PFsense als Sophos ersatz
-
hmm ...
die anforderungen kannste 1:1 mit der pfS umsetzen
die Fritzbox (muss / brauch ) ich nicht verstehen ist wohl ein provider ding
ich würd empfehlen die IDS/IPS zuletzt umzusetzen (aber NUR wenn du hinter der pfS services anbietest sonst ist der Nutzen NULL)
wieso man auf einer firewall einen antiVir laufen lassen möchte muss/ will ich nicht verstehen
haben hier in AT immer mehr die von dieser haufenweise verkauften lösung wieder weg gehen
und eine Lösung mit pfB & DNSBL nehmen. (somit haben wir auch fast keine squid sachen mehr)was ich noch nie verstanden habe wieso die sophos user immer so auf die Grafik stehen
NP
-
@it-user1599 said in PFsense als Sophos ersatz:
Ein Userportal gibt es also nicht für die Nutzer?
Was meinst du mit "Userportal"?
SSL VPN wird noch eingerichtet. Eventuell auch eine S2S Verbindung. Ein Webserver zum Testen war auch angedacht. Bei Sophos gab es meines Wissens schon vordefinierte Regeln für sowas.
Mag sein, ändert aber nichts an der generellen Aussage zu IDS/IPS. Wenn man das einfach nur einschaltet wird entweder irgendwann was geblockt, was man nicht will/soll oder es werden die ganze Zeit Logs geworfen die niemand sieht, keinen interessieren und somit keinen Nutzen haben. Wenn man sich zudem die "Regeln" mal genauer ansieht - bspw. das Snort Community Ruleset - findet man dort sehr viele stumpfe IP Blocks. Das kann man wesentlich billiger über IP Blocking Regeln. Genauso finden sich etliche Blocks gegen Aufrufe über spezifische DNS Namen oder URLs. Auch das lässt sich einfacher und billiger per IP oder DNS Blocking regeln. Was übrig bleibt sind dann etliche Regeln die gern überreagieren (bspw. UDP trigger, die dann bei VPN Verbindung sofort reingrätschen) oder Signaturen, die effektiv Payload von Paketen vergleichen. Letzteres ist gerade bei SSL Verbindungen komplett nutzlos denn das IDS sieht die Payload durch die Verschlüsselung nicht mehr. Somit dann auch kein Blocking möglich.
Klar hat auch Snort bzw. Surricata auf der pfSense wie der OPNsense jede Menge Listen, die man reinwerfen und aktivieren kann. Ohne aber Verständnis und Selektion, welche Gruppen, Alerts etc. man haben will, rasselt da einfach nur ne ellenlange Alertliste durch mit ständigen Events. Sobald man dann noch IPS anmacht und aktiv blockt, gehts dann richtig los, denn dann geht das (over)blocking los.
Wer da nicht ständig am Ball blebt, täglich oder mehrmals wöchentlich seine Logs abgrast und ständig feinjustiert, hat da am Ende dann mehr Arbeit und Aufwand als dass es überhaupt was bringt :)Gut dazu auch von Kollege Michael von der OPNsense Front der Vortrag: https://youtu.be/lgL20apoJ2U?t=1247
Sein Fazit ist da auch ganz klar: Firewall Blocklisten, DNS Blocklisten - wesentlich größerer Nutzen (pfBlockerNG bspw. ist da das Tool der Wahl). IPS gar nicht - weil zu viel Arbeit. IDS nur um sich nen groben Überblick zu verschaffen, was geht bzw. was man vielleicht neugierig sehen möchte. Aber mit >80% des Traffics im Netz heute encrypted sind viele klassische Signaturen/Sensoren/Listen heute recht nutzlos geworden.
Wenn IDS/IPS nicht sinnvoll ist, kann ich dann zumindest den Virenscanner im Squid auf einen anderen ändern bzw. ein anderes Installieren?
Könnte man schon, es gibt nur keinen Anbieter, der einen sinnvollen anderen Virenscanner auf BSD nutzbar/lauffähig am Start hat, der mir bekannt wäre aktuell. Somit recht unnötig/nutzlos. Auch hier gilt heute dass effektiv mehr durch gutes DNS Blocklisting ausgesiebt wird als irgendwelche veralteten Virensignaturen vielleicht oder vielleicht auch nicht erkennen und säubern, zumal bei Proxy/Squid dann wieder der Spaß ist, das ganze so zu bauen, dass die Clients nicht ständig SSL Fehlermeldungen haben. Und wenn man ihn transparent ausrollt, dass die SSL durchreichen, bingt auch der Virenscanner nichts - encrypted traffic kann man nicht scannen. :)
Cheers
-
@jegr said in PFsense als Sophos ersatz:
Sein Fazit ist da auch ganz klar: Firewall Blocklisten, DNS Blocklisten - wesentlich größerer Nutzen (pfBlockerNG bspw. ist da das Tool der Wahl). IPS gar nicht - weil zu viel Arbeit. IDS nur um sich nen groben Überblick zu verschaffen, was geht bzw. was man vielleicht neugierig sehen möchte. Aber mit >80% des Traffics im Netz heute encrypted sind viele klassische Signaturen/Sensoren/Listen heute recht nutzlos geworden.
CheersDEM GIBTS NIX NIX aber auch gar NIX mehr hinzuzfügen !
-
@noplan Doch, bei mir blockt Suricata immer mal wieder gerne Maschinen aus meinem LAN. Ich muss daher auf IDS/IPS auf der Sense verzichten.
-
@noplan Außer dass es evtl. sein könnte, dass es diese Art Vorträge vielleicht bald auch ohne Thomas Krenn aber mit pfSense geben könnte ;) Aber ja, Mimu fasst das ganz gut und kompakt zusammen. Zum schauen OK, für'n Rest gibts andere Möglichkeiten die ergiebiger und weniger intrusiv sind.
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
@noplan said in PFsense als Sophos ersatz:
@jegr said in PFsense als Sophos ersatz:
Sein Fazit ist da auch ganz klar: Firewall Blocklisten, DNS Blocklisten - wesentlich größerer Nutzen (pfBlockerNG bspw. ist da das Tool der Wahl).
Das Thema passt gut und ich hänge mich hier mal an, welche Listen IP/DNS (kann man die überhaupt laden) verwendet ihr da?
Oder sollte man doch lieber gleich mit pfBlockerNG (3?) arbeiten?
pfSense Gold subscription
-
@bob-dig said in PFsense als Sophos ersatz:
@noplan Doch, bei mir blockt Suricata immer mal wieder gerne Maschinen aus meinem LAN. Ich muss daher auf IDS/IPS auf der Sense verzichten.
Genau das ist doch das Fazit des Ganzen, dass die Signaturen und die Listen, die man bekommt ohne genaue Kenntnis und Pflege fast immer im Overblocking enden. Oder man wirft am Ende so viel raus, damit nicht ständig was geblockt wird, dass man eben auch kaum was sinnvolles filtert. So oder so sind andere Methoden sinnvoller und genau das ist ja das Fazit, auf das wir alle rauswollen ;)
Im Detection Mode zum Loggen schön, aber dann muss es auch irgendwo hingeloggt und genutzt werden, sonst verbrät man eben nur CPU Leistung für nix.
-
@jegr said in PFsense als Sophos ersatz:
im Overblocking enden.
Joar, das bei mir ist aber eher ein Suricata-Bug, der nicht gefixt wird, als alles andere.
Werde mir jetzt gleich das Video angucken.
-
@slu said in PFsense als Sophos ersatz:
@noplan said in PFsense als Sophos ersatz:
@jegr said in PFsense als Sophos ersatz:
Sein Fazit ist da auch ganz klar: Firewall Blocklisten, DNS Blocklisten - wesentlich größerer Nutzen (pfBlockerNG bspw. ist da das Tool der Wahl).
Das Thema passt gut und ich hänge mich hier mal an, welche Listen IP/DNS (kann man die überhaupt laden) verwendet ihr da?
Eher:
Oder sollte man doch lieber gleich mit pfBlockerNG (3?) arbeiten?
Das. Hier ordentlich aus dem Vollen Schöpfen, gibt ja einiges an Möglichkeiten. Die vordefinierten PRI1 (-3) sind schonmal nen Anfang, wenn man Mail oder DNS o.ä. will lassen sich da auch ganz gut schon welche zusammensammeln. Besser noch die Firehol 1-3 aber dann muss man ggf. noch nen Blick reinwerfen, wo und wie man sie nutzt, damit man sich bspw. von innen in anderen VLANs nicht die Kommunikation absägt (manche Listen haben RFC1918 und Co Adressen mit drin).
Das Thema passt gut und ich hänge mich hier mal an, welche Listen IP/DNS (kann man die überhaupt laden) verwendet ihr da?
Ansonsten geht solala Snort Community oder wenn man Zugriff drauf hat die ET Regeln (Emerging Threats) bzw. ET Pro. Aber auch die sind wieder dafür ausgelegt, dass man sich vorher genau anschaut, was man filtern möchte und dann seine Sublisten zusammenstellt. Einfach "Ja" ist da ne schlechte Idee, dann hast du zig-tausend Alert Indikatoren die aber für DNS, SMTP oder sonstige Dienste gedacht sind, die du weder anbietest noch aktiv brauchst aber dein Parser glüht eben bei jedem Paket über ~50k IDS Einträge drüber und versucht die anzuwenden.
Zudem eben ständig Gefahr wenn man IPS aktiviert von overblocking. Da die lokalen Netze excluded werden, hat man dann ständig irgendwelche Services extern blockiert. Sehr nervig. Genauso wie MiMu raten wir da als Dienstleister auch eher davon ab wenn nicht gezielt ein Grund vorliegt wie spezifische Services die geschützt werden sollen/müssen. :)
Cheers
-
@bob-dig said in PFsense als Sophos ersatz:
Joar, das bei mir ist aber eher ein Suricata-Bug, der nicht gefixt wird, als alles andere.
Wenn du das meinst, hast du Bill Meeks dazu schon was geschrieben? Bzw. ist das ein bestätigter Surricata Bug? Ansonsten - warum kein Snort wenn dus unbedingt verwenden willst?
-
@jegr said in PFsense als Sophos ersatz:
hast du Bill Meeks dazu schon was geschrieben
Hatte ihn nicht interessiert, meine Hardware ist ihm wohl zu exklusiv (Asus-Merlin Router mittels Scripten vlan-fähig gemacht). Und er meinte, er hätte so was noch nie nachstellen können.
Ich würde es gerne auf LAN laufen lassen und nicht auf WAN. Mal sehen, wie sich snort da bei mir verhält.
-
@jegr said in PFsense als Sophos ersatz:
Art Vorträge vielleicht bald auch ohne Thomas Krenn aber mit pfSense geben könnte
gibts ja ...
aber halt in ÖSI ... und mit weniger Technik ;) gggg -
Guten Morgen,
danke für die zahlreichen Informationen.
Ich habe die Pfsense jetzt mal hier privat laufen und es gefällt mir bisher sehr gut.@JeGr
Ich meine ein Userportal, das extern erreichbar ist um sich seine VPN Clients + Config herunterladen zu können.Wenn ich das so richtig rauslese, soll ich lieber kein IDS/IPS nehmen, sondern mehr auf PFBlocker NG gehen?
Bezüglich des Virenscanners, ok, dann müsste ich darauf verzichten, würde ich irgendwie hinbekommen
Ich muss jetzt nur noch den Webfilter testen, sowie prüfen ob Captive Portal funktioniertIch danke euch aber mal für die ganzen Antworten.
Viele Grüße
IT-User1599
-
@it-user1599 said in PFsense als Sophos ersatz:
Ich meine ein Userportal, das extern erreichbar ist um sich seine VPN Clients + Config herunterladen zu können.
Nein gibt es nicht (noch?).
Wenn ich das so richtig rauslese, soll ich lieber kein IDS/IPS nehmen, sondern mehr auf PFBlocker NG gehen?
kann man mit den Einschränkungen wie beschrieben oder man setzt lieber auf IP/DNS Blocking was sicher aktuell mehr und einfacher funktionieren dürfte.
-
@it-user1599 said in PFsense als Sophos ersatz:
Ich meine ein Userportal, das extern erreichbar ist um sich seine VPN Clients + Config herunterladen zu können
Diese Anforderung hab ich noch nie verstanden. Denn:
Der user bekommt die VPN Config und nicht er kann sich wenn er lustig ist für seine 27 Geräte eine holen und sich dann via VPN verbindenJa wir haben hier auch immer wiede rmal die Diskussion, das wäre schon hilfreich ...
aber NEIN VPN ist nun mal VPN und nicht für jeden zu haben Punkt.soll ich lieber kein IDS/IPS nehmen, sondern mehr auf PFBlocker NG gehen?
eine rasche Antwort.
pfBlocker (IP & DNSBL) und an den zu aktivierenden Listen nicht geizen dann biste wenn die Hardware mitmacht gut dabei. Wenn du es wirklich konfigurieren und warten willst, denn ein IDS/IPS ist kein fire and forget system nimm suricata und fang bloß zuerst mit lesen von logfiles und nicht mit blocken von regeln an.Ich muss jetzt nur noch den Webfilter testen
erzähl mir bitte mal was du für einen webfilter machst ? ich versteh es gerade nicht, ist wahrscheinlich noch zu früh für mich? setzt du bei 97% des traffic via https noch squid ein?
ich mach hier vieles nur mehr via pfBlocker, das funktioniert extrem sauber und gut.Iob Captive Portal funktioniert
frage ist mit oder ohne Bon Drucker ?
waren das jetzt alle Punkte die man beachtet um eine sophos abzusetzen ?
-
Webfiltern macht doch durchaus Sinn wenn der Proxy im nicht-transparenten Modus läuft oder? Ausgerollt per WPAD sollte das noch überschaubar sein vom Aufwand.
Oder wird hier dennoch kein https-Verkehr sondiert?
Als problematisch gestalten sich natürlich div. mobile Browser auf Smartphones, dafür habe ich bisher keine Lösung gefunden. Opera ist zum Beispiel nicht konfigurierbar.
-
@sebden said in PFsense als Sophos ersatz:
Oder wird hier dennoch kein https-Verkehr sondiert?
Die URL bzw. Domain kann man somit AFAIK filtern, ja. Den Inhalt nicht. Der ist ja verschlüsselt. Wenn man nur nach Shallalist oder UD1 o.ä. filtert - also domains/subdomains/URLs ist das dann machbar, aber Inhaltsfilterung geht nie wenn die Verbindung nicht aufgebrochen und ausgelesen wird. Und das geht wieder nur mit "Zertifikats-Takeover" dass sich die Firewall / Proxy als Zieldomain ausgibt und den Traffic entschlüsselt, anschaut und neu verschlüsselt. Dabei geht dann aber eben komplett alle Information flöten, ob das Zielzert gültig war etc. und man kann auch übel an die Wand laufen, wenn Seiten bspw. Key Pinning etc. nutzen.
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
@jegr said in PFsense als Sophos ersatz:
und man kann auch übel an die Wand laufen, wenn Seiten bspw. Key Pinning etc. nutzen.
Man wird voll gegen die eine oder andere Wand laufen.
In der Urlaubszeit landet auch schon mal ein Proxy Thema bei mir, da sind zwar schon x Ausnahmen drin aber es fehlt immer die x+1 die dieser neue Dienst/Webportal, was auch immer braucht.
Ja da macht Sophos nen guten Job muss man sagen.
Die paar Tage als ich mal ne virtuelle UTM zum spiele dazwischen hatte, ist nix groß aufgefallen.
Ist dann aber die Sense als Appliance geworden die mit dem pfBlocker seit dem den Client Virenschutz arbeitslos macht.
Ist ein ganz andere Weg aber er führt auch zum Ziel.Habe mit ihm auch alle externen DNS Server für meine Netze blocked.
So kippt hier keiner dns over https Infos meiner Client bei Google rein.Sogar das BSI schickt ja immer wieder Infos rum welche IPs/FQDNs man aktuell blocken soll um den nächsten geilen Scheiß zu unterbinden.
-
@jegr said in PFsense als Sophos ersatz:
wieder nur mit "Zertifikats-Takeover" dass sich die Firewall / Proxy als Zieldomain ausgibt und den Traffic entschlüsselt
eine quasi man in the middle attack .... somit sind die die die firewall unter ihrer verantwortung haben voll haftbar für alles was heir passiert / passieren könnte (sind sie ja eh sowieso aber in diesem fall kann es echt ein paar unangenehme nebenwirkungen zB banking etc pp geben) nur so als gedankeneinwurf
Unter Umständen stehe ich bei Webfilter auf einem anderen Standpunkt,
aber wenn ich die domain inkl. subdomanis blocke (DNS&IP) ergo nicht erreichbar mache dann muss mich der traffic zu diesen domains nicht interessieren weil der user nicht hinkommt.
ich fahr mit diesem Ansatz recht gut und sauber, denn ehrlich gesagt will / muss ich aus Gründen den man in the middle Ansatz vermeiden.@NOCling said in PFsense als Sophos ersatz:
seit dem den Client Virenschutz arbeitslos macht.
wie was wo ... ... ... es gibt einen antiVir auf der Sense ... und ich bruach dann keinen AntVir am client mehr ... ...
Habe mit ihm auch alle externen DNS Server für meine Netze blocked.
Aus meiner Sicht is DNSBL js eh sowieso weniger wert wenn man andere DNS Server befragen kann ....
BSI schickt ja immer wieder Infos rum welche IPs/FQDNs man aktuell blocken soll
aber eine eigene Blocklis haben die nicht oder ;)
-
@noplan said in PFsense als Sophos ersatz:
eine quasi man in the middle attack .... somit sind die die die firewall unter ihrer verantwortung haben voll haftbar für alles was heir passiert / passieren könnte (sind sie ja eh sowieso aber in diesem fall kann es echt ein paar unangenehme nebenwirkungen zB banking etc pp geben)
Banking musst du durschleifen, das bekommst du sonst nie zum laufen.
@noplan said in PFsense als Sophos ersatz:
wie was wo ... ... ... es gibt einen antiVir auf der Sense ... und ich bruach dann keinen AntVir am client mehr ... ...
Wenn der böse Schadecode nicht geladen werden kann, weil blocked, dann kann der Client Antivirus auch nur mit Verlangsamung des Systems auffallen, wirklich Arbeiten muss er dann nicht mehr.
@noplan said in PFsense als Sophos ersatz:
aber eine eigene Blocklis haben die nicht oder ;)
Nicht das es mit bekannt ist, die fallen eher durch ihre zum Teil veralteten Vorgaben auf.
