Best Practice WAN-Firewall

Started by kenobits, December 18, 2020, 09:43:00 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 18, 2020, 09:43:00 AM
Hallo mal ne ganz dumme Frage von nem Newbie - rein theoretisch nur aus Interesse

Was ist denn euerer Meinung nach die beste Konfiguration für die Firewall-Regeln aufs WAN-Interface?
Hab natürlich schon mal bisschen gegoogelt, da kam überall am besten Default-Deny, aber was ist wenn jetzt zum Beispiel die User hinter der Firewall ins Internet dürfen sollen und man noch zwei verschiedene VPN-Arten bzw. VoIP etc?
December 18, 2020, 10:00:01 AM #1
Du solltest auch mal nach "stateful firewall" suchen. Mit deinem Wissen ist die Anwendung von Firewalls (bzw. selbst erstellten Regeln, insbesondere für das WAN Interface) potentiell sehr gefährlich.
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
December 18, 2020, 10:30:57 AM #2 Last Edit: December 18, 2020, 11:05:32 AM by Gauss23
Quote from: kenobits on December 18, 2020, 09:43:00 AM
Hallo mal ne ganz dumme Frage von nem Newbie - rein theoretisch nur aus Interesse

Was ist denn euerer Meinung nach die beste Konfiguration für die Firewall-Regeln aufs WAN-Interface?
Hab natürlich schon mal bisschen gegoogelt, da kam überall am besten Default-Deny, aber was ist wenn jetzt zum Beispiel die User hinter der Firewall ins Internet dürfen sollen und man noch zwei verschiedene VPN-Arten bzw. VoIP etc?

User, die ins Internet wollen, bekommen Regeln auf dem LAN Interface. Die Regel sollte immer auf dem Interface angelegt werden, an dem sie die OPNsense zuerst erreichen. Es handelt sich um eine stateful Firewall, Antwortpakete dürfen also vom WAN ohne gesonderte Regel zum Empfänger passieren.

Auf dem WAN musst Du nur erlauben, was von draußen Verbindungen initiieren darf. Beispiel wäre ein OpenVPN Server auf der OPNsense oder ein Webserver bei Dir im LAN (sowas sollte aber auf ein eigenes Interface, was man dann DMZ nennt) per Port-Forward.
Beim Betrieb als reinen Internet-Router brauchst Du keine Regeln auf dem WAN (default ist deny). Auf dem LAN hast Du per default eine allow any/any Regel. Die sollte man mal auf den Prüfstand stellen. Will man, dass alle Geräte aus dem LAN überall ins Internet telefonieren dürfen?
,,The S in IoT stands for Security!" :)
December 18, 2020, 11:03:39 AM #3
Quote from: chemlud on December 18, 2020, 10:00:01 AM
Du solltest auch mal nach "stateful firewall" suchen. Mit deinem Wissen ist die Anwendung von Firewalls (bzw. selbst erstellten Regeln, insbesondere für das WAN Interface) potentiell sehr gefährlich.

keine Angst, ich bastel da gar nichts rum - wollte mich dem Thema einfach mal annähern bzw. Fragen stellen die mir so gekommen sind
December 18, 2020, 11:07:23 AM #4
Quote from: Gauss23 on December 18, 2020, 10:30:57 AM
Quote from: kenobits on December 18, 2020, 09:43:00 AM
Hallo mal ne ganz dumme Frage von nem Newbie - rein theoretisch nur aus Interesse

Was ist denn euerer Meinung nach die beste Konfiguration für die Firewall-Regeln aufs WAN-Interface?
Hab natürlich schon mal bisschen gegoogelt, da kam überall am besten Default-Deny, aber was ist wenn jetzt zum Beispiel die User hinter der Firewall ins Internet dürfen sollen und man noch zwei verschiedene VPN-Arten bzw. VoIP etc?

User, die ins Internet wollen, bekommen Regeln auf dem WAN Interface. Die Regel sollte immer auf dem Interface angelegt werden, an dem sie die OPNsense zuerst erreichen. Es handelt sich um eine stateful Firewall, Antwortpakete dürfen also vom WAN ohne gesonderte Regel zum Empfänger passieren.

Auf dem WAN musst Du nur erlauben, was von draußen Verbindungen initiieren darf. Beispiel wäre ein OpenVPN Server auf der OPNsense oder ein Webserver bei Dir im LAN (sowas sollte aber auf ein eigenes Interface, was man dann DMZ nennt) per Port-Forward.
Beim Betrieb als reinen Internet-Router brauchst Du keine Regeln auf dem WAN (default ist deny). Auf dem LAN hast Du per default eine allow any/any Regel. Die sollte man mal auf den Prüfstand stellen. Will man, dass alle Geräte aus dem LAN überall ins Internet telefonieren dürfen?

Danke für die Antwort :) also müsste man auf dem WAN-IF keine Regel direkt erstellen? Wenn ich das bei OpenSense richtig gesehen und verstanden habe, kann man ja für die einzelnen VPN-Anwendungen in einem extra Tab pro Anwendung Regeln erstellen, die dann aufs WAN-IF "automatisiert" angewandt werden
December 18, 2020, 11:25:09 AM #5
Entschuldige in meinem ersten Entwurf meines Beitrages habe ich WAN statt LAN geschrieben. Ich habe meinen Post aktualisiert, im Zitat von mir steht es aber noch falsch.

Du musst die VPN Pakete schon manuell zulassen am WAN. Keine Ahnung, ob es einen Automatismus gibt, ich lege mir meine Regeln ganz gerne per Hand an.
,,The S in IoT stands for Security!" :)
December 18, 2020, 03:29:55 PM #6
sieht so aus als würde er die Regeln temporär tatsächlich erstellen und wenn man die Verbindung stoppt wieder rausnehmen - wie gesagt bastel bei uns da nichts rum, mich hatte das einfach mal interessiert (Berufsschule ist schon wieder bisschen her und seit dem nicht mehr vor firewalls gesessen)
Print
Go Up Pages1
User actions