Eure geschätzte Meinung zu meinem Standard-Setup.

[Thomas_L]

Hallo,

nachdem wir seit rund einem Jahr die OPNsense bei uns und vermehrt auch bei Kunden einsetzen habe ich mir diese Woche einmal Gedanken darüber gemacht ob noch alles am empfohlenen Stand ist und was man besser machen könnte und hätte gerne eure Meinung dazu.

Unser Standard Setup nutzt die FireHOL-1 eingehend und FireHOL-3 ausgehend.
Dienste hinter der Firewall sind vor allem Exchange und NextCloud. Die versuchen wir über den HAproxy zu schützen und erlauben den Zugriff nur aus notwendigen Ländern und nutzen dafür den MaxMind Dienst.

Als VPN nutzen wir OpenVPN und Viscosity Clients.

Teilweise nutzen wir auch das AdGuard home Plugin von mimugmail mit der abp.oisd.nl Liste.

Derzeit denke ich über ZenArmor nach. Wie denkt ihr darüber? Bietet es zusätzliche Sicherheit für mein Standard Setup dass die €30-50 pro Monat rechtfertigt?

Gerade eingefallen ist mir Cloudflare. Wie denkt ihr darüber? Wie es aussieht könnte ich die Exchange Server und NextCloud Instanzen recht gut schützen damit (für € 20 pro Monat). Das erscheint mir sinnvoll wenn der Schutz gut ist (für alle HTTPS basierten Dienste hinter der Firewall).

IDS/IPS haben wir nicht im Einsatz da es recht kompliziert erscheint und der Einsatz auch hier im Forum kontrovers diskutiert wird.

Eingehende und Ausgehende E-Mails gehen bei uns übrigens durch die TrendMicro Cloud als Spam und Virenschutz. Eingehend Port 25 ist nur von dort möglich.

Einen Proxy (mit ClamAV) haben wir nicht im Einsatz. Würde das für normalen Webverkehr ein wesentliches Sicherheits-Plus bedeuten?

Als externe DNS nutzen wir Quad9.

So, das war jetzt mal unser Setup. Wie denkt ihr darüber und was würdet ihr besser machen? Eingehende Verbindungen mit VPN abzusichern ist mir bekannt und wird überlegt, der Cloudflare Schutz scheint mir aber auch eine gute Option.

Vielen, vielen Dank für eure Zeit das alles zu lesen und mir eure Meinung mitzuteilen.

Schöne Grüße,

Thomas.

[Patrick M. Hausen]

Eine Frage, die immer wieder bei mir auftaucht: weshalb einen externen DNS Resolver? Das beste, was man bezgl. Datenschutz tun kann, ist einen eigenen lokalen Resolver aufzusetzen, und den einfach machen zu lassen. Man braucht kein "upstream" DNS. Das funktioniert einfach so, verteilt. Mail übrigens auch 

[Thomas_L]

Hallo pmhausen,

vielen Dank für deine schnelle Antwort.

Wir verwenden Quad9 als Sicherheits-DNS. Er sollte davor schützen, dass Malware die im Netzwerk ist, keine DNS Abfragen zu Malware Seiten auflösen kann.

Lt. Quad9 ist das die Hauptfunktion.

Bin ich hier falsch bzw. funktioniert das nicht oder ist überflüssig?

Ich dachte mir bisher immer das wäre ein gutes Sicherheits-Plus 

Vielen Dank,

Thomas.

[Patrick M. Hausen]

Das ist schon eine Sicherheitsfunktion. Allerdings hast du nun ein Datenschutzproblem. Alle DNS-Anfragen aller deiner Anwender landen gesammelt bei einem Anbieter.

Mir ist der Datenschutz wichtiger, ich verwende Blocklists.

Weshalb ich nachfrage: man liest oft, es könne ja der böse Provider mitlesen, wenn man dessen DNS verwende. Stimmt. Aber man muss grundsätzlich eben überhaupt keinen fremden Resolver verwenden. Und ich traue der DTAG (in meinem Fall) mit Sitz in der EU immer noch mehr als Google oder Cloudflare - Stichwort DSGVO. Tatsächlich benutze ich weder privat noch @work irgendwo einen Upstream, die müssten also schon meinen ganzen Verkehr abschnorcheln.

Gruß
Patrick

[Nambis]

Genau so mache ich es auch, über einen der Root Server. Ein meiner Meinung nach gutes Tutorial mittels Pi-Hole ist wie ich finde dieses hier: https://forum.kuketz-blog.de/viewtopic.php?t=8759

Verbesserung: Alle Root Server

[Patrick M. Hausen]

Was meinst du mit "einem der Root-Server"? Ein recursive DNS-Server wird mit allen Root-Servern im Cache gestartet.

[Nambis]

Ja, ich weiß jetzt aber nicht wie es mit der Antwort der Root Server aussieht. Aber prinzipiell sind alle eingetragen, da hast du recht.

[Patrick M. Hausen]

Ich hab vor einiger Zeit mal ausführlich erklärt wie DNS funktioniert:

https://forum.opnsense.org/index.php?topic=22760.msg108462#msg108462

[Nambis]

Ich hab vor einiger Zeit mal ausführlich erklärt wie DNS funktioniert:

https://forum.opnsense.org/index.php?topic=22760.msg108462#msg108462

Gut erklärt, das mit dem Zufallsprinzip der A-K Server ist mir ein Rätsel, warum werden da nicht die genommen, welche die kleinste Latenz haben?

[Patrick M. Hausen]

Woher soll er denn vor der Abfrage die Latenz kennen? Und das die ganze Zeit zu protokollieren und zu aktualisieren ... dafür ist ja der Cache da. Cache-Zeiten liegen für sowas wie .org NS bei einem bis mehreren Tagen.

Und dann bin ich mir grad nicht sicher, ob die Root-Server nicht auch längst Anycast sind ...

[Nambis]

Stichwort "kürzeste Route" und "Anycast", das würde auch Sinn ergeben, die Root Server sind ja auf der ganzen Welt mehr oder weniger verteilt.

[Thomas_L]

Ich glaube ich muss meinen Thread wieder zurückerobern :-)

@pmhausen

Ich verstehe deine Datenschutz-Bedenken schon. Ich nehme aber einfach mal an, dass Quad9 mit Sitz in der Schweiz in Kooperation mit Switch die sich beide die höchsten Datenschutzregeln auf die Fahnen schreiben einigermaßen ok sein sollten. Vielleicht bin ich da aber auch zu naiv.

Du verwendest also Blocklists. Dürfte ich Fragen welche das sind (FireHOL 1 & 3 verwende ich ja schon)? Vielleicht kann ich mein Standard-Setup ja darum erweitern.

Vielen Dank für deine Bemühungen!

Schöne Grüße,

Thomas

[lfirewall1243]

Sowie bei DNS Blocklists oder wenn du z.B. Quad9 verwendet, musst du sicherstellen, dass keine anderen DNS Anfragen dein Netz verlassen.
Schadsoftware kann ja sonst einfach einen anderen DNS Server verwenden.

Gerade eingefallen ist mir Cloudflare. Wie denkt ihr darüber? Wie es aussieht könnte ich die Exchange Server und NextCloud Instanzen recht gut schützen damit (für € 20 pro Monat). Das erscheint mir sinnvoll wenn der Schutz gut ist (für alle HTTPS basierten Dienste hinter der Firewall).

Schützen wovor? Läuft dein ganzer Traffic dann über US-Server? Falls ja nicht so cool.
Wenn du deren WAF und TLS Zertifikat nutzt, dann können die übriges auch den sonst verschlüsselten Traffic unverschlüsselt lesen. Weiß nicht ob das jetzt so super ist. Zudem dürfte der Einsatz auch nicht DSGVO/GDPR sauber sein.

IDS/IPS haben wir nicht im Einsatz da es recht kompliziert erscheint und der Einsatz auch hier im Forum kontrovers diskutiert wird.

Bietet durchaus Vorteile, wenn man Dienste aus dem Internet erreichbar macht.

Einen Proxy (mit ClamAV) haben wir nicht im Einsatz. Würde das für normalen Webverkehr ein wesentliches Sicherheits-Plus bedeuten?

Ja. Aktuell kann die Firewall nicht in den verschlüsselten HTTPS Traffic schauen. Mit dem Proxy wird die Verbindung aufgebrochen und man kann prüfen ob z.B: Schadsoftware heruntergeladen wird.
Vorher aber mit dem Datenschutzbeauftragten besprechen. Führt zudem gerade bei Online Banking Anwendungen zu Problemen.


Ich schreibe dir mal, wie ich das meist Umsetze.
Exchange haben wir hier nur per VPN oder Client Zertifikat freigegeben. Dienste welche auch für Dritte einfach erreichbar sein müssen (Nextcloud), hängen alle in einer eigenen DMZ, davor dann HAProxy, GeoIP Filter und IDS/IPS.

[Thomas_L]

Hallo lfirewall1243,

vielen Dank für deine Antwort.

Das mit den DNS Abfragen ist mir klar. Dafür gibt es ja die Regel, die den DNS Verkehr auf den lokalen DNS umleitet. Das sollte soweit dann schon passen.

Die Idee mit CloudFlare habe ich eher wieder verworfen. Mir hätte da vor allem die Idee mit der WAF gefallen um den Exchange oder die NextCloud zu schützen. Eingehender Verkehr zu diesen Diensten wäre dann nur von CloudFlare möglich gewesen.

Das Thema IDS/IPS werde ich mir vielleicht noch einmal anschauen. Mich haben vor allem die Komplexität und die kontroversen Meinungen bisher davon abgehalten näher in die Materie einzusteigen.

Die Idee, dass ein Proxy oder eine Firewall eine HTTPS Verbindung öffnet und neu verpackt finde ich nicht gut. Wird das denn hier von den Experten empfohlen? Abgesehen vom Datenschutz gibt es dann auch noch Probleme mit den Zertifikaten und diversen Anwendungen. Da vertraue ich lieber auf meinen Client-basierten Virenscanner (es sei denn natürlich es wird mir hier explizit anders empfohlen, da vertraue ich natürlich den Experten!).

Wenn du schreibst, der Exchange ist durch VPN ODER Client Zertifikate abgesichert hilft dir das aber nicht bei Sicherheitsproblemen aufgrund von Software-Bugs.
Die NextCloud habe ich auf immer in einer DMZ eingerichtet hinter einem HAProxy.
Nur die IDS/IPS unterscheidet mich noch von der Experten-Konfiguration.

Vielen, Vielen Dank dass du auch Teile deiner Konfiguration geteilt hast.

Schöne Grüße,

Thomas

[lfirewall1243]

Die Idee mit CloudFlare habe ich eher wieder verworfen. Mir hätte da vor allem die Idee mit der WAF gefallen um den Exchange oder die NextCloud zu schützen. Eingehender Verkehr zu diesen Diensten wäre dann nur von CloudFlare möglich gewesen.

Kannst auch nginx verwenden - bietet die Möglichkeit einer WAF

Die Idee, dass ein Proxy oder eine Firewall eine HTTPS Verbindung öffnet und neu verpackt finde ich nicht gut. Wird das denn hier von den Experten empfohlen? Abgesehen vom Datenschutz gibt es dann auch noch Probleme mit den Zertifikaten und diversen Anwendungen. Da vertraue ich lieber auf meinen Client-basierten Virenscanner (es sei denn natürlich es wird mir hier explizit anders empfohlen, da vertraue ich natürlich den Experten!).

In der Regel ist das in Ordnung, wenn z.B. die Private Nutzung vom Arbeitgeber nicht erlaubt ist, dann darfst du da meist auch Verbindungen aufbrechen. Bezüglich der Anwendung ist es natürlich schwerer, ich Pflege da meist Whitelists für Domains die nicht aufgebrochen werden sollen. Dann läuft auch Online Banking etc.

Wenn du schreibst, der Exchange ist durch VPN ODER Client Zertifikate abgesichert hilft dir das aber nicht bei Sicherheitsproblemen aufgrund von Software-Bugs.

Doch. Bei VPN kommt man von außen garnicht unkontrolliert an den Exchange. Bei Client Zertifikaten, welche vom HAProxy geprüft werden ebenfalls.