir von Hand eingegeben (nix von MS oder ähnlichem)
Keine Idee was da jetzt MS-Telemetry per DNS auflösen will...
-
Habt Ihr sonst noch gute Literatur Empfehlungen für (Unix(Linux) Firewalls?
Ich persönlich finde das Buch "The Book of PF" sehr gut. Ist aber eher was für Fortgeschrittene.
Im bereich Linux ist es gereade etwas problematisch, da iptables gerade abgelöst wird und sich die meisten Bücher und online tutorials noch darauf beziehen. Wenn es dir also um die Konfiguration geht, solltest du dich im Linuxbereich mit der man page nft und ggf. mit der Dokumentation von suricata auseinander setzen.