Blacklist oder Whitelist??

windoofer

Hallo

ich hab eine Frage
ich hab im Moment eine Whitelist gemacht und da hab ich das Problem das einige Seiten werden ganz normal angezeigt aber andere (bsp. Web.de) wird ganz weis mit nur blauen Links angezeigt

wenn man eine Blackliste nimmt dann muss man die doch immer updaten?

und ist es nicht besser mit einer Whitelist? da ist es kontrollierter?

MfG
Timm

JeGr

Hallo Timm,

leider kann niemand (ich zumindest nicht) aus deinen zwei Sätzen irgendetwas ableiten was du wo warum wie weshalb machen möchtest. Da irgendwelche Black oder Whitelisten kein Core-Umfang von pfSense sind, möchtest du vielleicht noch ein paar Worte verlieren, um was für einen Bestandteil von welchem Part oder Zusatz-Paket mit welcher Absicht es eigentlich geht. Aber so versteh ich kein Wort - und schon gar nicht das Problem.

Gruß

windoofer

Hallo JeGr

und Entschuldigung für die schlechte Beschreibung
also im großen und ganzen hab ich kein Problem
im Moment hab ich kein Problem
das dient mehr als information für mich wie das hier die meisten gelöst haben wenn es zum Thema Internetsicherheit und kontrollierten Internetzugang geht in Betrieben
Beispiel
Benutzergruppe A: Finanzabteilung -> soll nur auf Finanzseiten, Mail, und noch ein paar sachen
Benutzergruppe B: Werkstatt -> Werkzeug und Material seiten

und sowas wie Pornos Hacking usw. (Seiten die bei allen Firmen geperrt sind)

Ist da besser das mit einer Whiteliste zu machen und nur auf Anfrage dann immer Stück für Stück die Seiten freizuschalten -> da besteht aber im Moment das Problem das manche Seiten dann beim Laden komplett weiß bleiben und nur dann die Links drauf sein (Blau) wie zum Beispiel bei Web.de aber google geht, das nicht bei allen Seiten gleich

oder über eine Blackliste machen (das hab ich noch nicht gemacht)
da hab ich noch kaum Erfahrung
Frage:
muss ich die Blackliste immer wieder neurunterladen?
wie sieht es mit der Kontrolle des Internetzugang aus?
wie sieht es mit der Internetsicherheit aus?

ach und wenn wir schon dabei sind da ich immer noch neu mit der PfSense bin
wie sieht es generell mit der Sicherheit aus als Firewall gegen Hacker? oder sonstigen Angriffen von außen?

kann man es so einstellen das wenn PfSense erkennt das jemand versucht zu Hacken das sie das Internet ausschaltet?

Vielen dank schon mal im vorraus für die Antworten

MfG
Timm

BeNe

Hallo windoofer,

ich würde Dir raten es beim Grundschutz (Pornos, Hacking, usw.) zu belassen. Was auch immer in deinem Bereich dazu zählt.
Das Freigeben für bestimmte Seiten an bestimmte Gruppen wie Du es vorhast ist aus meiner Sicht nicht (wirklich) umsetztbar.
Der Aufwand ist enorem, und mit jeder Stunden kommen sicher zig beschwerden weil wieder ein Link nicht geht.
Was willst Du genau damit erreichen ? Wie hoch schätzt Du die Treffer und False Positive quote ein ?

Lass in der Firma eine Policy für alle Mitarbeiter erstellen, dass das Internet NUR Geschäftlich erlaubt ist es alles mitgeloggt wird.
Aktiviere das Logging und schaue nur nach wenn es Dir der Chef auträgt. So bist Du gesetztlich im Rahmen und hast die Arbeit vom Hals.

kann man es so einstellen das wenn PfSense erkennt das jemand versucht zu Hacken das sie das Internet ausschaltet?

Ist das dein Ernst ? Wenn dem wirklich so wäre dann wärst Du ja nur noch Offline.
Die pfSense ist eben genau auf Sicherheit getrimmt. Solange Du die Box aktuell hälst, keine (unnötigen) Ports nach intern weiterleitest ist alles perfekt. Kein Grund gleich das ganze Internet abzuklemmen :-)

JeGr

wie sieht es generell mit der Sicherheit aus als Firewall gegen Hacker? oder sonstigen Angriffen von außen?

Verstehe ich nicht ganz. Wie soll es da aussehen? Ich lese nur etwas von Internet Access, nicht von Service Anbieter. Wenn du lediglich Internet anbietest von innen nach außen, hast du im Normalfall auch nichts auf dem WAN zu öffnen. Wenn nichts offen ist, wie soll dann "was gehackt" werden? Du bietest ja nichts an…

Ansonsten machen es die meisten Betriebe wohl sehr wahrscheinlich wie BeNe es schon sagt: Es gibt entsprechende Policies ob Privatnutzung erlaubt ist oder nicht und ggf. ein Zusatz, dass der Traffic aus Sicherheitsgründen ggf. untersucht/mitgeschnitten werden kann. Bei möglichen Verstößen kann dann mitgeloggt werden.
Es gibt natürlich auch Hardcore Firmen, die wirklich nur spezifische Seiten brauchen, aber das ist selten, eine Whitelist zu führen ist ansonsten ganz schöner Aufwand, da es heute durchaus normal ist, bestimmten Content von Webseiten auf CDNs oder andere Delivery Networks auszulagern (Amazon S3, CloudFlare, Akamai...) und die kann man sehr schlecht black/whitelisten.

Es gibt natürlich aber Bl(a|o)cklisten, die dann bspw. in Packages wie pfblockerNG genutzt und ausgewertet werden können, um eben bestimmte Gruppen von Seiten zu sperren (nach Länder, Typ etc.). Zusätzlich gäbe es den Weg über DNS Filtering bspw. via Account bei OpenDNS ungewünschte Kategorien/Seiten zu blackholen etc. Das ist ebenfalls eine beliebte Möglichkeit.

windoofer

Hallo BeNe und JeGr

vielen dank für Antworten
und Entschuldigung für die späte Antwort

also ich glaub ihr braucht ein bisschen mehr Infos über mich
ich selbst hab keine Firma oder bin auch in keiner angestellt wo ich in der IT Abteilung arbeiten
das ganze ist vor knapp 2 Jahren ins rollen gekommen das ich einem Arbeitskollege geholfen hab der mich dann seiner Familie was hat machen lassen und die haben mich dann ihren Freunden usw. empfohlen und da sind jetzt Selbstständige dabei gewesen und Privat Personen
aber dieses mal ist da ein kleineres Unternehmen dabei

BeNe ich hab das dem Chef mit der Policy vorgeschlagen und das es dann mit geloggt wird und das er dann ja in der pfsense selbst schauen kann wo die MItarbeiter drauf gehen
das kann man ja gut in der pfsense einstellen das er nur auf den Logging Link kommt

und das mit dem Grundschutz BeNe wurde auch akzeptiert, die Aussage war halt sie sollen halt nicht irgendwelchen Unfug treiben können (Pornos, Hacking)
das freigeben für unterschiedliche Windowsgruppen über LDAP hab ich hinbekommen das war jetzt weniger das Problem
also das Grupppe a kann nur auf die Seiten und Gruppe B kann nur auf die Seiten
aber das sollte jetzt nicht mehr nötig sein, ich kann ja jetzt standart mäßig für alle das gleich sperren/freigeben

Also das mit dem Internet ausschalten da hast du recht das wäre schlecht
aber wie ist das den jetzt? Auf dem Windows Server läuft noch die Webseite, wo ich die Ports weitergeleitet habe, wenn jetzt jemand versuchen würde/wollte den Server zuhacken (was ich bezweifel) wie weis ich das er dann trotzdem sicher ist?

JeGr danke für die Antwort und die tolle Beschreibung, aber ich werde es erste mal mit einer Balckliste wie shalla versuchen bevor ich den pfblockerNG drauf mache

vielen dank für eure Hilfe
Timm

windoofer

Ach ja eine Frage hätte ich dann noch
Wenn ich die shalla Blacklist nehme
Die wird von einem Team immer aktuell gehalten

Muss ich die dann immer neu runterladen oder macht das die pfsense alleine?

Nochmals danke
Timm

JeGr

Und WO willst du die Shalla Blacklist einbinden?

windoofer

Im squidguard