Messages

Hallo,

wenn telnet auf 443 mit dem selben Rechner geht aber der Browser nicht,
dann würde ich vermuten telnet nimmt IPv4 und der Browser IPv6.
Oder du hast im Browser irgendeinen Proxy konfiguriert.

Am einfachsten nimmst du mal Wireshark und schaust was der Browser macht.
Auch mal mit IP testen. Manche Browser haben neuerdings so ein Feature, dass sie DNS über HTTPs machen,
damit es auch "gaaanz sicher" ist :-) D.h. die Namensauflösung wird vielleicht durch die FW geblockt.
Die schicken dann alle DNS Anfragen an so einen "trusted partner". Böse Zungen behaupten, damit deine Anfragen dann besser zentral geloggt werden können ;-)
Jedenfalls könnte dieser bei dir in einer Sperrliste stehen.
Das Verhalten kann jedenfalls anders sein als mit nslookup, oder was die Konsolen Tools wie telnet und co so machen, wo ja normales DNS verwendet wird.

Hallo Firewall Experten,

ich habe da mal so eine Grundsatzfrage. Von draußen nach drinnen ist per default alles gesperrt und ich schalte halt die Dienste frei dich haben will, z.b. für einen Webserver. Soweit so gut.

Von drinnen nach draußen ist das aber so eine Sache. Per Default erlauben die meisten Firewalls alles, auch OPNSense.
Man kann jetzt einzelne Dinge sperren mit den diversen Sperrlisten (DNSBL, IPBL) und eventuell mit einem IPS, falls eine Suricata Regel was auffälliges bemerkt.

Oder ich sperre auch nach draußen alles per Default und erlaube nur einzelne Dinge per Whitelist. Das ist natürlich aufwendig.
Hintergrund ist, dass ich das Ausschleusen von Daten, Nachladen von Malware oder CommandAndControl Server möglichst unterbinden will.
Ich kann Dinge wenn den Zugriff auf 587 (Submission) und 993 (IMAPS) auf meine Mailserver IP erlauben, noch den einen oder anderen eigenen Webdienst (Gitlab, Nextcloud, Redmine, etc. aus der DMZ), plus Port 22 (SSH) auf meine Server. Was sicherlich nicht geht ist jeden einzelnen Webserver im Internet zu whitelisten den einer unserer Mitarbeiter braucht. Deswegen wird wohl in vielen Firmen pauschal Port 80 und 443 erlaubt, wobei Port 80 heute nicht mehr wirklich gebraucht werden sollte, da der Großteil der Webseiten heute HTTPS unterstützt.

Letzteres ist gut, aber auch ein Problem. Als Angreifer kann ich so gut wie alles per HTTPS tunneln, was bringt also das Blockieren anderer Ports, außer dass es die Leute nervt, weil legitime Dinge dann auch gesperrt sind. Seit es ein git clone von github, ein FTP Download, Teams, Spotify oder was auch immer.

Früher wurde jedenfalls gern eine HTTP Proxy eingesetzt zum Filtern und als Cache (z.b. Squid), auch ein IDS kann da gut ansetzen. Mit HTTPS ist das aber Geschichte sofern man nicht einen MITM Proxy aufsetzt und überall sein "faules" CA Zert einspielt. Ohne das Wissen der Mitarbeiter wäre das rechtlich also auch noch problematisch.

Es bleibt das Problem das auch ein HTTP(s) Proxy (ohne MITM) per HTTP CONNECT Kommando alles tunneln kann. Also auch kein Problem SSH oder anderes Zeug per HTTPS zu tunneln. Aus eigener Erfahrung weiß ich, dass die meisten Proxies den connect zu einem SSH server durchlassen, solange dieser auf Port 443 läuft und nicht auf 22.
Es gibt ja auch fertige Tools wie stunnel für diesen Zweck.

Man sperrt also die normalen User aus (die genervt sind), und die Hacker kommen trotzdem raus...

Wie ist hier eure Meinung bzw. Vorgehen per der Konfiguration der Firewall nach draußen?
Vielleicht will jemand auch exemplarisch ein paar seiner eigenen Firewall regeln dazu posten.
Ich könnte hierzu noch Inspiration gebrauchen, vielleicht gibt es da ja noch schlaue Ideen die mir neu sind.

Vielen Dank schon mal an alle im voraus.

Bei mir funktioniert's jetzt auch, ich weiß aber nicht warum  :o
Die error logs sind immer noch da, aber suricata funktioniert trotzdem.
K.a. ob da nur im Anzeige Filter was falsch war gestern, oder sich das Problem magisch von selber gelöst hat.
Aber Hauptsache es geht.

Hi,

bei dem Versuch Suricata zu aktivieren bin ich leider gescheitert.
Ich weiß zwar wie das auf der Linux Konsole funktioniert, aber mit der Web GUI bekomme ich das nicht hin,
oder das ist ein Bug.

Ich habe zum Testen mal nur die Regel mit sid 2100498 aktiviert und mit `curl http://testmynids.org/uid/index.html` getestet.
Auf der Linux Maschine (wo auch suricata läuft) erhalte ich eine Meldung im fast.log, auf OPNSense aber nicht.
Habe schon mit WAN und LAN probiert, auch den Pattern Matcher mal von Default auf hyperscan gestellt, ohne Erfolg.
Der Log Tab zeigt mir auch seltsame Meldungen an.

```
2024-03-07T18:32:27   Error   suricata   [100344] <Error> -- failed to obtain number of NUMA nodes in the system   
2024-03-07T18:32:27   Error   suricata   [100344] <Error> -- unable to open /sys/devices/system/node/
```

Ich vermute mal suricata läuft gar nicht, was auch immer diese Meldung bedeutet.
Weiß jemand was da los ist?
Version: 24.1.3_1
Suricata: 7.0.3

BIOS Update hat tatsächlich geholfen :-)
Zumindest gehts jetzt.

> Ich würde den RAID-Controller auf AHCI stellen wenn möglich, und einen ZFS-Mirror installieren.
Danke, das ist schon der Fall, da zuvor ein Debian mit Linux SoftRAID drauf war.
ZFS Mirror (RAID1) habe ich auch bei der Installation ausgewählt.

Eventuell hilft ein BIOS Update, aber mal schauen ob noch jemand eine andere Idee hat.

Hallo zusammen,

ich versuche gerade OPNsense auf meiner alten Dell Kiste zu installieren.
Ich habe zwei neue SSDs (1TB) eingebaut und installieren mit RAID1 Mirror.
Boot mode wurde von BIOS auf UEFI geändert.
Der Bootstick mit OPNsense-24.1-vga-amd64.img bootet einwandfrei.
Die ganze Installation läuft fehlerfrei durch und nach "Complete Installation" wird neu gebootet (ohne den USBStick).
Allerdings gibt es keinen UEFI Boot Eintrag um von der SSD zu booten.

Hat jemand eine Ahnung warum das nicht geht?
Mit dem Debian Installer klappt das z.b. ohne Probleme, also k.a. ob es da ein UEFI Problem gibt, oder ob das an OPNSense liegt.
User Error schließe ich ja aus ;-) da es keine Option im Installer gab wo ich was Bootloader/UEFI einstellen könnte, aber wer weiß...