Security-Check der OPNsense-Einstellungen?

Started by Marcel_75, March 13, 2018, 10:42:38 PM

Previous topic - Next topic
Hallo zusammen,

ich hätte da mal eine Art "feature request" bzw. einen Vorschlag, über den man ja mal diskutieren könnte.  :)

Bei (z.B.) Synology-NAS finde ich ein Feature wirklich gut: Mit Hilfe eines sogenannten "Security Advisor" können diverse System-Einstellungen geprüft werden – und bei Problemen wird man dann auch gleich mit einer Erläuterung inklusive passenden Link an die "richtige Stelle" des DSM-GUI geleitet, um die problematische Einstellung entsprechend anzupassen. Das ist auch noch einmal aufgeteilt in "Home" und "Business", bei "Business" dann mit entsprechend höheren Sicherheits-Anforderungen.

Wäre so etwas in der Art theoretisch auch für das OPNsense-System umsetzbar?

Habe mir mit Hilfe diverser Tutorials zwar vieles so konfiguriert, wie es laut Anleitung auch sein soll (z.B. auch einen Werbe- & Tracking-Blocker per blacklist.conf in den Custom-Einstellungen des Unbound DNS Resolver), und das scheint auch alles gut und zuverlässig zu funktionieren.

Aber da ich weder Netzwerk- noch Sicherheits-Experte bin, bleibt bei so etwas halt irgendwie das mulmige Gefühl, dass man an der einen oder anderen Stelle vielleicht doch einen Haken zu viel oder zu wenig gemacht hat ...  :-[

Also ist so etwas denkbar? Oder aufgrund der unendlich vielen Konfigurationsmöglichkeiten und der schieren Komplexität von Netzwerk-Umgebungen eher aussichtslos?
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)

QuoteOder aufgrund der unendlich vielen Konfigurationsmöglichkeiten und der schieren Komplexität von Netzwerk-Umgebungen eher aussichtslos?
Genau das!
Es gibt einen check ob für ein Paket ein CVS (Sicherheitsproblem) vorliegt. Was andere schon mal nicht so bieten. Aber was für DICH in der Konfig gewollt ist und was nicht kann Dir kein "Security Ceck" abnehmen.

Sorry aber die Idee an sich ist schon ziemlicher Quatsch.
Eine FW ist nunmal eines dieser Systeme, das einfach ein gewisses Grund- bzw. Fachwissen voraussetzt.  ;)
Wie sollte ein "Security Advisor" wissen, ob eine bestimmte Einstellung gewollt oder ungewollt gemacht wurde (z.B. Any-Regel(n))? Von der Komplexität unterschiedlicher FW-Konfigurationen mal ganz abgesehen.
Im Gegenteil, ich halte so etwas in gewisser Weise sogar kontraproduktiv. So was täuscht eine "Sicherheit" vor, die in der Praxis dann (oft) gar nicht vorhanden ist.
Mein liebstes Beispiel hier sind immer AV-Programme.  ::)
"Ihr Rechner ist geschützt" ist so eine dieser bescheuerten Aussagen/Anzeigen.  ;D
Komisch nur, dass sich viele Leute trotz Ihre "geschützem Systems" Trojaner einfangen.

Eine FW lebt. Es ergeben sich immer wieder neue Anforderungen, so dass man auch mal häufiger prüfen muss, ob bestimmte Regeln aktuell überhaupt noch sinnvoll sind.

Gruß
Dirk

PS: Ich kenne auch keine kommerzielle FW, die so etwas anbietet!

Naja, habe ich mir ja schon gedacht ... aber man wird ja noch mal fragen dürfen, oder?  ::) ;)

Es muss ja vielleicht auch nicht so ein "Security Check" sein. Etwas umfangreichere Hinweise bei den kleinen, orange-farbenen Info-Buttons wären ja auch schon hilfreich.

Finde diese z.B. super, aber manchmal sind sie entweder sehr kurz gehalten (und damit nicht wirklich hilfreich) oder aber auch gar nicht vorhanden.

Mir geht es ja nur darum, das ganze wenn möglich noch Anwender-freundlicher zu machen.

PS: Und ja, Snakeoil setze ich auf meinen Clients auch nicht ein.  :P
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)

Die Standardeinstellungen versuchen sicher zu sein. Alles was man einstellt "vermindert" dann die Sicherheit anwendungsbedingt. Auch wenn es z.B. nur die SSH-Anbindung ist.

Externe Tools die Port/Vulnerability Scans helfen da besser. Aber Vorsicht: nicht aus dem LAN auf das WAN ausführen. ;)


Grüsse
Franco

Das Einzige, was ich an "Security Advisor" ähnlichem Krams tatsächlich hilfreich sehen würde um typische 08/15 Anfängerfehler zu blocken wären sowas:

* Gelbe Ampel (Warnung) bei aktiven Regeln auf dem WAN, die Traffic eingehend erlauben (Nachfrage ob das überhaupt wirklich erwünscht ist, oder das nur jemand "meinte", dass das so sein muss, weil er eigentlich nur den Antwort-Traffic auf abgehende Requests reinlassen will).
* rote oder gelbe Ampel, wenn irgendwo anders als auf dem LAN (und ggf. VPN) eine * * * any Rule verwendet wird.

Aber: es gibt genug Konstellationen, wo das einfach gewollt und absolut korrekt ist. Und dafür hätte dann jeder andere ständig irgendwo ne gelbe oder rote Ampel am Leuchten, was aber völlig OK ist. Aber erkläre das dann mal jemand ohne Ahnung! "Da muss was kaputt sein / der Typ ist inkompetent, weil da ist ne rote Ampel und der tut nix dagegen!!11elf"

Daher: Macht nicht wirklich Sinn. Wie Franco sagt: Die Defaults sind - wenn man so will - sicher, alles was du danach machst, ist die Firewall gezielt "unsicherer" zu machen weil das an der Stelle so sein muss. (Wobei sich jetzt vortrefflich streiten ließe, ob eine any any Regel auf dem LAN per default "sicher" ist :D man könnte auch nur die Anti Lockout Regel und Automatic NAT machen, damit der User erstmal was raus lassen muss, aber das wäre wieder gegen die POLS Regel bei den meisten SOHO/SMB Nutzern) :)

Grüße Jens
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.