Routing zwischen 2 Firewalls?

Started by FWStarter, July 19, 2021, 05:51:13 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
July 19, 2021, 05:51:13 PM
Hallo zusammen,
bin der Neue im Forum und kam durch abwegen zu einer OPNsense Installation.

Kurz zur Info... in unserer Firma fand ein Sicherheitsaudit statt. Der Beauftragte sah unsere Sicherheit in Form einer Sophos UTM mit IPSec Tunnel zum Produktionsstandort als kritisch an. Er empfahl meinem IT-Leiter eine 2 stufiges Firewall Konzept.
Heute kam ich aus dem Sommerurlaub zurück und auf dem Tisch lag ein kleiner Server mit 4 Netzwerkkarten und einer OPNsense Installation drauf. OPNsense wurde uns empfohlen da es gut und kostenlos zur Verfügung steht.

An diesem Punkt fällt mein Dilemma an.
Der jetzige Aufbau der Sophos UTM sieht folgendermaßen aus:

Internet <-> Fritzbox <-> Sophos UTM/IPSec <-> LAN

Zukünftig wünscht sich der Sicherheitsbeauftrage zwischen der Sophos und dem LAN die OPNsense FW.

Die Ports der Sophos:
Port 1: Management für Geräte / ILO / Switche etc. (192.168.10.0/24)
Port 2: Internet / IPSec Tunnel
Port 3: Internet Geräte (192.168.20.0/24)
Port 4: CAD Workstations (192.168.30.0/24)

Bei dieser Konstellation war es nur notwendig die Firewall Regeln anzupassen. Nun wird die Sache mit der OPNsense etwas komplexer.

-----------------------------------------

Meine Idee war das Anlegen eines Transfernetzes mit dem Adressbereich 192.168.100.0/24.
Die Sophos erhält auf dem Interface Port 4 die 192.168.100.1 und die OPNsense auf dem Interface Port 4 die 192.168.100.2
Bei der OPNsense kommt am Interface
Port 1: die 192.168.20.0/24 - 192.168.20.1 statische IP auf dem Interface
Port 2: die 192.168.30.0/24 - 192.168.30.1 statische IP auf dem Interface
Als default route die 192.168.100.1 hinterlegen.

Auf der Sophos lege ich eine Route an mit:
Port 4: 192.168.20.0 über die 192.168.100.2
und
Port 4: 192.168.30.0 über die 192.168.100.2

-----------------------------------------

Dummerweise funktioniert das nicht...

Wie macht man das nun richtig... ich sehe meinen Fehler nicht. Habe ich mich total verrannt und den falschen Weg eingeschlagen?



July 19, 2021, 06:11:59 PM #1
Hi, da sind wir schon 2 ;) ich bin hier auch neu, habe im meinem Business Netz auch eine UTM (als VM) laufen
und eine Opnsense um IP Adressen für die Sophos zu sparen ;)
Welchen Vorteil erhofft sich der Sicherheitsfuzzi denn. Hast du da ein paar Fakten?
In der UTM geht doch das wunderbar den Traffic vom IPSec nur an das Netz (DMZ) oder Host zu lassen den man will.
Sorry das ich Dir nicht helfen kann und dir noch Fragen stelle.

LG
Sinux
July 19, 2021, 06:31:21 PM #2
Hi,
also der Hintergrund scheint die Art der Daten zu sein. Wir haben einerseits geschäftkritische Daten mit Kundeninformationen als auch Geräte die nur für das Internetverbindung verwendet werden.
Laut BSI ist hier eine P-A-P Struktur zwingend erforderlich.

Bisher lief unsere Umgebung mit einer Firewall hervorragend. Machte nie groß arbeit und lief absolut stabil. Ich frage mich auch was das mehr an Komplexität gegenüber der Sicherheit bringen soll.
Bei uns der Firma sind keine Firewall oder Netzwerk Spezies. Mehr Komplexität = Dienstleiter und Verlust des Wissens wie es tatsächlich funktioniert.

Ich sehe es eher kritisch... mein IT Leiter jetzt auch aber wir müssen es nunmal hinbiegen weil das nächste Audit für Januar 2022 geplant ist :(
July 19, 2021, 06:56:35 PM #3
Danke, die PAP sagt mir nix, ich trenne bei uns die Netze mittles VLAN (6 Netze) damit z.B. die Geräte Netze nicht ins INet können um wie schon erwähnt IP's und damit Geld zu sparen. Oder externe Dienstleister nicht in unser Netz aber ins Internet können.
Da ist eben VLAN, tagged, untagged oder mac adressen basierend das Zauberwort und über die Sophos und Layer2/3 Switche eine geile Sache;)
Danke nochmals! 
July 19, 2021, 07:26:31 PM #4 Last Edit: July 19, 2021, 07:44:24 PM by kosta
Du sagst ihr seid keine Netzwerk-Spezies, aber wer hat dann den 4-NIC Server mit OPNsense bestellt?
Kommt mir bisschen vor, als ob die Anschaffung ohne Konzept gemacht wurde?

Schau mal hier:
https://forum.opnsense.org/index.php?topic=19698.0
July 19, 2021, 07:40:58 PM #5
Danke für den Link. Also in unserem Sicherheitsauditprotokoll ist festgeschrieben, eine P-A-P Struktur aufzubauen. Der ALG soll auch nur für die Internet PCs mittels Webproxy umgesetzt werden.
Es hilft mir aber alles nichts, der Cheffe hat es unterschrieben, bestellt und soll nun umgesetzt werden.

Der Begriff "Server" ist bei mir jetzt überspitzt verwendet worden. Es handelt sich um einen pobligen Celeron PC mit einer 4-Port Gigabit Netzwerkkarte ;)
Auf der internen SSD ist OPNsense, letzte Version installiert.

Hat vielleicht jemand eine Idee wie ich das Problem lösen könnte? War meine Vorgehensweise im ersten Post soweit i. O. oder eher für die Tonne?

July 19, 2021, 07:54:33 PM #6 Last Edit: July 19, 2021, 08:05:33 PM by kosta
QuoteDer ALG soll auch nur für die Internet PCs mittels Webproxy umgesetzt werden.
Das macht die Sache schon etwas einfacher. OPNsense hat ja Proxy, Sensei...

QuoteEs hilft mir aber alles nichts, der Cheffe hat es unterschrieben, bestellt und soll nun umgesetzt werden.
Schön, und wer setzt es um, wenn ihr nicht in der Lage seid? (-> keine Netzwerk-Spezies)

Verstehe mich nicht falsch, aber du suchst im Forum Hilfe zu einem Projekt wo ein Sicherheitsbeauftragte dahinter steckt, sich auf BSI beruft, und Bedarf ein relativ hohes Niveau an Netzwerk Know-How um die Sache ordentlich umzusetzen?
Und du hast dabei noch ein zweites Audit kommen, wo dann die Konfiguration nehme ich mal an geprüft wird.
Dahinter sind sensible Daten...

Ich tät da nochmal darüber nachdenken und mit Chef klären ob er damit OK ist, dass die Netzwerk-Konfiguration und Sicherheit seiner Firma auf Meinungen der Foren basiert.

Mir fehlt das bisschen Kopf und Fuß Anbindung...

EDIT:
Und noch was dazu: einerseits sagt dein SB "Firewall dazwischen" schalten, also OPNsense zwischen Sophos und LAN. Dann erwähnst aber P-A-P, was aber PF-ALG-PF ist. Und dann sagst wieder Webproxy...
Also was jetzt wirklich? Was ist die Anforderung genau?
July 19, 2021, 08:16:33 PM #7
Mit der Meinung bin ich voll bei dir.
Die Webproxy Funktionalität bildet bereits die Sophos ab. Da benötigt es an dieser Stelle kein weiteres zutun.

Unabhängig nun meines Problem, es würde mich trotzdem interessieren wie man eine externe und interne Firewall konform aufbaut um mehrere LAN Netze mit gleichem Schutzbedarf zur Verfügung zu stellen?

Klar, Forumsmeinung, aber ein 2-stufiges Firewall Konzept haben sicher einige hier in der Firma am laufen...
July 19, 2021, 08:29:40 PM #8 Last Edit: July 19, 2021, 08:49:59 PM by kosta
Erstmal, wofür brauchst du für zwei Router ein Transfernetz mit 24er Maske? 30 reicht ja vollkommen.
Zweitens, kannst du bitte einen Netzwerkplan erstellen?

Ich versuche allerdings noch immer zu verstehen, was der Sinn der Sache ist. Was soll die OPNsense besser machen was die Sophos nicht kann? Wo ist tatsächlich die zusätzliche Sicherheitsstufe wenn man die 20er und 30er Netz hinter der OPNsense schaltet und NUR PF verwendet? PF kann die Sophos genauso gut. Außer dein PF in der Sophos ist vermurkst...

Quotees würde mich trotzdem interessieren wie man eine externe und interne Firewall konform aufbaut um mehrere LAN Netze mit gleichem Schutzbedarf zur Verfügung zu stellen?

Was meinst du mit "externe und interne Firewall"? Im Falle eines Transfernetzes sind alle Netze interne (private) Netze. Transfernetz bietet auch keine zusätzliche Sicherheit.
Du hast auch nichts was nach außen offen ist, wie ich das herauslese?
July 19, 2021, 08:42:00 PM #9
Die einzige Firma, die heutzutage noch ein BSI-konformes P-A-P Setup liefern kann, ist Genua:
https://www.genua.de/fileadmin/Loesungen/Downloads/genugate-broschuere.pdf

Weder die OPNsense noch die Sophos sind Application Level Gateways. Das letzte Produkt dieser Art - außer Genua - war die Sidewinder (Secure Computing, dann McAfee, dann Forcepoint). Mittlerweile eingestellt.

Das Problem ist, dass ein Web Proxy noch keinen ALG darstellt. Du brauchst Proxies für jede einzelne Anwendung, die durch die Firewall durch soll. Also auch Email, DNS, SIP/H.323, auch Oracle, falls das jemand benutzt, auch AD/LDAP, ... einfach alles. *Jedes* Protokoll.

Ich war lange ein Verfechter von solchen echten ALGs, aber die können rein architekturbedingt mit heutigen Bandbreiten nicht mehr mithalten und sind daher zu Recht ausgestorben. In hyperconverged Umgebungen im RZ mit hunderten von VLANs erst recht nicht.

Genua besticht jetzt auch weniger durch Features als dadurch, dass sie eben Richtlinien erfüllen. In Ausschreibungen, wo ein derartiges Niveau gefragt ist, sind sie daher oft die einzige Option.

In was für einer Branche seit Ihr denn tätig, dass eine einstufige Appliance nicht ausreichen soll?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 20, 2021, 06:31:27 AM #10
Also zu deiner Frage mit dem Transfernetz, so mein Verständnis:
Grundlegend musst du nur jeder Firewall eine IP zu vergeben, und dann brauchst du auf der Sophos statische Routen für jeweilige Netze und auf der OPNsense eine default Route 0.0.0.0 über OPNsense.
July 20, 2021, 06:46:31 AM #11 Last Edit: July 20, 2021, 06:48:18 AM by fabian
Die einfachste Lösung um die Netze in die Routing-Tabelle der jeweils anderen Firewall einzutragen ist ein Routing-Protokoll nach Wahl. Bei zwei Geräten reicht RIPv2 um möglichst keinen Konfigurationsaufwand zu haben. Bei mehreren Geräten würde ich OSPF empfehlen.
July 20, 2021, 01:10:27 PM #12
July 20, 2021, 05:51:00 PM #13
Hallo zusammen,
baute mir heute mit einer frischen OPNsense Installation die Konfiguration aus Pos Nr. 1 nochmals zusammen. Läuft soweit problemlos :). Statische Routen für 4 Adressbereiche sind überschaubar ;)

Was mir noch etwas Sorge bereitet ist das Management Netzwerk. Auf der Sophos ist ein eignes Interface mit angepasster Zone für das Management hinterlegt.
Auf der OPNsense ist die Interface Belegung aktuell folgende:

Port 1: Transfernetzwerk
Port 2: Management Netzwerk  (192.168.50.0/24) -> Sophos ((192.168.10.0/24)
Port 3: Internet Computer (192.168.20.0/24)
Port 4: CAD Workstations (192.168.30.0/24)

Ist es sicherheitstechnisch ein Problem das Transfer- und das Managementnetzwerk zusammenzulegen?
Somit wäre ein Port für zukünftige Erweiterungen frei.

Was mich jetzt verwundert ist die Empfehlung des Sicherheitsbeauftragen für eine OPNsense. Wenn diese kein ALG ist, warum soll ich dann eine P-A-P Struktur aufbauen?
Schließlich war bekannt dass wir eine Sophos UTM seit Jahren verwenden und diese, solange noch Support und Fixe bereitgestellt werden, auch weiterhin verwenden.  ???
Bin gespannt was da rauskommen wird...
July 20, 2021, 06:10:22 PM #14
Quote from: FWStarter on July 20, 2021, 05:51:00 PM
Ist es sicherheitstechnisch ein Problem das Transfer- und das Managementnetzwerk zusammenzulegen?
Somit wäre ein Port für zukünftige Erweiterungen frei.
.

Ich würde sagen ja. Weil bei P-A-P darf auf dem Transfernetz nichts anderes laufen als die Dienste welche via Proxy weitergeleitet werden.
Für management wird klar ein eigenes netz vorrausgesetzt inkl. beschränkung auf zulässige Clients.
Print
Go Up Pages1 2
User actions