Hilfe bei Firewallregeln erbeten

[TSc]

Guten Tag,

ich bin als aktiver User neu hier im Forum. Ich habe zwar schon viel hier im Forum und auf anderen Plattformen recherchiert, aber war noch nicht als User aktiv. Auch die docs von OPNSense und eBooks von Dritten habe ich gelesen. Ich bin zwar seit gut 30 Jahren in der IT tätig, allerdings habe ich mit dem Bereich Netzwerk nur am Rande zu tun. Ich habe zuhause ein kleines Netzwerk, an dem ich mein Wissen auch abseits des Berufs weiter ausbaue.

übergeordnetes Ziel: Netzwerksicherheit erhöhen

Trigger: die Security-Lage verschlechtert sich kontinuierlich - Täter gehen immer ausgefeilter vor – auch an breitere Ziele (IoT, private Rechner, kleine Unternehmen etc.) – hybride Angriffe (physical Security und IT-Security müssen zusammenarbeiten)

Maßnahme: paralleler Aufbau einer Infrastruktur mit Netzwerksegmentierung (Server_neu) – spätere  Datenmigration mit genauer Überprüfung aus dem vorhandenen Netzwerk (Server_alt) und dann nach Übergangsphase abschalten

später: Erweiterung um externe Services (z.B. Intrusion Detection, ET Pro Rulese, Zenarmor)

aktuelles Problem: Firewallregeln in OPNSense

meine Bitte an das Forum: Hilfe beim Finden der Fehlerursache

Um den Rahmen der Darstellung nicht zu sprengen, habe ich die Detailbeschreibung in ein separates pdf-Dokumente gepackt und angehängt. Ich bin unsicher bzgl. der Syntax bei Source & Destination & in/out bei OPNSense-Regelwerken --> bitte kritisch betrachten.

Danke


Tom


Struktur des Anhangs:
• Problembeschreibung
• Beschreibung Umgebung
• Visualisierung Umgebung
• Ziel: Regelwerke
• aktuelle Konfiguration
• Erkenntnisse (was geht / was geht nicht)

Problembeschreibung:
•   ich bekomme keine saubere Netzwerktrennung zwischen den drei Netzen aufgebaut
•   es ist ein ping in andere Netze möglich
•   Firewallregeln mit DENY-ANY und expliziten ALLOW-Ausnahmen bekomme ich nicht nachvollziehbar aufgebaut

Fragen:
• wie muß ich die Firewallregeln anpassen, damit
  o die Verbindung zu den anderen Netzwerken nicht funktioniert?
  o SMTP funktioniert?
  o die GUI OPNSense nur aus dem Management-Netzwerk erreicht wird?
• gibt es Empfehlungen zu Tools, mit denen ich das Regelwerk auf Funktion prüfen kann?
• gibt es Empfehlungen, die Regeln hinsichtlich der Security-Qualität zu verbessern?

Visualisierung Umgebung
 
                        WAN / Internet
                                  :
                                  : VDSL-Provider
                                  : (WAN / 203.0.113.123)
                                  :
                          .-----+-----.
                          |  Router   |  LANCOM 1906VA
                          '-----+-----'  (192.168.190.10)
                                  |
                                  |           .-----+------.
IP-Transfernetz            +--------|  Test-PC D |
(192.168.190.0/24)     |        '-----+------'
                                  |       (192.168.190.100)
                                  |
                                  |        WAN OPNSense
                                  |        (192.168.190.66)
                          .-----+------.
         .------------|  OPNSense+-------------.
         |                '-----+------'                  |
         |                        |                           |
         | 41_Server_alt   | 3_Server_neu      | 0_Management
         | (192.168.241.10) | (192.168.203.10) | (192.168.200.10)
         | (Subnet 24)      | (Subnet 24)         | (Subnet 24)
         |                        |                            |
         |                        |                            |
 .-----+------.       .-----+------.           .-----+------.
 |  Test-PC C |      |  Test-PC B |          |  Test-PC A |
 '-----+------'       '-----+------'            '-----+------'
(192.168.241.100)  (192.168.203.100)  (192.168.200.100)

[ar]

Nur relativ überflogen, aber es scheint als wenn dein OPNsense als Gateway zwischen den Subnets agiert.

Was aus dem Diagram nicht hervorgeht ist die tatsächliche Anzahl der Interfaces am OPNsense und wie du die drei Subnetze physisch trennst (z.B. über drei unterschiedliche Ethernet-Ports), solltest du das nicht machen und einfach nur drei IP-Adressen auf einem Interface vergeben haben, könntest du eventuell schauen ob VLAN eher die Lösung ist die du suchst, so könntest du die Netze recht sicher trennen auf einem Interface.

Die Idee dahinter ist das du pro Interface/Subnet in/out-Regeln definieren möchtest, aber anscheinend aktuell nicht kannst.

[TSc]

Guten Morgen,

danke für Deine Antwort. Die technischen Details habe ich in ein einzelnes pdf-Dokument gepackt. Und an die ersten Anfrage angehängt. Damit die Anfrage nicht unübersichtlich wird.

> Was aus dem Diagram nicht hervorgeht ist die
> tatsächliche Anzahl der Interfaces am OPNsense
> und wie du die drei Subnetze physisch trennst

Es handelt sich um 6 produktive NICs (2 + 4 + iLO). Die Netze hängen an vier separaten NICs.
em0   WAN
em1   0_Management
bge0   41_Server_alt
bge1   nicht benutzt
bge2   nicht benutzt
bge3   3_Server_neu


> es scheint als wenn dein OPNsense als
> Gateway zwischen den Subnets agiert
ja - diese Funktion würde es erklären. Oder ein NIC-Teaming. Aber ich habe beides (zumindest bewußt) nicht aktiviert.

Ich habe nur einen Eintrag (default) bei Gateway
System: Gateways: Einzeln
WAN_GW (active)   WAN   IPv4   255 (upstream)   192.168.190.10      ~   ~   ~   Online   Interface WAN Gateway

Hast Du Ideen, wie ich die Verbindung kappen kann?

Tom

[TSc]

Guten Abend,

kurzer Zwischenstatus:
zwei von drei Fragen konnte ich durch weitere Recherche im englischsprachigen Forum und durch Mitlesen von "Firewall: Protokolldateien: Liveansicht" lösen.


GELÖST
> wie muß ich die Firewallregeln anpassen,
> damit SMTP funktioniert?
Es lag am vorgelagerten LANCOM-Router. Ich hatte in dessen Firewall den Port 587 unter ALLOW-SECUREMAIL nicht freigegeben. Es wurde also vorher geblockt - nicht in OPNsense.


GELÖST
> wie muß ich die Firewallregeln anpassen,
> damit die GUI von OPNsense nur aus dem
> Management-Netzwerk erreicht wird?
System: Einstellungen: Verwaltung
Hörende Schnittstellen von "alle" --> "0_Management"


OFFEN
> wie muß ich die Firewallregeln anpassen, damit
> die Verbindung zu den anderen Netzwerken nicht funktioniert?
Hat hier noch jemand eine Idee für mich? Firewall, Gateway, Bridge, Teaming?


Soll ich ein Gateway pro Netz einrichten?
Oder gibt es irgendwo eine Bridge-Funktion, die ich nicht wahrgenommen habe?

Danke für ein Feedback


Tom

[ar]

Hast du Regeln auf z.B. bge3 IN, die Source aus bge0 NET verhindert oder ist aktuell alles erlaubt im Sinne von "allow LAN to any"