Überlegungen eines Wechsels von pfsense

[MTA]

Moin moin,

seit mehr als drei Jahren nutze ich nun zufrieden pfsense und habe auch OPNsense immer mal hier und da verfolgt, hatte aber nie wirklich die Motivation einen Wechsel zu vollführen. Nun stehe ich für dem Wunsch ein IPS/IDS einzurichten und habe mich noch einmal an OPNsense erinnert und auf den aktuellen Stand gebracht.

Was für mich nun als Frage im Raum steht: Kann OPNsense meine Wünsche und Anforderungen erfüllen, so dass ein Wechsel von pfsense möglich ist?

Wieso der Wechsel? Ich finde die Lizenz-Politik und OPNsense irgendwie ansprechender und will es auf der anderen Seite einfach mal ausprobieren. Gegenüber pfsense erwarte ich im groben und ganzen keinen großen Unterschied, eher im Detail.

Was mache ich derzeit mit meiner pfsense-Installation so?

- Betrieben mit 1x WAN, 1x LAN
- PPPoE mit Telekom VDSL über ein eigenes Modem
- DNS Resolver (kein Forwarder!)
- OpenVPN-Client, wo durch eine Regel (auf Basis von IPs) partiell Traffic durchgeleitet wird
- DHCP
- Telekom VoIP/SIP
- Munin-Node zur Aufzeichnung von System-Ressourcen

Alles in allem also nix kompliziertes und alles oben genannte sollte, so wie ich es im Netz lesen konnte, auch mit OPNsense problemlos funktionieren. Eine gestern kurz angetestete VM ließ mich auch ziemlich ähnliche Masken erblicken. Interessant wird es nun bei IDS/IPS. Da OPNsense suricata und kein snort verwendet und ich mit suricata keine Erfahrungen habe, bin ich etwas unsicher, ob es von der Mächtigkeit ebenbürtig ist.

Wichtig hierbei ist mir vor allem die Sicherheit durch die Regeln. Ob es nun Multithreaded ist oder nicht, ist für meinen Traffic nicht relevant. Kritischer sehe ich eher, dass ich die Snort-Regeln, welche man für 30 Dollar im Jahr erwerben kann, nicht vollständig in suricata überführen kann. Hier werden ja eher die ET-Regeln verwendet, wenn ich es richtig verstanden habe. Findet sich hier ggf. jmd. wer suricata verwendet und etwas über die Qualität der Regeln sagen kann? Im Internet habe ich bislang immer die Favorisierung von Snort wahrnehmen müssen.

Ein weiterer Punkt, welchen ich mir ansehen wollte, war pfblockerNG. Soweit ich das richtig gesehen habe, gibt es für OPNsense keine Alternative. Ist das korrekt?

Das sind eigentlich die beiden Punkte, welche mir derzeit auf dem Herzen liegen. Würde mich freuen, wenn sich jmd. dafür äußern könnte, sofern er Erfahrungen damit hat :)

[mimugmail]

https://www.routerperformance.net/opnsense/using-pfblocker-features-in-opnsense/

Wegen Suricata, was erwartest du dir? Also welchen Schutz vor was? Alle anderen Features sind kein Problem.

Munin gibt's kein Plugin, aber wenn du magst bau ich dir eins :)

[Evil_Sense]

Bezüglich pfblockerNG gibt es mit OPNsense zwei Möglichkeiten: Entweder per bind plugin adblock Listen laden oder dem Unbound eine eigene per custom Feld hinzufügen.

[MTA]

Wegen Suricata, was erwartest du dir? Also welchen Schutz vor was? Alle anderen Features sind kein Problem.

Also um es mal pauschal auszudrücken: Den identischen Schutz aka Erkennungsrate wie von Snort. Um es nun mal etwas präziser Auszudrücken: Ich erwarte, dass Suricata auf gleichen Niveau Angriffe erkennt und nach meinem Wunsch handelt. Vor allem wenn man in Richtung Exploits oder verdächtiges Verhalten von Clients in Richtung Internet (Infizierte Systeme etc.) schaut.

Grundsätzlich habe ich durch meine Firewall derzeit noch keine Dienste per WAN zugänglich gemacht. Dennoch wäre mein Anspruch ähnlich hoch, als wenn ich es schon hätte.

Woran ich nicht interessiert bin ist irgendeine Form von Content-Filterung aka "Youtube ist böse, keine Erotik etc.". Es geht mir hier primär um den Schutz des Netzwerkes.

Munin gibt's kein Plugin, aber wenn du magst bau ich dir eins :)

Also ich persönlich benötige keins. Ich hätte es hiermit gemacht: https://zedt.eu/tech/linux/installing-munin-node-on-opnsense/

In meinen Augen ein vertretbarer Aufwand. Wenn du dennoch eins bauen willst, dann hilft es vielleicht anderen Benutzern, welche nicht auf der Konsole rumspielen wollen.

[mimugmail]

Ich trigger das mal .. wäre nicht das erste Plugin im Bereich Monitoring :)

Gleichwertig sind public rules nicht. Die ET Pro sind kompatibel, aber doch einiges teurer.

Ich glaube mit ordentlichem Geo Blocking und FireHOL list, dazu DNSBL bist du safe, da würde ich IPS eher für virtual patching nehmen.

[MTA]

Ok, danke.

Ich werd mir OPNsense dann einfach zwischen den Feiertagen genauer ansehen. Der Vorteil einer virtualisierten Firewall ist ja, dass man sie jederzeit austauschen kann ohne was kaputt zu machen :)

[JeGr]

Was mich einfach mal so interessieren würde, weil das immer wieder als Argument kommt: @MTA was gefällt dir denn an der "Lizenzpolitik" so viel anders/besser? Ich verstehe da den Anspruch als Endkunde von BSD License vs. Apache License nicht wirklich. Zumindest wenn ich nicht plane das Teil zu nehmen und es großartig zu modden/anzupassen. Beides sind durchaus gute, valide und sehr verbreitete OpenSource Lizenzen?

Ansonsten würde mich wie Dirk interessieren, was man sich von Surricata/Snort im Heimbetrieb mit WAN/LAN großartig erhofft. Verstehe es einfach nicht, was da "schützenswert" ist, wenn keine eingehenden Verbindungen erlaubt sind. Wenn ich selbst Dienste (Webserver o.ä.) anbiete, alles nachvollziehbar - auch wenn man selbst dann noch andere Karten ausspielen kann - aber im Heimbetrieb wo ich ggf. mal VPN offen habe und ansonsten outgoing traffic habe? Was will ich da mit IDS/IPS? Würde mich gerne über Feedback freuen.

Gruß

[mimugmail]

Ich verstehe da den Anspruch als Endkunde von BSD License vs. Apache License nicht wirklich.

Ich glaube die Leute stört der aggressive Banner nach jedem Update den man akzeptieren muss.

[JeGr]

Was für mich nun nichts mit "Lizenzpolitik" zu tun hat

[franco]

Sagen wir einfach man kann nach wie vor beides frei nutzen. :)

[fabian]

Was mich einfach mal so interessieren würde, weil das immer wieder als Argument kommt: @MTA was gefällt dir denn an der "Lizenzpolitik" so viel anders/besser?

Könnte sein, dass er sich daran stört, dass die letzten Jahre die Lizenz so oft gewechselt wurde.

[JeGr]

Schade dass das nicht vom OT kommt, dass ihr alle dazu eure eigenen Ideen habt - wie ich selbst - kann ich mir vorstellen ;)

[t00r]

...
Ansonsten würde mich wie Dirk interessieren, was man sich von Surricata/Snort im Heimbetrieb mit WAN/LAN großartig erhofft. Verstehe es einfach nicht, was da "schützenswert" ist, wenn keine eingehenden Verbindungen erlaubt sind. Wenn ich selbst Dienste (Webserver o.ä.) anbiete, alles nachvollziehbar - auch wenn man selbst dann noch andere Karten ausspielen kann - aber im Heimbetrieb wo ich ggf. mal VPN offen habe und ansonsten outgoing traffic habe? Was will ich da mit IDS/IPS? Würde mich gerne über Feedback freuen.
Gruß

Bspw. werden bei mir so Sachen bemerkt/geblockt wie:

Code Select Expand

LAN outbound:

# Ein Windows 10 Rechner:
[Drop] [1:2025275:1] ET INFO Windows OS Submitting USB Metadata to Microsoft [Classification: Misc activity] [Priority: 3] {TCP}
# Mein Samsung Smart TV:
[1:2019416:3] ET POLICY SSLv3 outbound connection from client vulnerable to POODLE attack [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} 52.221.74.15:443 -> 192.168.30.100:37451

WAN inbound:

[Drop] [1:2023753:2] ET SCAN MS Terminal Server Traffic on Non-standard Port [Classification: Attempted Information Leak] [Priority: 2] {TCP}
# NTP-Reflection Attacks: https://www.symantec.com/connect/blogs/hackers-spend-christmas-break-launching-large-scale-ntp-reflection-attacks
[Drop] [1:2017919:2] ET DOS Possible NTP DDoS Inbound Frequent Un-Authed MON_LIST Requests IMPL 0x03 [Classification: Attempted Denial of Service] [Priority: 2] {UDP}

Also, da geht schon einiges!

Ich mache das dann so, dass ich mir eine Alias Network List erstellt habe, in der ich die auffälligen Netzwerke über die Firewall dann sperre (die bekomme ich über https://bgp.he.net/ raus). Und Ruhe ist :-).

[MTA]

Moin moin,

hatte etwas gedauert, da mir die Zeit fehlte.

Was mich einfach mal so interessieren würde, weil das immer wieder als Argument kommt: @MTA was gefällt dir denn an der "Lizenzpolitik" so viel anders/besser? Ich verstehe da den Anspruch als Endkunde von BSD License vs. Apache License nicht wirklich. Zumindest wenn ich nicht plane das Teil zu nehmen und es großartig zu modden/anzupassen. Beides sind durchaus gute, valide und sehr verbreitete OpenSource Lizenzen?

Ich bin nicht nur Endkunde sondern auch Entwickler und somit betrachte ich Lizenzen und deren Umgang immer etwas beruflich geprägt. Aber ich gebe dir recht, dass mich als Privatperson das nicht wirklich interessieren muss. Auch habe ich mit "Lizenzpolitik" leider sehr lapidar eine Gruppe an Problemen ausgedrückt, welche teilweise gar nichts mit Software-Lizenzen zutun haben. Mein Fehler.

Um es etwas präziser zu formulieren:

- Auch wenn es Vergangenheit ist, hat pfsense seit der Story mit opnsense.com einfach stark an Reputation verloren. Vielleicht nicht die Software aber das Management drum herum.

- Persönlich empfinde ich die BSD-Lizenz irgendwie "schöner", wobei die Apache-Lizenz nun kein "Böses" ist. Es ist rein subjektiv.

- Leider kriege ich keine Quelle zusammen aber es gab vor einiger Zeit auch mal den Aufschrei bzgl. Verwendung von pfSense und Netgate-Hardware und einer Finanzierungsfrage.

- Öfteres Lizenz-Hopping. Kein Drama, jedoch wirkt es irgendwie unentschlossen oder unkoordiniert.

Insgesamt gab es in der Vergangenheit immer mal wieder Punkte, welche mich gestört haben und ich daher initial mit dem Gedanken eines Wechsels gespielt habe. Damit möchte ich nicht sagen, dass es woanders besser ist. Ich möchte einzig die damaligen Auslöser für mein Gedankenspiel vorstellen.

Ansonsten würde mich wie Dirk interessieren, was man sich von Surricata/Snort im Heimbetrieb mit WAN/LAN großartig erhofft. Verstehe es einfach nicht, was da "schützenswert" ist, wenn keine eingehenden Verbindungen erlaubt sind.

Muss ich etwas schützenwertes haben um Schutz zu wollen? Muss ich meine Haustüre nicht abschließen, nur weil ich nichts von Wert habe? Ist nicht alleine das Gefühl schon Schutz erstrebenswert oder darf man das nur haben, wenn man die top secret Business-Informationen zu schützen hat? ;) Weswegen ich privat eine IPS/IDS haben möchte sind folgende Gründe:

- Erfahrung sammeln und neue Dinge ausprobieren
- Einen gewissen Vorteil im Bereich "Schutz"

Und selbst wenn der zweite Punkte nicht wirklich zum tragen kommt, dann ist alleine das Wissen, welches ich mir aneignen möchte, Grund genug für mich sein. Und ein IPS/IDS betrachtet ja nicht nur die eingehenden sondern auch die ausgehenden Verbindungen. Somit erhoffe ich mir, dass selbst wenn mal irgendwas ins Netzwerk kommt - kann ja auch durch ein infiziertes Gerät sein - das wenigstens ein Weg nach außen erschwert wird.

Ob dies dann letztendlich so ist, hier verweise ich auf Punkt 1: Lernen. Und selbst wenn nicht: Was schadet eine IPS/IDS? Sie tut nicht weh. Selbst wenn sie nichts nutzen sollte.

[JeGr]

> Lizenz Hopping

Gab es in der Form nicht. Man hat damals von Chris aus und zu ESF Zeiten eben seine eigene angepasste Lizenz gestrickt - nicht so gut gewesen, daher später zur Standard Apache Lizenz gewechselt. Aus Gründen, die durchaus einfach nachvollziehbar sind, wenn man sich heute das gleiche Drama bei bspw. Kodi anschaut, die nun auch händeringend hinterher sind, ihren Namen/Copyright etc. zu claimen, damit die ganzen schlechten China/Fernost "Kodi-TV-FreeStreaming-Boxen" alle weggeklagt werden können, da die Leute das dann als offiziell wahrnehmen und dadurch Kodi=Hackersoftware gleichsetzen. Dass der ganze Namensschutz Kladeradatsch lästig ist - ohne Frage ;) Umgekehrt kann ichs aus Firmen- und Supportersicht aber absolut nachvollziehen, dass man klar offizielle Software/Hardware von irgendwelchen schlecht zusammengeschusterten Fernost Boxen mit modifizierter Software trennen möchte.

> Leider kriege ich keine Quelle zusammen aber es gab vor einiger Zeit auch mal den Aufschrei bzgl. Verwendung von pfSense und Netgate-Hardware und einer Finanzierungsfrage.

Da erinnere ich mich nur an schlecht recherchierte und relativ haltlose Geschichten. Dass man mit dem Verkauf der offiziellen Hardware das Projekt unterstützt und refinanzieren möchte - ist ja irgendwo logisch. Zudem durch den Verkauf von Support - auch altbekannt. Ich kann daran nichts "Aufschrei"-würdiges erkennen. Außer dass wieder Aluhutträger kamen, die partout meinten, jetzt gibts nur noch Software gebundelt auf Netgate Hardware. Dem ist/war aber nicht so. Ob man die offizielle Hardware gut findet - das ist ein anderes Thema ;)

> Muss ich etwas schützenwertes haben um Schutz zu wollen? Muss ich meine Haustüre nicht abschließen, nur weil ich nichts von Wert habe? Ist nicht alleine das Gefühl schon Schutz erstrebenswert oder darf man das nur haben, wenn man die top secret Business-Informationen zu schützen hat? ;) Weswegen ich privat eine IPS/IDS haben möchte sind folgende

Du stellst die falschen Fragen, weil du meinen Satz nicht zuende gelesen hast bzw. das damit einher geht. Wenn deine Türe abgeschlossen ist - um bei deinem Beispiel zu bleiben - warum muss ich dann ständig durch den Spion schauen um zu sehen ob wer davor steht und anklopft oder Log darüber führen wer draußen vorbeiläuft? -> Das wäre eher das Beispiel ;) Denn wenn ich keine Dienste anbiete und mein WAN eh zu ist, was will ich dann zum Geier mit dem IDS/IPS "schützen" bzw. protokollieren?`
Abgehend mag das eine andere Baustelle sein, wobei ich das da anders/kritisch sehe, weil es für abgehenden Traffic nochmal andere Möglichkeiten gibt. Da genügen mir persönlich IP Blacklisten von diversen Quellen die ich dann auch mitloggen kann. Damit hat man schon den einen oder anderen Trojaner/Cryptolocker aufgestöbert. Aber ja, abgehend mag das ein Punkt sein.

Natürlich ist Lernen völlig OK - darum habe ich ja nachgefragt oder hinterfragt. Aber ich bekomme eben auch im geschäftlichen Umfeld ständig Anfragen und Anforderungen, bei denen mir nur die Augen rollen. Darum hat es mich interessiert welchen konkreten Grund es geben kann.

Grüße :)