Pfsense als IPS ohne IP Adressen
-
Hallo zusammen,
ich bin gerade dabei, ein IPS auf Basis einer pfsense zu installieren.
Zuvor habe ich mich mit Smothsec als IPS udn Security Onion als IDS auseinandergesetzt. Da bei der pfsense die Hochverfügbarkeit recht einfach zu realisieren ist und mich der Leistungsumfang stark beeindruckt hat, bin ich hier gelandet und habe folgendes Problem.
In allen Anleitungen, die ich bisher über die Einrichtung eines IPS/IDS auf pfsense Basis gefunden habe, werden für LAN/WAN IP Adressen benötigt.
Ich habe vor, die pfsense zwischen den Verkehr in unser Netz zu hängen, jedoch ohne eine eigene IP dafür zu nutzen.
Ist das damit möglich?
Eine Management IP über ein dediziertes NIC soll es natürlich geben.Vielleicht habe ich einen Denkfehler…
Oder es ist nur auf Layer 3 Ebene als IPS einsetzbar.
Über Anregungen und Kritik würde ich mich sehr freuen.
Viele Grüße
Tino -
Ich weiß noch nicht soo genau was du vorhast aber du könntest versuchen mit Brdiging zu arbeiten.
Einfach zwei Interfaces erstellen die auf None stellen und brücken und da dann deine Regel drauf packen.
dazu sollte aber wohl net.link.bridge.pfil_bridge unter System: Advanced: System Tunables auf 1 gestellt werden.Vielleicht ist es auch gar nicht das was du brauchts. Aber nurmal so als Denkanstoß
-
Ich denke auch dass transparentes Bridging hier das Schlagwort ist. Allerdings ist es die Frage, ob die vorhandenen IDS Lösungen so ganz ohne Interface agieren können (Snort, Suricata).
-
Ich denke auch dass transparentes Bridging hier das Schlagwort ist. Allerdings ist es die Frage, ob die vorhandenen IDS Lösungen so ganz ohne Interface agieren können (Snort, Suricata).
"Gebrückte Interfaces" ist ja nicht gleich "keine Interfaces". Alle Filter greifen direkt an den Interfaces und die bleiben doch vorhanden. D.h. auch, dass obwohl sie gebrückt sind, die Pakete an beiden Seiten nicht zwingend die gleichen sind, weil eben pfSense dazwischen sitzt und filtert.
Was dann allerdings fehlt, sind die unterschiedlichen Subnetze auf WAN u. LAN Seite.Ich habe beispielsweise Suricata nicht auf der WAN sondern auf der LAN-Seite laufen. Auch da funktioniert es im vollen Umfang und blockiert vermeintliche Übeltäter. Das hatte es mir erst kürzlich in unangenehmer Weise bestätigt, als es einen Kunden blockiert hatte, der nicht blockiert werden sollte. :(
Die Firewall Regeln müssen allerdings an dem Interface erstellt werde, an dem der Traffic eintrifft. -
@virago: Das war ein verschreiber, ich meinte damit den bei der tranparenten Bridge üblichen Verlust des IP Layers. Der Paketfilter PF selbst braucht keine Interface-IPs um zu filtern, aber da IDSe gern mal bis Layer 7 gehen, wird das ggf. schwerer, gerade wenn man sich ggf. in Verbindungen einklinken will für Deep Packet Inspection oder derlei Kram macht das ein oder andere Tool sich mal schnell zum Proxy - das geht dann ohne IPs wieder nur ungünstig. Deshalb die Einschränkung dass ich da nicht mit Details dienen kann :)
-
Hallo,
vielen Dank für die ausführlichen Informationen.
Das Brigding habe ich schon versucht, allerdings ohne den Schalter, den man noch setzen muss.
Ich habe meine Situation noch einmal überdacht und werde das IPS nun doch auf Layer 3 Ebene abbilden.
Daraus resultierend muss ich allerdings auch in meiner Infrastruktur IP seitig Änderungen vornehmen, was sich aber im Rahmen hält.Viele Grüße
Tino -
Noch eine Anmerkung habe ich.
Wenn das Bridging so funktioniert, habe ich trotzdem das Problem, dass ich keine Hochverfügbarkeit hin bekomme, weil ich auf beiden Seiten (WAN und LAN) keine virtuelle IP vergeben kann.
Ansonsten ist das ein sehr guter Hinweis.Vielen Dank allen Antwortern. :-)
-
da du für den Sync der beiden PfSense eine separates Interface anlegen solltest brauchst du auf diese ja sehr wohl einen IP.
Dann sollte sich Hochverfügbarkeit ja trotzdem realisieren lassen.
Aber ich würde erst mal so mit nur einer PfSense testen ob alles so geht wie du es brauchst und dann kannst du immer noch drüber nachdenken diese Hochverfügbar auszulegen.