PFsense als Sophos ersatz

JeGr

@bob-dig said in PFsense als Sophos ersatz:

@noplan Doch, bei mir blockt Suricata immer mal wieder gerne Maschinen aus meinem LAN. Ich muss daher auf IDS/IPS auf der Sense verzichten.

Genau das ist doch das Fazit des Ganzen, dass die Signaturen und die Listen, die man bekommt ohne genaue Kenntnis und Pflege fast immer im Overblocking enden. Oder man wirft am Ende so viel raus, damit nicht ständig was geblockt wird, dass man eben auch kaum was sinnvolles filtert. So oder so sind andere Methoden sinnvoller und genau das ist ja das Fazit, auf das wir alle rauswollen ;)

Im Detection Mode zum Loggen schön, aber dann muss es auch irgendwo hingeloggt und genutzt werden, sonst verbrät man eben nur CPU Leistung für nix.

Bob.Dig

@jegr said in PFsense als Sophos ersatz:

im Overblocking enden.

Joar, das bei mir ist aber eher ein Suricata-Bug, der nicht gefixt wird, als alles andere.

Werde mir jetzt gleich das Video angucken.

JeGr

@slu said in PFsense als Sophos ersatz:

@noplan said in PFsense als Sophos ersatz:

@jegr said in PFsense als Sophos ersatz:

Sein Fazit ist da auch ganz klar: Firewall Blocklisten, DNS Blocklisten - wesentlich größerer Nutzen (pfBlockerNG bspw. ist da das Tool der Wahl).

Das Thema passt gut und ich hänge mich hier mal an, welche Listen IP/DNS (kann man die überhaupt laden) verwendet ihr da?

Eher:

Oder sollte man doch lieber gleich mit pfBlockerNG (3?) arbeiten?

Das. Hier ordentlich aus dem Vollen Schöpfen, gibt ja einiges an Möglichkeiten. Die vordefinierten PRI1 (-3) sind schonmal nen Anfang, wenn man Mail oder DNS o.ä. will lassen sich da auch ganz gut schon welche zusammensammeln. Besser noch die Firehol 1-3 aber dann muss man ggf. noch nen Blick reinwerfen, wo und wie man sie nutzt, damit man sich bspw. von innen in anderen VLANs nicht die Kommunikation absägt (manche Listen haben RFC1918 und Co Adressen mit drin).

Das Thema passt gut und ich hänge mich hier mal an, welche Listen IP/DNS (kann man die überhaupt laden) verwendet ihr da?

Ansonsten geht solala Snort Community oder wenn man Zugriff drauf hat die ET Regeln (Emerging Threats) bzw. ET Pro. Aber auch die sind wieder dafür ausgelegt, dass man sich vorher genau anschaut, was man filtern möchte und dann seine Sublisten zusammenstellt. Einfach "Ja" ist da ne schlechte Idee, dann hast du zig-tausend Alert Indikatoren die aber für DNS, SMTP oder sonstige Dienste gedacht sind, die du weder anbietest noch aktiv brauchst aber dein Parser glüht eben bei jedem Paket über ~50k IDS Einträge drüber und versucht die anzuwenden.

Zudem eben ständig Gefahr wenn man IPS aktiviert von overblocking. Da die lokalen Netze excluded werden, hat man dann ständig irgendwelche Services extern blockiert. Sehr nervig. Genauso wie MiMu raten wir da als Dienstleister auch eher davon ab wenn nicht gezielt ein Grund vorliegt wie spezifische Services die geschützt werden sollen/müssen. :)

Cheers

JeGr

@bob-dig said in PFsense als Sophos ersatz:

Joar, das bei mir ist aber eher ein Suricata-Bug, der nicht gefixt wird, als alles andere.

Wenn du das meinst, hast du Bill Meeks dazu schon was geschrieben? Bzw. ist das ein bestätigter Surricata Bug? Ansonsten - warum kein Snort wenn dus unbedingt verwenden willst?

Bob.Dig

@jegr said in PFsense als Sophos ersatz:

hast du Bill Meeks dazu schon was geschrieben

Hatte ihn nicht interessiert, meine Hardware ist ihm wohl zu exklusiv (Asus-Merlin Router mittels Scripten vlan-fähig gemacht). Und er meinte, er hätte so was noch nie nachstellen können.

Ich würde es gerne auf LAN laufen lassen und nicht auf WAN. Mal sehen, wie sich snort da bei mir verhält.

noplan

@jegr said in PFsense als Sophos ersatz:

Art Vorträge vielleicht bald auch ohne Thomas Krenn aber mit pfSense geben könnte

gibts ja ...
aber halt in ÖSI ... und mit weniger Technik ;) gggg

IT-User1599

Guten Morgen,

danke für die zahlreichen Informationen.
Ich habe die Pfsense jetzt mal hier privat laufen und es gefällt mir bisher sehr gut.

@JeGr
Ich meine ein Userportal, das extern erreichbar ist um sich seine VPN Clients + Config herunterladen zu können.

Wenn ich das so richtig rauslese, soll ich lieber kein IDS/IPS nehmen, sondern mehr auf PFBlocker NG gehen?

Bezüglich des Virenscanners, ok, dann müsste ich darauf verzichten, würde ich irgendwie hinbekommen
Ich muss jetzt nur noch den Webfilter testen, sowie prüfen ob Captive Portal funktioniert

Ich danke euch aber mal für die ganzen Antworten.

Viele Grüße

IT-User1599

JeGr

@it-user1599 said in PFsense als Sophos ersatz:

Ich meine ein Userportal, das extern erreichbar ist um sich seine VPN Clients + Config herunterladen zu können.

Nein gibt es nicht (noch?).

Wenn ich das so richtig rauslese, soll ich lieber kein IDS/IPS nehmen, sondern mehr auf PFBlocker NG gehen?

kann man mit den Einschränkungen wie beschrieben oder man setzt lieber auf IP/DNS Blocking was sicher aktuell mehr und einfacher funktionieren dürfte.

noplan

@it-user1599 said in PFsense als Sophos ersatz:

Ich meine ein Userportal, das extern erreichbar ist um sich seine VPN Clients + Config herunterladen zu können

Diese Anforderung hab ich noch nie verstanden. Denn:
Der user bekommt die VPN Config und nicht er kann sich wenn er lustig ist für seine 27 Geräte eine holen und sich dann via VPN verbinden

Ja wir haben hier auch immer wiede rmal die Diskussion, das wäre schon hilfreich ...
aber NEIN VPN ist nun mal VPN und nicht für jeden zu haben Punkt.

soll ich lieber kein IDS/IPS nehmen, sondern mehr auf PFBlocker NG gehen?

eine rasche Antwort.
pfBlocker (IP & DNSBL) und an den zu aktivierenden Listen nicht geizen dann biste wenn die Hardware mitmacht gut dabei. Wenn du es wirklich konfigurieren und warten willst, denn ein IDS/IPS ist kein fire and forget system nimm suricata und fang bloß zuerst mit lesen von logfiles und nicht mit blocken von regeln an.

Ich muss jetzt nur noch den Webfilter testen

erzähl mir bitte mal was du für einen webfilter machst ? ich versteh es gerade nicht, ist wahrscheinlich noch zu früh für mich? setzt du bei 97% des traffic via https noch squid ein?
ich mach hier vieles nur mehr via pfBlocker, das funktioniert extrem sauber und gut.

Iob Captive Portal funktioniert

frage ist mit oder ohne Bon Drucker ?

waren das jetzt alle Punkte die man beachtet um eine sophos abzusetzen ?

sebden

Webfiltern macht doch durchaus Sinn wenn der Proxy im nicht-transparenten Modus läuft oder? Ausgerollt per WPAD sollte das noch überschaubar sein vom Aufwand.

Oder wird hier dennoch kein https-Verkehr sondiert?

Als problematisch gestalten sich natürlich div. mobile Browser auf Smartphones, dafür habe ich bisher keine Lösung gefunden. Opera ist zum Beispiel nicht konfigurierbar.

JeGr

@sebden said in PFsense als Sophos ersatz:

Oder wird hier dennoch kein https-Verkehr sondiert?

Die URL bzw. Domain kann man somit AFAIK filtern, ja. Den Inhalt nicht. Der ist ja verschlüsselt. Wenn man nur nach Shallalist oder UD1 o.ä. filtert - also domains/subdomains/URLs ist das dann machbar, aber Inhaltsfilterung geht nie wenn die Verbindung nicht aufgebrochen und ausgelesen wird. Und das geht wieder nur mit "Zertifikats-Takeover" dass sich die Firewall / Proxy als Zieldomain ausgibt und den Traffic entschlüsselt, anschaut und neu verschlüsselt. Dabei geht dann aber eben komplett alle Information flöten, ob das Zielzert gültig war etc. und man kann auch übel an die Wand laufen, wenn Seiten bspw. Key Pinning etc. nutzen.

NOCling

@jegr said in PFsense als Sophos ersatz:

und man kann auch übel an die Wand laufen, wenn Seiten bspw. Key Pinning etc. nutzen.

Man wird voll gegen die eine oder andere Wand laufen.

In der Urlaubszeit landet auch schon mal ein Proxy Thema bei mir, da sind zwar schon x Ausnahmen drin aber es fehlt immer die x+1 die dieser neue Dienst/Webportal, was auch immer braucht.

Ja da macht Sophos nen guten Job muss man sagen.

Die paar Tage als ich mal ne virtuelle UTM zum spiele dazwischen hatte, ist nix groß aufgefallen.

Ist dann aber die Sense als Appliance geworden die mit dem pfBlocker seit dem den Client Virenschutz arbeitslos macht.
Ist ein ganz andere Weg aber er führt auch zum Ziel.

Habe mit ihm auch alle externen DNS Server für meine Netze blocked.
So kippt hier keiner dns over https Infos meiner Client bei Google rein.

Sogar das BSI schickt ja immer wieder Infos rum welche IPs/FQDNs man aktuell blocken soll um den nächsten geilen Scheiß zu unterbinden.

noplan

@jegr said in PFsense als Sophos ersatz:

wieder nur mit "Zertifikats-Takeover" dass sich die Firewall / Proxy als Zieldomain ausgibt und den Traffic entschlüsselt

eine quasi man in the middle attack .... somit sind die die die firewall unter ihrer verantwortung haben voll haftbar für alles was heir passiert / passieren könnte (sind sie ja eh sowieso aber in diesem fall kann es echt ein paar unangenehme nebenwirkungen zB banking etc pp geben) nur so als gedankeneinwurf

Unter Umständen stehe ich bei Webfilter auf einem anderen Standpunkt,
aber wenn ich die domain inkl. subdomanis blocke (DNS&IP) ergo nicht erreichbar mache dann muss mich der traffic zu diesen domains nicht interessieren weil der user nicht hinkommt.
ich fahr mit diesem Ansatz recht gut und sauber, denn ehrlich gesagt will / muss ich aus Gründen den man in the middle Ansatz vermeiden.

@NOCling said in PFsense als Sophos ersatz:

seit dem den Client Virenschutz arbeitslos macht.

wie was wo ... ... ... es gibt einen antiVir auf der Sense ... und ich bruach dann keinen AntVir am client mehr ... ...

Habe mit ihm auch alle externen DNS Server für meine Netze blocked.

Aus meiner Sicht is DNSBL js eh sowieso weniger wert wenn man andere DNS Server befragen kann ....

BSI schickt ja immer wieder Infos rum welche IPs/FQDNs man aktuell blocken soll

aber eine eigene Blocklis haben die nicht oder ;)

NOCling

@noplan said in PFsense als Sophos ersatz:

eine quasi man in the middle attack .... somit sind die die die firewall unter ihrer verantwortung haben voll haftbar für alles was heir passiert / passieren könnte (sind sie ja eh sowieso aber in diesem fall kann es echt ein paar unangenehme nebenwirkungen zB banking etc pp geben)

Banking musst du durschleifen, das bekommst du sonst nie zum laufen.

@noplan said in PFsense als Sophos ersatz:

wie was wo ... ... ... es gibt einen antiVir auf der Sense ... und ich bruach dann keinen AntVir am client mehr ... ...

Wenn der böse Schadecode nicht geladen werden kann, weil blocked, dann kann der Client Antivirus auch nur mit Verlangsamung des Systems auffallen, wirklich Arbeiten muss er dann nicht mehr.

@noplan said in PFsense als Sophos ersatz:

aber eine eigene Blocklis haben die nicht oder ;)

Nicht das es mit bekannt ist, die fallen eher durch ihre zum Teil veralteten Vorgaben auf.

noplan

@nocling

Banking musst du durschleifen

jop und alles andere was in der Richtung noch so abgeht (Finanzamt usw etc pp)

Wenn der böse Schadecode nicht geladen werden kann

puhhh, dache mir schon du bist jetzt aktives Mitglied Fraktion "AntiVirus Software auf der Firewall und am Desktop brauch ich nix"

fallen eher durch ihre zum Teil veralteten Vorgaben auf

... true statement ... so true ... so true

NOCling

Von Antivir auf der FW habe ich nicht gesprochen und am Client habe ich den default Schutz des Systems aktiv.

Aber mehr als die Handbremse rein knallen macht er wegen den Blocklisten halt nicht.

Exordium

Ich finde snort schon brauchbar. Z.B. um bestimmten Application-Traffic zu filtern. Ich mag es nicht, wenn durch unser Firmennetz Netflix, amazon-prime, Disney+ oder andere FIlm- und Serien-Video-Streams laufen. Jetzt such mal eine anständige IP/DNS Blocklist, die genau diesen Traffic unterbindet. Bei jedem Lookup gibts ne andere Cloud-Adresse zurück. Es ist praktisch fast unmöglich hier vernünftig anzusetzen. Mittels App-IDs und entsprechenden Snort-Rules ist wenigstens ein bisserl was möglich.
Dazu muss ich eingestehen, ich kenne nur den aktuellen pfBlockerNG in der stabilen Version und keinen Developer oder Betacode.

Aber für eine private Sense ist der Nutzen von snort & co. schon sehr dünn. Selbst in der Firma macht es dann nur Sinn, wenn das ganze z.B. noch durch ein ELk Stack läuft und aktiv (in Realtime) gemonitort wird. Hier hat es dann auch entsprechende SIEM Filter und Module.

Gruß
Exo

m0nji

@noplan said in PFsense als Sophos ersatz:

@it-user1599 said in PFsense als Sophos ersatz:

Ich meine ein Userportal, das extern erreichbar ist um sich seine VPN Clients + Config herunterladen zu können

Diese Anforderung hab ich noch nie verstanden. Denn:
Der user bekommt die VPN Config und nicht er kann sich wenn er lustig ist für seine 27 Geräte eine holen und sich dann via VPN verbinden

Ja wir haben hier auch immer wiede rmal die Diskussion, das wäre schon hilfreich ...
aber NEIN VPN ist nun mal VPN und nicht für jeden zu haben Punkt.

Kennst du die Implementierung bei Sophos dazu? Also das ist ein Pluspunkt, der hier klar an Sophos geht.
Du definierst Gruppen (können dynamisch sein) und Profile, bei denen du einstellst, auf welche Ressourcen der VPN User Zugriff haben soll. Daraus werden automatisch in einer DB alle Nutzer+Zertifikate+Configs angelegt. Der Nutzer hat dann eine Webadresse(eine Art User-Portal), bei der er sich mit seinen z.B. AD Credentials einloggt und dort werden ihm z.b. der VPN Client und die Config zum Download angeboten. Das ganze kann man natürlich noch auf Quell IPs einschränken, so dass der Aufruf z.B. nur aus dem eigenen Firmen-LAN möglich ist. Wir haben das eine Zeit lang über MFA zusätzlich abgesichert und als Azure Enterprise Applikation bereitgestellt. So konnte der Nutzer sich das auch mal im Home-Office ohne vorherige VPN Verbindung besorgen.
Glaub mir, sobald du ein paar mehr Nutzer hast, ist die Variante, wie es bei pfSense läuft nicht mehr tragbar. Zumindest wenn man zusätzlich zur User Auth noch auf Nutzer Zertifikate setzt und keine globale Konfig hat.

micneu

Glaub mir, sobald du ein paar mehr Nutzer hast, ist die Variante, wie es bei pfSense läuft nicht mehr tragbar. Zumindest wenn man zusätzlich zur User Auth noch auf Nutzer Zertifikate setzt und keine globale Konfig hat.

ich habe für jedes gerät an der sense einen eigenen benutzer/zertifikat und nutze openvpn. dafür hast gibt es doch den clientexport. clientexport

JeGr

@m0nji said in PFsense als Sophos ersatz:

Glaub mir, sobald du ein paar mehr Nutzer hast, ist die Variante, wie es bei pfSense läuft nicht mehr tragbar. Zumindest wenn man zusätzlich zur User Auth noch auf Nutzer Zertifikate setzt und keine globale Konfig hat.

Die kann man sich dann aber ableiten und bauen oder bauen lassen. Wir haben Kunden da schon entsprechend zu beraten bzw. bei der Umsetzung unterstützt. Da die Sense effektiv nur CA und Server Cert haben muss, lässt sich alles andere problemlos auslagern.

Und gerade WENN man mehr als ein paar User hat ist meistens intern noch irgendwas mit AD, DC, Deployment oder sonstwas am Start. Und in solche Prozesse kann man das problemlos integrieren, damit jemand bspw. automatisch bei Rechnerstart/Login in die Domain seine Config + Zertifikat gepusht bekommt. So schwierig ist das tatsächlich nicht.

Der Portal Ansatz wäre da sicherlich auch eine Idee von der ich hoffe dass er irgendwann mal kommt, aber sehe das eher im KMU Bereich. Bei mehr als ~20 Usern aber weniger als 100, denn ab 100 User VPN redet man meistens nicht mehr von self service sondern hat Client Deployment und Usergruppen oder Gruppenrichtlinien und die können das dann problemlos rausstanzen :)

ich habe für jedes gerät an der sense einen eigenen benutzer/zertifikat und nutze openvpn. dafür hast gibt es doch den clientexport. clientexport

Ja sicher ist er dafür da, aber solang jeder zur Nutzung davon sich anmelden muss ist das bei >20-30 Usern nicht mehr tragbar. Du willst doch nicht für Hinz, Kunz, Schulz, Maier und Müller immer die VPN Configs exportieren und denen zur Verfügung stellen - da biste ja ab bestimmten Userzahlen nur noch am VPN Pakete organisieren, sondern die sollen sich das entweder selbst installieren können oder es automatisch gepusht bekommen. :)