OPNsense absichern und Regeln erstellen?

[Rüdiger]

Hallo zusammen,


erst einmal der Aufbau:
      WAN / Internet
          :
          : Cable-/Vodafone     
          .-----+-----.
          |  Gateway  |  FB 6690 (Eigenes Gerät)( 192.168.0.1)
    '-----+-----'
          |
          |
FW-Hardware
     
        AN | eth0 (192.168.0.190/24) DHCP von der FB

(LAN-Port 2 Exposed Host)
          |    .-----+------.
OPNsense  +-Versionen
OPNsense 25.7.1_1-amd64
FreeBSD 14.3-RELEASE-p1
OpenSSL 3.0.17
    '-----+------'
          |
      LAN | eth1 Port 13 (VLAN10)
          |
    .-----+------.

    | LAN-Switch | TP-Link TL-SG1016G VLAN 10 13-16

    '-----+------'
          |
    ...-----+------...
(Clients/Servers)

PC1 192.168..1.143/24 (DHCP OPNsense) (erst mal nur meiner)

Leider musste ich feststellen, dass OPNsense und die Windows-Firewall
Wenig gemeinsam haben. Ergo ich fange bei null an.

Warum wollte ich eine FW haben?:

Die QNAP wurde 2-mal verschlüsselt, obwohl
ich dachte alles abgeschaltet und geändert zu haben. Jetzt hat die QNAP kein
Gateway, und ich leider kein automatisches Update mehr.

Meine Frau ist selbstständig und muss
eigentlich an Ihre CAD-Zeichnung zugreifen von unterwegs. 

Der Große will spielen

Da ich es nicht hinbekommen habe, alles auf Proxmox zu installieren,
(WAN hat Internet, LAN aber nicht °°)
habe ich Proxmox gelöscht und alles direkt auf der Kiste installiert.

Was habe ich gemacht:

PW geändert
Updates Installiert
Aliase angelegt:
              Spamhaus
              Crowdsec
              Firehol

ClamAV Installiert

Jetzt die große Frage

Wie sichert man die OPNsense ab?
Die Sache mit (Exposed Host) hört sich
alles andere als sicher an? Geht es anders?

Und wie erstelle ich Freigaben?
Bsp. Für meine Frau musste ich bei der Windows-FW
Eine Freigabe erstellen für den Lizenz-Manager von ALLPLAN
Ich dachte bei OPNsense finde ich es unter Regeln
aber ich finde den Teil nicht, wo ich die EXE auswählen kann?
Ich bin für jede Art von Hilfe dankbar.

Grüße
Rüdiger

PS.: Ja ich habe auch schon aus Verzweiflung 2 Angebote eingeholt,
    der das günstigste Angebot lag bei knapp 6500 € Brutto °°
    das ist der letzte Schritt.

[Patrick M. Hausen]

OPNsense kann die Regeln nicht auf Basis von EXE-Dateien auf deinem Windows erstellen/verwalten. Eine Netzwerkfirewall kennt nur IP-Adressen und Portnummern..

Für Fernzugriff empfiehlt sich ein VPN statt exposed Host. Letzteres ist gefährlich wie du ja schon festgestellt hast. Oder man betreibt eine Nextcloud - diese kann man durchaus aus dem Internet erreichbar machen, regelmäßige Updates, starke Passwörter etc. vorausgesetzt.

Hast du dich schon einmal mit den Grundlagen-Texten von @meyergru auseinandergesetzt?

https://forum.opnsense.org/index.php?topic=39556.0

https://forum.opnsense.org/index.php?topic=42985.0

Ansonsten ist es etwas schwierig, so ein komplettes Design aus dem Ärmel zu schütteln auf einer Plattform wie einem Forum. Das Beantworten einzelner konkreter Fragen funktioniert besser.

Wie wäre es, du kommst mal zum virtuellen Stammtisch, z.B. nächsten Freitag?

Grüße
Patrick

[Rüdiger]

https://forum.opnsense.org/index.php?topic=39556.0
habe ich gelesen, habe immer noch Kopfschmerzen.
Wenn das Basiswissen ist, will ich nicht wissen, was Grundkenntnisse und höher sind ; )
Aus dem Fazit lässt sich schließen, dass die FB völlig ausreichend ist,
sofern man keine Ausbildung als Netzwerktechniker/Administrator anstrebt?
Ich muss gestehen, dass ich mich von Dr. YouTube und gewissen Schlangenölverkäufern
Täuschen habe lassen. Dort ging es ohne Probleme mit
FB --> Opensense --> Switch --> Clients
allerdings beim Nachbauen klappte es nie so wie in den Videos :)

Beste Grüße
Rüdiger

[Patrick M. Hausen]

Aus dem Fazit lässt sich schließen, dass die FB völlig ausreichend ist,
sofern man keine Ausbildung als Netzwerktechniker/Administrator anstrebt?

Wenn du keine Ports eingehend öffnest und keinen exposed Host hast, dann ist eine (aktuelle) Fritzbox so sicher wie eine Netzwerk-Firewall sein kann.

Eine frisch installierte OPNsense ist übrigens dasselbe. Switch und Client(s) an LAN, dann den Internet-Uplink (WAN, meist PPPoE oder DHCP) einrichten - fertig. Nicht besser oder schlechter als eine Fritzbox und vor allem von außen nach innen 100% dicht.

Hier tobt so ein Mensch im englischen Forum rum, der immer wieder behauptet er sei gehackt worden und er müsse seine OPNsense "sicherer" machen ... keine Ahnung, was der treibt, es ist komplett unverständlich.

Nochmal: sowohl mit einer Fritzbox als auch mit einer OPNsense bist du netzwerkseitig so sicher wie du nur sein kannst, so lange du alles auf Default lässt.


Die wesentliche Frage ist daher:

Über welchen Angriffsvektor sind die pöhsen Purchen auf dein NAS gekommen? Wurde das NAS direkt gehackt oder hast du dir am (Windows?) PC einen Crypto-Trojaner eingefangen? Wenn direkt auf das NAS, weshalb ist das aus dem Internet erreichbar? Auch die Fritzbox bietet VPN, sogar einfacher einzurichten als mit der OPNsense ...


Und dann: nächsten Freitag ist Stammtisch. Schau doch mal rein. Dann kann man in Ruhe quatschen, was denn deine Anforderungen sind.


Grüße
Patrick

[Rüdiger]

Das wie weiß ich sogar : )
das ganze nannte sich "Qlocker" oder so?
Und da ich mit"Hybrid Backup Sync" das Backup zu Googledrive eingerichtet habe,
War ich im... das ist die App von QNAP über die sich die pöhsen Purchen
zugriff verschafft haben, nur, weil das NAS im I-Net war.
Irgendein Fehler von den QNAP-Apps?
Jetzt habe ich bei dem Gateway der QNAP alles herausgenommen,
und sobald meine Frau etwas ablegt, starte ich den Kopiervorgang zu Googledrive vor dem Schlafen.
Leider ist das sehr umständlich, da ich alle Ordner mehrfach kopiere.
Noch einmal zur FB hier ist alles Default.
Ich musste damals die MAC-Adresse an Vodafone durchgeben,
und sage und schreibe 1 Woche später hatte ich wieder Internet und Telefon °°
Aussage das dauert immer so lange, wenn man "Nicht sichere und geprüfte HW in das Netz einbringt"
Das mit dem Stammtisch hört sich gut an.

Eine Frage hätte ich aber, die mir partout nicht aus dem Kopf geht:
Eine FW schützt nicht vor Softwarefehler (Qlocker :( )
Ein Virenscanner auch nicht
wen z. B. Firefox, Chrome,, etc eine Schwachstelle haben über die Codes ausgeführt werden können
ist dann nicht binnen Minuten die halbe wellt gehackt, da ja nichts erkannt werden kann,
oder bin ich auf dem Holzweg???

[Patrick M. Hausen]

Die Leute, die nicht gehackt werden, machen ihr Zeug halt nicht aus dem Internet erreichbar.
Dein Fehler war, dass man aus dem Internet auf das NAS kam.

Du hast in dem Sinn Recht: alles, was am Internet hängt und verwundbar ist, wird früher oder später einkassiert.

Zum Zugriff aus der Ferne gibt es VPN - wie schon geschrieben auch bei der Fritzbox mit ein paar Klicks. Und wenn du eine dynamische IP-Adresse hast, dann kriegst du das DynDNS von AVM per MyFritz sogar dazu.

Oder man verwendet Software, die deutlich sicherer ist, weil sie dazu gedacht ist, öffentlich erreichbar zu sein, wie z.B. Nextcloud. Aber auch da braucht es dann einen Admin, der weiß, was er tut.

Frage: weshalb benutzt du nicht das VPN der Fritzbox?

Das mit dem Stammtisch hört sich gut an.

Infos hier: https://forum.opnsense.org/index.php?topic=18183.0

[Rüdiger]

VPN habe ich ; ) Ich habe WireGuard Installiert
Anleitung über ipv64 von Dennis.
Und ja, das NAS war online, wie soll man sonst ein Backup machen?

Beste Grüße
Rüdiger

[Patrick M. Hausen]

Damit das NAS ausgehend ein Backup machen kann, muss es doch nicht aus dem Internet erreichbar sein. Oder verstehe ich etwas falsch?

[Rüdiger]

Na ja, wenn ich jetzt das Gateway eintragen würde,
Würde das NAS Firmware-Updates und Updates für die Apps installieren.
Und genau das war damals das Problem (Fritzbox --> QNAP).
In beiden Fällen wahren es sogenannte zero day o.ä. der QNAP eigenen Apps schuld (Multimedia Console).
Ich hatte ja alles Erdenkliche unternommen (dachte ich).
Benutzer angelegt mit starken PW über 20 Zeichen
Admin Deaktiviert
Port zum NAS verändert
Alle Apps deinstalliert, die sich löschen ließen
Alle Dienste abgeschaltet SSH, FTP, und was weiß ich
Zugang nur über interne IP sowie User und Passwort
und über die 2te Netzwerkkarte der Qnap
die erste Netzwerkkarte war für Internet (automatische Updates und Backups)
Jo und was soll ich sagen, auf einmal konnte ich gaaanz kleine Brötchen Backen bei meiner Frau
Die 600 € Lösegeld gingen auf meine Kappe °°
Es musste natürlich an dem Abend ein Backup laufen, was die Daten in der Cloud überschrieben ^^
Falsches Wissen über Backup ^^
deswegen ist das NAS seit 3 Jahren Offline, wenn was passiert dann wegen eines PC, aber dann sind die Daten in der Cloud und auf einer Platte.
Viel Kopierarbeit : ))

[Patrick M. Hausen]

Moment ... das NAS hat sich über ein Firmware-Update selbst mit einem Verschlüsselungstrojaner infiziert? Jemand hat die Supplychain bei Qnap infiltriert?

Ich recherchier mal dazu. Der Hersteller hat übrigens dazu gerate, das Lösegeld nicht zu zahlen, da man die Daten wiederherstellen kann. Es finden sich reichlich Anleitungen dazu und eine Software namens Qrescue im Netz.

https://www.qnap.com/static/landing/2021/qlocker/qrescue/de-de/

Gruß
Patrick

[Patrick M. Hausen]

OK, es handelte sich um einen Zero-Day wegen fester Credentials, letztendes als eine vom Hersteller ausgelieferte Backdoor.

https://www.secureblink.com/threat-research/qlocker-ransomware

Ich frage mich trotzdem, wieso der Kontakt von außen zu deinem Qnap damals möglich war? Dass das Qnap eine Route und DNS-Server hat, reicht dazu nicht. Da müssen schon eingehend irgendwelche Ports offen sein.

War jemand hier 2021 mit solchen Geräten zugange und weiß mehr? Wie genau erfolgte der Zugang zu den Geräten der Qnap-Kunden?

[Rüdiger]

Nein nicht über die Firmware es betraf damals weltweit QNAP Kunden.
DAS NAS ist so eingestellt, dass alles auf dem neusten Stand ist (Wahr).
Damals gab es eine Schwachstelle in "Multimedia Console"
Entschlüsseln ja aber nur wenn die Verschlüsselung noch im Gange war.
Dann konnte man den Schlüssel irgendwie über SSH direkt an der NAS auslesen.
Ich hatte auch eine tolle E-Mail damals von QNAP,
in der stand, das NAS hätte nicht mit dem Internet verbunden sein sollen °°
Ist aber auch Schnee von gestern.
Als Privatperson ist es anscheinend nicht ohne weiteres vergönnt, seine Daten zu sichern.
Es sei den mit viel Geld oder Ministudium als Informatiker in Netzwerk und Security : )
Ich frage mich, ob ich sicherer lebe, wenn ich die 6500 Tausend bezahle?
Oder weiter jeden Abend Ordner zippe Hochlade überprüfen, ob die Dateien ok sind und danach alles auf HDD kopiere
Oder aber eine andere NAS?

[Patrick M. Hausen]

Damals gab es eine Schwachstelle in "Multimedia Console"

Ja, aber weshalb war diese Multimedia Console aus dem Internet erreichbar?

Anderes NAS: TrueNAS ist fein für geeignete Werte von fein. ZFS Snapshots und Replikation auf ein zweites System funktionieren sehr geschmeidig. Lernkurve ähnlich wie bei OPNsense.