Wie geht ihr in der Praxis mit der Llimitierung der Alias Namen um?

[MBatOS]

Hallo,

ich habe hier eine Firewall bei der ca. 1500 Objekte angelegt sind um den Netzwerkverkehr zu regeln. Viele dieser Objekt sind Netzwerke, Hosts und FQDN. Zum Beispiel werden Netze hier als 192.168.0.1/24-foobar benannt. Ich sehe noch keinen Weg wie ich diese Umgebung mit opnsense und denn Alias-Limitationen so umsetze, so dass man bei einer etwaigen Fehlersuche noch eine Chance hat. Wie handhabt ihr das mit den Aliasnamen?

[Patrick M. Hausen]

Bei mir haben Alias semantische Prefixe. Und ich versuche wo möglich Gruppen anzulegen. Den Inhalt nochmal in den Namen zu schreiben halte ich spontan für überflüssig - habe ich noch nie getan. Man legt Aliase ja genau deshalb an, damit man sich nicht mit Adressen und Ports beschäftigen muss sondern mit benannten Systemen und Funktionen.

Das mit den Prefixen habe ich angefangen, weil bei der Sidewinder die unterschiedlichen Alias-Typen unterschiedliche Symbole hatten und man im UI gleich Netze, Ports, etc. auseinanderhalten konnte.

[meyergru]

"Namen sind nicht das, was sie bedeuten" - sonst könntest Du ja gleich den Inhalt hinschreiben.

Was die o.a. Übersicht angeht: Dort könnte man ja auch nach Typ filtern, aber bei der Auswahl von Aliasen in Firewall-Regeln gibt es diese Möglichkeit leider nicht. Die Aliase sind nicht einmal alphabetisch sortiert, nur anhand der "möglichen" Typen eingeschränkt. Man kann allerdings den Präfix eingeben und bekommt dann eine eingeschränkte Liste - insofern ist die Präfizierung mit dem Typ hilfreich.

Schöner wäre es, wenn die Auswahlliste selbst nach Typ strukturiert wäre - aktuell ist bei einer Quelle oder bei einem Ziel nur "Alias" und "Netzwerk" getrennt.

[Patrick M. Hausen]

Man kann allerdings den Präfix eingeben und bekommt dann eine eingeschränkte Liste

Genau! 🙂

[meyergru]

Ist aber echt eine Notlösung. Die quasi "zufällige" Reihenfolge in der Auswahl fand ich schon immer schlecht. Und bei >1000 Aliasen praktisch nicht handhabbar. Kategorisierung und alphabetische Sortierung wäre da wirklich hilfreich - sollte man vielleicht mal einen Feature Request für machen.

[MBatOS]

"Namen sind nicht das, was sie bedeuten" - sonst könntest Du ja gleich den Inhalt hinschreiben.

Nun, bei den anderen Firewalls die wir hier einsetzten (Sophos XGS bzw. SG) hat es sich sehr bewährt beide Informationen in der Objektbenennung zu haben. Was die Gruppen angeht ist
---SCHNIPP---
Only letters, digits and underscores are allowed as the group name.
The group name shall not be longer than 15 characters.
The group name shall not start or end with a digit.
---SCHNAPP---
Ja auch nicht hilfreich.

Ich fürchte, dass dieses Verhalten der Opnsense das Genick bei der Auswahl bricht.

[meyergru]

Wieso "fürchtest" Du das? Wenn das das entscheidende Kriterium ist... ¯\_(ツ)_/¯

[MBatOS]

Wieso "fürchtest" Du das?

Weil ich die Entscheidung nicht alleine fälle. Und ja, wie man die Objekte verwaltet ist ein großes Thema. Die Sophos XGS wäre beinahe wieder raus geflogen weil die GUI sich als "schwierig" herausgestellt hat. Allerdings sind die in einem wenige komplexen Umfeld eingesetzt.

[meyergru]

Ich kenne das aus solch großen Installationen nur so, dass ohnehin mehrere Firewalls verschiedener Anbieter in Serie eingesetzt werden, falls eine eine Sicherheitslücke aufweist. Und dann macht man die Konfiguration sowieso automatisiert, weil man sicher nicht von Hand die selben Regeln auf mehreren Instanzen einspielen will.

Dabei kommt es eher auf die Automationsfähigkeiten der Systeme (also z.B. APIs) als auf deren UI an und man hat die Verwaltung der Objekte eh selbst in der Hand. Meist sind die aufgrund von diversen Vorschriften ohnehin in einer Konfig-DB.

Vielleicht kommt nur mir das Kriterium deswegen so schräg vor.

[MBatOS]

Vielleicht kommt nur mir das Kriterium deswegen so schräg vor.

Gibt eine einfache Erklärung: Die Automatisierung existiert nicht und deshalb wird über die GUI konfiguriert.

Selbst wenn es die Automatisierung gäbe, würde man eine für Menschen handhabbare Benennung der Objekte bevorzugen.

[JeGr]

Verstehe das Drama in der Benennung trotzdem nicht. Im Gegensatz zu manch anderer Firewall ist ja bei den Sensen das Alias an vielen Stellen trotzdem einsehbar oder über Tooltips der Inhalt erkennbar. Selbst bei großen DC Setups hab ich jetzt noch keinen Kunden gehabt der Hände über dem Kopf schlagend sich über Limitationen von Alias oder Gruppen Interfaces beschwert hat. Vor allem wenn man schonmal bei Juniper und Co da saß und wegen einer Namens/IP Änderung einer MIB ALLES bei dem die MIB eingebaut ist rückbauen musste nur damit man das Ding löschen und neu anlegen kann. In den Sensen geht man hin und ändert das Alias oder die IP und fertig.

Namenskonventionen kann man viele finden oder sich bauen. Dass man da zwingend ein Prefix/Subnet in den Namen einbauen muss halte ich für vermessen. Das klingt eher nach "soll jemand bedienen der so gar keinen Bezug zur Firewall hat und sonst nichts versteht". Und wenn das der Punkt ist, ist es vllt. doch sinnvoller, wenn man die API nutzt.

Ansonsten bin ich echt überrascht sowas zu lesen. Noch nie vorgekommen in zig Jahren in denen wir *sensen machen.

Cheers :)