» »

pfsense

pfsense

1
2
»

harmony ::

Nekako mi vse sedaj deluje. Knjigo ze veselo berem. Snort sem tudi instaliral in skonfiguriral. Zelo zanimiva zadeva, kjer ze vidim, da se bo potrebno temeljito poglobiti.

Vprasanje:
Opcija IPv4 Configuration Type pri WAN portu mi ni ravno jasna. Sedaj je na DHCP...to razumem. Dobi IP od DHCP-ja, v tem primeru je DHCP modem, kjer sem mu ze nastavil, da WAN port vedno dobiva isti IP...
Poleg DHCP-ja, so tudi opcije kot so:
- Static IPv4
- PPP
- PPPoE
- PPTP
- L2TP
Internet je VDSL2, povezava PPP-PTM.

Zakaj bi npr. na WAN portu recimo nastavil kaj drugega kot DHCP? Se bojim se bolj neumno vprasati. :S

SeMiNeSanja ::

Kakšno vlogo pri tebi igra ta 'modem' - ali je res samo MODEM ali je dejansko ROUTER?

Če je router, potem je še vprašanje, ali je nastavljen v transparentni 'bridge' način ali v 'routed' način delovanja.

Nato pride še vprašanje, če imaš od providerja dodeljeno statični IPv4 naslov ali dinamičnega.

Optimalno se stvari postavi tako, da je modem res samo 'modem', konverter med telefonskim kablom in UTP-jem, ne da bi se vtikal v promet, kaj šele da bi delil kakšne IP naslove naokoli. To vlogo prevzame router ali firewall, ki ga imaš izza modema. Ta se potem skonfigurira na DHCP/PPPoE in pridobi IP naslov od ponudnika (ne od modema!), ali pa ga skonfiguriraš na statični IP naslov, katerega ti je ponudnik dodelil.

Router ali firewall pa potem 'upravlja' naslovni prostor na notranji strani omrežja. Odvisno koliko imaš ethernet vmesnikov, si lahko nastaviš LAN-e in VLAN-e, ali bridge med vmesniki. Nekatere rešitve ti tudi omogočajo LACP združevanje dveh mrežnih vmesnikov za večji throughput (če mašina zmore prebaviti bistveno več, kot 1 Mbps). Slednje pride bolj v podjetjih za kakšne strežnike v poštev.

DHCP na WAN strani je ok, če si 'home user' in se redko kdaj rabiš na svoje omrežje povezovat na daljavo, nimaš spletnega strežnika in podobno. Čim imaš takšne zahteve, si prisiljen posegati po kakšnem DynDNS ali NoIP, da sploh lahko najdeš svoje omrežje, ko ga potrebuješ. Temu se lahko izogneš s statičnim IP naslovom. Tega ti na zahtevo dodeli tvoj ISP, si ga skonfiguriraš in se potem ne spreminja - torej vedno veš, na kerem naslovu se nahaja tvoje omrežje.
Če si še malo bolj zahteven uporabnik, pa ti ne zadošča samo en javni IP naslov, ampak jih potrebuješ ene par. To se spet dogovori s ponudnikom, izpolniš RIPE obrazec, da se registriraš, pa še kakšen mesečni dodatek te zna potem pričakati na položnici za te dodatne naslove. V glavnem moraš potem tudi te skonfigurirat na WAN vmesniku ali pa routati nekam na notranje omrežje oz. v nek DMZ.

harmony ::

SeMiNeSanja je izjavil:

Kakšno vlogo pri tebi igra ta 'modem' - ali je res samo MODEM ali je dejansko ROUTER?

Modem ni samo modem, temvec tudi router oziroma skatla za vse (wireless, dhcp, firewall, nat..). Do sedaj izklopljeno vse razen DHCP-ja, glede NAT-a nisem preprican, kdo sedaj ima to funkcijo pfSense ali "modem".

Če je router, potem je še vprašanje, ali je nastavljen v transparentni 'bridge' način ali v 'routed' način delovanja.

Nato pride še vprašanje, če imaš od providerja dodeljeno statični IPv4 naslov ali dinamičnega.

To opcijo sem ze iskal, vendar je nisem uspel najti. V menijih tega enostavno ni. Modem je pa -A1 Wlan Box - VV 2220. Provider mi dodeljuje dinamicni IP.

DHCP na WAN strani je ok, če si 'home user' in se redko kdaj rabiš na svoje omrežje povezovat na daljavo, nimaš spletnega strežnika in podobno. Čim imaš takšne zahteve, si prisiljen posegati po kakšnem DynDNS ali NoIP, da sploh lahko najdeš svoje omrežje, ko ga potrebuješ.

Prva stvar, ki si jo seveda zelim je tudi VPN povezava, kar pomeni, da bom moral le drugace WAN nastaviti.

SeMiNeSanja ::

Odvisno, kako si si nastavil pfSense - predvidevam, da delaš dvojni NAT, kar je precej slaba opcija.

Prvič dela NAT tisti A1 box, tako da imaš na notranji strani kakšno 192.168.xxx.0/24 omrežje. Potem pa to pride do pfSense, ki še enkrat na notranjo stran dela NAT za neko drugo 192.168.yyy.0/24 omrežje.

Z malo znanja routinga, bi lahko izklopil NAT na pfSense in v A1 boxu vpisal statične route do omrežij, ki se nahajajo izza pfSense-a.

Problem teh modem/router/vse_v_enem škatel je, da ti jo postavijo, pridno začneš uporabljat vse, kar ti nudi, potem pa je problem s tega preiti v bridge mode, kjer wifi na teh škatlah na enkrat ni več uporaben in moraš vse tiste funkcionalnosti, ki si jih imel na tem boxu preseliti nekam drugam.
Deloma bi se to dalo rešiti da izklopiš NAT na pfSense in ustrezno poštukaš routing tabelo ba A1 boxu (če sploh imaš to možnost). Tako lahko še vedno uporabljaš Wifi kot nekakšen 'guest WiFi' izključno za dostop do interneta.
Ampak tudi tukaj bo problem z VPN povezavami, če jih želiš urediti na pfSense. S pomočjo port forwardinga bi načeloma lahko vzpostavil VPN, vendar imaš eno dodatno točko, ki ti bo znala ponagajati. Tega problema nimaš, če je modem transparenten in pfSense prevzame vlogo routerja.

Da bi modem prestavil v transparentni način, pa mislim, da moraš poklicati na helpdesk in zahtevati ti spremembo, ki jo potem oni izvedejo.

harmony ::

Wifi ni problem, ga vgrajenega na modemu nisem niti nikoli uporabljal. Za to imam dva AP, eden normalni, drugi pa kot WDS, ker se mi ni dalo vleci kablov preko hodnika do sobe...deluje bp.

Na modemu je tole mozno:
https://ibb.co/k07dZa

Predvidevam, da bi bila resitev nakup novega "cistega modema", v kolikor mi provider ne bi mogel izvesti spremembo v transparentni nacin.

Res bi rad vse kar je mozno ter priporocljivo laufal na pfSense.

SeMiNeSanja ::

Kar pokliči na helpdesk in se pozanimaj glede transparentnega načina.

Zakaj pa bi kupoval modem, pa ne vem- verjetno ga niti priklopiti ne boš mogel, če že kakšnega sploh kje najdeš v štacunah. Običajno so modemi stvar ponudnikov, ker na imajo na njih še kakšne svoje senzorje, preko katerih lahko spremljajo kakovost linije. Če boš privlekel kar enega kitajčka in ga priklopil, obstaja resna možnost, da zadeva sploh ne bo delovala, pa še kakšen klic boš dobil od providerja, kaj se dogaja....

harmony ::

Evo. Nastavljeno na transparetni nacin. Na pfsense se vidi eksterni ip na WAN portu. Ali lahko recem, da imam sedaj neko "varno" okolje, dokler ne grem cez vso dokumentacijo in pregledam vse nastavitve. Kaj naj recimo stestiram, da preverim svoje okolje?

Mislim, da je vse po defaultu na pfSense dokaj dobro nastavljeno.

SeMiNeSanja ::

pfSene ti sam po sebi ne bo 'dal' neke posebne varnosti. To si moraš sam nastaviti, tako da dodajaš pravila s katerimi določene vrste prometa dovoliš, določene pa zavrneš. Tu se potem tudi skriva vsa 'umetnost' pri požarnih pregradah - kako natančno si sposoben opredeliti, kateri promet sme, kateri pa ne sme zapuščat tvojega omrežja.

Recimo nek banalen DNS povpraševanje - kam sme iti? Boš dovolil, da gre kamorkoli? Ali boš dovolil, da gre izključno do DNS serverjev tvojega ponudnika in morda še na kakšen google public DNS server za backup?

Če vklopiš logiranje prometa in opazuješ povezave po različnih portih, moraš zadeve klasificirat, kateri del tega je 'dober' in nujen, kateri del pa lahko brez vsake posledice porežeš proč. Temu ustrezno potem gradiš pravila na požarni pregradi.

Tu pa potem izredno veliko vlogo igra kakovost logov. Žal ne nisem gledal, kakšne od sebe daje pfSense, če so kaj uporabni za takšno klasifikacijo, oz. koliko ti jo olajšujejo.
Eni bodo rekli, da je to potem že na nivoju Enterprise security-ja, ampak jaz mislim, da je to zgolj izgovor za lenobe, da ne pošlihtajo stvari kot se gre (ali pa to enostavno ne morejo zaradi nekakovostnih informacij v logih in/ali pomanjkljivega znanja).
Mogoče za doma malenkostno overkill, ampak tudi za domapribližno veš, da http in https moraš dovoliti kamorkoli v svet, medtem ko za določene druge storitve kot npr. smtp, pop3, ntp, dns, itd. vedno uporabljaš ene in iste strežnike in tvoji programi po teh portih nimajo kaj komunicirati kamorkoli.
Za domačo rabo se ne boš spuščal do zadnje podrobnosti, ni pa napak, če malo 'povohaš' kako se bi to dalo.
Najdi si en tak uravnotežen sistem pravil, ki te ne bo oviral, ki pa tudi ne bo omogočal čisto vsake traparije.

harmony ::

Pozdrav.
Danes sem instaliral dodaten paket in sicer pfBlockerNG. Za pokusino sem na LAN interface vklopil rule, ki blokira povezave na streznike top 20 spemerjev...

Nisem si predstavljal, da bo v logu vidno toliko blokiranega prometa. Kako naj razumem vse te povezave, ki jih klienti vzpostavljajo?

Recimo:
Jul 9 17:41:30 LAN 192.168.1.54:42278 178.162.216.180:443 Cannot resolve TCP:S
Niti slucajno se nisem s tem klientom povezal na ta naslov...

Se mogoce kaksni servisi iz instaliranih programov na klientu poskusajo povezati? Rad bi malo bolj zastopil, ne samo da sem enejblal rule in to je to.

SeMiNeSanja ::

Večina programov ima danes nek autoupdate, tako da že samo iz tega naslova dobiš cel niz povezav.
Potem imaš programe, ki se poslužujejo nekih storitev/baz v oblaku in se z njimi povezujejo.
Imaš 'telemetrijo' pri nekaterih programih, kjer domov sporočajo, kako se jim kaj gode.
Imaš programe, ki pokličejo domov, da preverijo, če imaš legalno licenco.

Potem pa imaš še raznorazen spyware, trojančke in nevem kaj še, ki domov leakajo takšne in drugačne informacije o tvojem računalniku, delu, komunikaciji,....

Večina navadnh smrtnikov se tega zave šele takrat, ko jim enkrat prezentiraš dejanski komunikacijski log z požarne pregrade. Prej mislijo, da računalnik komunicira v svet samo takrat, ko oni na nekaj kliknejo. Resnica pa je daleč od tega.

Velik del tega prometa je nujen (posodabljanje) in neškodljiv.
Določen delež je nepotreben (ga blokiraš, pa začuda še vedno vse deluje).
Nekaj pa je takega, ki ga definitivno ne želiš spuščati ven (pošiljanje spam mailov, povezovanje na C&C strežnike,....).

SeMiNeSanja ::

harmony je izjavil:


Recimo:
Jul 9 17:41:30 LAN 192.168.1.54:42278 178.162.216.180:443 Cannot resolve TCP:S

Tukaj je že en problem: vidiš, da hoče nekaj resolvat, pa mu ne uspe. Ne veš pa za kaj se je dejansko šlo.
Če boš malo googlal za tem naslovom, pa ti bo AlienVault postregel z informacijami, da je zadeva povezana z nekimi datotekami, ko klikneš na virustotal analizo navedenih datotek, pa ti pomeče ven, da se gre za neke trojančke ali še kaj slabšega.

Glej:
https://otx.alienvault.com/indicator/ip...
Klikni na files in odpri vsak hash posebej ter jih preveri preko klika na virustotal na tej strani...

Zgodovina sprememb…

klinker ::

@SeMiNeSanja

Kapo dol za vse te info in znanje ki ga imas na tem podrocju. Z veseljem berem to temo in ostale v katerih sodelujes, saj se iz tvojih odgovorov clovek lahko dosti novega nauci :)

SeMiNeSanja ::

@klinker - niti ni vse skupaj taka huda znanost, če imaš pri roki ustrezna orodja, ki ti olajšajo razumevanje tematike, namesto da jo mistificirajo na nivo raketne znanosti.

harmony ::

klinker je izjavil:

@SeMiNeSanja

Kapo dol za vse te info in znanje ki ga imas na tem podrocju. Z veseljem berem to temo in ostale v katerih sodelujes, saj se iz tvojih odgovorov clovek lahko dosti novega nauci :)

Sem istega mnenja. Jaz se mu zahvaljujem, ker nesebicno deli znanje. Vsakic ko kaj napisem, se potrudi jasno in s potrpljenjem odgovoriti. Sem se v teh 5dneh res veliko naucil.

SeMiNeSanja je izjavil:



Glej:
https://otx.alienvault.com/indicator/ip...
Klikni na files in odpri vsak hash posebej ter jih preveri preko klika na virustotal na tej strani...


Top stvar. Mater kr ene zadeve mi potem lavfajo na racunalnikih. Ojej.

Sedaj sem listo se bolj "pojacal" in v logih je vidno se vec blokiranega prometa iz LAN-a v svet. Ravno prejle poln log www38.your-server.de blokiranega prometa. Kr neka stran, ampak ocitno moj PC se poskusa na port 80 gor povezat. :)

Pa sem vedno mislil, kako imam "varen" pc...
...EDIT...
Vem zakaj je ta IP. Poskusil sem se povezati na pcengines.ch in ni slo. Ocitno je na isti IP vezano vec razlicnih domen. No ja...tole je bolj false positive.

Zgodovina sprememb…

  • spremenil: harmony ()

SeMiNeSanja ::

Ravno to je prednost, če imaš zelo podrobno razdelana pravila za dovoljen in blokiran promet, ker ti potem 'ven skačejo' sumljive zadeve, tako da lahko greš preveriti na izvor, kaj vraga ti povzroča ta promet.

Veliko ti pri tem pomaga, če imaš orodja, ki ti naredijo statistiko, katere reči so bile najbolj pogosto blokirane, tako da imaš jasne prioritete, kaj moraš raziskovat in razčistiti.
Veliko primerov je, ko se gre za neproblematične zadeve, npr. kakšne Microsoft-ove broadcast-e. Te potem pustiš blokirane, ampak zanje izključiš logiranje, da ti po nepotrebnem ne zatrpavajo loge.
Podobno ugasneš logiranje za dovoljene DNS query-je in ga vklopiš samo takrat, ko rabiš delat kakšno diagnostiko.
Nekako na koncu najdeš neko ravnotežje med tem, kaj moraš logirat, kaj pa ne, pa da še vedno poloviš vse tisto, po čemer lahko posumiš, da se dogaja kaj neželjenega, kar moraš raziskat bolj podrobno.

pfSense mogoče ne pride z najbolj optimalnimi orodji za pregledovanje takih statistik logov, ampak vseeno - princip je povsod isti, ne glede na to, katero rešitev uporabljaš.

Če imaš konfiguracijo ustrezno zastavljeno, ti lahko logi precej pomagajo odkrivat čudna dogajanja in vsa zadeva nenadoma postane precej več, kot samo 'dummy filter' v črni škatli. Sicer te po parih dnevih počasi mine veselje, da bi bulil v loge ali poročila, če ti jih rešitev zna izdelat ampak 1x tedensko se že splača en uč vreči na statistiko, kaj je v tem času bilo najbolj pogosto blokirano in raziskati za kaj se gre.

SeMiNeSanja ::

Sicer pa si za primerjavo lahko pogledaš tale demo (user:demo passw:visibility)

Klikni na 'Security Dashboard' na levem panelu, da boš videl, kako lahko izgleda zadeva, če je malo bolj napredna.
Pa ko boš že tam, si še poglej Policy Map - grafično ponazoritev dovoljenega in blokiranega prometa za izbrano obdobje z možnostjo brskanja v podrobnosti (na prvi pogled mogoče malo konfuzno, ampak ko se poglobiš, vidiš da ti omogoča odkrivanje kaknih reči, ki bi ti sicer ušle pozornosti)

Zgodovina sprememb…

harmony ::

Pocasi dojemam zakaj si rekel da je pfSense bolj "stara varianta". Ne morem reci, da je vse negativno, nekatere zadeve so pa res malo bolj bogo narejene.

Ene par ur sem se hecal s Squid proxy streznikom in mi ni uspelo stvar pustiti gor, tako da sem odinstaliral zadevo.

Dejansko sem stvar spravil do te mere, da je slo vse skozi proxy streznik, ampak jaz dejansko nisem obcutil nobene razlike...glede cachinga...ampak ok pustmo to. Dejansko sem zelel imeti URL Web Filtering.

Instaliral sem paketek SquidGuard, ki mi je ocitno celotno zadevo pokakal. Kar naenkrat stvari, ki so delale niso vec bile v funkciji. Testiral sem blokiranje porn sajtov in stvar dela "tko tko". Je se zmeraj odprl kar nekaj porno strani. Ostala jajca kot so razni pornhabi, porntubi ipd...je ze bilo logicno, da bo blokiral, razne xyz nagrazvne porno strani sem pa vseeno uspel odpreti. Hebes tak filter.

Potem sem se vklopil safe search in mislim, da mi je takrat cela zadeva sla v maloro. Enostavno ni delalo nic vec.

Tako da...mesani obcutki. Je res, da je free varianta, ampak dejansko kaj pa vem no...vse je bolj bogo tole.
Ko vidim npr. Untangle ufff, se pfSense res lahko skrije. Govorim pa seveda samo o GUI, ne o funkcijah, ker jih pri Untangle ne poznam.

Saul Goodman ::

pfsense je kar hud za začetnike, saj ti mora bit predvsem jasno kaj delaš.

harmony ::

Saul Goodman je izjavil:

pfsense je kar hud za začetnike, saj ti mora bit predvsem jasno kaj delaš.

Se strinjam. Zato nisem obupal. Dobra stvar so shranjeni backupi. Tudi ce kaj res oring zafrknem, je se vedno opcija rollback.
Bom se malo pobrskal na forumih okrog proxy-ja.

Ostalo je nekako slo. Snort mi dela bp, pfBlockerNG tudi uspesno blokira tisto kar zelim, skratka vse deluje normalno in tudi performancno je zadeva tip top...

SeMiNeSanja ::

Največji problem nastane, ko pride ven kakšen malo večju upgrade ene komponente, pa bog ne daj, da nekje kiksne kompatibilnost. Potem si dober za kar nekaj ur googlanja in raziskovanja, kako zadevo pofixat. Za učenje super....če si lahko privoščiš učenje n napakah. Čim si v firmi, ta opcija odpade. Pa tudi večinoma nimaš časa za to. Potem pa odlagaš z nadgradnjo...pa 'bo že'...in na koncu niti po treh letih še nimaš zadeve nadgrajene.

harmony ::

Rad bi samo sporocil, da sem danes uspesno vzpostavil delovanje VPN povezave. To je bilo res toliko v izi, da me je kar presenetilo.

Videl sem ene par tutorialov, kjer za VPN uporabljajo drug fizicni port. Jaz tega nisem uporabil, enostavno preko wizarda naredil povezavo in dal vse na UDP 443. Ne vem kaksne bi bile prednosti tega pocetja.

Zal proxy-ja nisem probaval, glede na pfsense forume stvar zal ne deluje optimalno. Mogoce bo z novo verzijo pfSense in paketov boljse.

harmony ::

pfSense je sel dol, zamenjal ga je Sophos UTM Home 9.5

To je to.
SeMinesanja je imal prav. Enkrat ko updejtas pfSense se ti vse "sfuka". Sophos imam od vceraj in zadeva leti, je pregleden, enostaven za uporabo, torej res vsak bebec bi lahko znal en firewall rule nastavit.

Ima tudi Endpoint Protection, katerega sem seveda izkoristil. Razen Exploit Featurja ima prav vse kot placljiva verzija.

Poldi112 ::

Osebno sem tudi sam na Sophosu, zdaj par mesecev, ampak se mi je zdel pfsense bolj intuitiven. Pa v opozorilo, meni je na Sophosu mislim da ko sem dodal nov interface premešalo vse ostale. Tako da imam zdaj statično mapirane v udev. Zadnji teden me pa spama na polno, da mu zmanjkuje diska, ker si je tako lepo in smiselno naredil particije iz 20 GB, ki sem mu jih dal, ...

loginuser@sophos:/home/login > df -H
Filesystem Size Used Avail Use% Mounted on
/dev/sda6 5.6G 2.9G 2.5G 54% /
udev 1.1G 70k 1.1G 1% /dev
tmpfs 1.1G 54k 1.1G 1% /dev/shm
/dev/sda1 348M 17M 309M 5% /boot
/dev/sda5 4.5G 3.7G 480M 89% /var/storage
/dev/sda7 5.9G 84M 5.5G 2% /var/log
/dev/sda8 710M 9.8M 649M 2% /tmp
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

SeMiNeSanja ::

Nimaš kej...saj veš, kako je to z podarjenimi konji.

Glede na to, da ti zabija 'storage', v bistvu tako izgleda, kot da bi ti loge na storage pisal?
Kaj misliš, bi se zgodilo, če bi se particij lotil s kakšnim urejevalnikom particij in jih malo 'optimiziral'?

Drugače pa jaz pravim, da je Sophos za tiste, ki bi radi zganjali firewalling, ne da bi se preveč 'poglabljali' v security (ker ne znajo, ali pa ker se jim ne ljubi). Nekako bolj kot antivirus... inštaliraš in..... pogledaš samo, ko ti glih začuda nekaj ne dela. Tak uporabnik se ne bo sekiral kaj dosti glede intuitivnosti, ker niti ne bo iskal tistih naprednih možnosti, za katere je dobro, da so vsaj kolikor tolikor intuitivne.

Je že tako, da ima vsakdo malo drugačne preference, potrebe in navade. Zato pa se najde za vsak tip proizvodov določen krog odjemalcev. Hvala bogu. Drugače bi bili še vedno na starih Pix-ih iz leta 2 pa 3....
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Firewalla

Oddelek: Omrežja in internet
427244 (2435) somebody16
»

Moja domaca mreza

Oddelek: Omrežja in internet
467317 (5165) mahoni
»

IPS / IDS performance

Oddelek: Omrežja in internet
131893 (1613) harmony
»

pfSense VPN

Oddelek: Omrežja in internet
132832 (2235) He-Man
»

SOHO HW UTM/firewall

Oddelek: Informacijska varnost
91110 (1026) SeMiNeSanja

Več podobnih tem