Anleitung Einstellungen Pfsense



  • Hallo,

    hab soweit meine Pfsense eingerichtet. Nun möchte ich mich mit den Einstellungen beschäftigen. Kann man sagen, dass die Fw nach installation schon an sich recht sicher ist oder muss / kann man diese durch bestimmte Regeln / Packete sicherer machen.

    Ich tue mir momentan sehr schwer zu verstehen und einzuordnen, was die Firewall für mich bringt hinsichtlich der Sicherheit und Funktionen bietet und wie ich dieses am besten umsetze.

    Deshalb brauche ich einige Praxiserfahrung, hinsichtlich Regel, Funktionen, Ports, Packete welche ich installieren, freigeben, einstellen sollte.

    Könnt Ihr mir da bitte helfen?


  • Moderator

    Kann man sagen, dass die Fw nach installation schon an sich recht sicher ist oder muss / kann man diese durch bestimmte Regeln / Packete sicherer machen.

    pfSense hat - und das wird auch m.W. überall in der Dokumentation so beschrieben - den typischen Standard nach einer Installation definiert als:

    • NATte LAN auf WAN
    • erlaube alles von LAN (damit nach der Installation erstmal Clients sauber ins Netz kommen)

    Ansonsten ist pfSense an jeder weiteren Filterstelle - ebenfalls dokumentiert - so aufgebaut, dass nichts erlaubt wird, was nicht definitiv irgendwo angegeben ist. Wenn ergo auf dem WAN keine Regel oder kein Port Forwarding erlaubt ist wird auch "von außen" nichts erlaubt. Auf dem LAN ist per default die Anti Lockout Regel aktiv sowie die "Pass any" Regel wie oben erwähnt von LAN -> überall.

    Alles weitere - und ob das so gewünscht ist - liegt an dir. Helfen kann dir da per se niemand, wenn du nicht (für dich) definierst, was du eigentlich erreichen möchtest.

    Ich tue mir momentan sehr schwer zu verstehen und einzuordnen, was die Firewall für mich bringt hinsichtlich der Sicherheit und Funktionen bietet und wie ich dieses am besten umsetze.

    Sorry, aber das sehe ich als den verkehrten Ansatz. Ich installiere kein Produkt und frage dann "Na, was kannst du für mich tun?", sondern mache mir Gedanken, WAS ich haben möchte (wer darf was, wann, wie lange und warum) und suche mir dann das Werkzeug um das umzusetzen. Natürlich kann ich einen Teil hinterher entdecken und mich freuen "Boah, das kann das Ding ja auch :)" aber die grundsätzlichen Gegebenheiten musst du dir schon selbst überlegen, was du erreichen möchtest. Da kann dir ja niemand in den Kopf schauen, was du gerne hättest und was nicht und wofür du das überhaupt nutzen willst - du sagst ja nicht einmal ob privat oder vielleicht semi-/Office Anwendung. :)

    Grüße



  • Ich verstehe deine Antwort gut. Mir geht's primär darum, zunächst die Clients und Server mal vor Angriffen aus dem Internet zu schützen. Vorwiegend sind das Office Anwendungen bzw. soll die Sense als VPN Gateway dienen, um eine Mobile Einwahl per VPN von iPhone iPad und Mac -> Weiter per RDP auf einzelne Clients. WLAN sollte auch abgedeckt sein, wobei wir ja gesagt haben, dass das mit einer Fritte als AP über LAN1 realisiert werden kann. Was ich so gelesen habe kann die Sense das alles mir geht's halt eher um die Funktionen und diese zu verstehen. Was mir z. B. fehlt aber da bin ich ein einfacher Gewohnheitsuser: Eine Übersicht aller Geräte die per LAN GW angesprochen werden / aktiv sind. Egal ob DHCP oder Statisch. Einfache Anzeige Hostname - Mac - IP.

    Alles grundsätzlich zu verbieten is  ja falsch. Da bist ja bei jedem Tool, welches raus will am hinterherlaufen und Ports zu öffnen und regeln zu definieren.

    Vllt. kannst du sagen was du alles aktiviert hast bzw. welche Funktionen / Pakete für dich Sinn machen oder du unbedingt eingeschaltet hast weil das den Vorteil X und Sicherheit Y bringt. Ich hoffe du verstehst, was ich meine.


  • Moderator

    zunächst die Clients und Server mal vor Angriffen aus dem Internet zu schützen.

    Das sollte jede Firewall die den Namen nicht nur aus Promo Gründen trägt per default tun :)

    Vorwiegend sind das Office Anwendungen bzw. soll die Sense als VPN Gateway dienen

    Office hat jetzt aber weniger mit "von außen" zu tun als "von innen"? VPN ist ja kein Thema.

    WLAN sollte auch abgedeckt sein

    Aber besser nicht auf der pfSense sondern mit externem AP.

    Eine Übersicht aller Geräte die per LAN GW angesprochen werden / aktiv sind

    Gibt es nicht so, wie sich das viele vorstellen. Wenn du aber alles per DHCP rausgibst: -> DHCP Leases anschauen. ALLE findet auch eine SOHO FritzBox nicht, das haben wir schon getestet. Nur wenn das Gerät tatsächlich aktiv mit dem Netz spricht, würde es auftauchen mit statischer IP. Vorher sieht kein Gateway/Router irgendwas von einem Gerät das im lokalen Netz herumspukt.

    Einfache Anzeige Hostname - Mac - IP.

    Wie gesagt, nicht möglich, das live abzubilden, weil die Geräte nicht über die pfSense gehen müssen. Beispiel IP Drucker. Muss nie ins Internet und wenn nicht konfiguriert wird das Ding nur intern auftauchen aber nie auf der pfSense - warum auch? Natürlich kannst du ein Paket wie nmap installieren und nen schnellen PingScan über dein Netz laufen lassen. Aber selbst dann hast du nur eine Momentaufnahme und eine IP und vielleicht nach Lookup ne ARP Adresse. Aber woher sollte ein Name kommen? Geräte geben selbst keine Namen von sich, dafür ist DNS oder DHCP (indirekt) zuständig.

    Alles grundsätzlich zu verbieten is  ja falsch. Da bist ja bei jedem Tool, welches raus will am hinterherlaufen und Ports zu öffnen und regeln zu definieren.

    Das kommt auf dein Sicherheitsbedürfnis plus die Policy an. Ich hatte genau solche Policies schon. Nichts darf raus, außer es ist explizit gestattet. Alles andere hat ggf. nen Proxy zu nutzen etc. Kann man machen.
    Deshalb setzt die pfSense aber ja auch per Default innen nach außen auf pass any, weil die meisten damit eben nicht klarkommen.

    Vllt. kannst du sagen was du alles aktiviert hast bzw. welche Funktionen / Pakete für dich Sinn machen oder du unbedingt eingeschaltet hast weil das den Vorteil X und Sicherheit Y bringt. Ich hoffe du verstehst, was ich meine.

    Wäre in meinem konkreten Fall für dich nicht hilfreich, da mein Netz aus mehreren Teilen besteht und ich durch ständiges Testen, HomeOffice Anbindung etc. ganz andere Anforderungen habe als du :) Und welche Pakete ggf. für dich Sinn machen kommt eben auf obigen Einsatzzweck an. Mutmaßlich könnte bspw. pfBlockerNG bei dir Sinn machen. Oder evtl. auch ein Proxy. Vielleicht ist das aber schon Overkill, das weiß ich nicht was du erreichen willst.

    Per Default DARF NICHTS von außen zu dir rein. Also kommt die Gefahr eh von innen, nämlich von allem, was deine Geräte abrufen. Darüber solltest du dir nen Kopf machen, und was das ggf. auslöst. Macht es also Sinn ggf. Geräte/-gruppen in Teilnetze/VLANs zu schieben um sie abzusichern? Will ich abgehend irgendwelchen Traffic wegfiltern oder unterdrücken? (Werbung, Social Media oder so Krams). Usw.

    Meine Pakete bspw. machen für dich keinen Sinn. Ich bezweifle ob du NUT brauchst für ne USV Steuerung, oder SoftflowD für Traffic Logging. Oder nen HaProxy zum Webseiten Test. Deshalb musst du dir klar werden, was du abdecken möchtest, dann kann dir sicher auch jemand dazu sagen "mach das am Besten mit Packet/Modul XY".

    Grüße



  • Ohne Dir auf die Füße treten zu wollen, ist aus meiner Sicht eine pfsense nichts für Dich.
    Das was Du willst kann vermutlich eine herkömmliche FB leisten.

    Wenn Du die pfsense verstehen willst, bau Dir z. B. ein Test NW mit VM's (z. B. 2 x Clients, 1 x Server 1x  pfsense) auf und experementiere.
    So habe ich das am Anfang gemacht und das hat sich für mich bewährt.
    Ein  Test NW kann man auch prima für Tests neuer einstellungen verwenden.

    Gruß
    Peter



  • @Spitzbube:

    … die Clients und Server mal vor Angriffen aus dem Internet zu schützen.

    Dein Ansatz ist falsch.
    Ein Router kann selbst erst einmal nichts "schützen", denn das wäre proaktiv. Er kann lediglich den Zugriff vom WAN auf Dein LAN unterbinden oder ggf. regeln. VPN ist so ein Fall.
    Für proaktiven Schutz brauchst Du zwangsweise Pakete oder sogar zusätzliche Geräte, die spezielle Funktionen haben. Ob das in Deinem Fall überhaupt nötig ist, das können wir nicht beurteilen.

    @peterhart:

    Ohne Dir auf die Füße treten zu wollen, ist aus meiner Sicht eine pfsense nichts für Dich.
    Das was Du willst kann vermutlich eine herkömmliche FB leisten.

    Das sehe ich komplett anders, denn der Spitzbube fängt gerade an, sich mit der Thematik zu beschäftigen.
    Bei einem out-of-the-box-router ist mit der Grundfunktion Feierabend.
    Im Fall der pfSense deckt sie das ab und wächst bei Bedarf/Weiterbildung/… mit.


  • Moderator

    Im Fall der pfSense deckt sie das ab und wächst bei Bedarf/Weiterbildung/… mit.

    Da bin ich voll bei Chris, allerdings würde ich trotzdem auch empfehlen, mal einen einfachen schnellen Test (vielleicht virtuell) aufzusetzen und einfach mal mit den Grundfunktionen vertraut zu machen. Das ist immer gut.



  • @JeGr:

    Da bin ich voll bei Chris…

    Echt, Du bist bei mir? Und voll auch noch? Mist, dann sollte ich schnell nach Hause fahren, da ist es ja scheinbar lustig…  ;D ;D ;D
    SCNR


  • Moderator

    Ja ich stand vor deiner Tür aber deine pfSense wollte mich nicht reinlassen :( :D