Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OpnSense für Application Level Gateway (ALG) konfigurieren
« previous
next »
Print
Pages: [
1
]
Author
Topic: OpnSense für Application Level Gateway (ALG) konfigurieren (Read 4375 times)
FirewallNOOP
Newbie
Posts: 3
Karma: 0
OpnSense für Application Level Gateway (ALG) konfigurieren
«
on:
October 20, 2020, 07:02:01 pm »
Hallo zusammen,
kann die OpnSense als ALG konfiguriert werden?
Das einzige was ich bisher gefunden habe wäre der Web-Proxy (Dienste -> Web-Proxy).
Nur weiß ich nicht, ob das dem ALG entspricht wie es vom BSI verlangt wird.
Über weitere Informationen wäre ich sehr Dankbar.
Liebe Grüße und bleibt Gesund
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: OpnSense für Application Level Gateway (ALG) konfigurieren
«
Reply #1 on:
October 20, 2020, 08:59:31 pm »
Mit Sensei Plugin auf jeden Fall.
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
Patrick M. Hausen
Hero Member
Posts: 6841
Karma: 574
Re: OpnSense für Application Level Gateway (ALG) konfigurieren
«
Reply #2 on:
October 21, 2020, 12:03:06 am »
So weit ich weiß ist Sensei ein IDS/IPS. Ein ALG trennt jede TCP-Verbindung per transparentem Proxy auf. Da besteht ein nennenswerter Unterschied.
Der letzte ordentliche kommerzielle ALG war die ehem. Secure Computing jetzt Forcepoint Sidewinder. Liegt vom Produktsupport her in den letzten Zügen, also ein paar Bestandssysteme kriegen noch Support, dann ist Schluss.
Nachfolgeprodukt von Seiten Forcepoint ist deren NGFW, aber die arbeitet auch "nur" mit deep inspection.
Wenn es um eine Ausschreibung geht, bei der ausdrücklich ein ALG nach BSI gefordert ist, bleibt nur die Genugate. Die kann zwar nix - also vom Protokollsupport her, z.B. verglichen mit der Sidewinder - aber Genua ist Spezialist darin, Behörden-Ausschreibungen zu gewinnen
Mir ist kein Open-Source-Produkt bekannt, das das kann.
Grüße,
Patrick
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: OpnSense für Application Level Gateway (ALG) konfigurieren
«
Reply #3 on:
October 21, 2020, 07:48:55 am »
Oder siproxd für sip und transparente Proxys für tftp, ftp und www
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
FirewallNOOP
Newbie
Posts: 3
Karma: 0
Re: OpnSense für Application Level Gateway (ALG) konfigurieren
«
Reply #4 on:
October 21, 2020, 07:51:21 am »
Ich dank euch schon mal sehr, für die schnelle Hilfe. Klasse
Jetzt frage ich mich allerdings - hat nichts mehr mit OpnSense zutun - wie Behörden die Standard-Anforderungen vom BSI umsetzen.
Werde mich mal mit Genugate, Sidewinder und Siproxd auseinander setzen.
Vielen Dank noch einmal
LG
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: OpnSense für Application Level Gateway (ALG) konfigurieren
«
Reply #5 on:
October 21, 2020, 08:06:29 am »
Das ist ein Leitfaden, keine Aufforderung. Du kannst auch ohne ALG ISO27001 oder Tisax zertifiziert werden, ISMS geht ebenfalls
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
Patrick M. Hausen
Hero Member
Posts: 6841
Karma: 574
Re: OpnSense für Application Level Gateway (ALG) konfigurieren
«
Reply #6 on:
October 21, 2020, 01:17:12 pm »
Lass die Sidewinder - ich liebe das Produkt, aber es ist tot. End of Sales ...
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: OpnSense für Application Level Gateway (ALG) konfigurieren
«
Reply #7 on:
October 21, 2020, 04:46:10 pm »
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/NET/NET_3_2_Firewall.html
NET.3.2.A16 Aufbau einer „P-A-P“-Struktur (S)
Der Aufbau einer „Paketfilter – Application-Level-Gateway – Paketfilter“-(P-A-P)-Struktur SOLLTE aus mehreren Komponenten mit jeweils dafür geeigneter Hard- und Software bestehen. Für die wichtigsten verwendeten Protokolle SOLLTEN Sicherheitsproxies auf Anwendungsschicht vorhanden sein. Für andere Dienste SOLLTEN zumindest generische Sicherheitsproxies für TCP und UDP genutzt werden. Die Sicherheitsproxies SOLLTEN zudem innerhalb einer abgesicherten Laufzeitumgebung des Betriebssystems ablaufen.
sollte, sollte, sollte ..
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
FirewallNOOP
Newbie
Posts: 3
Karma: 0
Re: OpnSense für Application Level Gateway (ALG) konfigurieren
«
Reply #8 on:
October 22, 2020, 09:31:33 am »
Ihr habt recht, es SOLLTE ...
Meine Überlegung ging nun in die Richtung, wenn man es umsetzen würde wollen, da es die Sicherheitsrichtlinie möglicherweise vorsieht. Wie würde man es ggf. realisieren?
Daher hatte ich überlegt, ob es mit der OpnSense vielleicht möglich wäre diese als ALG zu konfigurieren.
"NET.1.1.A4 Netztrennung in Sicherheitszonen (B)
[...]
Es MUSS immer eine P-A-P-Struktur, die aus Paketfilter, Application-Layer-Gateway bzw. Sicherheits-Proxies und Paketfilter besteht, realisiert werden,
wenn
die Sicherheitsrichtlinie oder die Anforderungsspezifikation dies fordern."
Quelle:
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/NET/NET_1_1_Netzarchitektur_und_-design.html
Logged
Patrick M. Hausen
Hero Member
Posts: 6841
Karma: 574
Re: OpnSense für Application Level Gateway (ALG) konfigurieren
«
Reply #9 on:
October 22, 2020, 11:18:42 am »
Nein, die OPNsense ist kein ALG.
ALG bedeutet (wenn man es streng nimmt), Du hast Proxies für *alles*. Wofür es keinen Proxy gibt, das darf durch die Firewall eben gar nicht durch.
Man braucht also einen LDAP-Proxy, einen Active-Directory-Proxy, einen SIP-Proxy, einen Oracle-Proxy, einen MySQL-Proxy ... neben den üblichen Verdächtigen HTTP(S), FTP, SSH ...
Die Sidewinder hatte da die breiteste Unterstützung aber die gibt es nicht mehr. Einen reinen ALG bekommst Du nur noch von Genua - zum Preis eines sehr eingeschränkten Funktionsumfangs.
Man kann die Regel etwas lockern, wenn man einen TCP-Proxy zulässt, aber nicht alle modernen Protokolle lassen sich mit einer einzigen TCP-Verbindung abbilden. Siehe SIP.
Genugate unterstützt laut Material von Genua diese Application Level Proxies:
• WWW-Relay (+SSL)
• WWW-/FTP-Caching Proxy
• FTP-Relay (+ SSL)
• SMTP-Relay (+ SSL)
• POP3-Relay
• SIP-Relay
• Telnet-Relay
• Real Audio- u. Real Video-Relay • NNTP-Relay
• SSH-Relay
• DNS-Relay
• Web Application Firewall
Quelle:
https://www.genua.de/fileadmin/Loesungen/Downloads/genugate-broschuere.pdf
Grüße
Patrick
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OpnSense für Application Level Gateway (ALG) konfigurieren