Umbau Netzwerk/Rules

[kosta]

Hallo zusammen,

bin schon seit einigen Wochen dabei mein Netzwerk und Homelab zu Hause umzukrempeln. Alle began mit der Entscheidung VMware aufzulösen und auf Proxmox zu wechseln.
Dabei kam auch die Entscheidung von 192.168.vlan.x/24 zu gehen auf 10.vlan.sortingnetz.x/16.

Damit habe ich die Möglichkeit ein bisschen Ordnung zu halten innerhalb eines Netzes, schon alleine dass ich im LAN 5 logische Bereiche habe. Es Bedarf gewisse Vereinfachung. Etwas weniger Sicherheit aufgrund von Netz-Trennung, aber dafür mehr, weil ich mich dann mehr auf tatsächliche wichtige sicherheitsrelevanten Themen konzentrieren kann, als troubleshooten warum ich jetzt von meinem Handy auf die Steuerung von meinem AVR nicht draufkomme.

Daher habe ich jetzt so eine Basis-Trennung zwischen LAN, PROD (Server), DMZ, Guest... so typisch halt.

Heute habe ich alle Rules gelöscht (tatsächlich ja), Aliases bereinigt, und überall erstmal Any-Any-Any aufgemacht.

Und jetzt überlege ich, was für ein Prinzip bei den Rules gehe ich an.

Meine erste Idee ist "Service-orientiert" zu arbeiten. Also würde ich Aliase erstellen, die bestimmte Ports enthalten, und diese würden dienen eigentlich für bestimmte Ziele nur. Weil service_ad macht Sinn nur am Ziel DC. Aber... wenn ich service_smb nehmen würde, dann kann es durchaus mehr Ziele haben, und ist schon wo ich mich gedanklich verliere.

Ich versuche einfach ein System zu finden, der die Anzahl der Rules übersichtlich hält, oder irgendwie ein System einführen der die Rules irgendwie sortiert, vielleicht logisch trennt.
Ich kenne Kategorien, ich kenne Aliase, ich habe schon einiges gemacht, aber es war immer irgendwie ein Chaos.

In der Arbeit, zum Gegenteil, arbeite ich mit einer Barracuda, und dort gibt es sowohl Sections - also Gruppierungen der Rules, auch im optischen Sinne, wie auch Kaskaden, die zur weiteren Organisation und Optimierung dienen. Barracuda ist allerdings umgekehrt wie OPNsense. OPNsense blockiert ausgehend, so Bedarf das eigentlich ein Umdenken.

Wenn ihr irgendwelche Empfehlungen für mich habt, wäre ich sehr dankbar. Vielleicht paar kurze Beispiele wie ihr die Organisation handhabt.

Anbei so eine schnelle Zeichnung der Idee. Dabei zu beachten dass ich hier nicht zwingend zwischen Floating oder non-Floating unterscheide. Wenn mehrere Netze, ist klarerweise Floating, sonst wenn sich Rule in einem Netz befindet, kann dann mehrere Hosts oder das ganze Netz haben.

Danke euch.

[meyergru]

Hmm. Ich habe hier zwei Fragen:

1. Was heißt "OPNsense blockiert ausgehend, so Bedarf das eigentlich ein Umdenken."? Das ist eigentlich nicht so vorgesehen. Normalerweise blockt oder erlaubt man bei OpnSense nur mit "in" Rules. Oder wie meinst Du das?

2. Wenn Du nur 3 VLANs hast, dann helfen Dir die "Bereiche" oder "sortingnetze" doch nichts, weil innerhalb eines VLANs jeder mit jedem frei kommunizieren kann?

Ich mache das eigentlich so, dass ich zunächst jedes VLAN mal gegen RFC1918 abschotte (außer den höher privilegierten VLANs, also z.B: Management) - die dürfen alles. Abgesehen davon dürfen die aber auch jedes Ziel, also ins Internet. An sich ist es ziemlich egal, ob wir über ein IoT-VLAN sprechen, ein normales Client-VLAN oder ein Gast-VLAN - ohne Internet geht meist sowieso nichts.

Danach muss ich mir nur noch überlegen, welche Dienste ich habe, die trotzdem geöffnet werden müssen, dass mache ich mit PASS-Regeln davor.
Sofern es zentrale Dienste wie DNS, NTP o.ä. sind, richten die sich sowieso an "This Firewall" und können für alle Netze oder Gruppen (ich habe eine für die "weniger privilegierten VLANs") in den Floating Rules freigegeben werden.

Sind es spezielle Services, wie z.B: Zugriff auf einen Fileserver im LAN, definiere ich einen Alias für die erlaubten Clients und einen für die zum Service gehörigen Ports und erlaube es per Floating PASS-Regel. In den Interface-Regeln sind eigentlich nur die Block-RFC1918 und die Pass-Any-Regeln, abgesehen natürlich von WAN-Regeln.

Zur Organisation kann man Categories nutzen, danach lässt sich die Anzeige auch filtern, wenn das zu viele Regeln werden.

Neuerdings gibt es auch die "Automation"-Sektion, das habe ich aber noch nicht genutzt.