Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Übersicht der Regeln behalten?
« previous
next »
Print
Pages: [
1
]
Author
Topic: Übersicht der Regeln behalten? (Read 1064 times)
superwinni2
Hero Member
Posts: 546
Karma: 24
Netzwerk der Kindheit? - Draussen
Übersicht der Regeln behalten?
«
on:
May 29, 2024, 08:11:41 pm »
Hallo zusammen
ich verwalte inzwischen ein Netzwerk mit 30+ Netzbereichen. Clients, Server, Drucker, mehrere Produktionsbereiche und viele kleinere Bereiche.
So langsam bin ich an meiner Grenze der Übersichtlichkeit angekommen. Und das bei ~90 Regeln pro Interface.
Ich hatte mal eine Firewall im Einsatz (weiß den Namen leider nicht mehr) bei welcher ich aufklappbare "Bereiche" (mit freier Namenswahl) machen konnte.
So gab es einen Bereich mit "Clients -> Server".
Einen weiteren Bereich mit "Clients -> Drucker" und so weiter...
Wie macht ihr das wenn ihr bei viele Regeln die Übersicht behalten möchtet? Über kurz oder lang vermute ich, dass ich bei mindestens 300+ Regeln in manchen Interfaces landen werde.
Nutzt ihr die Kategorisierung? Nach was Kategorisiert ihr?
Was ich aktuell mache:
Ich "denke" mir auch solche Blöcke und sortiere die Regeln entsprechend.
So geht erst ein Block mit "Clients zu Server" los. Dann "Clients zu Drucker" etc....
Diesen Block zu erkennen ist meistens relativ schwer und manchmal eine Kunst für sich.
Vor allem wenn man wie ich oder Kollegen nicht täglich damit arbeiten.
Daher die Frage ob es hier andere Ideen gibt auf die ich bisher nicht gekommen bin
Danke!
Logged
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD
FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
Ronny1978
Jr. Member
Posts: 87
Karma: 0
Re: Übersicht der Regeln behalten?
«
Reply #1 on:
May 30, 2024, 05:10:02 am »
Hallo supperwinni2,
ich kann nicht ganz genau rauslesen, ob du schon mit Alias arbeitest. Aber du könntest dir ein Alias der Server anlegen und dort alle IPs reinpacken. Dann brauchst in den Regeln nur noch das Alias als Ziel oder Quelle auswählen, statt die Regel auf jede einzelne IP zu legen müssen. Setzt natürlich statische IPs voraus.
Genauso könntest du bei den Druckern und Bereichen verfahren. Bei den Bereichen, dann für die Clients als Ziel oder Quelle das Netzwerk ansprechen und weniger die IPs der einzelnen Clients, außer die sind auch statisch.
Vielleicht hilft das schon etwas weiter, um die Regeln etwas "einzudampfen". Kategorien nutze ich, aber noch zur Übersicht, wenn ich mal was suche. Kommt aber kaum/nie vor.
Viel Erfolg.
P.S. Wie kommst du denn auf 90 Regeln PRO INTERFACE???
Logged
mooh
Jr. Member
Posts: 93
Karma: 3
Re: Übersicht der Regeln behalten?
«
Reply #2 on:
May 30, 2024, 01:11:59 pm »
Wenn mehrere Interfaces teilweise gleiche Regeln haben, bieten sich Firewall: Groups an.
Logged
superwinni2
Hero Member
Posts: 546
Karma: 24
Netzwerk der Kindheit? - Draussen
Re: Übersicht der Regeln behalten?
«
Reply #3 on:
May 31, 2024, 03:49:03 pm »
@ Ronny1978
Oh an die Aliase habe ich gar nicht mehr gedacht. Jedoch sind diese bei mir bereits im Einsatz. Und helfen bereits ein wenig bei der Übersichtlichkeit. Was gruppiert werden konnte ist gruppiert.
90 Regeln pro Interface?
Relativ easy in meinem Umfeld. Habe die OPNsense im Geschäftseinsatz und wie bereits geschrieben nicht gerade wenig Netze zu verwalten.
Früher (vor einem Jahr) hatten wir nur einen Layer 3 Switch im Einsatz welcher einfach wie ein offenes Scheunentor geroutet hat. Ganz ohne Regelwerk.
Vor einem Jahr gab es dann mal einen Pentest und natürlich wird hier gerne mal das Thema Netzwerksegmentierung angesprochen. Also versucht man ein paar Gruppen zu finden welche man Segmentieren kann.
-> Clients, Server, Drucker, VoIP, DMZ, Gast, Elektriker, Lager, Management, PR1 (Produktionsnetzwerk), PR2, PR3 bis aktuell geplant hin zu PR15.
Dann nun noch genug einzelne Mitarbeiter bzw. Computer welche eben nicht einfach überall hin sollten aus Sicht der Sicherheit. Da macht es mal ganz schnell schwapp.
Alleine zwischen Clients und Server habe ich aktuell 55 Regeln. Und diese sind oftmals noch nicht mal mit Ports bestückt. Sondern nur "der darf auf den Server mit allen Ports".
Beispiel: Alle Elektiker Laptops dürfen zu den PRxx Netzwerken. (Die Verkaufsabteilung benötigt beispielsweise keinen Zugriff auf die Produktionsmaschinen)
Zudem ein paar allgemeine Regeln wie "Clients dürfen zu DomänenController mit entsprechenden Ports (als Alias)" um das alles zu kurz wie möglich zu halten.
@ mooh:
Das habe ich tatsächlich auch mal getestet...
Jedoch bringt dies auch nicht den erhofften Vorteil da es hier viel zu individuell ist.
Logged
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD
FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Übersicht der Regeln behalten?
«
Reply #4 on:
June 06, 2024, 11:53:05 am »
> Beispiel: Alle Elektiker Laptops dürfen zu den PRxx Netzwerken. (Die Verkaufsabteilung benötigt beispielsweise keinen Zugriff auf die Produktionsmaschinen)
> Zudem ein paar allgemeine Regeln wie "Clients dürfen zu DomänenController mit entsprechenden Ports (als Alias)" um das alles zu kurz wie möglich zu halten.
Das klingt danach, als wäre euer Netz ggf. etwas zu unpraktisch segmentiert. Wenn die Zugriffsbedingungen so unterschiedlich sind, dann sollte da eventuell auch einfach unterschiedliche Segmente / VLANs sein, die getrennt sind. Und was identisch ist (von den unterschiedlichen Client Netzen), das kann man gut via einer "Client" Gruppe machen. Also als Beispiel:
Gruppe Client:
- regelt Zugriff auf DNS, NTP, Infrastrutkur Sachen, die jeder Client braucht wie ggf. AD Zugriff o.ä.
Interface Elektriker
- Zugriff auf PRXX
Interface Verkauf
- Nur Zugriff der da benötigt wird.
etc. etc.
So bekommt man recht gut die gleichartigen Regeln via Gruppe einmalig in den Griff und hat dann auf den Interfaces wirklich NUR gezielt die Ausnahmen von der Regel drauf. Dadurch dann auch einfacheres Durchsehen oder Freischalten, wenn mal was für alle dazu kommt. Zudem lassen sich damit auch gut intra-VLAN-Sperren besser durchsetzen (nicht alle Clients ins gleiche Client VLAN, alle VLANs gegeneinander abgeriegelt etc.)
Cheers
\jens
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Patrick M. Hausen
Hero Member
Posts: 6810
Karma: 572
Re: Übersicht der Regeln behalten?
«
Reply #5 on:
June 06, 2024, 09:07:10 pm »
Genau. Wenn ich das so lese, ist doch klar: alle Elektriker-Laptops kommen in VLAN x. Und da setzt man dann die Regeln drauf.
Wenn du - außer bei eingehenden Diensten - per IP Adresse filterst, machst du oft was falsch.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
bimbar
Sr. Member
Posts: 435
Karma: 25
Re: Übersicht der Regeln behalten?
«
Reply #6 on:
June 07, 2024, 10:37:50 am »
Wenn du 30 Netzbereiche hast, also 30 Interfaces, und auf jedem Interface 90 Regeln, dann hast du schon die Kontrolle verloren.
Da ist es mir lieber, großzügig freizuschalten, als tausende von Regeln zu haben.
Logged
NorbertK
Newbie
Posts: 13
Karma: 0
Re: Übersicht der Regeln behalten?
«
Reply #7 on:
June 07, 2024, 11:42:43 am »
Ich finde das auch schon in kleineren Netzen schwierig.
Ich suche nach einem Überblick, der die existirenden Regeln erst mal klar anzeigt und habe dabei mit dem API experimentiert. Ist ein ziemlich wildes gehampel.
Aber vielleicht ist es am besten ,
Code:
[Select]
/tmp/rules.debug
zu parsen.
Das ist die Wahrheit über den Status quo in einer Datei.Und da sieht man auhc schön, wo man noch aliase definieren sollte.
Logged
Kind regards and thanks !
Norbert
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Übersicht der Regeln behalten?