OpnSense für Application Level Gateway (ALG) konfigurieren

[FirewallNOOP]

Hallo zusammen,

kann die OpnSense als ALG konfiguriert werden?

Das einzige was ich bisher gefunden habe wäre der Web-Proxy (Dienste -> Web-Proxy).
Nur weiß ich nicht, ob das dem ALG entspricht wie es vom BSI verlangt wird.

Über weitere Informationen wäre ich sehr Dankbar.

Liebe Grüße und bleibt Gesund 

[mimugmail]

Mit Sensei Plugin auf jeden Fall.

[Patrick M. Hausen]

So weit ich weiß ist Sensei ein IDS/IPS. Ein ALG trennt jede TCP-Verbindung per transparentem Proxy auf. Da besteht ein nennenswerter Unterschied.

Der letzte ordentliche kommerzielle ALG war die ehem. Secure Computing jetzt Forcepoint Sidewinder. Liegt vom Produktsupport her in den letzten Zügen, also ein paar Bestandssysteme kriegen noch Support, dann ist Schluss.

Nachfolgeprodukt von Seiten Forcepoint ist deren NGFW, aber die arbeitet auch "nur" mit deep inspection.

Wenn es um eine Ausschreibung geht, bei der ausdrücklich ein ALG nach BSI gefordert ist, bleibt nur die Genugate. Die kann zwar nix - also vom Protokollsupport her, z.B. verglichen mit der Sidewinder - aber Genua ist Spezialist darin, Behörden-Ausschreibungen zu gewinnen 

Mir ist kein Open-Source-Produkt bekannt, das das kann.

Grüße,
Patrick

[mimugmail]

Oder siproxd für sip und transparente Proxys für tftp, ftp und www

[FirewallNOOP]

Ich dank euch schon mal sehr, für die schnelle Hilfe. Klasse 

Jetzt frage ich mich allerdings - hat nichts mehr mit OpnSense zutun - wie Behörden die Standard-Anforderungen vom BSI umsetzen.

Werde mich mal mit Genugate, Sidewinder und Siproxd auseinander setzen.

Vielen Dank noch einmal
LG

[mimugmail]

Das ist ein Leitfaden, keine Aufforderung. Du kannst auch ohne ALG ISO27001 oder Tisax zertifiziert werden, ISMS geht ebenfalls

[Patrick M. Hausen]

Lass die Sidewinder - ich liebe das Produkt, aber es ist tot. End of Sales ...

[mimugmail]

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/NET/NET_3_2_Firewall.html


NET.3.2.A16 Aufbau einer „P-A-P“-Struktur (S)
Der Aufbau einer „Paketfilter – Application-Level-Gateway – Paketfilter“-(P-A-P)-Struktur SOLLTE aus mehreren Komponenten mit jeweils dafür geeigneter Hard- und Software bestehen. Für die wichtigsten verwendeten Protokolle SOLLTEN Sicherheitsproxies auf Anwendungsschicht vorhanden sein. Für andere Dienste SOLLTEN zumindest generische Sicherheitsproxies für TCP und UDP genutzt werden. Die Sicherheitsproxies SOLLTEN zudem innerhalb einer abgesicherten Laufzeitumgebung des Betriebssystems ablaufen.


sollte, sollte, sollte ..

[FirewallNOOP]

Ihr habt recht, es SOLLTE ...

Meine Überlegung ging nun in die Richtung, wenn man es umsetzen würde wollen, da es die Sicherheitsrichtlinie möglicherweise vorsieht. Wie würde man es ggf. realisieren?

Daher hatte ich überlegt, ob es mit der OpnSense vielleicht möglich wäre diese als ALG zu konfigurieren.

"NET.1.1.A4 Netztrennung in Sicherheitszonen (B)
[...]
Es MUSS immer eine P-A-P-Struktur, die aus Paketfilter, Application-Layer-Gateway bzw. Sicherheits-Proxies und Paketfilter besteht, realisiert werden, wenn die Sicherheitsrichtlinie oder die Anforderungsspezifikation dies fordern."

Quelle: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/NET/NET_1_1_Netzarchitektur_und_-design.html

[Patrick M. Hausen]

Nein, die OPNsense ist kein ALG.

ALG bedeutet (wenn man es streng nimmt), Du hast Proxies für *alles*. Wofür es keinen Proxy gibt, das darf durch die Firewall eben gar nicht durch.
Man braucht also einen LDAP-Proxy, einen Active-Directory-Proxy, einen SIP-Proxy, einen Oracle-Proxy, einen MySQL-Proxy ... neben den üblichen Verdächtigen HTTP(S), FTP, SSH ...

Die Sidewinder hatte da die breiteste Unterstützung aber die gibt es nicht mehr. Einen reinen ALG bekommst Du nur noch von Genua - zum Preis eines sehr eingeschränkten Funktionsumfangs.
Man kann die Regel etwas lockern, wenn man einen TCP-Proxy zulässt, aber nicht alle modernen Protokolle lassen sich mit einer einzigen TCP-Verbindung abbilden. Siehe SIP.

Genugate unterstützt laut Material von Genua diese Application Level Proxies:

• WWW-Relay (+SSL)
• WWW-/FTP-Caching Proxy
• FTP-Relay (+ SSL)
• SMTP-Relay (+ SSL)
• POP3-Relay
• SIP-Relay
• Telnet-Relay
• Real Audio- u. Real Video-Relay • NNTP-Relay
• SSH-Relay
• DNS-Relay
• Web Application Firewall

Quelle: https://www.genua.de/fileadmin/Loesungen/Downloads/genugate-broschuere.pdf

Grüße
Patrick