1
German - Deutsch / Re: Übersicht der Regeln behalten?
« on: May 31, 2024, 03:49:03 pm »@ Ronny1978
Oh an die Aliase habe ich gar nicht mehr gedacht. Jedoch sind diese bei mir bereits im Einsatz. Und helfen bereits ein wenig bei der Übersichtlichkeit. Was gruppiert werden konnte ist gruppiert.
90 Regeln pro Interface?
Relativ easy in meinem Umfeld. Habe die OPNsense im Geschäftseinsatz und wie bereits geschrieben nicht gerade wenig Netze zu verwalten.
Früher (vor einem Jahr) hatten wir nur einen Layer 3 Switch im Einsatz welcher einfach wie ein offenes Scheunentor geroutet hat. Ganz ohne Regelwerk.
Vor einem Jahr gab es dann mal einen Pentest und natürlich wird hier gerne mal das Thema Netzwerksegmentierung angesprochen. Also versucht man ein paar Gruppen zu finden welche man Segmentieren kann.
-> Clients, Server, Drucker, VoIP, DMZ, Gast, Elektriker, Lager, Management, PR1 (Produktionsnetzwerk), PR2, PR3 bis aktuell geplant hin zu PR15.
Dann nun noch genug einzelne Mitarbeiter bzw. Computer welche eben nicht einfach überall hin sollten aus Sicht der Sicherheit. Da macht es mal ganz schnell schwapp.
Alleine zwischen Clients und Server habe ich aktuell 55 Regeln. Und diese sind oftmals noch nicht mal mit Ports bestückt. Sondern nur "der darf auf den Server mit allen Ports".
Beispiel: Alle Elektiker Laptops dürfen zu den PRxx Netzwerken. (Die Verkaufsabteilung benötigt beispielsweise keinen Zugriff auf die Produktionsmaschinen)
Zudem ein paar allgemeine Regeln wie "Clients dürfen zu DomänenController mit entsprechenden Ports (als Alias)" um das alles zu kurz wie möglich zu halten.
@ mooh:
Das habe ich tatsächlich auch mal getestet...
Jedoch bringt dies auch nicht den erhofften Vorteil da es hier viel zu individuell ist.