Messages

91

German - Deutsch / Re: Neue Features für die Opnsense?

« on: June 16, 2022, 03:49:55 pm »

SSL Split ist eher zur Malware Analyse. Einen reinen TLS Proxy gibt's in Open Source nicht. Das ist ja der Grund warum die fetten Kisten fett Kohle kosten. Zenarmor hat das, aber eben nicht Open Source. SSL Proxy schau ich mir Mal an, aber mein letzter Stand war dass es sowas nicht gibt.

Das wäre super, vielleicht lässt sich was draus machen, Danke dir!

92

German - Deutsch / Re: Neue Features für die Opnsense?

« on: June 15, 2022, 11:51:28 pm »

Danke für die Erklärung, jetzt ergibt das mehr Sinn. Gearbeitet habe ich bisher nur mit Suricata, von PaloAlta/Cisco nur gelesen... Hast du dir SslProxy auch mal angesehen? An so etwas habe ich gedacht, der Traffic steht der Sense, also wenn das wirklich so funktioniert, komplett unverschlüsselt zur Verfügung.

https://github.com/sonertari/SSLproxy

Ich habe das Programm aber nicht zum Laufen gebracht, vielleicht ist es auch nur Wunschdenken das so einfach hinzubekommen...

93

German - Deutsch / Re: Neue Features für die Opnsense?

« on: June 15, 2022, 11:23:20 pm »

Es gibt zwei IPS für die OPNsense. Beide sind 3rd Party Produkte. Ich glaube kaum, dass Deciso die Manpower hat, jetzt auch noch ein IDS/IPS komplett neu zu entwickeln. Außerdem gibt es da ja wie gesagt schon welche, die sich in OPNsense integrieren.

So funktioniert Open Source. Die entwickeln ja jetzt auch nicht das Betriebssystem neu oder PHP, oder ...
Ein IPS ist mindestens ein so großes Projekt wie die ganze OPNsense Firewall ohne IPS.

Es gäbe eine Möglichkeit, wie man das Problem theoretisch lösen könnte.

Der Traffic muss vor der Sense entschlüsselt und nach der Sense wieder verschlüsselt werden. Das Projekt nennt sich sslproxy und leider habe ich das Programm nicht zum Laufen gebracht. Niemand sagt, dass es so einfach ist, aber ein einzelner Entwickler hat das für sein eigenes FW Projekt entwickelt. Also wäre es durchaus möglich, dieses als Sense Projekt zu realisieren, behaupte ich.

Ein BS neu zu entwickeln habe ich nicht verlangt und PHP auch nicht.

94

German - Deutsch / Re: Neue Features für die Opnsense?

« on: June 15, 2022, 10:55:32 pm »

Daher verstehenich das Problem nicht ganz.

Ich habe kein Problem, ich hätte nur gerne dieses Feature gehabt und bin ursprünglich und fälschlicherweise davon ausgegangen, dass dieses mit einem Opnsense-Plugin (oder neuen Feature) machbar gewesen wäre.

Deine Behauptung, ich hätte von Anfang gewusst, dass es ein Suricata Feature ist, ist daher falsch. Ich verstehe nicht wie Suricata genau arbeitet, mein Gedanke war, wenn die Sense in SSL reinschauen kann, dann sieht das Suricata ebenfalls.

Anstatt das man hier neue Lösungsansätze entwickelt wird man nur für Blöd angesehen.

95

German - Deutsch / Re: Neue Features für die Opnsense?

« on: June 15, 2022, 10:21:16 pm »

Wie gesagt: auch Suricata ist ein Open-Source-Projekt. Probier es doch bitte und gerne einfach dort. Was hält dich davon ab?

Es ist nur so, dass das ein völlig eigenständiges Zusatzprodukt ist, mit dem das OPNsense-Entwicklerteam nichts zu tun hat. Gleiches gilt für Zenarmor/Sensei.

Und da das Feature in Suricata eingebaut werden müsste, sind die eben die richtige Adresse.

Ok, gut, das verstehe ich, ich kann es mal probieren ... aber gibt es keine andere IPS, die man in Erwägung ziehen könnte?

96

German - Deutsch / Re: Neue Features für die Opnsense?

« on: June 15, 2022, 10:19:42 pm »

Aber warte mal, Feature!!! Dann nehmen wir halt einen neuen IPS mit an Board, welcher in der Lage ist, full SSL inspection zu leisten. Ich meine, Opnsense soll sich doch weiterentwickeln, oder verstehe ich da was falsch?

Gut, Stabilität und Sicherheit sind durchaus zu priorisieren in einer Produktivumgebung, aber irgendwann sollten doch auch neue Feature, die eine echte NGFW ausmachen, mit eingebracht werden, ich spreche auch von zukunfts Orientierung. Und nein, ich mag kein Cisco und PaloAlta...

97

German - Deutsch / Re: Neue Features für die Opnsense?

« on: June 15, 2022, 10:12:48 pm »

Das kann das OPNsense-Projekt nicht leisten, da müsstest du dich an den Hersteller von Suricata wenden. OPNsense hat mit der Suricata-Implementierung nichts zu tun.

https://suricata.io

Gruß
Patrick

Ach so, ok ich hatte wirklich gehofft das man hier was machen könnte

98

German - Deutsch / Re: Neue Features für die Opnsense?

« on: June 15, 2022, 09:48:02 pm »

Das, was ich will, wäre als Feature super, aber mit einem Plugin, würde ich mich natürlich auch zufriedengeben.

Was ich möchte ist, eine Möglichkeit SSL mittels Suricata zu inspizieren. Ich weiß, die Diskussion gab es schon ein paar mal hier im Forum und ich möchte das nicht, wie bisher, mit Squid und CalmAV machen, sondern echtes SSL instruction prevention. Ich habe darüber gelesen, angeblich soll jede Enterprise NGFW wie Palo Alta oder Cisco das mittlerweile (oder schon seit längerem) beherrschen. {Auch die Nachteile von SSL inspection sind mir bekannt, aber darum soll es hier jetzt nicht gehen}

Ich habe schon Versuche unternommen, mittels SSLsplit zum Beispiel, bin allerdings mit dem Mirrowing kläglich gescheitert, was die Verknüpfung von den gespiegelten Paketen und Surricata angeht.

Genau, das hätte ich gerne, wenn es mir gestattet ist, einen Wunsch zu äußern. 

99

German - Deutsch / Re: Neue Features für die Opnsense?

« on: June 15, 2022, 09:25:27 pm »

Ok auf Github war ich schon aber wo genau 

https://github.com/opnsense/plugins/pulls

Plugins, meint das neue Feature, bin ich dort richtig?

100

German - Deutsch / Neue Features für die Opnsense?

« on: June 15, 2022, 09:12:43 pm »

Hi,

an wen kann man sich wenden bzw. wo finde ich Leute, die an Opnsense entwickeln und ich gerne neue Funktionen hätte, also natürlich vorausgesetzt den Fall, dass mein Feature überhaupt machbar, zeitlich für die Developer umsetzbar und für die Community interessant wäre?

Ein Link wäre hilfreich, vielen Dank im Voraus!

101

German - Deutsch / Re: "Fehler eingehend" lokalisieren...??

« on: June 08, 2022, 10:49:25 pm »

Hi

Normalerweise würde ich bei so etwas auf ein defektes LAN Kabel tippen, aber in Deinem Fall, ob das dann an der VLAN Konfiguration selbst liegt, keine Ahnung. Ist die Sense virtualisiert?

Hier habe ich noch etwas gefunden, vielleicht hilft das weiter: https://forum.opnsense.org/index.php?topic=26853.0

102

German - Deutsch / Re: Umzug auf virtuell Überlegungen

« on: May 28, 2022, 03:26:30 pm »

Es wäre sinnvoller, zwei ESXI im HA zu clustern, weil wenn ein Node abstürzt wegen HW oder sonstigen Problemen, ist der VM Opnsens Gast gespiegelt. HA bei Opnsense per se, macht aus meiner Sicht mehr Sinn, wenn die auf baremetall läuft, also zwei gleiche Server vorhanden sind.

Ich kenne das so von Proxmox, mit ESXI hatte ich noch nichts zu tun, sollte aber vom Prinzip her ähnlich sein.

103

German - Deutsch / Netzerk Verbindung der Sense bricht ab, nach Einstellung von Aliase - evtl. BUG?

« on: May 23, 2022, 09:04:30 pm »

Hi,

ich habe einen Lokalen Host (192.168.0.xyz) zu einer selbst erstellten Blockliste hinzugefügt unter Aliase und anschließend auf speichern und dann anwenden geklickt, danach war die Sense nicht mehr erreichbar, kein Web-Interface und Ping möglich.

Auf der IPMI Console ist, wie im folgenden Bild zu sehen, diese Ausgabe ständigen im Loop durchgelaufen. Nach einem Neustart läuft das System wieder normal, evtl. ein Bug?

Ah genau, unter dem einen Alias habe ich noch zusätzlich Statistiken aktiviert, keine Ahnung, ob da irgendwas durcheinander gekommen sein könnte?

Edit:
Was mir auch noch eingefallen ist, nach dem ich letzte Woche Sensei installiert und konfiguriert habe, hatte ich ein ähnliches Problem, es scheint fast so, als würden die Ethernet Adapter down gehen und nicht wieder hochfahren. Also etwas simplifiziert ausgedrückt.

Vielleicht weiß jemand, was das sein könnte?

(Ich hoffe das es evtl. mit dem nächsten Update weggeht)

104

German - Deutsch / Re: OPNsense kann keine Regeln von FireHOL runterladen

« on: May 21, 2022, 01:57:18 pm »

Klar darfst du den link teilen... Freut mich dass der Artikel gefällt

@nambis:
Firehol L1 wird (bei mir) ja nur auf dem WAN angewendet, die Regel könnte also auch direkt zum Interface, klar. Da der Rest aber auf mehrere Interfaces angewendet wird, habe ich alle bei floating drin, finde ich übersichtlicher und kommt mir auch nirgends in die Quere.

Top Danke!

105

German - Deutsch / Re: OPNsense kann keine Regeln von FireHOL runterladen

« on: May 21, 2022, 12:34:40 am »

Ich kenne die Deutsche GUI nicht, aber vermutlich ist Floating = Fließend , ja

also geht das, auch wenn man entsprechend in LAN und WAN die Regeln einfügt und Level1 dann nur bei WAN?

das verstehe ich nicht... was meinst Du?

Wo hast du die Mailware her

Das weiß ich nicht mehr und es war auch nicht gewollt, ich hatte es nur wissentlich riskiert sowas einzufangen.
Aber selbst wenn... würde ich den Schrott nicht verbreiten

Ich meine das die Rule direkt einem Interface zugewiesen wird, siehe hier -> https://docs.opnsense.org/manual/how-tos/edrop.html

Go to Firewall ‣ Rules Select the WAN tab and press the + icon in the lower right corner.

Kein Problem