[gelöst] Firewall -> (Interface) Groups

Started by kosta, June 20, 2021, 08:47:05 AM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
June 23, 2021, 08:48:16 AM #15
Windows telemetry (via Alias), irgendwelche pings, die mein Linux an die Distribution sendet, ipv6 generell. Solche Sachen...
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
June 23, 2021, 08:49:17 AM #16
Danke für die Ideen!
June 23, 2021, 02:32:03 PM #17
Quote
Aber das ist doch relativ einfach: Die Dinge die ich ÜBERHAUPt nicht will, sind floating, alles Spezifische ist auf den einzelnen Interfaces. Kann man sich doch merken. Selbst in meinem Alter funktioniert das ganz gut...

Ich widerspreche dir da ja gar nicht :) Nur zeigt die Praxis, dass das hauptsächliche Arbeiten auf den Interfaces selbst stattfindet und die Menschen dazu neigen, die Floating Rules (wie auch automatisch generierte) zu vergessen und sich dann wundern, warum ihre Regel nicht greift. Darauf zielte auch mein Kommentar ab ;)


> Korrekt. Bis man es in der NIC nicht händisch ändert.

Warum soll ich es ändern wenn ich DHCP mache? Das gibt keinen Sinn. Entweder ich mache DHCP oder ich lasse es aber DHCP machen UND dann noch selbst am Interface fummeln ist doch kontraproduktiv?

> IPv4 TCP/UDP   LAN net   *   LAN address   53 (DNS)   *   *   DNS

So macht es auch viel mehr Sinn, korrekt. UDP würde zudem auch reichen. :)

Nachdem man manuell auch outbound Regeln machen kann, nutze ich Floats fast gar nicht mehr. Damit hat man beim Interface dann einfach immer die komplette Sicht der Dinge und muss nicht im Hinterkopf noch dran denken "da waren noch 2 Blocks, 1 Reject und Co". Aber das macht jeder wie es ihm besser in die Orga passt.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 23, 2021, 02:41:54 PM #18
Es gibt User die lokale Admin Rechte haben (= darauf bestehen diese zu haben, ich mich weigere, aber muss mich bücken, da mein Chef?) und er dann vlt. mal auf die Idee kommt in das Feld DNS andere DNS einzutragen, weil ihm sein Kumpel so geraten hat?
UDP ja reicht, aber ich bilde mir ein dass ich mal was darüber gelesen habe, und dann es auf TCP/UDP gesetzt habe. Ich weiß aber nicht wirklich mehr warum... bin halt ehrlich :). Ich werd's aber nochmals untersuchen.

Auch guter Tipp wegen Outgoing. Danke
June 23, 2021, 03:16:09 PM #19
Quote from: kosta on June 23, 2021, 02:41:54 PM
Es gibt User die lokale Admin Rechte haben (= darauf bestehen diese zu haben, ich mich weigere, aber muss mich bücken, da mein Chef?) und er dann vlt. mal auf die Idee kommt in das Feld DNS andere DNS einzutragen, weil ihm sein Kumpel so geraten hat?
UDP ja reicht, aber ich bilde mir ein dass ich mal was darüber gelesen habe, und dann es auf TCP/UDP gesetzt habe. Ich weiß aber nicht wirklich mehr warum... bin halt ehrlich :). Ich werd's aber nochmals untersuchen.

Auch guter Tipp wegen Outgoing. Danke
Wenn bei euch die User ihre eigenen DNS Einträge überschreiben läuft meiner Meinung nach was anderes schief, wieso dann überhaupt DHCP wenn die User die Adresse nicht eh selbst hinterlegen können?
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
June 23, 2021, 03:30:31 PM #20 Last Edit: June 23, 2021, 03:32:49 PM by kosta
Natürlich rennt ein DHCP für die Clients und die User haben keine Admin-Rechte, ergo können sie selbst nichts umstellen!
Aber wenn mir mein Chef mit der Entscheidung kommt, dass ich ihm die lokalen Admin Rechte geben muss, kann ich mich dem nicht widersetzen, sonst bin ich den Job los.
Bestenfalls kann ich ihm auf jegliche Gefahren hinweisen, mich ausdrücklich dagegen aussprechen und damit abgesichert sein. Es entsteht eine ernste Sicherheitslücke, aber ich kann zumindest sagen ich wurde dazu angewiesen, es zu machen (und ja, habe es schriftlich).
Danach habe ich seinen Rechner aus der Domäne rausgenommen, jedoch verwenden wir auch OpenVPN, hier musste ich den Zugriff auch eingrenzen, kein Zugang auf die lokalen Daten (braucht er nicht mehr, hat alles lokal und im Rechenzentrum). Sicherung braucht er keine, kümmert sich selbst drum.
Warum und wieso jetzt OpenVPN, wenn kein Internzugriff, möchte ich jetzt nicht weiterhin erklären, da es etwas komplexer ist, aber glaub mir einfach wenn ich sage, er braucht OpenVPN weiterhin und muss trotzdem DNS der Firma nutzen.

Was ist so schwer daran zu verstehen, wenn er die lok. Admin Rechte hat, sich selbst, aus welchen Grund auch immer, die IP-Daten ändern könnte? Ich will nicht darüber diskutieren ob er das tut, sondern dass er das tun KANN.
June 23, 2021, 03:32:39 PM #21
> Es gibt User die lokale Admin Rechte haben (= darauf bestehen diese zu haben, ich mich weigere, aber muss mich bücken, da mein Chef?) und er dann vlt. mal auf die Idee kommt in das Feld DNS andere DNS einzutragen, weil ihm sein Kumpel so geraten hat?

Kann er ja versuchen, dafür gibts dann die "geforcte" Umleitung auf den lokalen DNS der Sense. Oder ein Block auf andere 53/udp. Das ist durchaus gängig. Nicht um DNS Umgehung zu blocken, sondern die Leute zu sichern, dass interne URLs aufrufbar bleiben. Und lokale Domains die ggf. nicht im Netz bekannt sind funktionieren eben nicht wenn jemand sich nen externen DNS reinfummelt. Daher wird das normalerweise weggeblockt bzw. umgeleitet.

Aber ja. Wenn jemand mit Admin Rechten am Netzwerk rumfummelt braucht er sich nicht zu beschweren, wenn dann nichts mehr geht. Das ist inklusive bei Admin Rechten. Man kann alles nur soweit absichern und konfigurieren, wie es sinnvoll ist. Wenn halt jemand vorsätzlich anfängt Murks zu machen, kann man das nur blocken/verhindern, aber dass dann eben nicht mehr alles läuft - daran ist die Person dann selbst schuld. :)

Und manchmal reicht es auch sich selbst abzusichern, notfalls einfach mit nem Schriftstück, dass belegt, dass egal wer - ob Chef oder nicht - X genauso haben will wie es gemacht wird und man dann nicht für etwaige Folgeschäden haften/Verantwortung tragen kann.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 23, 2021, 03:37:13 PM #22
QuoteKann er ja versuchen, dafür gibts dann die "geforcte" Umleitung auf den lokalen DNS der Sense.
So ist es, das ist genau wovon ich bereits paar Posts früher gesagt hab. Aktuell aktiv zu Hause, nur zum testen, bei mir zu Hause macht keiner den Blödsinn, aber ich werde es auch so in der Firma umsetzen.

Quotesondern die Leute zu sichern, dass interne URLs aufrufbar bleiben.
So kann man es natürlich auch sehen.
Und ja, würde das wer tun, würde einiges nicht funken, korrekt.
Beim Chef ist es aber etwas anders, da er keine internen Ressourcen mehr benötigt. Hat sein Outlook, lokal Office und das war's eigentlich.

Quotedaran ist die Person dann selbst schuld.
Da er nicht sonderlich IT-affin ist, warte ich bereits auf die Support-Anrufe...  ::)
June 23, 2021, 03:45:11 PM #23
> Da er nicht sonderlich IT-affin ist, warte ich bereits auf die Support-Anrufe...  ::)

Nicht ganz richtig. Support kann ich immer nur liefern, wenn es möglich ist. Wenn sich jemand absichtlich Dinge verbaut weil er die Rechte dazu hat, kann ich weder was dafür noch in hellseherischer Aufopferung dagegen Vorkehrungen treffen. Das geht nur nach bestem Wissen und Gewissen und irgendwo endet das eben.

Wenn sich Chef mit Admin Rechten lokal in seine Hosts Datei bspw. Murks reinschreibt, dann kannst du auch alles menschenmögliche vorher tun - aber bei ihm wirds dann trotzdem nicht klappen und er kann abc.de nicht auflösen weil ers ggf. falsch überschrieben hat. Man kann Leute eben nicht vor sich selbst schützen. ;)

Und Admin Rechte am eigenen Rechner sind jetzt nicht so abenteuerlich, gibts oft in kleinen wie großen Firmen ohne dass einer auf schräge Ideen kommt :D
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 23, 2021, 03:48:53 PM #24 Last Edit: June 23, 2021, 10:58:29 PM by kosta
Die Gefahr ist einfach da. Und ich bin für die Behebung zuständig, so einfach ist es.

Und sorry, ich bin voll gegen jegliche Admin-Rechte auf lokalen Rechnern, sofern umsetzbar. Dazu sperre ich auch alles was geht mit den SRP oder Applocker. User-Erziehung hin oder her, setze ich in der IT auch auf alles was geht.
July 01, 2021, 05:28:09 PM #25
Ich habe etwas im Bezug zu Interface Groups gesehen...
Wenn man auf Inspect klickt, sieht man ja die States, Packets...
Für mich macht das eben einen Grund, warum ich nicht Intf-Gruppen bauen sollte.
Für die paar Rules die drinnen sind, kann mir das genauso sparen.
Dafür ist das Troubleshooting deutlich klarer, da man pro Intf die States sehen kann.
Daher kommen die Gruppen mal wieder weg.
July 31, 2021, 08:41:07 AM #26 Last Edit: August 01, 2021, 04:16:30 PM by kosta
delete
Print
Go Up Pages 1 2
User actions