Neue Features für die Opnsense?

[Nambis]

Hi,

an wen kann man sich wenden bzw. wo finde ich Leute, die an Opnsense entwickeln und ich gerne neue Funktionen hätte, also natürlich vorausgesetzt den Fall, dass mein Feature überhaupt machbar, zeitlich für die Developer umsetzbar und für die Community interessant wäre?

Ein Link wäre hilfreich, vielen Dank im Voraus!

[mimugmail]

Einfach in GitHub einen Feature request erstellen

[Nambis]

Ok auf Github war ich schon aber wo genau 

https://github.com/opnsense/plugins/pulls

Plugins, meint das neue Feature, bin ich dort richtig?

[Patrick M. Hausen]

Das kommt darauf an, ob du ein neues Plugin, ein neues Feature im einem Plugin, oder ein Feature im OPNsense Core willst. Worum geht's denn genau?

[Nambis]

Das, was ich will, wäre als Feature super, aber mit einem Plugin, würde ich mich natürlich auch zufriedengeben.

Was ich möchte ist, eine Möglichkeit SSL mittels Suricata zu inspizieren. Ich weiß, die Diskussion gab es schon ein paar mal hier im Forum und ich möchte das nicht, wie bisher, mit Squid und CalmAV machen, sondern echtes SSL instruction prevention. Ich habe darüber gelesen, angeblich soll jede Enterprise NGFW wie Palo Alta oder Cisco das mittlerweile (oder schon seit längerem) beherrschen. {Auch die Nachteile von SSL inspection sind mir bekannt, aber darum soll es hier jetzt nicht gehen}

Ich habe schon Versuche unternommen, mittels SSLsplit zum Beispiel, bin allerdings mit dem Mirrowing kläglich gescheitert, was die Verknüpfung von den gespiegelten Paketen und Surricata angeht.

Genau, das hätte ich gerne, wenn es mir gestattet ist, einen Wunsch zu äußern. 

[Patrick M. Hausen]

Das kann das OPNsense-Projekt nicht leisten, da müsstest du dich an den Hersteller von Suricata wenden. OPNsense hat mit der Suricata-Implementierung nichts zu tun.

https://suricata.io

Gruß
Patrick

[Nambis]

Das kann das OPNsense-Projekt nicht leisten, da müsstest du dich an den Hersteller von Suricata wenden. OPNsense hat mit der Suricata-Implementierung nichts zu tun.

https://suricata.io

Gruß
Patrick

Ach so, ok ich hatte wirklich gehofft das man hier was machen könnte

[Patrick M. Hausen]

Wie gesagt: auch Suricata ist ein Open-Source-Projekt. Probier es doch bitte und gerne einfach dort. Was hält dich davon ab?

Es ist nur so, dass das ein völlig eigenständiges Zusatzprodukt ist, mit dem das OPNsense-Entwicklerteam nichts zu tun hat. Gleiches gilt für Zenarmor/Sensei.

Und da das Feature in Suricata eingebaut werden müsste, sind die eben die richtige Adresse.

[Nambis]

Aber warte mal, Feature!!! Dann nehmen wir halt einen neuen IPS mit an Board, welcher in der Lage ist, full SSL inspection zu leisten. Ich meine, Opnsense soll sich doch weiterentwickeln, oder verstehe ich da was falsch?

Gut, Stabilität und Sicherheit sind durchaus zu priorisieren in einer Produktivumgebung, aber irgendwann sollten doch auch neue Feature, die eine echte NGFW ausmachen, mit eingebracht werden, ich spreche auch von zukunfts Orientierung. Und nein, ich mag kein Cisco und PaloAlta...

[Nambis]

Wie gesagt: auch Suricata ist ein Open-Source-Projekt. Probier es doch bitte und gerne einfach dort. Was hält dich davon ab?

Es ist nur so, dass das ein völlig eigenständiges Zusatzprodukt ist, mit dem das OPNsense-Entwicklerteam nichts zu tun hat. Gleiches gilt für Zenarmor/Sensei.

Und da das Feature in Suricata eingebaut werden müsste, sind die eben die richtige Adresse.

Ok, gut, das verstehe ich, ich kann es mal probieren ... aber gibt es keine andere IPS, die man in Erwägung ziehen könnte?

[Patrick M. Hausen]

Es gibt zwei IPS für die OPNsense. Beide sind 3rd Party Produkte. Ich glaube kaum, dass Deciso die Manpower hat, jetzt auch noch ein IDS/IPS komplett neu zu entwickeln. Außerdem gibt es da ja wie gesagt schon welche, die sich in OPNsense integrieren.

So funktioniert Open Source. Die entwickeln ja jetzt auch nicht das Betriebssystem neu oder PHP, oder ...
Ein IPS ist mindestens ein so großes Projekt wie die ganze OPNsense Firewall ohne IPS.

Du hattest gezielt nach diesem Feature in Suricata gefragt. Daher verstehenich das Problem nicht ganz.

[Nambis]

Daher verstehenich das Problem nicht ganz.

Ich habe kein Problem, ich hätte nur gerne dieses Feature gehabt und bin ursprünglich und fälschlicherweise davon ausgegangen, dass dieses mit einem Opnsense-Plugin (oder neuen Feature) machbar gewesen wäre.

Deine Behauptung, ich hätte von Anfang gewusst, dass es ein Suricata Feature ist, ist daher falsch. Ich verstehe nicht wie Suricata genau arbeitet, mein Gedanke war, wenn die Sense in SSL reinschauen kann, dann sieht das Suricata ebenfalls.

Anstatt das man hier neue Lösungsansätze entwickelt wird man nur für Blöd angesehen.

[Nambis]

Es gibt zwei IPS für die OPNsense. Beide sind 3rd Party Produkte. Ich glaube kaum, dass Deciso die Manpower hat, jetzt auch noch ein IDS/IPS komplett neu zu entwickeln. Außerdem gibt es da ja wie gesagt schon welche, die sich in OPNsense integrieren.

So funktioniert Open Source. Die entwickeln ja jetzt auch nicht das Betriebssystem neu oder PHP, oder ...
Ein IPS ist mindestens ein so großes Projekt wie die ganze OPNsense Firewall ohne IPS.

Es gäbe eine Möglichkeit, wie man das Problem theoretisch lösen könnte.

Der Traffic muss vor der Sense entschlüsselt und nach der Sense wieder verschlüsselt werden. Das Projekt nennt sich sslproxy und leider habe ich das Programm nicht zum Laufen gebracht. Niemand sagt, dass es so einfach ist, aber ein einzelner Entwickler hat das für sein eigenes FW Projekt entwickelt. Also wäre es durchaus möglich, dieses als Sense Projekt zu realisieren, behaupte ich.

Ein BS neu zu entwickeln habe ich nicht verlangt und PHP auch nicht.

[Patrick M. Hausen]

Niemand sieht dich als blöd an. Ich bin im Gegenteil durch deine Erwähnung von entsprechenden Enterprise-Produkten davon ausgegangen, du kennst dich mit diesen aus. Und du hattest nach SSL-Inspection mit Suricata gefragt.

Also: Suricata fischt den Netzwerkdatenstrom direkt am Betriebssystem/Netzwerkinterface ab, völlig an allen Firewall-Regeln, Routing-Entscheidungen, etc. vorbei. Mit den Daten tut es dann Dinge. Der Rest der OPNsense kriegt davon überhaupt nichts mit, OPNsense ist nur eine mögliche Deployment-Plattform für Suricata.

Wenn es dir reicht, den Traffic auszuleiten und zu analysieren, ohne die IPS-Funktion, dann kommst du vielleicht mit sslsplit weiter. Ein offizielles Plugin gibt es dafür aber noch nicht.

https://github.com/opnsense/tools/issues/174
https://www.linkedin.com/pulse/opnsense-sslsplit-plugin-m-a-x-informationstechnologie-ag

[Nambis]

Danke für die Erklärung, jetzt ergibt das mehr Sinn. Gearbeitet habe ich bisher nur mit Suricata, von PaloAlta/Cisco nur gelesen... Hast du dir SslProxy auch mal angesehen? An so etwas habe ich gedacht, der Traffic steht der Sense, also wenn das wirklich so funktioniert, komplett unverschlüsselt zur Verfügung.

https://github.com/sonertari/SSLproxy

Ich habe das Programm aber nicht zum Laufen gebracht, vielleicht ist es auch nur Wunschdenken das so einfach hinzubekommen...