pfsense

Kakšno vlogo pri tebi igra ta 'modem' - ali je res samo MODEM ali je dejansko ROUTER?

Če je router, potem je še vprašanje, ali je nastavljen v transparentni 'bridge' način ali v 'routed' način delovanja.

Nato pride še vprašanje, če imaš od providerja dodeljeno statični IPv4 naslov ali dinamičnega.

Optimalno se stvari postavi tako, da je modem res samo 'modem', konverter med telefonskim kablom in UTP-jem, ne da bi se vtikal v promet, kaj šele da bi delil kakšne IP naslove naokoli. To vlogo prevzame router ali firewall, ki ga imaš izza modema. Ta se potem skonfigurira na DHCP/PPPoE in pridobi IP naslov od ponudnika (ne od modema!), ali pa ga skonfiguriraš na statični IP naslov, katerega ti je ponudnik dodelil.

Router ali firewall pa potem 'upravlja' naslovni prostor na notranji strani omrežja. Odvisno koliko imaš ethernet vmesnikov, si lahko nastaviš LAN-e in VLAN-e, ali bridge med vmesniki. Nekatere rešitve ti tudi omogočajo LACP združevanje dveh mrežnih vmesnikov za večji throughput (če mašina zmore prebaviti bistveno več, kot 1 Mbps). Slednje pride bolj v podjetjih za kakšne strežnike v poštev.

DHCP na WAN strani je ok, če si 'home user' in se redko kdaj rabiš na svoje omrežje povezovat na daljavo, nimaš spletnega strežnika in podobno. Čim imaš takšne zahteve, si prisiljen posegati po kakšnem DynDNS ali NoIP, da sploh lahko najdeš svoje omrežje, ko ga potrebuješ. Temu se lahko izogneš s statičnim IP naslovom. Tega ti na zahtevo dodeli tvoj ISP, si ga skonfiguriraš in se potem ne spreminja - torej vedno veš, na kerem naslovu se nahaja tvoje omrežje.
Če si še malo bolj zahteven uporabnik, pa ti ne zadošča samo en javni IP naslov, ampak jih potrebuješ ene par. To se spet dogovori s ponudnikom, izpolniš RIPE obrazec, da se registriraš, pa še kakšen mesečni dodatek te zna potem pričakati na položnici za te dodatne naslove. V glavnem moraš potem tudi te skonfigurirat na WAN vmesniku ali pa routati nekam na notranje omrežje oz. v nek DMZ.

Odvisno, kako si si nastavil pfSense - predvidevam, da delaš dvojni NAT, kar je precej slaba opcija.

Prvič dela NAT tisti A1 box, tako da imaš na notranji strani kakšno 192.168.xxx.0/24 omrežje. Potem pa to pride do pfSense, ki še enkrat na notranjo stran dela NAT za neko drugo 192.168.yyy.0/24 omrežje.

Z malo znanja routinga, bi lahko izklopil NAT na pfSense in v A1 boxu vpisal statične route do omrežij, ki se nahajajo izza pfSense-a.

Problem teh modem/router/vse_v_enem škatel je, da ti jo postavijo, pridno začneš uporabljat vse, kar ti nudi, potem pa je problem s tega preiti v bridge mode, kjer wifi na teh škatlah na enkrat ni več uporaben in moraš vse tiste funkcionalnosti, ki si jih imel na tem boxu preseliti nekam drugam.
Deloma bi se to dalo rešiti da izklopiš NAT na pfSense in ustrezno poštukaš routing tabelo ba A1 boxu (če sploh imaš to možnost). Tako lahko še vedno uporabljaš Wifi kot nekakšen 'guest WiFi' izključno za dostop do interneta.
Ampak tudi tukaj bo problem z VPN povezavami, če jih želiš urediti na pfSense. S pomočjo port forwardinga bi načeloma lahko vzpostavil VPN, vendar imaš eno dodatno točko, ki ti bo znala ponagajati. Tega problema nimaš, če je modem transparenten in pfSense prevzame vlogo routerja.

Da bi modem prestavil v transparentni način, pa mislim, da moraš poklicati na helpdesk in zahtevati ti spremembo, ki jo potem oni izvedejo.

Kar pokliči na helpdesk in se pozanimaj glede transparentnega načina.

Zakaj pa bi kupoval modem, pa ne vem- verjetno ga niti priklopiti ne boš mogel, če že kakšnega sploh kje najdeš v štacunah. Običajno so modemi stvar ponudnikov, ker na imajo na njih še kakšne svoje senzorje, preko katerih lahko spremljajo kakovost linije. Če boš privlekel kar enega kitajčka in ga priklopil, obstaja resna možnost, da zadeva sploh ne bo delovala, pa še kakšen klic boš dobil od providerja, kaj se dogaja....

pfSene ti sam po sebi ne bo 'dal' neke posebne varnosti. To si moraš sam nastaviti, tako da dodajaš pravila s katerimi določene vrste prometa dovoliš, določene pa zavrneš. Tu se potem tudi skriva vsa 'umetnost' pri požarnih pregradah - kako natančno si sposoben opredeliti, kateri promet sme, kateri pa ne sme zapuščat tvojega omrežja.

Recimo nek banalen DNS povpraševanje - kam sme iti? Boš dovolil, da gre kamorkoli? Ali boš dovolil, da gre izključno do DNS serverjev tvojega ponudnika in morda še na kakšen google public DNS server za backup?

Če vklopiš logiranje prometa in opazuješ povezave po različnih portih, moraš zadeve klasificirat, kateri del tega je 'dober' in nujen, kateri del pa lahko brez vsake posledice porežeš proč. Temu ustrezno potem gradiš pravila na požarni pregradi.

Tu pa potem izredno veliko vlogo igra kakovost logov. Žal ne nisem gledal, kakšne od sebe daje pfSense, če so kaj uporabni za takšno klasifikacijo, oz. koliko ti jo olajšujejo.
Eni bodo rekli, da je to potem že na nivoju Enterprise security-ja, ampak jaz mislim, da je to zgolj izgovor za lenobe, da ne pošlihtajo stvari kot se gre (ali pa to enostavno ne morejo zaradi nekakovostnih informacij v logih in/ali pomanjkljivega znanja).
Mogoče za doma malenkostno overkill, ampak tudi za domapribližno veš, da http in https moraš dovoliti kamorkoli v svet, medtem ko za določene druge storitve kot npr. smtp, pop3, ntp, dns, itd. vedno uporabljaš ene in iste strežnike in tvoji programi po teh portih nimajo kaj komunicirati kamorkoli.
Za domačo rabo se ne boš spuščal do zadnje podrobnosti, ni pa napak, če malo 'povohaš' kako se bi to dalo.
Najdi si en tak uravnotežen sistem pravil, ki te ne bo oviral, ki pa tudi ne bo omogočal čisto vsake traparije.

Večina programov ima danes nek autoupdate, tako da že samo iz tega naslova dobiš cel niz povezav.
Potem imaš programe, ki se poslužujejo nekih storitev/baz v oblaku in se z njimi povezujejo.
Imaš 'telemetrijo' pri nekaterih programih, kjer domov sporočajo, kako se jim kaj gode.
Imaš programe, ki pokličejo domov, da preverijo, če imaš legalno licenco.

Potem pa imaš še raznorazen spyware, trojančke in nevem kaj še, ki domov leakajo takšne in drugačne informacije o tvojem računalniku, delu, komunikaciji,....

Večina navadnh smrtnikov se tega zave šele takrat, ko jim enkrat prezentiraš dejanski komunikacijski log z požarne pregrade. Prej mislijo, da računalnik komunicira v svet samo takrat, ko oni na nekaj kliknejo. Resnica pa je daleč od tega.

Velik del tega prometa je nujen (posodabljanje) in neškodljiv.
Določen delež je nepotreben (ga blokiraš, pa začuda še vedno vse deluje).
Nekaj pa je takega, ki ga definitivno ne želiš spuščati ven (pošiljanje spam mailov, povezovanje na C&C strežnike,....).

@SeMiNeSanja

Kapo dol za vse te info in znanje ki ga imas na tem podrocju. Z veseljem berem to temo in ostale v katerih sodelujes, saj se iz tvojih odgovorov clovek lahko dosti novega nauci

klinker je 10. jul 2017 ob 18:40 izjavil:

@SeMiNeSanja

Kapo dol za vse te info in znanje ki ga imas na tem podrocju. Z veseljem berem to temo in ostale v katerih sodelujes, saj se iz tvojih odgovorov clovek lahko dosti novega nauci

Sem istega mnenja. Jaz se mu zahvaljujem, ker nesebicno deli znanje. Vsakic ko kaj napisem, se potrudi jasno in s potrpljenjem odgovoriti. Sem se v teh 5dneh res veliko naucil.

SeMiNeSanja je 10. jul 2017 ob 12:37 izjavil:

Glej:
https://otx.alienvault.com/indicator/ip...
Klikni na files in odpri vsak hash posebej ter jih preveri preko klika na virustotal na tej strani...

Top stvar. Mater kr ene zadeve mi potem lavfajo na racunalnikih. Ojej.

Sedaj sem listo se bolj "pojacal" in v logih je vidno se vec blokiranega prometa iz LAN-a v svet. Ravno prejle poln log www38.your-server.de blokiranega prometa. Kr neka stran, ampak ocitno moj PC se poskusa na port 80 gor povezat. :)

Pa sem vedno mislil, kako imam "varen" pc...
...EDIT...
Vem zakaj je ta IP. Poskusil sem se povezati na pcengines.ch in ni slo. Ocitno je na isti IP vezano vec razlicnih domen. No ja...tole je bolj false positive.

Sicer pa si za primerjavo lahko pogledaš tale demo (user:demo passw:visibility)

Klikni na 'Security Dashboard' na levem panelu, da boš videl, kako lahko izgleda zadeva, če je malo bolj napredna.
Pa ko boš že tam, si še poglej Policy Map - grafično ponazoritev dovoljenega in blokiranega prometa za izbrano obdobje z možnostjo brskanja v podrobnosti (na prvi pogled mogoče malo konfuzno, ampak ko se poglobiš, vidiš da ti omogoča odkrivanje kaknih reči, ki bi ti sicer ušle pozornosti)

pfsense je kar hud za začetnike, saj ti mora bit predvsem jasno kaj delaš.

Največji problem nastane, ko pride ven kakšen malo večju upgrade ene komponente, pa bog ne daj, da nekje kiksne kompatibilnost. Potem si dober za kar nekaj ur googlanja in raziskovanja, kako zadevo pofixat. Za učenje super....če si lahko privoščiš učenje n napakah. Čim si v firmi, ta opcija odpade. Pa tudi večinoma nimaš časa za to. Potem pa odlagaš z nadgradnjo...pa 'bo že'...in na koncu niti po treh letih še nimaš zadeve nadgrajene.

pfSense je sel dol, zamenjal ga je Sophos UTM Home 9.5

To je to.
SeMinesanja je imal prav. Enkrat ko updejtas pfSense se ti vse "sfuka". Sophos imam od vceraj in zadeva leti, je pregleden, enostaven za uporabo, torej res vsak bebec bi lahko znal en firewall rule nastavit.

Ima tudi Endpoint Protection, katerega sem seveda izkoristil. Razen Exploit Featurja ima prav vse kot placljiva verzija.

Nimaš kej...saj veš, kako je to z podarjenimi konji.

Glede na to, da ti zabija 'storage', v bistvu tako izgleda, kot da bi ti loge na storage pisal?
Kaj misliš, bi se zgodilo, če bi se particij lotil s kakšnim urejevalnikom particij in jih malo 'optimiziral'?

Drugače pa jaz pravim, da je Sophos za tiste, ki bi radi zganjali firewalling, ne da bi se preveč 'poglabljali' v security (ker ne znajo, ali pa ker se jim ne ljubi). Nekako bolj kot antivirus... inštaliraš in..... pogledaš samo, ko ti glih začuda nekaj ne dela. Tak uporabnik se ne bo sekiral kaj dosti glede intuitivnosti, ker niti ne bo iskal tistih naprednih možnosti, za katere je dobro, da so vsaj kolikor tolikor intuitivne.

Je že tako, da ima vsakdo malo drugačne preference, potrebe in navade. Zato pa se najde za vsak tip proizvodov določen krog odjemalcev. Hvala bogu. Drugače bi bili še vedno na starih Pix-ih iz leta 2 pa 3....