OpnSense für Application Level Gateway (ALG) konfigurieren

Started by FirewallNOOP, October 20, 2020, 07:02:01 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 20, 2020, 07:02:01 PM
Hallo zusammen,

kann die OpnSense als ALG konfiguriert werden?

Das einzige was ich bisher gefunden habe wäre der Web-Proxy (Dienste -> Web-Proxy).
Nur weiß ich nicht, ob das dem ALG entspricht wie es vom BSI verlangt wird.

Über weitere Informationen wäre ich sehr Dankbar.

Liebe Grüße und bleibt Gesund  :)

October 20, 2020, 08:59:31 PM #1
Mit Sensei Plugin auf jeden Fall.
October 21, 2020, 12:03:06 AM #2
So weit ich weiß ist Sensei ein IDS/IPS. Ein ALG trennt jede TCP-Verbindung per transparentem Proxy auf. Da besteht ein nennenswerter Unterschied.

Der letzte ordentliche kommerzielle ALG war die ehem. Secure Computing jetzt Forcepoint Sidewinder. Liegt vom Produktsupport her in den letzten Zügen, also ein paar Bestandssysteme kriegen noch Support, dann ist Schluss.

Nachfolgeprodukt von Seiten Forcepoint ist deren NGFW, aber die arbeitet auch "nur" mit deep inspection.

Wenn es um eine Ausschreibung geht, bei der ausdrücklich ein ALG nach BSI gefordert ist, bleibt nur die Genugate. Die kann zwar nix - also vom Protokollsupport her, z.B. verglichen mit der Sidewinder - aber Genua ist Spezialist darin, Behörden-Ausschreibungen zu gewinnen  ;)

Mir ist kein Open-Source-Produkt bekannt, das das kann.

Grüße,
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 21, 2020, 07:48:55 AM #3
Oder siproxd für sip und transparente Proxys für tftp, ftp und www
October 21, 2020, 07:51:21 AM #4
Ich dank euch schon mal sehr, für die schnelle Hilfe. Klasse  :-*

Jetzt frage ich mich allerdings - hat nichts mehr mit OpnSense zutun - wie Behörden die Standard-Anforderungen vom BSI umsetzen.

Werde mich mal mit Genugate, Sidewinder und Siproxd auseinander setzen.

Vielen Dank noch einmal
LG
October 21, 2020, 08:06:29 AM #5
Das ist ein Leitfaden, keine Aufforderung. Du kannst auch ohne ALG ISO27001 oder Tisax zertifiziert werden, ISMS geht ebenfalls
October 21, 2020, 01:17:12 PM #6
Lass die Sidewinder - ich liebe das Produkt, aber es ist tot. End of Sales ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 21, 2020, 04:46:10 PM #7
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/NET/NET_3_2_Firewall.html


NET.3.2.A16 Aufbau einer ,,P-A-P"-Struktur (S)
Der Aufbau einer ,,Paketfilter – Application-Level-Gateway – Paketfilter"-(P-A-P)-Struktur SOLLTE aus mehreren Komponenten mit jeweils dafür geeigneter Hard- und Software bestehen. Für die wichtigsten verwendeten Protokolle SOLLTEN Sicherheitsproxies auf Anwendungsschicht vorhanden sein. Für andere Dienste SOLLTEN zumindest generische Sicherheitsproxies für TCP und UDP genutzt werden. Die Sicherheitsproxies SOLLTEN zudem innerhalb einer abgesicherten Laufzeitumgebung des Betriebssystems ablaufen.


sollte, sollte, sollte ..
October 22, 2020, 09:31:33 AM #8
Ihr habt recht, es SOLLTE ...

Meine Überlegung ging nun in die Richtung, wenn man es umsetzen würde wollen, da es die Sicherheitsrichtlinie möglicherweise vorsieht. Wie würde man es ggf. realisieren?

Daher hatte ich überlegt, ob es mit der OpnSense vielleicht möglich wäre diese als ALG zu konfigurieren.

"NET.1.1.A4 Netztrennung in Sicherheitszonen (B)
[...]
Es MUSS immer eine P-A-P-Struktur, die aus Paketfilter, Application-Layer-Gateway bzw. Sicherheits-Proxies und Paketfilter besteht, realisiert werden, wenn die Sicherheitsrichtlinie oder die Anforderungsspezifikation dies fordern."

Quelle: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/NET/NET_1_1_Netzarchitektur_und_-design.html
October 22, 2020, 11:18:42 AM #9
Nein, die OPNsense ist kein ALG.

ALG bedeutet (wenn man es streng nimmt), Du hast Proxies für *alles*. Wofür es keinen Proxy gibt, das darf durch die Firewall eben gar nicht durch.
Man braucht also einen LDAP-Proxy, einen Active-Directory-Proxy, einen SIP-Proxy, einen Oracle-Proxy, einen MySQL-Proxy ... neben den üblichen Verdächtigen HTTP(S), FTP, SSH ...

Die Sidewinder hatte da die breiteste Unterstützung aber die gibt es nicht mehr. Einen reinen ALG bekommst Du nur noch von Genua - zum Preis eines sehr eingeschränkten Funktionsumfangs.
Man kann die Regel etwas lockern, wenn man einen TCP-Proxy zulässt, aber nicht alle modernen Protokolle lassen sich mit einer einzigen TCP-Verbindung abbilden. Siehe SIP.

Genugate unterstützt laut Material von Genua diese Application Level Proxies:

• WWW-Relay (+SSL)
• WWW-/FTP-Caching Proxy
• FTP-Relay (+ SSL)
• SMTP-Relay (+ SSL)
• POP3-Relay
• SIP-Relay
• Telnet-Relay
• Real Audio- u. Real Video-Relay • NNTP-Relay
• SSH-Relay
• DNS-Relay
• Web Application Firewall

Quelle: https://www.genua.de/fileadmin/Loesungen/Downloads/genugate-broschuere.pdf

Grüße
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions