Grundverständniss Proxy, Alias und Regeln

[ST3V3N]

Hallo liebe Community,

ich bin neu hier und befasse mich erst seit kurzem mit OPNsense

Ich habe zwar schon so einiges über Alias, Regeln und Proxy gelesen (auch hier im Forum) und versucht, komme nur leider momentan nicht wirklich weiter.

Eventuell kann mir der eine oder andere hier weiterhelfen.

Ich versuche mal den Hintergrund zu erklären.

Ich möchte gern mein Firmennetz vom privaten Netz trennen und möchte dem Firmennetz lediglich Zugang zu Windows und Defenter Updates gewähren. Es wird auch kein Surfen im Internet benötigt.

Dazu habe ich bisher gelesen, dass die ,,any any" Regel im LAN entfernt werden soll und nur Regeln definiert werden sollen, die ich auch wirklich benötige.
Wenn ich diese Regel deaktiviere, habe ich keinen Zugriff auf das Internet, also gehe ich davon aus, dass zumindest die Firewall und der Proxy funktionieren.

Jetzt ist meine Frage, reicht es aus den Alias mit den URLs von Microsoft zu erstellen und diese dann in eine ausgehende LAN Regel zu packen oder muss ich am Proxy noch eine Whitelist erstellen?

Bisher hatte ich nur den Alias und die Regel erstellt, leider ohne Erfolg.

Ich nutze OPNsense 20.7 und Windows 10 pro

Falls ich noch mehr Informationen nennen soll, einfach schreiben. Bin mir nicht sicher ob ich an alles gedacht habe.

Vielleicht kann mich hier jemand auch auf einen Beitrag weiterleiten, wo dieses Problem schon gelöst wurde. Das würde mir auch reichen. Nur leider hatte ich mit der Suche bisher keinen Erfolg.

Vielen Dank schon mal im Voraus.

[banym]

Bei Windows Updates wird man sich manuell schwer tun die Server benennen zu können. Die Updates werden über CDN Netzwerke verteilt. Wenn es jedoch eine Liste der Server gibt, dann ist das vorgehen o.k.
Alles verbieten, und nur eine Allow-Regel für den Traffic den Du möchtest.

Mir ist aus deiner Erklärung noch nicht ganz klar ob du einen Proxy für das Netzwerk konfiguriert hast oder nicht?
Ist der Proxy auf deinen Systemen konfiguriert?

Einen Proxy zu verwenden, wenn sowieso alles blockiert wird, ist aber auch irgendwie überflüssig.

[ST3V3N]

Ich habe den Proxy nur in der Firewall für das Internet konfiguriert, damit von außen nicht alles einfach so rein kann. Dazu habe ich eine Liste mit bekannten IPs eingefügt, die regelmäßig gepflegt wird. Ich hoffe, ich habe das so richtig verstanden, dass der Proxy zumindest dadurch Sicherheiten bringt, was Angriffe von außerhalb betrifft.

Also wenn ich den Proxy deaktiviere und alles über Regeln mache, sollte das kein Problem sein?

Eigentlich würde mir reichen, wenn der Datenverkehr kontrolliert wird und alle unerwünschten Anmeldeversuche an meiner öffentlichen IP und offenen Ports geblockt werden könnte. Ich bin mir nur leider nicht sicher, ob ich das mit dem Proxy, den Regeln oder einer anderen Methode geregellt bekomme.

Zusatz:

Ich habe jetzt nebenbei nochmal geschaut, soweit ich das jetzt verstanden habe, benötige ich keinen Proxy, sofern ich nicht im Internet surfe.

Um das ganze noch etwas zu erklären. Warum ich gewisse Sicherheiten benötige ist, dass ich von außerhalb auf das Netzwerk per Remotedesktop zugreifen möchte und ich möchte die offenen Ports absicher, damit sich niemand unberechtigt Zugriff verschaffen kann. Ich möchte den Zugang zwar über VPN Tunnel ermöglichen, sodass ich keine RDP Ports freigeben muss, aber mir ist das ganze noch zu unsicher, weil ich noch weitere Ports offen habe. Eventuell hat jemand noch einen Tipp, damit ich die Firewall darauf konfigurieren kann.

[banym]

Für das Absichern von lokalen Diensten über einen Proxy-Dienst spricht man von einem Reverse-Proxy.

Ob der Reverse-Proxy die Sicherheit erhöht, hängt von dessen Konfiguration ab. Das ist ein komplexes Thema und man muss sich mit den entsprechenden Protokollen auskennen. Meist ist das HTTP/HTTPS. Die Anwendung dahinter sollte man auch verstehen um hier evtl. mehr Sicherheit bieten zu können. Auch Log-Parsing um ggf. Bruteforce-Attacken zu erkennen ist evtl. eine gute Idee. Es lassen sich auch nicht beliebige Dienste mit Reverse-Proxies absichern. Das Protokoll das abgesichert werden soll, muss dafür ausgelegt sein und der verwendete Proxy muss es verstehen. Kurz gesagt, meist sichert man HTTP/S mit einem Reverse-Proxy ab.

Die sicherste Methode für einen Zugriff von Extern ist ein VPN. Es lässt sich am einfachsten sicher konfigurieren und die Firewall bietet abgesehen von dem VPN Port wenig Angriffsfläche.

Reverse-Proxies mit Client-Zertifikaten kombiniert können auch ein hohes Maß an Sicherheit bieten, das ist jedoch ein komplexes Thema. Es benötigt eine PKI und das angesprochene Wissen eine Applikation hinter einem Proxy betreiben zu können.

Nimm eine Ausgereifte VPN Lösung und erlaube den Zugriff nur über das VPN. Damit wirst du am besten schlafen können.

Reine Portweiterleitungen verlassen sich zu 100% auf die Anwendung dahinter die angesprochen wird. Schlechte Idee ohne DMZ und anderen Securitykonzepten im Netzwerk.

[ST3V3N]

Vielen Dank für die ausführlichen Tipps. Also werde ich mich erstmal mit dem Proxy auseinandersetzen.

Falls ich weitere Hilfe brauche, würde ich hier nochmal antworten.

[lfirewall1243]

Kannst uns auch einfach Mitteilen, was in dem Firmennetzwerk läuft und für welche Dienste zu den Zugriff von außen benötigst.

Da helfen wir dann gern... :)

[ST3V3N]

Kannst uns auch einfach Mitteilen, was in dem Firmennetzwerk läuft und für welche Dienste zu den Zugriff von außen benötigst.

Da helfen wir dann gern... :)

Das wäre klasse, wenn das klappt.

Also ich habe einen Host für meine Webseite (Windows Server 2019)
Geplant ist ein FTP Zugriff über VPN. (Windows Server 2019)
Und diverse Spieleserver, z.B. Minecraft, ARK und was es noch so gibt. (Windows 10 Enterprise)
Um die Spieleserver zu bedienen, benötigt der User Zugriff über Remotedesktop, aber das möchte ich auch über VPN machen. Die offenen Ports für die Spieleserver müssten noch überwacht werden.

Bisher lief alles ganz gut, nur möchte ich mehr Sicherheit wegen Angriffen von außerhalb. Das ganze ist alles finanziell etwas eng, weil ich es selbst finanziere und momentan nicht wirklich viel reinkommt. Deshalb lief es bisher leider ohne Firewall, auf eigene Gefahr...

Da ich mich jetzt darum kümmern wollte, werde ich momentan mit neuen Informationen regelrecht bombadiert.  :-\

Ach ja, was ich nicht vergessen darf zu erwähnen, dass die Spieleserver deshalb laufen, weil sie mir zumindest schon mal ein wenig Geld einbringen, damit ich dieses Projekt weiterführen kann.