OPNsense Forum
International Forums => German - Deutsch => Topic started by: titzi266 on March 24, 2017, 10:27:00 am
-
Hallo,
ich benutze seit kurzem OPNsense. (Als virtuelle Maschine in KVM)
Die VM läuft auf einem CentOS in KVM und hat folgende Netzwerkkarten:
- Eine Netzwerkkarte (INTERN) ist eine Bridge zum physikalischen Interface des Servers.
- Die zweite Netzwerkkarte (DMZ) ist in einem virtuellen KVM Netzwerk (die DMZ).
Im Netzwerk DMZ befindet sich z.B. eine Apache-VM die von OPNsense per DHCP eine IP bekommt und OPNsense als default Gateway nutzt.
Mein Netz sieht wie folgt aus:
Internet > FritzBox > [ OPNsense Interface INTERN | OPNsense Interface DMZ ] < VMs im virtuellen DMZ Netz.
FritzBox:
- IP: 10.0.0.1
- Route: 10.2.0.0/24 via 10.0.0.254 (Route zur DMZ via OPNsense)
- Port-Forwarding für z.B. TCP/443 zu 10.0.0.254 (OPNsense)
- Stellt WLAN bereit
physikalischer Server auf dem OPNsense als VM in KVM läuft:
- IP eth0: 10.0.0.100
- Default GW: 10.0.0.1 (FritzBox)
OPNsense:
- IP (INTERN): 10.0.0.254
- IP (DMZ): 10.2.0.254
- OpenVPN Server mit Tunnel Netz: 10.8.0.0/24
VMs im virtuellen DMZ Netz:
- IP: 10.2.0.X (per DHCP von OPNsense)
- Default GW: 10.2.0.254 (OPNsense)
Nun geht Traffic aus dem Internet erstmal von der FritzBox über die interne IP 10.0.0.254 (OPNsense) in die DMZ.
1. Wie kritisch seht ihr dieses Sicherheitsproblem?
2. Wie könnte ich das Netzwerk schlauer aufbauen?
Theoretisch könnte ich die FritzBox in ein anderes Netz setzten und an ein neues/separates Interface der OPNsense VM hängen.
Dannn hätte OPNsense die folgenden Interface:
- EXT (Netz der FritzBox, z.B. 10.5.0.254 / 24)
- LAN (Alle internen Geräte, 10.0.0.254 / 24)
- DMZ (Alle VMs im virtuellen DMZ auf KVM, 10.2.0.254 / 24)
Problem hierbei wäre, dass dann meine WLAN Geräte in dem externen Netzwerk wären.
Könnte aber dann samtlichen Traffic auf dem EXT interface in OPNsense erlauben (mit Ausname der FritzBox selbst)
Macht das Sinn?
Gibt es ganz andere Ideen, wie ich mein Problem mit der DMZ die durch ein internes Interface ereichbar ist lösen kann?
Danke
Titzi266
-
Hi,
> Die VM läuft auf einem CentOS in KVM und hat folgende Netzwerkkarten:
So ich verstehe hast du eine größere Hardware und da mehrere VMs die du mit der Sense dann nach außen hin absicherst. Korrekt?
> - Eine Netzwerkkarte (INTERN) ist eine Bridge zum physikalischen Interface des Servers.
Ist die Bezeichnung intern nicht irreführend, wenn es die Seite ist, die du der Fritzbox zukehrst? Dann wär es ja eher WAN/extern?
> - Die zweite Netzwerkkarte (DMZ) ist in einem virtuellen KVM Netzwerk (die DMZ).
So weit so gut :)
> Internet > FritzBox > [ OPNsense Interface INTERN | OPNsense Interface DMZ ] < VMs im virtuellen DMZ Netz.
Nochmal die Frage: warum INTERN - aus Sicht der Sense ist das Interface doch WAN/Upstream, nicht Intern?
Sollte somit auf keinen Fall das default LAN Interface mit den Standard Regeln (allow any) sein!
> - Route: 10.2.0.0/24 via 10.0.0.254 (Route zur DMZ via OPNsense)
> - Port-Forwarding für z.B. TCP/443 zu 10.0.0.254 (OPNsense)
Warum so umständlich und nicht einfach exposed Host auf die 10.0.0.254? Wenn die Fritz nur WLAN macht und damit default NAT nach außen ist das egal und keine Beeinträchtigung. Man hat aber nur einen Punkt an dem ma konfiguriert und muss nicht an 2 Kisten herumschrauben.
> Im Netzwerk DMZ befindet sich z.B. eine Apache-VM die von OPNsense per DHCP eine IP bekommt und OPNsense als default Gateway nutzt.
Server VMs sollten kein DHCP nutzen. Das ist zwar praktisch aber in solch einem Setup sehr ungünstig, da sich die IPs ändern könnten wenn kein static mapping gemacht wird. Und wenn dieses schon gemacht wird - warum dann nicht gleich die VM statisch konfigurieren? Damit sind die meisten VMs auch noch schneller am Start und können fixer booten.
> Nun geht Traffic aus dem Internet erstmal von der FritzBox über die interne IP 10.0.0.254 (OPNsense) in die DMZ.
> 1. Wie kritisch seht ihr dieses Sicherheitsproblem?
Da sehe ich da kein Sicherheitsproblem, sondern eher ein Verständigungsproblem von dir. Dein Interface "Intern" ist nicht intern, sondern WAN / extern und muss auch so konfiguriert sein. Dein Interface DMZ ist eigentlich das "intern" bzw. LAN Interface, denn du willst abgehend Kommunikation erlauben (deine VM muss ja bspw. Updates etc. machen können) aber eingehend filtern (bspw. nur 443 reinlassen). Ergo ist deine Sicht auf die Sense falsch. Konfigurierst du das andersrum ist da auch kein Sicherheitsproblem (warum sollte es auch eins sein?)
> 2. Wie könnte ich das Netzwerk schlauer aufbauen?
(...)
Dein einziges Problem ist, dass du verkrampft am WLAN der Fritte fest hältst. Der Rest deiner Idee ist absolut stimmig und würde wesentlich mehr Sinn machen -> das ganze als Dreibein aufzuziehen und die Fritzbox lediglich als Uplink Gateway mit eigenem Transfernetz zu nutzen.
Daher meine Empfehlung (sehr ähnlich zu deinem:)
Theoretisch könnte ich die FritzBox in ein anderes Netz setzten und an ein neues/separates Interface der OPNsense VM hängen.
Dannn hätte OPNsense die folgenden Interface:
- EXT (Netz der FritzBox, z.B. 10.5.0.254 / 24)
- LAN (Alle internen Geräte, 10.0.0.254 / 24)
- DMZ (Alle VMs im virtuellen DMZ auf KVM, 10.2.0.254 / 24)
1) Fritzbox auf relativ nahe "Default" einstellen. Sprich: Meist haben die Kisten 192.168.178.0/24 als Netz. Nutze das. Verändere nur wenig, wie bspw. eben deine Provider/Einwahl Einstellungen und ansonsten setze die Sense auf 192.168.178.2 oder 254 und erstelle ein exposed Host Setting mit der IP der Sense. Bitte die Sense hier NICHT auf DHCP einstellen oder solche Ideen. Das hat schon mehrfach mehr Probleme als Lösungen gebracht!
-> Warum: Da die FB eh nicht wirklich genutzt wird, nahe an den Defaults bleiben und die Konfiguration sichern. Das hilft Probleme zu vermeiden mit Fehlkonfiguration und wenn man die Kiste austauschen muss, ist schnell ein Minimalbetrieb wieder möglich (da eine Ersatz Fritte ebenfalls mit den Defaults kommt, kann man die einfach anschließen und hat meist sofort schon wieder Internet an der Sense womit man erstmal wieder arbeiten kann).
2) Kauf dir einen günstigen Access Point oder nutze ein anderes vorhandenes Gerät dafür. Packe den ggf. auf ein eigenes Interface der Sense oder hänge die Geräte auf Wunsch ins LAN/intern, aber hänge sie hinter die Sense. Dafür, die zu schützen, ist sie da und das ist ihr Job. Nutze sie.
3) LAN für interne Geräte
4) DMZ für deine restlichen VMs
Das wäre mein präferierter Aufbau (bzw. nutze ich selbst im Lab so seit Jahren schon).
Grüße
Jens
-
Hi,
> So ich verstehe hast du eine größere Hardware und da mehrere VMs die du mit der Sense dann nach außen hin absicherst. Korrekt?
Korrekt
> Ist die Bezeichnung intern nicht irreführend, wenn es die Seite ist, die du der Fritzbox zukehrst? Dann wär es ja eher WAN/extern?
Ja, stimmt ist eher extern/WAN. Eigentlich habe ich kein Internes Netz momentan. Nur DMZ und WAN. Im WAN befinden sich aber meine Client Geräte.
> Warum so umständlich und nicht einfach exposed Host auf die 10.0.0.254? Wenn die Fritz nur WLAN macht und damit default NAT nach außen ist das egal und keine Beeinträchtigung. Man hat aber nur einen Punkt an dem ma konfiguriert und muss nicht an 2 Kisten herumschrauben.
Aus Sicherheitsgründen. So bin ich sicher, dass die FritzBox schon nur 443/TCP (und 80/TCP) an OPNsense weitergibt. Klar ist mehr Aufwand als der Exposed Host aber stört mich nicht, da nehme ich lieber den Tick mehr Sicherheit ;)
> Server VMs sollten kein DHCP nutzen. Das ist zwar praktisch aber in solch einem Setup sehr ungünstig, da sich die IPs ändern könnten wenn kein static mapping gemacht wird. Und wenn dieses schon gemacht wird - warum dann nicht gleich die VM statisch konfigurieren? Damit sind die meisten VMs auch noch schneller am Start und können fixer booten.
Danke für den Hinweis. Ist mir aber bewusst. Habe überall statisches DHCP, also fest zugewiesene IPs zu MAC Adressen, daher kein Problem.
Dein Vorschlag gefällt mir sehr gut, wäre auch meine präferierte Lösung. Allerdings habe ich dann nicht nur FritzBox + physikalischen Server an stromfressenden Geräten, sondern auch noch einen WLAN Accesspoint, der Strom zieht.
Mal Geld ausgeben für einen WLAN-AP ist nicht das Problem, mir geht es darum das ganze Stromsparend zu haben.
Daher halte ich auch so am WLAN der FritzBox fest. ;)
Die FritzBox einfach durch einen Router mit 2 Interfacen (DMZ und LAN) + WLAN zu ersetzen ist leider auch schwierig, da die FritzBox auch DECT macht....
Aber wenn generell nichts gegen dieses Konstruckt, dass ich vom Internet über eine IP im Client Netz (in meinem Fall eher extern) an OPNsense gehe und dahinter die DMZ ist, spricht eigentlich auch überhaupt nichts dagegen es so zu lassen oder?
Grüße
Titzi266
-
> Aus Sicherheitsgründen. So bin ich sicher, dass die FritzBox schon nur 443/TCP (und 80/TCP) an OPNsense weitergibt.
> Klar ist mehr Aufwand als der Exposed Host aber stört mich nicht, da nehme ich lieber den Tick mehr Sicherheit ;)
Was hat das mit Sicherheit zu tun? Gefilter wird eh sinnvollerweise auf der Sense. Ob du vorher dem Guffelfilter oder dem NATting der Fritz Box mehr traust als einem Gerät dass du selbst baust und das tut was du ihm sagst, sei mal dahingestellt, aber Sinn macht es für mich nicht, ein Mehr an Sicherheit kann ich auch nicht erkennen. Denn nur weil du alles weiterleitest erlaubst du es an der Sense trotzdem nicht. Plus du hast unnötig höheren Komplexitätsaufwand wenn mal was an Ports dazukommt und bist bei Debugging immer an zwei Geräten dran. Da sehe ich keinen Gewinn.
> daher kein Problem.
Jein. Du nutzt trotzdem DHCP und verlässt dich so bei der IP Vergabe auf externe Geräte. Statische IPs booten schneller, sind weniger fehleranfälliger und man hat zusätzlich die externe Abhängigkeit raus, dass die Sense bzw. der DHCP dort laufen muss damit die VMs überhaupt sinnvoll laufen. Finde ich weniger sinnvoll. Ohne diese Abhängigkeit kann man problemlos auch mal eine Test VM oder eine neue VM deployen ohne dass man zusätzlich vorher Hand an die Firewall anlegen muss. Ich sehe da nur unnötige externe Abhängigkeit.
> sondern auch noch einen WLAN Accesspoint, der Strom zieht.
Dafür aber je nach AP auch wesentlich mehr Möglichkeiten. Zudem sind viele APs auch per PoE fütterbar (Strom) somit keine wahnsinnigen Killerverbraucher. Die Rechnung kannst du dann selbst aufmachen, ob dich die paar Cent für den AP arm machen ;) Zudem wird die vorgeschaltete Fritzbox bei abgeschaltetem WLAN Modul auch weniger Strom verbrauchen, somit ist die Bilanz nicht ganz so schwarz. Und nur wegen umgerechnet ein paar Euro im Jahr eine schlechte(re) Lösung mit sich rumschleppen - da musst du auch deine eigene Arbeitszeit und sinnvolles Arbeiten mit einberechnen, was dir das wert ist.
> Die FritzBox einfach durch einen Router mit 2 Interfacen (DMZ und LAN) + WLAN zu ersetzen ist leider auch schwierig, da die FritzBox auch DECT macht....
Davon hatte ich auch nichts geschrieben, die Fritte kann vorgeschaltet ja problemlos Upstream Router/Gateway plus DECT machen. Ist ja kein Drama. Aber alles andere abschalten, WLAN aus, Ports 3-4 abschalten (oder Eco) etc. und du wirst sehen dass die Kiste auch weniger Strom braucht. Und die Sense als exposed Host dahinter und als richtige Firewall bauen.
> spricht eigentlich auch überhaupt nichts dagegen es so zu lassen oder?
Für mich persönlich spricht da alles dagegen. Weil es komplett verkehrte Welt ist. Man baut sinnvollerweise eine Firewall Architektur von böse nach gut auf bzw. von untrustworthy nach fully trusted. WAN/Internet ist dabei rote Zone, da glaube ich gar nichts. Ergo ist WAN draußen. Da die Fritte meist vom Provider kommt oder gestellt wird, gehört die für mich ebenso als WAN behandelt, ergo haben da auch keine LAN Clients oder sonstwas drin zu suchen. Bei der Fritzbox kann ich keinerlei Filter wirklich setzen. Das ist für mich keine echte Firewall sondern ein freundliches Bastelwerk. Heißt aber auch, hinter der Fritzbox ist alles plötzlich "fully trusted" und darf einfach mit dem Netz sprechen. Und jetzt setzt du dahinter plötzlich noch ne Zone, die eigentlich eher "partially trusted" ist. Also die nur begrenzt sicher ist, da sie aktiven Kontakt mit der Außenwelt hat. Wo du Traffic reinlässt. Und den leitest du vorher aber komplett durch deine trusted Zone durch. Sorry, das wäre mir (subjektiv) an der Stelle völlig abwegig vom Aufbau her.
Grüße
-
Wenn du wirklich Strom sparen willst, schalte die Fritte in den IP Client Modus. Die routet dann gar nix mehr. LAN Ports wie jegr sagte dann noch auf eco. Weiß nicht ob du Fritzchen noch für DECT/VoIP brauchst. Aber das läuft auch alles im IP Client Modus.
Dann kann die Box auch HINTER die Sense, wo sie mMn. hingehört. Die Box zum "Vorfiltern" zu verwenden ist, als würdest du für einen Hai auch noch Vorkauen. Also völlig sinnlos. Einwahl ins Internet übernimmt bei mir die sense über ein Modem. Das frisst auch nicht viel Strom und bei mir habe ich, wenn ich Strom messe immer noch eine Ersparnis zwischen Modem+kastrierte Fritte vs Fritte mit Everything On.
BTW wäre dann auch das Netz "schlauer" aufgebaut weil sich die Sense mit allen Netzen selbst beschäftigen kann und du eine zentrale Konfigurationsstelle hast.