Überlegungen eines Wechsels von pfsense

[mimugmail]

Da erinnere ich mich nur an schlecht recherchierte und relativ haltlose Geschichten. Dass man mit dem Verkauf der offiziellen Hardware das Projekt unterstützt und refinanzieren möchte - ist ja irgendwo logisch. Zudem durch den Verkauf von Support - auch altbekannt. Ich kann daran nichts "Aufschrei"-würdiges erkennen. Außer dass wieder Aluhutträger kamen, die partout meinten, jetzt gibts nur noch Software gebundelt auf Netgate Hardware. Dem ist/war aber nicht so. Ob man die offizielle Hardware gut findet - das ist ein anderes Thema ;)

Ganz deiner Meinung, wobei mich das mit dem Cryptochip was sie jetzt für ARM machen schon leicht verschreckt. Ich kann verstehen dass sie da viel Manpower reingesteckt haben das auf ARM zu bringen und jetzt sicherlich das so stricken dass es auch nur mit Netgate ARM läuft, die Leute finden dann wiederrum das Werben als open source eher befremdlich  ..

[franco]

Ob die Geschichte ohne OPNsense anders ausgehen hätte können kann jeder selbst erörtern.  Jedenfalls gab es vermehrte Aktionen die sich über die Jahre im Kreis drehten: Lizenzwechsel zu restriktiver zu offener, Quellcode mehrmals mal nicht auf GitHub dann wieder da. pfSense 3.0 und dann doch eher 2.4. DPDK und dann Netmap (verlassen in 2015[1]) und jetzt DPDK mit Linux auf "open source" Basis ohne "open source" Code. Geht alles, aber sieht halt etwas unstetig aus global betrachtet.

Hat übrigens jemand gemerkt dass seit 2018 beide Projekte ihre Dokumentation als Open Source veröffentlichen. ;)

[1] https://github.com/Netgate/netmap-fwd

[monstermania]

Ganz deiner Meinung, wobei mich das mit dem Cryptochip was sie jetzt für ARM machen schon leicht verschreckt. Ich kann verstehen dass sie da viel Manpower reingesteckt haben das auf ARM zu bringen und jetzt sicherlich das so stricken dass es auch nur mit Netgate ARM läuft, die Leute finden dann wiederrum das Werben als open source eher befremdlich  ..

Wie Du schon richtig geschrieben hast, hat Netgate einiges an Zeit/Geld investiert um pfsense auf ARM zum Laufen zu bekommen. Da kann man m.E. sehr wohl nachvollziehen, dass Sie das KnowHow schützen wollen/müssen! Das hat auch nicht unbedingt etwas mit Open Source zu tun, da es ja nicht um das eigentliche Produkt pfsense an sich geht!
Es wird ja niemand daran gehindert z.B. OPNsense auch für die espresso.bin Platform zu portieren. ;)
Ich finde die Netgate 1100 auf jedem Fall ein sehr interessantes Produkt.

[mar_becker]

Hallo zusammen,

@ JeGr

Ansonsten würde mich wie Dirk interessieren, was man sich von Surricata/Snort im Heimbetrieb mit WAN/LAN großartig erhofft. Verstehe es einfach nicht, was da "schützenswert" ist, wenn keine eingehenden Verbindungen erlaubt sind. Wenn ich selbst Dienste (Webserver o.ä.) anbiete, alles nachvollziehbar - auch wenn man selbst dann noch andere Karten ausspielen kann - aber im Heimbetrieb wo ich ggf. mal VPN offen habe und ansonsten outgoing traffic habe? Was will ich da mit IDS/IPS? Würde mich gerne über Feedback freuen.

Ein interessanter Ansatz...

Du bist also der Meinung, das es unter normalen Umständen im privaten Bereich kein IPS/IDS braucht.
Die Gründe für diese These interessieren mich und freue mich auf die Antwort.


Gruß
Mario

[monstermania]

@mar_becker
Ich finde, dass JeGr im Fred schon sehr deutlich erklärt hat, warum er IDS/IPS im privaten Heimnetz nicht unbedingt als sinnvoll erachtet. Da stimme ich auch voll mit überein!
Von daher solltest Du eher erklären, warum IDS/IPS für Dein Heimnetz soo unverzichtbar ist.  ;)

Gruß
Dirk

PS: Im Firmenumfeld sieht es dann schon wieder ganz anders aus.

[mar_becker]

Hallo Dirk,

ich habe in meinem Post nicht erwähnt, dass es für mich soo unverzichtbar ist...  ;)

Ob man das Feature IDS/IPS im privaten Bereich verwendet, ist denke ich auch eine Glaubensfrage.
Im Endeffekt muss jeder selber entscheiden, ob man es haben will oder nicht. Schaden tut es mit Sicherheit nicht und es ist ja auch eine Frage der Performance. Denn IDS/IPS nimmt sich schon einen guten Schluck aus der Pulle..

Aber wie dem auch sei, es bleibt eine interessante Diskussion und ich finde das gut so.

Beste Grüße

Mario

[JeGr]

> ich habe in meinem Post nicht erwähnt, dass es für mich soo unverzichtbar ist...  ;)

"Einfache" Antwort an Mario :)

Mein Heimnetz kontrolliere ich. Da sind keine Geräte die ich nicht kenne oder zumindest mal grob sicherheitstechnisch einschätzen kann. Mein Heimnetz ist in VLANs separiert und diese können je nach VLAN mehr oder weniger nach draußen sprechen. Zusätzlich ist mit pfBlockerNG und einigen guten Voreinstellungen und Listen einiges an grobem Unfug auf IP Ebene und mit DNSBL Listen (ebenfalls in pfBNG und in einem VLAN testweise über einen Raspi mit PiHole was ich für jemanden getestet habe) genug weggefiltert. Kritischere Geräte wie Streaming Boxen, TVs etc. haben ihr eigenes Media Netz, wichtigere Kisten wie "LAN/intern" und Co haben etwas freiere Entfaltung. Genauso die Spielkisten der Kids oder Konsolen.

Da brauche ich IMHO keine overpower Resourcen für IDS abstellen, das ich - wenn ich es _sinnvoll_ betreiben möchte auch ständig kontrollieren sollte (damit kein Quatsch gemacht wird) und das mir durch Layer7 Filter ordentlich auf die Performance Mütze haut. Ich biete nach draußen keine Dienste an die ich schützen müsste, ergo ist WAN ohnehin zu 99% dicht - mal von VPN und ein paar Spezialfällen mit restricted sources abgesehen.

Es geht m.M.n. um Verständnis was man tut und wo man es tut. Einfach alles mit IDS/IPS zu erschlagen, wie ich das vielfach bei KMUs oder im privaten Rahmen sehe, finde ich persönlich Unfug. Da wird vor 2 Jahren mal eine OPNsense installiert, beim IDS der Haken reingemacht, sogar der Protection Mode angemacht und dann schaut da keine Sau mehr in Logs oder sonstwas - oder jemand schaut rein und ist von der Masse oft völlig erschlagen. Resultat? "click pass" wie bei den guten alten Personal Firewalls. Erstmal ein super Gefühl "Hey ich bin jetzt total geschützt". Dann die Überforderung weil jede Anwendung und jeder Pups ein Popup produziert und am Ende die Resignation indem einfach bei den meisten Sachen auf "Ja und Amen" geklickt wird, damit es einfach funktioniert. Und nicht oft werden solche Systeme einfach "vergessen" bzw. an andere Kollegen/Leute übergeben, die von den Settings gar nichts wissen, sich aber wundern, dass einige Sachen einfach komischerweise nicht gehen. Jap, alles schon erlebt und direkt aus der Praxis.

Ich habe keinem abgesprochen, dass er sich nicht gern zu Hause vor das Log von Surricata oder Snort setzen und es auswerten darf. Oftmals genügen aber bereits die Dinge, die ich oben erwähnt habe schon massig, um das Gros an Krimskrams auszufiltern. Wenns dann in die Details geht oder man tatsächlich Verdacht hat, dass irgendwo Schmu im Gang ist, dann kann IDS wie auch tcpdump und Co ein gutes Werkzeug sein, da etwas zu finden. Nur sagt man nicht umsonst, dass man ein IDS gut und gern ein paar Monate laufen lassen und analysieren muss, bis man für sich die halbwegs funktionierende Konfig raus hat. Und selbst dann ist die davon abhängig, wie gut und aktuell und umfangreich meine Listen sind.

> Ganz deiner Meinung, wobei mich das mit dem Cryptochip was sie jetzt für ARM machen schon leicht verschreckt.

Ich glaube bei "Cryptochip" sollte man unterscheiden. Einerseits gibts nämlich einen Cryptobeschleuniger an dem gearbeitet wird und der m.W. noch nicht vollständig integriert ist. Der soll ganz einfach ähnlich wie AES-NI auf ARM die Crypto beschleunigen und den Chip sichern.
Was noch im Raum schwebt ist kein "Crypto", sondern - und ich sage das absichtlich - eine "Art" TPM in welchem bspw. Prüfsummen o.ä. hinterlegt sind, damit bspw. sichergestellt ist, dass die offiziellen Update(quellen) genutzt werden und die Hardware authentisch ist und man sich keine nachgeahmte Box eingetreten hat, bei der nicht kontrolliert werden kann, was genau da eigentlich installiert ist und ob da noch anderer Kram läuft den keiner sieht.

Wurde BTW auch im Forum, Reddit und Co. schon diskutiert, dass das a) kein Lockdown ggü. anderer Hardware oder der Community Edition ist und b) keine Hardware Lizenz damit da irgendwas kassiert wird. Auch da gehts wieder um das gleiche Thema "authenticity" sowohl der Software, Prüfsumme etc. damit klar ist, ja das ist genuine Version 2.4.4 und dass niemand in die Firmware gepinkelt hat.

Grüße