Sicherheit erhöhen

[blurrrr]

24er sind normalerweise VLAN-fähig.

Nö, da vergisst Du die Tatsache, dass manche Leute einfach nicht 100+€ ausgeben wollen und zum billigsten Mist greifen. Ebenso die Tatsache, dass der "Consumer"-Bereich auch mittlerweile dieses Segment erreicht hat und es - wie popelige 5-Port-Switche - die Dinger auch einfach als 24er gibt (heisst dann halt "unmanaged"). Alles was "managed" dran hat, kann zu 99% VLANs, alles was "smart managed" dran hat, ein paar weniger Prozent.

Ich frage deshalb, weil ich persönlich auch der Meinung bin, das eine DMZ in einer Router Kaskade besser aufgehoben ist als hinter einem z.B. 3 Port Router in einem separaten Segment.

Nicht wirklich. Achtet aber bitte ein wenig auf die Begrifflichkeiten. Hier wird einfach so "global" das Wort "Router" in den Raum gesch(m)issen. Ein "Router" macht per se erstmal GARNICHTS anderes als zu "routen". Jeder der hier von "Sicherheit" spricht, meint unter Garantie NICHT die Routing-Funktion (von irgendwelchen ACLs mal abgesehen), sondern eher eine "Firewall". Kurzum: Ob Router oder nicht, spielt keine Rolle, da die "Strecke" genau 1 Hop länger wäre.

Ich verwende hier solch einen 3 Port Router mit pfSense drauf und müsste ja auch Ports durch die pfSense zur DMZ weiterleiten.

Die pfSense ist primär eine "Firewall", nicht primär "Router". Gut merken kann man sich sowas (auch wenn die Firewall auch wieder nur ein Stück Software auf einem Gerät ist - ebenso wie die Routingfunktionalität) ganz einfach, indem man es mit den SoHo-Dingern vergleicht, denn was hat z.B. eine Fritzbox NICHT? Genau - anpassbare Firewall-Regeln. Da gibt es nur ein DNAT (von "any") und das war es dann auch schon.

Warum ist jetzt etwas in der Routerkaskade NICHT so gut aufgehoben, wie hinter einer pfSense? Der Grund dafür steht genau über diesem Absatz hier (evtl. einfach mehrfach lesen, bis es klickt macht)

Dazu noch ein ganz anderer Umstand (grade was mehrstufige Firewall-Systeme angeht und warum die mitunter auch durchaus von anderen Herstellern sein dürfen) wäre, dass sobald das erste Gerät "überwunden" ist (z.B. durch eine Sicherheitslücke), dass dann auch recht flott das zweite Gerät überwunden wird (sofern vom gleichen Hersteller). Grade bei Routerkaskaden neigen die Leute gerne zu Systemen des gleichen Herstellers (alte Fritzbox hinter neuer Fritzbox, o.ä.). Sowas kann natürlich auch fatale Folgen haben ??

 

[Tommes]

Irgendwie habe ich in letzter Zeit ein Talent dafür, mich missverständlich auszudrücken. Von daher...

Achtet aber bitte ein wenig auf die Begrifflichkeiten. Hier wird einfach so "global" das Wort "Router" in den Raum gesch(m)issen.

Ja. Hast recht. Mein Fehler. Weil ...

Die pfSense ist primär eine "Firewall", nicht primär "Router"

... ich mir dieser Tatsache durchaus bewusst bin. Genau aus diesem Grunde wollte ich damals hinter meine Fritzbox eine "echte" Firewall stellen (wobei wir jetzt nicht wieder darüber philosophieren sollten, ob diese Reihenfolge und Anbindung (doppeltes NAT, Exposed Host oder nicht etc.) wirklich die richtige Vorgehensweise ist) und keine zweite Fritzbox oder sonstigen Consumer Router. Nichts desto trotz muss ich auch in der pfSense Portweiterleitungen in Richtung DMZ Segment einichten, damit die DMZ von extern erreichbar ist. Und das funktionert ja auch nur, weil die pfSense das Routing übernimmt. Und genau hier sehe ich halt die Gefahr (und ich komme ja bekanntlich aus dem Tal der Ahnungslosen, was das Thema Netzwerke betrifft), das ein möglicher Angreifer über die DMZ auch bereits über Mittel und Möglichkeiten verfügt, um sich weiter durch die pfSense und somit durch weitere Segmente meines LANs zu fressen, auch wenn ich das über diverse Regeln reglementieren bzw. unterbinden kann. Daher bin ich der Meinung, das eine DMZ hinter meiner Fritzbox, aber noch vor meiner pfSense besser aufgehoben ist. So kann ein möglicher Angreifer zwar die Geräte innerhalb meiner DMZ und ggf. auch die Fritzbox selber kompromittieren, steht aber immer noch vor der pfSense, wohinter sich mein gesichertes LAN befindet.

Kannst du meine Gedankengänge in etwa nachvollziehen oder vielleicht sogar bestätigen @blurrrr, oder siehst du das völlig anders? Falls ja, dann wäre ich dir für Aufklärung sehr dankbar. Wobei... wir haben uns in der Vergangenheit ja bereits öfters mit diesem Thema auseinander gesetzt und vielleicht hast du mir das auch schon mal in irgendeiner Form erzählt... dann entschuldige ich mich schon mal dafür... ich werde halt nicht jünger

Ob man bei der grade genannten Konstellation aber von einer Router Kaskarde sprechen kann weiß ich nicht, aber es verhält sich in meinen Augen jedenfalls so.

 

[blurrrr]

Nichts desto trotz muss ich auch in der pfSense Portweiterleitungen in Richtung DMZ Segment einichten, damit die DMZ von extern erreichbar ist.

Nicht zwangsläufigerweise (ReverseProxy, Loadbalancer, etc.), ist aber wahrlich ein ganz anderes Thema

Kannst du meine Gedankengänge in etwa nachvollziehen

Alles gut! ? Der Gedankengang "als solches" ist ja nicht verkehrt(!). Aber ich glaube, dass hier noch ein Verständnisproblem vorliegt. Vielleicht hilft es, wenn man das ganze etwas "bildlicher" ausdrückt:

Man stelle sich einfach mal eine "Strassenkreuzung" (Routing) mit einem Verkehrspolizist (Firewall) vor. Dieser regelt nun den Verkehrt. Jetzt eine Frage zum "selber beantworten": Macht es einen Unterschied aus welcher Richtung Du kommst?

Man könnte es auch anders formulieren und sagen: "Hinter der Firewall ist vor der Firewall"

Nur weil etwas "durch" (Routing!) die Firewall kommt, heisst es ja nicht automatisch, dass man jetzt auch alles darf. Bei mir privat ist es z.B. so, dass ich auch div. VLANs für "sonstige" Anwendungsfälle habe - als Beispiel sei hier einfach mal ein Gast-WLAN genannt. Setup meinerseits sieht dann privat ungefähr so aus (in Bezug auf das Gast-WLAN)...:

Gast-WLAN -> Firewall -> Uplink-Netz -> Router -> Internet

Die Regeln die für dieses VLAN gelten lauten jetzt wie folgt:

1) Gast-WLAN darf nicht "nirgendwo" in "interne" Netze.
(Das umfasst ebenso das Uplink-Netzwerk! Darin muss auch nichts "angesprochen" werden, z.B. der Router.)
2) Das Gast-WLAN darf nicht in bestimmte öffentliche Netze (meine Firewall kennt da noch ein paar andere Wege, also "Sonderlocke", in Deinem Konstrukt sicherlich nicht vorhanden, also ignorieren )
3) Das Gast-WLAN darf ins "Internet"
.... irgendwann zum Schluss eben noch die "alles verbieten"-Regel, welche aber allgemeingültig ist.

Theoretisch könnte man auch hingehen und das ganze mit 2 Regeln abfackeln:

1) Öffentliche Netze erlauben
2) Private Netze verbieten

Glaube aber, dass es diese "public"-Definition nicht bei der pfSense gab, aber Du kannst die Regel auch einfach "umdrehen":

1) Gast-WLAN darf alles was NICHT privates Netz ist (da gab es meine ich bei der Regelerstellung einen Haken, damit das ganze umgedreht wird).
.... irgendwann am Ende dann halt wieder: alles verbieten, was nicht vorher erlaubt wurde

Beisst sich ggf. mit Dingen, die Du auch aus dem Gast-WLAN erreichbar machen willst (oder welchem Netz auch immer), daher ist das hier auch nur grob formuliert.

Im Grunde soll das aber auch nur verdeutlichen, dass - nur weil etwas durch die Firewall in ein extra VLAN gekommen ist - nicht gleich Tür unn Hof offen stehen (ganz im Gegenteil). Während man ggf. schon bis ins Netz der Fritzbox gekommen ist (und da kann einen niemand aufhalten), wäre man so in einem Netz/VLAN hinter der Firewall "gefangen" und dann gibt die Firewall wieder die Regeln vor (eben z.B. auch, dass man nicht ins Netz der Fritzbox darf).

Insofern... ich kann Deinen Gedankengang sicherlich nachvollziehen und "falsch" ist der Gedanke ja auch erstmal nicht (so ganz grundsätzlich und bei Routerkaskaden wäre dies auch sicherlich ein wesentlicher Punkt). Da hier aber eine vernünftige Firewall im Spiel ist, mit welcher man die Rulesets auch entsprechend formulieren kann, sieht der Sachverhalt halt schon wieder ganz anders aus. Schöner wäre natürlich - um jetzt mal wieder so richtig auf die Kacke zu hauen - wenn man ein 2-stufiges Firewall-Konzept hätte, aber wir wollen den Ball mal flach halten ?

Ich hoffe, dass das jetzt ansatzweise verständlich war - wenn nicht (oder sonstige Rückfragen vorhanden sind) - nur zu! ??

EDIT: Kleine Aufklärung noch zum Schluss:

Jetzt eine Frage zum "selber beantworten": Macht es einen Unterschied aus welcher Richtung Du kommst?

Antwort wäre: Es ist "völlig egal" aus welcher Richtung Du kommst, weil der Polizist den Verkehr regelt und nicht die Strasse aus welcher Du kommst.

 

[Tommes]

Ganz ehrlich...

Hinter der Firewall ist vor der Firewall

... erklärt eigentlich alles. Das war das Puzzleteil, was mir bei meiner Betrachtung immer gefehlt hat. Der Hammer!

 

[blurrrr]

Und ich dachte, dass mit der Strassenkreuzung wäre greifbarer gewesen, aber ok, hauptsache es ist angekommen ?

Das einzige worauf noch zu achten wäre(!), ist der Punkt, dass das Firewall-Admin-Interface nicht aus den "anderen" VLANs erreichbar sein sollte, da Geräte innerhalb eines Netze "direkt" miteinander sprechen können und nicht über die Firewall gehen (ist aber meist eine Konfiguration bei den Admin-Interface-Einstellungen selbst). Die Firewall hängt ja auch immer mit einem Interface in den VLANs, von daher wäre das auf jeden Fall noch zu kontrollieren bzw. ggf. nachzujustieren (was schlussendlich aber auch nur "eine" Allow-Regel) ??

 

[Tommes]

... und hier liegt der Hund begraben, denn sicherlich kann ich meinem Verkehrspolizisten erklären, welche Straßenkreuzungen er wie zu bewachen und zu regeln hat, das funktioniert aber auch nur so gut, wie ich selber die Verkehrsregeln verstanden habe. Wo wir zu einem weiteren meiner Dilemmas kommen... sich nie wirklich sicher zu sein, an alles gedacht zu haben. Aber das ist ein anderes Thema. Deinen Tipp mit dem Admin-Interface setzte ich gleich mal auf meine Liste mit Dingen, die ich noch kontrollieren bzw. erledigen will.

 

[blurrrr]

Naja, Verkehrsregeln... geht so, im Grunde ist der Betrachtungswinkel ja erstmal "nur" aus der Sicht des Netzes, in welchem Du Dich (vermeintlich) befindest. Alles andere sind sowieso extra Würstchen (Schaffung einer DMZ, wer darf mit wem, etc.). Ich mein, im grundlegenden läuft es ja sowieso erstmal darauf hinaus, dass jeder Netzteilnehmer i.d.R. ins "Internet" darf (zwecks Updates, etc.) und diese Netzteilnehmer auch erstmal nirgendwo anders hin dürfen (in andere interne Netze). Normalerweise bildet hier - in kleineren Umgebungen - das eigentliche "LAN" (also da Hauptnetz, in welchem man regulär sitzt - die grösste Ausnahme, da man von dort (normalerweise) "überall" hin darf (was auch nicht zwingend sein muss, aber sei's drum - Thema Management-LAN, aber das führt hier jetzt auch zu weit).

Ein typisches Netz "dazwischen" (zwischen "nur Internet" und "alles") wäre z.B. das WLAN (was im besten Fall nicht gleichbedeutend mit dem LAN ist). Mit dem eigenen Tablet/Smartphone mal die Filmchen von der Syno abgespielt, oder kurz mal auf die Smarthome-Steuerung zugegriffen... sicher, soviel Luxus muss schon sein (ansonsten könnte man sich den ganzen Kram ja auch direkt stecken). Heisst aber auch nicht unbedingt, dass man via Tablet/Smartphone jetzt via SSH an das NAS muss. Während es in kleineren Umgebungen beim LAN meist die Any-Any-Regel ist (jeder Dienst, jedes Netz), ist es beim WLAN dann meist schon differenzierter (nur bestimmte Hosts, nur bestimmte Dienste). Theoretisch könnte man das gleiche auch für das LAN machen und nebst dem noch ein Management-LAN aufsetzen (das wäre dann eben das einzige mit der "Any"-Regel bzw. ggf. sogar auch wirklich nur für die Management-Dienste), aber da beisst sich irgendwann die Katze auch wieder in den Schwanz (SSH/DSM nur aus dem Management-Netz... kann man sicherlich machen, aber macht sowas wirklich Sinn für "kleine" Umgebungen?).

Grundsätzlich liegt es bei jedem selbst einen vernünftigen, sinnvollen und vor allem auch vertretbaren Kompromiss zwischen Sicherheit und Bequemlichkeit zu finden. Da kann man einem auch noch soviel erzählen - schlussendlich liegt es bei jedem selbst. Ist mit der PIN für die EC-Karte genauso, man kann auch nur anraten diese NICHT offen rumliegen zu lassen (Ich sag nur: "User -> Passwörter -> Klebezettel -> Monitor" erst letzte Woche wieder gesehen ? ).

Wichtig ist primär einfach nur, dass man es einigermaßen verstanden hat und klar regeln kann: Das darf und das nicht. Prinzipiell wie in einem Haus mit Räumen und Zugangsbeschränkungen (von Raum zu Raum, Person im Raum X zu Raum Y und andersrum, usw.).

Dann wünsch ich mal viel Spass beim tüfteln! ?

EDIT:

sich nie wirklich sicher zu sein, an alles gedacht zu haben

Da hilft eine o.g. Sache wirklich gut: Die Betrachtung aus dem jeweiligen Netz heraus. Wenn es zu schwierig ist, nimm Dir einfach für jedes "Netz" ein Blatt Papier. Dort schreibst Du die Regel (ausgehend und darunter (mit Abstand) nochmal ggf. eingehend) auf. Für Antworten auf Anfragen aus diesem Netz brauchst Du keine Regel (was angefragt wurde, darf auch wieder rein - logischerweise).

Du wirst feststellen, dass ich da "pro Zettel" doch relativ "wenig" ansammeln wird. So kannst Du aber jeden Zettel einzeln betrachten, das ist wesentlich übersichtlicher und Du kannst die Dinge "pro Netz" auch wesentlich schneller abhaken, da es so auch viel leichter überschau bar ist.

 

[Tommes]

Vielen Dank für deine Tipps, Anregungen und Hinweise. Ich werde mein aktuelles, wenn auch noch kleines Regelwerk, nochmal kritisch hinterfragen und schauen, ob mir noch Dinge auffallen, an die ich vielleicht nicht gedacht habe. Danach werde ich mir mal ein paar Gedanken zum Aufbau einer DMZ unter Verwaltung der pfSense machen und schauen, ob sich ein gutes Bauchgefühl einstellt.

 

[the other]

Moinsen @Tommes,
bei admin.de habe ich eine (kurze) Übersicht zum Thema gefunden (zu faul selber einzeln zu suchen) zum Thema, was den Clients erlauben bzgl. www...
Wichtig ist dabei, neben allem was blurr bereits vortrefflichst beschrieben hat, dass du immer überlegst: ich bin im NetzXYZ, gehe von dort auf das virtuelle Interface der pfsense xyz. Alles was aus dem Netz xyz also IN (und DURCH) das Interface geht, bestimmst du dann mit den Regeln. Also Anfrage von einem Client im Familien-Segment für Port 22 im Management-VLAN aus dem Netzsegment VERBIETEN usw.
Also a) Zugriff auf andere VLANs / Netzsegmente im LAN verbieten (oder individuell gezielt erlauben, wenn gewünscht)
b) Zugriff vom VLAN Richtung Internet regeln mit zB


Sorry, hatte ich nur noch so gespeichert und den link verlegt...

Jedenfalls kannst du das als imho gute Vorlage nehmen, um feiner zu justieren, statt allow any / deny any...

 

[Tommes]

Danke auch an dich @the other für deine Anregungen.

Das einzige worauf noch zu achten wäre(!), ist der Punkt, dass das Firewall-Admin-Interface nicht aus den "anderen" VLANs erreichbar sein sollte...

Also Anfrage von einem Client im Familien-Segment für Port 22 im Management-VLAN aus dem Netzsegment VERBIETEN

... versteh ich das richtig, das ihr das Firewall-Admin-Interface der pfSense (oder auch Managment-VLAN) als separates Segment betrachtet, worüber nur die pfSense und ggfs. nachgeschaltete VLAN Switches, sowie weitere Netzwerk Komponenten administriert werden? Da ich aktuell noch keine VLANs implementiert habe befinden sich diese Dinge in meinem LAN. Mein Sohn, der sich in einem eigenen Segment befindet, hat bis auf den Drucker, keinen Zugriff auf mein LAN.

 

[blurrrr]

Management-VLAN(/-Netz) heisst es, weil darüber die "administrativen" Zugänge erreichbar sind (z.B. DSM, SSH-Zugänge, Remote-Management-Adapter, etc.) und aus den "normalen" Netzen eben nur das zum "benutzen"

Als Beispiel eine Syno nur mit CIFS/SMB:

User-Netz -> SMB/CIFS -> Syno -> erlauben
Management-Netz -> DSM/SSH -> Syno erlauben
Alles andere -> verweigern

 

[the other]

Moinsen @Tommes
So wie ich dich verstehe, ja.
Du musst ja nun wie @blurrrr ja auch sagt nicht unbedingt gleich ein Management vlan extra eröffnen... Obwohl ich dir, wenn du dann loslegen solltest, empfehle, dies zu tun. Du kannst ja auch erstmal den Zugriff auf die Firewall reglementiert, auch mit nur einem LAN und WLAN. Gibst für den jenigen Client bzw. Dessen IP den Zugriff frei (via Browser und ggf ssh) und sperrst das für alle anderen.
Analog kannste dann später den Zugriff aus allen Vlans verbieten, hast pfSense, switch ap, usw ins eigene Management vlan gepackt und erlaubst den Zugriff auf dieses nur für clients / ips aus diesem, alle anderen nö.

 

[the other]

Mist, @blurrrr war schneller...

 

[blurrrr]

Ja ne, Management-Netz für ein "kleine" Umgebung ist auch ein bisschen Overkill ?

 

[the other]

Moinsen,
Jup. Genau deshalb hab ich eins. Und es war ein echter Krampf die blöden unifi ap Teller und den cloudkey davon zu überzeugen, dass vlan1/lan out ist...
Aber jetzt bin ich happy, weil eben die Zugriffe auf die Web Oberflächen und ssh Zugänge aus allen anderen netzsegmenten geblockt werden...edit wegen dem grammatik

 

[Tommes]

Junge, Junge, Junge... da muß ich mal eine Nacht drüber schlafen. Das entwickelt sich langsam wirklich zum Overkill und ich glaube nicht, das ich das soweit treiben möchte. Trotzdem danke für eure Ausführungen

 

[the other]

Moinsen erneut,
@Tommes... Denk es dir wie das admin Konto auf dem Server oder PC. Statt dass ein User Zugriffsrechte und Dienste freigeschaltet bekommt, machst dass eben für deine Vlans. Die dürfen nur intern ohne Internet, andere alles ausser Mails, jene auf dein NAS andere nicht, das Kind kommt zwischen 2200 und 1100 nicht ins Netz usw... Und das Management vlan ist dann eben nur dafür, wie das admin Konto. Alle anderen können die Geräte darin nicht mal erfolgreich anpingen.

 

[Tommes]

Ich habe doch noch mal eine vielleicht blöde Frage bzw. Gedankengang...

Gehen wir mal davon aus, das meine einzige Intention darin liegt, eine DMZ einzurichten um Dienste aus dem Internet erreichbar zu machen.

Bedeutet dann - Hinter der Firewall ist vor der Firewall - nicht auch, das ich mir hinter der pfSense einfach eine DMZ einrichten könnte, und das sich alle anderen Geräte meines Haushaltes in meinem Fritzbox Netzwerk vor der pfSense befinden?

Ich würde hierfür einmal eine Portweiterleitung (sagen wir mal Port 80/443/5006) auf der Fritzbox in Richtung pfSense einrichten und zum anderen auf der pfSense eine Portweiterleitung von WAN in die DMZ, wo dann eine DS stehen würde. Über ein Regelwerk könnte ich den Zugriff auf das vorgeschaltete Fritzbox Netzwerk doch so begrenzen, das bis auf den Internetzugang alles geblockt würde.

Was meint ihr? Würde das so funktionieren, oder ist das totaler Blödsinn?

 

[blurrrr]

Sprachen wir nicht auch davon? Ob nun im Fritzbox-Netzwerk, oder in einem extra VLAN hinter der pfSense - das Prinzip bleibt ja das selbe, allerdings ändern sich die Kontrollmöglichkeiten - sobald die pfSense ins Spielt kommt - drastisch.

Eine Portweiterleitung auf der pfSense brauchst Du nicht (das wäre an dieser Stelle dann der Blödsinn ?). Die einzigen "Portweiterleitungen" gibt es nur an genau einer Stelle: Dem Übergang zum Internat (NAT). Alles "interne" wird nur über's Routing abgewickelt. Als Beispiel:

Fritzboxnetz "178"
DMZ "100"
LAN "200"

Würde dann ja quasi ungefähr so aussehen, ggf. noch mit Switch nach der pfSense, oder wie auch immer:


(100.1vlan10)---------?
/
Router(178.1)-----(178.2)pfSense
\
(200.1vlan20)---------?

NAT wird auf der pfSense dann auch "garnicht" genutzt, sondern nur beim Router in Richtung Internet. Die Routen zu den "internen" Netzen werden mitunter noch im Router eingetragen:

Netz -> Gateway (natürlich aus Sicht des Routers, auf dem Router)

192.168.100.0/24 via 192.168.178.2
192.168.200.0/24 via 192.168.178.2

Somit kann man im Router die Portweiterleitung z.B. auch "direkt" an die 192.168.100.10 (als NAS-Beispiel) konfigurieren. Auch bei einer pfSense müsstest Du ja bei NAT-Nutzung durchaus hingehen und "2"(!) Dinge konfigurieren:

1) NAT (eigentlich sogar 2x - ausgehend + DNAT eingehend (Portweiterleitung))
2) Firewal-Regel

Dadurch, dass man sich hier intern das NAT einfach gespart hat (was schlussendlich auch übersichtlicher und verständlicher ist - wie ich finde), muss man sich dann auch "nur" um die Firewall-Regeln kümmern. Somit kann man Themen wie NAT halt "bei Bedarf" und "ganz entspannt" angehen. Lässt man sich genügend Zeit damit, hat einen IPv6 sowieso eingeholt und dann braucht man es eh nicht mehr ?

 

[Tommes]

@blurrrr
So wie es aussieht, bin ich am Ziel meiner Reise angekommen. Denn das ist genau das, wonach ich gesucht habe.