PFsense als Sophos ersatz
-
@sebden said in PFsense als Sophos ersatz:
Oder wird hier dennoch kein https-Verkehr sondiert?
Die URL bzw. Domain kann man somit AFAIK filtern, ja. Den Inhalt nicht. Der ist ja verschlüsselt. Wenn man nur nach Shallalist oder UD1 o.ä. filtert - also domains/subdomains/URLs ist das dann machbar, aber Inhaltsfilterung geht nie wenn die Verbindung nicht aufgebrochen und ausgelesen wird. Und das geht wieder nur mit "Zertifikats-Takeover" dass sich die Firewall / Proxy als Zieldomain ausgibt und den Traffic entschlüsselt, anschaut und neu verschlüsselt. Dabei geht dann aber eben komplett alle Information flöten, ob das Zielzert gültig war etc. und man kann auch übel an die Wand laufen, wenn Seiten bspw. Key Pinning etc. nutzen.
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
@jegr said in PFsense als Sophos ersatz:
und man kann auch übel an die Wand laufen, wenn Seiten bspw. Key Pinning etc. nutzen.
Man wird voll gegen die eine oder andere Wand laufen.
In der Urlaubszeit landet auch schon mal ein Proxy Thema bei mir, da sind zwar schon x Ausnahmen drin aber es fehlt immer die x+1 die dieser neue Dienst/Webportal, was auch immer braucht.
Ja da macht Sophos nen guten Job muss man sagen.
Die paar Tage als ich mal ne virtuelle UTM zum spiele dazwischen hatte, ist nix groß aufgefallen.
Ist dann aber die Sense als Appliance geworden die mit dem pfBlocker seit dem den Client Virenschutz arbeitslos macht.
Ist ein ganz andere Weg aber er führt auch zum Ziel.Habe mit ihm auch alle externen DNS Server für meine Netze blocked.
So kippt hier keiner dns over https Infos meiner Client bei Google rein.Sogar das BSI schickt ja immer wieder Infos rum welche IPs/FQDNs man aktuell blocken soll um den nächsten geilen Scheiß zu unterbinden.
-
@jegr said in PFsense als Sophos ersatz:
wieder nur mit "Zertifikats-Takeover" dass sich die Firewall / Proxy als Zieldomain ausgibt und den Traffic entschlüsselt
eine quasi man in the middle attack .... somit sind die die die firewall unter ihrer verantwortung haben voll haftbar für alles was heir passiert / passieren könnte (sind sie ja eh sowieso aber in diesem fall kann es echt ein paar unangenehme nebenwirkungen zB banking etc pp geben) nur so als gedankeneinwurf
Unter Umständen stehe ich bei Webfilter auf einem anderen Standpunkt,
aber wenn ich die domain inkl. subdomanis blocke (DNS&IP) ergo nicht erreichbar mache dann muss mich der traffic zu diesen domains nicht interessieren weil der user nicht hinkommt.
ich fahr mit diesem Ansatz recht gut und sauber, denn ehrlich gesagt will / muss ich aus Gründen den man in the middle Ansatz vermeiden.@NOCling said in PFsense als Sophos ersatz:
seit dem den Client Virenschutz arbeitslos macht.
wie was wo ... ... ... es gibt einen antiVir auf der Sense ... und ich bruach dann keinen AntVir am client mehr ... ...
Habe mit ihm auch alle externen DNS Server für meine Netze blocked.
Aus meiner Sicht is DNSBL js eh sowieso weniger wert wenn man andere DNS Server befragen kann ....
BSI schickt ja immer wieder Infos rum welche IPs/FQDNs man aktuell blocken soll
aber eine eigene Blocklis haben die nicht oder ;)
-
@noplan said in PFsense als Sophos ersatz:
eine quasi man in the middle attack .... somit sind die die die firewall unter ihrer verantwortung haben voll haftbar für alles was heir passiert / passieren könnte (sind sie ja eh sowieso aber in diesem fall kann es echt ein paar unangenehme nebenwirkungen zB banking etc pp geben)
Banking musst du durschleifen, das bekommst du sonst nie zum laufen.
@noplan said in PFsense als Sophos ersatz:
wie was wo ... ... ... es gibt einen antiVir auf der Sense ... und ich bruach dann keinen AntVir am client mehr ... ...
Wenn der böse Schadecode nicht geladen werden kann, weil blocked, dann kann der Client Antivirus auch nur mit Verlangsamung des Systems auffallen, wirklich Arbeiten muss er dann nicht mehr.
@noplan said in PFsense als Sophos ersatz:
aber eine eigene Blocklis haben die nicht oder ;)
Nicht das es mit bekannt ist, die fallen eher durch ihre zum Teil veralteten Vorgaben auf.
-
Banking musst du durschleifen
jop und alles andere was in der Richtung noch so abgeht (Finanzamt usw etc pp)
Wenn der böse Schadecode nicht geladen werden kann
puhhh, dache mir schon du bist jetzt aktives Mitglied Fraktion "AntiVirus Software auf der Firewall und am Desktop brauch ich nix"
fallen eher durch ihre zum Teil veralteten Vorgaben auf
... true statement ... so true ... so true
-
Von Antivir auf der FW habe ich nicht gesprochen und am Client habe ich den default Schutz des Systems aktiv.
Aber mehr als die Handbremse rein knallen macht er wegen den Blocklisten halt nicht.
-
Ich finde snort schon brauchbar. Z.B. um bestimmten Application-Traffic zu filtern. Ich mag es nicht, wenn durch unser Firmennetz Netflix, amazon-prime, Disney+ oder andere FIlm- und Serien-Video-Streams laufen. Jetzt such mal eine anständige IP/DNS Blocklist, die genau diesen Traffic unterbindet. Bei jedem Lookup gibts ne andere Cloud-Adresse zurück. Es ist praktisch fast unmöglich hier vernünftig anzusetzen. Mittels App-IDs und entsprechenden Snort-Rules ist wenigstens ein bisserl was möglich.
Dazu muss ich eingestehen, ich kenne nur den aktuellen pfBlockerNG in der stabilen Version und keinen Developer oder Betacode.Aber für eine private Sense ist der Nutzen von snort & co. schon sehr dünn. Selbst in der Firma macht es dann nur Sinn, wenn das ganze z.B. noch durch ein ELk Stack läuft und aktiv (in Realtime) gemonitort wird. Hier hat es dann auch entsprechende SIEM Filter und Module.
Gruß
Exo -
@noplan said in PFsense als Sophos ersatz:
@it-user1599 said in PFsense als Sophos ersatz:
Ich meine ein Userportal, das extern erreichbar ist um sich seine VPN Clients + Config herunterladen zu können
Diese Anforderung hab ich noch nie verstanden. Denn:
Der user bekommt die VPN Config und nicht er kann sich wenn er lustig ist für seine 27 Geräte eine holen und sich dann via VPN verbindenJa wir haben hier auch immer wiede rmal die Diskussion, das wäre schon hilfreich ...
aber NEIN VPN ist nun mal VPN und nicht für jeden zu haben Punkt.Kennst du die Implementierung bei Sophos dazu? Also das ist ein Pluspunkt, der hier klar an Sophos geht.
Du definierst Gruppen (können dynamisch sein) und Profile, bei denen du einstellst, auf welche Ressourcen der VPN User Zugriff haben soll. Daraus werden automatisch in einer DB alle Nutzer+Zertifikate+Configs angelegt. Der Nutzer hat dann eine Webadresse(eine Art User-Portal), bei der er sich mit seinen z.B. AD Credentials einloggt und dort werden ihm z.b. der VPN Client und die Config zum Download angeboten. Das ganze kann man natürlich noch auf Quell IPs einschränken, so dass der Aufruf z.B. nur aus dem eigenen Firmen-LAN möglich ist. Wir haben das eine Zeit lang über MFA zusätzlich abgesichert und als Azure Enterprise Applikation bereitgestellt. So konnte der Nutzer sich das auch mal im Home-Office ohne vorherige VPN Verbindung besorgen.
Glaub mir, sobald du ein paar mehr Nutzer hast, ist die Variante, wie es bei pfSense läuft nicht mehr tragbar. Zumindest wenn man zusätzlich zur User Auth noch auf Nutzer Zertifikate setzt und keine globale Konfig hat.Intel i3-N305 / 4 x 2.5Gbe LAN @2.7.2-Release
WAN: Vodafone 1000/50, Telekom 250/40; Switch: USW Enterprise 8 PoE, USW Flex XG, US-8-60W; Wifi: Unifi 6 Lite AP, U6 Mesh -
Glaub mir, sobald du ein paar mehr Nutzer hast, ist die Variante, wie es bei pfSense läuft nicht mehr tragbar. Zumindest wenn man zusätzlich zur User Auth noch auf Nutzer Zertifikate setzt und keine globale Konfig hat.
ich habe für jedes gerät an der sense einen eigenen benutzer/zertifikat und nutze openvpn. dafür hast gibt es doch den clientexport. clientexport
-
@m0nji said in PFsense als Sophos ersatz:
Glaub mir, sobald du ein paar mehr Nutzer hast, ist die Variante, wie es bei pfSense läuft nicht mehr tragbar. Zumindest wenn man zusätzlich zur User Auth noch auf Nutzer Zertifikate setzt und keine globale Konfig hat.
Die kann man sich dann aber ableiten und bauen oder bauen lassen. Wir haben Kunden da schon entsprechend zu beraten bzw. bei der Umsetzung unterstützt. Da die Sense effektiv nur CA und Server Cert haben muss, lässt sich alles andere problemlos auslagern.
Und gerade WENN man mehr als ein paar User hat ist meistens intern noch irgendwas mit AD, DC, Deployment oder sonstwas am Start. Und in solche Prozesse kann man das problemlos integrieren, damit jemand bspw. automatisch bei Rechnerstart/Login in die Domain seine Config + Zertifikat gepusht bekommt. So schwierig ist das tatsächlich nicht.
Der Portal Ansatz wäre da sicherlich auch eine Idee von der ich hoffe dass er irgendwann mal kommt, aber sehe das eher im KMU Bereich. Bei mehr als ~20 Usern aber weniger als 100, denn ab 100 User VPN redet man meistens nicht mehr von self service sondern hat Client Deployment und Usergruppen oder Gruppenrichtlinien und die können das dann problemlos rausstanzen :)
ich habe für jedes gerät an der sense einen eigenen benutzer/zertifikat und nutze openvpn. dafür hast gibt es doch den clientexport. clientexport
Ja sicher ist er dafür da, aber solang jeder zur Nutzung davon sich anmelden muss ist das bei >20-30 Usern nicht mehr tragbar. Du willst doch nicht für Hinz, Kunz, Schulz, Maier und Müller immer die VPN Configs exportieren und denen zur Verfügung stellen - da biste ja ab bestimmten Userzahlen nur noch am VPN Pakete organisieren, sondern die sollen sich das entweder selbst installieren können oder es automatisch gepusht bekommen. :)
-
Ja wir haben das im talk in der user group durchgeplaudert... (also vorteile u handling, u wie man's angehen könnte.. Also @JeGr hat mal den Abriss gemacht... Ich finds geil)
Ich glaub wir sollten netgate eine crowdfunding
Für das Portal vorschlagen... PfS braucht sowas
