OPNsense vs Sophos XG + sonstige Alternativen

[DFFVB]

Hallo zusammen,

ich bin endlich mal dazu gekommen, auf meinem Server zuhause eine VM mit OPNsense und eine mit Sophos XG aufzusetzen. Gefällt mir beides ganz ganz gut, allerdings muss ich auch sagen, dass ich mit einer Vielzahl der Funktionen auf den ersten Block nur begrenzt etwas anfangen kann, bzw. mir die Abwägung nicht ganz so leicht fällt.

Bei OPNSense sind das Sachen wir Squid (Proxy), Monit, Sensei (APT + Blockierungen), Unbound, Suricata die auf den ersten Blick ganz attraktiv wirken, auf den zweiten Blick sind da noch die GeoIP Blocklisten, ET Pro etc.

Bei Sophos versteckt sich das eher hinter eigenen Namen. Hier würde ich der APT Erkennung und IPS etwas höheren Stellenwert beimessen, auch AntiVirus ist wohl besser als CLAMAV. Sieht insgesamt etwas aufgeräumter aus.

Ich hab schon gegoogelt hier gelsen, die Infos gehen auseiandner. Mich würden hier mal eure Erfahrungen interessieren, gerade im Hinblick auf Heimnutzung .Ggf. auch Alternativen... Was mir bei beiden fehlt, ist eine Client Verwaltung.

 

[snaxilian]

Egal welches Produkt du nimmst und egal ob die eher kleineren Lösungen wie Sophos, opnsense, pfsense oder von Unifi oder die "Großen" Firewallanbieter wie FortiNet, PaloAlto, Checkpoint etc alle nutzen in großen Teilen sehr ähnliche Technologien und geben denen andere Namen und eine ggf. andere Art der Konfiguration.

Die ganzen AV-Lösungen in Netzwerkkomponenten, wie soll ich das nett formulieren, ... suboptimal. Bei verschlüsselten Verbindungen (dein PC ruft eine Webseite per https auf) kann da gar nix gescannt und erkannt werden. Inzwischen sind glücklicherweise die meisten Verbindungen irgendwie Ende-zu-Ende verschlüsselt. Damit diese Funktion also etwas machen kann müsste der verschlüsselte Traffic an der Firewall aufgebrochen werden, untersucht werden und wieder neu verschlüsselt werden. Kann man machen aber ist das aufbrechen von Verschlüsselung jetzt ein Sicherheitsgewinn? Hinzu kommen Nebeneffekte wie Zertifikatsfehler und -warnungen und damit das dann nicht passiert müsste die Firewall als CA konfiguriert werden und alle beteiligten Clients müssten dieser CA dann vertrauen. Das ist in Firmen absolut kein Problem weil Endgeräte und Server zentral verwaltet werden können, im privaten Umfeld sieht das dann aber schnell anders aus.

Du gehst meiner Meinung nach aber die Fragestellung falsch an: Du guckst dir irgendwelche Lösungen an und schaust dann ob und wie diese dir helfen können. Das ist nicht zielführend.
Überlege dir, wovor du dich schützen willst bzw. was die potentiellen Schwachstellen und "Angriffsvektoren" sind. Dann ergeben sich daraus die notwendigen Maßnahmen (organisatorisch wie technisch) und dann kann man gucken welche technischen Tools/Programme/Werkzeuge am besten dafür sind, dich dabei zu unterstützen.

Aber ganz ehrlich: Du redest von "Heimnutzung", also privater Gebrauch im durchschnittlichen Haushalt. Also eine Handvoll PCs/Laptops/Tablets/Smartphones, haufenweise Multimediazeugs (Smart-TV, $Streaminggerät, Konsole, Sonos o.ä., etc) und vielleicht ein bisschen IoT-Elektromüll und vielleicht noch ein NAS.
Am meisten verringerst du die Angriffsfläche wenn du überall den Autoupdater aktivierst oder regelmäßig alle(!) Geräte aktualisierst, zentral einen Adblocker wie AdGuard oder Pi-Hole einsetzt und nicht auf jeden erstbesten Link klickst oder ungeprüft irgendwelche Software installierst die aus dubiosen Quellen kommt.
Zusätzlich überall wo möglich Backups anlegen (3-2-1 Regel beachten!) und Wiederherstellung mal testen.
Kennwortmanager verwenden und wo möglich 2FA/MFA verwenden und die Backupcodes extremst gut aufheben!

Die beste Firewall (und andere technische Hilfsmittel) gibt nie 100%igen Schutz und dafür gibt es Backups. Gerade im privaten Bereich wo man in der Regel keine öffentlich erreichbaren Dienste anbietet oder anbieten sollte sehe ich persönlich kaum einen Mehrwert bzw. steht meiner Meinung nach der Vorteil/Nutzen in keinem Verhältnis zum damit verbundenen Aufwand und es gibt viele andere Maßnahmen, die sinnvoller sein können.

 

[DFFVB]

Erstmal Danke für die ausführliche Antwort. Du hast natürlich mit dem was Du sagst größtenteils Recht! Auch setze ich die von Dir beschriebenen Maßnahmen so um (2FA, alles aktuell, teils separierte Netze für IOT Geräte). Adguard un Pihole sind wieder rausgeflogen, da sie nur 5 - 10 % der Anfragen gebockt haben. Dafür aber mit dem Arbeitslaptop meiner Freundin Probleme bereitet hatten. BackUps werden auf dem Server + Raspi + 2 x mal offline rotierend gemacht, insgesamt, sind die Daten 23 mal gesichert. Ich bin da also ziemlich entspannt, hatte auch seit 2012 keinen ernstzunehmend Vorfall im Heimnetz (damals Download aus dubioser Quelle, was ich seitdem auch sein lass). Allerding vor ein paar Wochen eine Anmeldewarnung von Spotify aus Russland, was mich dann schon extrem verunsichert hat... "hoffe" mal dass es ggf ein Third Party Dienst wie IFTTT war...

Anyway: Lass uns das ganze aus einem anderen Blickwinkel betrachten: Ich sehe das als Hobby, brauchen nein, Spaß an der Freude ja. Ich bilde mich da fort, und finde das spannend. Und oft kommt der Appetit beim Essen ;-) Schaden tut es ja auch nichts, solange ich mich nicht nur darauf verlasse. Sofern eine Fritzbox vorne dran hängt, ist es ja auch ein schöner Test um zu sehen, ob diese ggf doch was durchlässt. Dazu kommt: Eine Kette ist nur so stark wie das schwächste Glied. Ich habe eine Gäste-WLAN für einen Nachbarn, der nur 1 Woche im Monat in der Wohnung ist...

Du sprichst auch SSL Intercept an: Spannendes Thema. Vor Jahren hatte ich mal Bitdefender die sowas auch gemacht haben. Habe ich direkt deaktiviert. Nun mit Verabschiedung von TLS 1.3 soll das ja nicht mehr möglich sein. Beide: Sophos und Sensei machen Werbung damit TLS Intercept zu beherrschen. Allerdings musste ich keine Zertifikate installieren, und die Verbindungen scheinen auch intakt zu bleiben. Das sind ja Dinge die AdGuard und Pihole auch nicht können, (bzw nicht (noch) richtig) - und 80% der Verbindungen sind ja https. Weißt Du was Sophos / Sensei da en detail machen? Zumindest Sensei hat knackige Systemanforderungen, wenn man dennoch halbwegs Durchsatz haben will (250 Mbit).

Und so Dinge wie ein Cache Proxy können ja auch hilfreich sein, um den die Performance positiv zu beeinflussen...

 

[snaxilian]

Adguard un Pihole sind wieder rausgeflogen, da sie nur 5 - 10 % der Anfragen gebockt haben. Dafür aber mit dem Arbeitslaptop meiner Freundin Probleme bereitet hatten.

Genau DAS ist es was ich versuche dir zu vermitteln. Das ist kein Problem von Adguard/Pi-Hole sondern ein Konfigurationsproblem. Wer sich datensparsam verhält/lebt/surft hat natürlich andere "Blockraten" als ein Haushalt mit ggf. Kindern/Jugendlichen, viel IoT oder wer viele Social Media Plattformen nutzt und wenn es Probleme mit gewollten Diensten dann muss es dafür eben entsprechend konfigurierte Ausnahmen geben.

Du glaubst gar nicht wie viele Firmen weltweit sich für unfassbare Summen irgendwelche Security Appliances und Software einkaufen aber diese nicht für ihre Situation entsprechend konfigurieren. Warum das so ist? Weil irgendwelche Checklisten nur sagen: Du brauchst eine Firewall. Firewall gekauft? Check! Firewall auch sinnvoll konfiguriert? Puh, da haben wir gerade keine Zeit für, Personal fehlt oder anderes wird wichtiger priorisiert oder "ich dachte, das gehört auch zum Service, warum zahlen wir denn für den Wartungsvertrag?". Merkst den Unterschied?

Ich sehe das als Hobby

Das ist etwas grundlegend anderes und solche essentiellen Aussagen gehören in den Eingangspost.

Eine Kette ist nur so stark wie das schwächste Glied.

Ja... nein. Das galt vor ~10 Jahren noch aber seit vielen Jahren gilt das einhellige Paradigma "breach asumed" im Bereich der IT-Security. Ich arbeite eng mit dem Bereich zusammen und kenne aus unterschiedlichsten Teilbereichen und Industrien Leute, nicht nur aus Deutschland. Im allerbesten Fall solltest du immer davon ausgehen, dass das Netz und die Umgebung in der du dich befindest und wo du etwas betreiben willst bereits kompromittiert ist. Du musst das jeweils einzelne System gut absichern.
Mit der Annahme hast mindestens einen neugierigen aber harmlosen Hacker, einen weiteren für Industriespionage oder vorbereiten für Ransomware in deinem Netz, unzählige nicht vertrauenswürdige Akteure im Internet und dann noch beim Client. Die ganzen "Kettenglieder" sind natürlich dafür da, diese Risiken zu minimieren, es den Außenstehenden schwieriger zu machen und ggf. die Angriffsfläche zu minimieren.

Sophos und Sensei machen Werbung damit TLS Intercept zu beherrschen. Allerdings musste ich keine Zertifikate installieren, und die Verbindungen scheinen auch intakt zu bleiben.

Ach komm, jetzt phantasierst dir was zusammen. Hat mich keine 2 Minuten gekostet um das zu finden: https://docs.sophos.com/nsg/sophos-...releasenotes/rn_SSLTLSInspectionSettings.html
Beachte hierbei den Abschnitt in und um die zweite TIP Box. Anders wird und kann es nicht funktionieren aufgrund der Funktionsweise von https/TLS.

Sensei kenne ich nicht aber kurzes überfliegen sagt mir bisher nur, dass diese Software in die Pakete guckt wo es hin soll. Das ist größtenteils Analyse der Paketheader und noch der HTTP und TLS Header soweit ersichtlich, siehe hier: https://help.sunnyvalley.io/hc/en-us/articles/360025100393-Web-Control. Das ist aber kein aufbrechen des Traffics, prüfen der Payload und erneute Verschlüsselung. Damit könntest du also 'nur' sehen: Client A ruft computerbase.de auf aber nicht genau welche Unterseite betrachtet wird noch welche Daten genau übertragen werden.
Die Anforderungen sind natürlich knackig wenn in jeglichen Traffic und alle Pakete soweit möglich geschaut werden sollen.

Cache Proxy können ja auch hilfreich sein, um den die Performance

Naja, in so einem Cache kann nur landen was entweder vorher explizit rein gepackt wurde oder mindestens von einem Client einmal angefordert wurde. Caching Proxies sind (oder waren) eine gute Idee als Bandbreiten knapp waren und/oder es sehr viele Clients gibt die identische Daten anfordern.
Hat man dutzende Linux-Server mit identischer Distribution und Version macht ein Repo-Cache natürlich Sinn.
Windows Clients können ihre Updates im LAN per p2p verteilen.
Will man ne LAN machen und ein- und dieselben Spiele auf mehrere Clients verteilen macht vielleicht ein SteamCacheServer Sinn.
Oder überall da wo es große und/oder statische Daten gibt die mehrfach abgefragt werden sind Cache Proxies sinnvoll. Zum lernen und verstehen kann man das machen aber ansonsten fehlt mir in einem durchschnittlichen Privathaushalt der Anwendungsfall für so etwas...

Netflix macht sowas z.B. bei allen möglichen ISPs wo beliebte Serien oder bald neu startende und im Vorfeld gehypte Serien/Filme landen und es dann hunderte/tausende User parallel gibt, die das abrufen.

 

[Bob.Dig]

@DFFVB Ich habe mich ja in pfSense verliebt. Was mir insbesondere gefällt sind die Integration von OVPN-Clients und die Absicherung meiner Portfreigaben für meine Server. Wenn ich beides nicht bräuchte, würde ich mir aber auch die ganze Arbeit mit so einer Firewall nicht machen wollen. IDS/IPS mit Suricata beispielsweise ist eher Spielerei für ausgehend, ohne praktischen Nutzen. Und eingehend kommt bis auf die Blocklisten auch wenig bei rum.
Aber verdammt, pfSense ist ein Zeitkiller. Das kann schlecht oder gut sein. 😉

 

[DFFVB]

Aber verdammt, pfSense ist ein Zeitkiller.

Ich erinne mich an die Senses bei Dir, Danke für die Insights :-)

Genau DAS ist es was ich versuche dir zu vermitteln. Das ist kein Problem von Adguard/Pi-Hole sondern ein Konfigurationsproblem. Wer sich datensparsam verhält/lebt/surft hat natürlich andere "Blockraten" als ein Haushalt mit ggf. Kindern/Jugendlichen, viel IoT oder wer viele Social Media Plattformen nutzt und wenn es Probleme mit gewollten Diensten dann muss es dafür eben entsprechend konfigurierte Ausnahmen geben.

Was genau meinst Du? Klar, ich hab auch mal eine der Listen mit 1 Mio Einträge genommen, da ging dann nicht mal mehr die Suchleiste im Browser beim Pihole. Es geht darum dem Sweetspot zu finden. Wenn man Freerider bei Sophos / Sensei sein kann ist das ja auch nichts verkehrtes. Bspw behaupter Sensei heute 6700 Werbeanfragen blockiert zu haben. Auch die Frage was DNS over HTTPS für Pi Hole in der Zukunft bedeutet...

Ja... nein. Das galt vor ~10 Jahren noch aber seit vielen Jahren gilt das einhellige Paradigma "breach asumed" im Bereich der IT-Security. Ich arbeite eng mit dem Bereich zusammen und kenne aus unterschiedlichsten Teilbereichen und Industrien Leute, nicht nur aus Deutschland. Im allerbesten Fall solltest du immer davon ausgehen, dass das Netz und die Umgebung in der du dich befindest und wo du etwas betreiben willst bereits kompromittiert ist. Du musst das jeweils einzelne System gut absichern.

Also das mag im Busines Bereich durchaus gelten, im Heimbereich eher weniger, gerade wenn man es simpel halten will und Netze nicht trennt. Wenn man dann in die Richtung geht, kommt einer wie Du um die Ecke und erzählt mir, das brauch ich nicht ;-)

Ach komm, jetzt phantasierst dir was zusammen.

Ich hatte es bei beiden aktiviert, es sagte es funktioniert, und bei der Zertifikatsüberprüfung sah es mir nach Original Zertifikat aus. Wenn es hier Anhaltspunkte in die eine oder andere Richtugn gibt - sag mir gerne worauf man achten muss. Laut dem Sophos Link muss man Zertifikate installieren / vertrauen. Musste ich aber nicht. Momentan läuft die OPNSense. Wenn ich nochmal zurückgehe, werde ich expressis verbis darauf achten. Bei Sensei also kein echtes TLS Decrypt - vlt auch ein guter Zwischenweg, blockieren von Werbung klappt, aber was ausgetauscht wird, ist ja auch nachrangig. Find ich gut.

Klar kennt der Cache nur was er kennt, aber man surft zu mn 60% (ich) bekannte Seiten an, also kann das aufs Jahr schon 4 Minuten ausmachen ;-)

Anyway: Zur eigtl. Frage kommt glaube ich nicht mehr viel. Welches System kann im Heimbereich welchen Nutzen bringen.

Aber wenn wir hier schon in trauter Runde sind... Thema Ports öffnen - hat ja auch mit Firewall zu tun. Ich weiß es wird immer abgeraten. Ich wollte eigtl nur per VPN nach Hause telefonieren, aber das wurde großzügig von der Arbeit geblockt. Selbst OpenVPN mit Port 443. SSL VPN hab ich noch nicht probiert dachte aber auch:

Man stecke eine LAN Kabel an die FB, füge an den Server einen USB Dongle zu Ethernet. Mache einen neuen Switch in Hyper V, man teilt die Verbindung nicht mit dem Host. Man macht einen internen Switch. Man erstellt eine VM mit einer Firewall (sophos, pfsense, egal), diese VM hat beide Switches zugewiesen. Man erstellt eine neue VM mit einem Ubutnu Server, welchem man härtet. Hier kommt dann eine Nextcloud1 drauf. Das eigtl. Netz ist entweder hinter einem 2. Router der an der FB hängt (mit doppeltem NAT hatte ich noch keien Probleme). Das müsste doch eigtl relaiv sicher sein? Wenn man noch ein Schippchen drauf legen will. Man nimmt eine weitere Nextcloud2 Instanz im internen Netz. Diese bindet man per WebDav ein, ebenso die Nextcloud 1. Nun legt man auf NC1 ein Cryptomator Vault, und nimmt ein Sync Tool der Wahl m zwischen WebDav Laufwerken zu syncen.
Hieße: Selbst wenn der Server kompromittiert würde, wäre die Daten verschlüsselt...

Vlt kann ja auch @Bob.Dig erzählen wie er das macht, und was er für erfahrungen gesammelt hat...

 

[snaxilian]

Es geht darum dem Sweetspot zu finden

Blindes aktivieren/deaktivieren von irgendwelchen gesammelten Listen ist nix finden, das ist try & error. Diese Listen sind mehrheitliche Sammlungen, die bei einer gewissen Anzahl von Leuten sinnvoll sind oder eben auch nicht, aber die sind auch nicht in Stein gemeißelt sondern an die eigenen Bedürfnisse und Situation anpassbar.

In diesem Teilausschnitt sehe ich nur oben Warnungen, von blockieren sehe ich da nix.

Gerade im privaten Bereich ist breach asumed sinnvoll. Kannst du ernsthaft nachvollziehen was auf irgendwelchen IoT-Elektroschrott-Kisten wirklich läuft? Oder auf irgendwelchen Androidgeräten? (https://www.zdnet.com/article/play-...distribution-vector-for-most-android-malware/)
Der Durchschnittshaushalt hat ja eben alles in einem Netzsegment und keine große Trennung, da ist es umso wichtiger die eigenen Daten vor Zugriffen von potentiellen Dritten im gleichen Netz abzuschotten und zu schützen. Oder unterwegs in irgendwelchen offenen WLAN-Netzen oder Hotspots.

Irgendwelche Sophos Browser Addons installiert oder sonstige Sophos Antiviren-Software etc. installiert? Mal in den Zertifikatsspeicher vom OS und dem Browser geschaut ob da nicht zufällig ein Sophos Zertifikat liegt? Da die Doku eindeutig dem entspricht was ich so gelernt und auch regelmäßig im Berufsleben so sehe kann TLS Inspection per technischer Definition nicht anders funktionieren. Zumindest nicht solange bis mir jemand eine anders lautende, technisch korrekte und durchgehend nachvollziehbare Erklärung liefert.

Ansonsten kann man das auch einfach prüfen indem man per HTTPS eine bekannte Seite besucht und sich im Browser das Zertifikat anzeigt. Parallel die Seite im Mobilnetz aufrufen und Zertifikat anzeigen lassen. Das im Browser am PC dürfte nicht mehr übereinstimmen. Falls doch dann funktioniert das TLS interception eindeutig nicht oder der private und geheime Schlüssel zum verschlüsseln müsste deiner TLS-interception-Kiste bekannt sein. Not gonna happen.

Zum Cache: Setzt voraus, dass die Seiten auch statischen Content ausliefern und das nicht alles generisch-generierter Kram ist.

Aber du willst ja zurück zur Kernfrage. pfsense/opnsense sind die gängigsten freien Lösungen. Es gibt/gab(?) noch ipcop oder ipfire, ähnliches Prinzip aber weniger Features. Sophos kennst ja auch schon, gibt es da immer noch dieses 50 IP-Adressen Limit in der kostenlosen Variante?
An kommerziellen Lösungen gibt es recht verbreitet noch die Produkte von Unifi (früher USG, jetzt Dreammachine) in diversen Größen. Das ist dann Hard- & Software in einem.

Selbst OpenVPN mit Port 443

TCP oder UDP? Ansonsten Glückwunsch zu fähigen Admins. Im besten Fall gucken deren Lösungen nämlich in den Traffic rein und wenn da kein HTTP/HTTPS drin steckt sondern etwas anderes wie z.B. openvpn dann wird es korrekterweise verworfen.

Die verlinkte Härtungsanleitung macht die Klassiker, die nicht verkehrt sind. Die Firewallregeln würde ich nicht blind 1:1 abtippen. Wenn du da keinen Webserver betreiben willst, braucht es kein eingehendes tcp any 80/443.
Logwatch naja anfangs nett aber wer kontrolliert schon alle seine Logfiles regelmäßig zumal die Anleitung einfach mal voraussetzt, dass es ein korrekt konfigurierten Mailserver auf dem System gibt^^
Ansonsten etwas umfassender: https://dev-sec.io/

Wozu die zweite Nextcloud? Mit passendem Routing und den Regeln können Clients vom "internen" Netzwerk auf die Nextcloud in deiner DMZ zugreifen, müsstest dann nur split horizon DNS verwenden oder mit Response Policy Zones arbeiten aber mit DNS willst dich ja offenbar nicht auseinander setzen wenn ich an adguard und pihole denke

Aber: Die meisten (erfolgreichen) Angriffe kommen über zwei Wege: Social Engineering oder technische Schwachstellen in den Anwendungen an sich. Also nicht am OS des Servers sondern in einer Sicherheitslücke in Nextcloud oder einer Fehlkonfiguration in Nextcloud oder einer Sicherheitslücke oder Fehlkonfiguration im verwendeten Webserver. Davor schützt dich deine Firewall nicht, egal welche außer du lässt da einen Reverse Proxy laufen der dann aber wiederum korrekt konfiguriert sein sollte.

 

[Bob.Dig]

Vlt kann ja auch @Bob.Dig erzählen wie er das macht, und was er für erfahrungen gesammelt hat...

Gerne, ich könnte den ganzen Tag drüber labern.

Ich habe tatsächlich folgendes gemacht, Box des ISP in den Bridgemode stellen lassen, diese dann an eine virtuelle pfSense in Hyper-V, mit durchgereichten Netzwerkkarten, direkt angeschlossen. Der einzige Router ist bei mir also eine virtuelle pfSense. Schöner Nebeneffekt war bei mir, dass ich meinen guten alten Asus-Router zum AP umfunktionieren und diesen mittels Scripten VLAN-fähig machen konnte. VLAN, Wifi und pfSense kombiniert ist natürlich ideal für das Separieren von IOT.
Ergo, ich benutze es nicht nur als Firewall, sondern als meine alleinige Routing-Plattform, mit allen Vor- und Nachteilen. Automatische Backups dieser pfSense VM haben mir schon mehrfach den Arsch gerettet, muss ich an dieser Stelle mal erwähnen.

Apropos Port Forwards, so sieht es momentan bei mir aus.

Ist ziemlich verrammelt und ich gucke mir tatsächlich regelmäßig die Logs an, Traffic ist aber auch sehr überschaubar. 😉

 

[Chris_S04]

@snaxilian
Nur als Info: die 50 IP Grenze gibt es bei Sophos in der freien Variante der UTM. Bei der XG hat man kein IP Limit, da gibt es ein Ressourcenlimit, max. 6 GB RAM und 4 CPU Kerne soweit ich weiß. Wenn mehr verbaut ist, liegt das einfach brach.

 

[DFFVB]

Blindes aktivieren/deaktivieren von irgendwelchen gesammelten Listen ist nix finden, das ist try & error.

Doch ist es - denn auch so findet man Sachen raus, und wenn ich bei uns zu den Consultants schaue, dann machen die den ganzen Tag nichts anderes, auch als ein Admin mein Laptop aus dem HomeOffice neu aufgesetzt hat 😉

In diesem Teilausschnitt sehe ich nur oben Warnungen, von blockieren sehe ich da nix.

Jo, kann man umstellen von "alarm" zu "block", wollte erst mal schauen.

Irgendwelche Sophos Browser Addons installiert oder sonstige Sophos Antiviren-Software etc. installiert? Mal in den Zertifikatsspeicher vom OS und dem Browser geschaut ob da nicht zufällig ein Sophos Zertifikat liegt?

Nope, nada

Ansonsten kann man das auch einfach prüfen indem man per HTTPS eine bekannte Seite besucht und sich im Browser das Zertifikat anzeigt.

Genau das habe ich gemacht, daher kam ja die Überraschung, ich will aber auch nicht ausschließen, dass es nicht richtig aktiviert war, werde es nochmal testen. OPNsense unterstützt den realtek NIC leider nicht richtig, respektive nur 100 Mbit.

Zum Cache: Setzt voraus, dass die Seiten auch statischen Content ausliefern und das nicht alles generisch-generierter Kram ist.

Ich würde mal sagen: Dass das Grundgerüst eh immer gleich ist, bei den meisten "News" Seiten, kann also schon was bringen. Hast Du da konkrete Erfahrungen?

Aber du willst ja zurück zur Kernfrage. pfsense/opnsense sind die gängigsten freien Lösungen. Es gibt/gab(?) noch ipcop oder ipfire, ähnliches Prinzip aber weniger Features. Sophos kennst ja auch schon, gibt es da immer noch dieses 50 IP-Adressen Limit in der kostenlosen Variante?
An kommerziellen Lösungen gibt es recht verbreitet noch die Produkte von Unifi (früher USG, jetzt Dreammachine) in diversen Größen. Das ist dann Hard- & Software in einem.

Danke für Auflistungen, ich hatte mich schon mit den diversen Kandidaten beschäftigt (Endian sei noch genannt, um Unifi mache ich einen Bogen, seitdem diese den Chefentwickler von pfsense abgeworben haben, geht es dort steil bergab, und die Performance ist eher was ISDN Anschlüsse, nicht DSL ;-) ), ich hatte mich jedenfalls nach der Recherche für OPNsense und Sophos entschieden. Da die Features ja zahlreich sind, der Post hier, welche Features was konkret machen, was davon für mich als privaten nützlich ist, was vernachlässigbar. Dazu hat sich bisher nur BobDig geäußert, in Bezug auf das IPS

So wie ich es bisher verstanden habe: Allen gemein sind die Regeln, Signaturen die man braucht. Da kann ich mir bei OPNSense Suricata auf den WAN legen, Sensei auf den LAN. Bei ersterem kommt nicht extrem viel bei rum, (wer seinen Traffic mit Decisio teilt, kan auch ET Pro bekommen, fraglich ob die fitter als Sophos sind- bei Sensei geht schon mehr, allerdings geht es a) auf die Performance, und b) für eine granulare Reglung braucht man Premium. Der Werbeblocker hat so halbwegs funktioniert, der PornBlocker direkt ^^.

Wenn du da keinen Webserver betreiben willst, braucht es kein eingehendes tcp any 80/443.

Was empfiehlst Du für die NC?

Logwatch naja anfangs nett aber wer kontrolliert schon alle seine Logfiles regelmäßig zumal die Anleitung einfach mal voraussetzt, dass es ein korrekt konfigurierten Mailserver auf dem System gibt^^
Ansonsten etwas umfassender: https://dev-sec.io/

Danke für den Link. Klingt interessant! Jo ich hab schon vor die Logs zu checken, das mache ich auch bisher auf dem Asus Router, hab dem Nachbar auch direkt mal ne Ansage gemacht, asl zu viele Treffer in der TrendMicro waren.... Suche da noch nach was einfachem, aber schönem. Kibana wäre wohl leichter Overkill, dachte an Graylog.

aber mit DNS willst dich ja offenbar nicht auseinander setzen wenn ich an adguard und pihole denke

Doch schon, ich sagte nur, dass es sich kaum gelohnt hat...

Davor schützt dich deine Firewall nicht, egal welche außer du lässt da einen Reverse Proxy laufen der dann aber wiederum korrekt konfiguriert sein sollte.

Tipps Empfehlungen? Traefik soll schön aber kompliziert sein, nginx soll das auch gut machen...

Gerne, ich könnte den ganzen Tag drüber labern.

Ich auch, danke für die Rückmeldung.

dass ich meinen guten alten Asus-Router zum AP umfunktionieren und diesen mittels Scripten VLAN-fähig machen konnte

Was hast Du da denn benutzt? Hab hier auch einen AC88U den ich eigtl. gerne in Rente schicken würde, aber a) ist der leistungstechnisch unerreicht, b) gibt es keine echten Alternativen, wenn man auf ax und VLAN geht, dann wären da eigtl nur die neuen Ubiquiti (die alten haben Kratzgeräusche gemacht, deswegen gingen sie zurück), oder Zyxel...

Was ich auch interessant finde: https://www.qnap.com/de-de/product/qhora-301w/specs/software

Auf dem Papier hat der alles was mein Herz begehrt, aber leider ist die Quali hier ziemlich mies, andererseits hinter ner Firewall muss er ja auch nicht sicher sein 😅

Automatische Backups dieser pfSense VM haben mir schon mehrfach den Arsch gerettet,

Wie machst Du die denn? Snapshots?

 

[snaxilian]

Dass das Grundgerüst eh immer gleich ist, bei den meisten "News" Seiten, kann also schon was bringen. Hast Du da konkrete Erfahrungen?

Das Grundgerüst ist ein Webserver und in den meisten Fällen irgendeine Art von Content-Management-System. Ja, ich habe da Erfahrung und meine Erfahrung ist: Menschen jeder Art erheben Caches in eine Art göttlichen Mythos und versprechen sich gefühlt die Rettung der Welt von Caches. Caching-Systeme sind sinnvoll wenn viele Endgeräte/User in vergleichsweise kurzer Zeit hintereinander den gleichen oder annähernd gleichen Inhalt abrufen, z.B. wenn morgens hunderte Mitarbeiter den Speiseplan der Kantine einsehen der auf der Webseite des Kantinenbetreibers ist. In der Regel ist der Cache, wenn du ihn betreibst, erst einmal leer und der erste Anwender fragt Daten an und diese landen im Cache mit einem Verfallsdatum (weil du nicht weißt ob und wann sich die realen Daten ändern z.B. weil der Kantinenbetreiber kurzfristig etwas ändert). Weitere Anfragen die vor dem Verfallsdatum gestellt werden, werden aus dem Cache beantwortet.
Anders sieht es aus wenn der Webseitenbetreiber selbst solche Caches zur Verfügung stellt oder verwendet. Solche vom Betreiber genutzten Cache-Proxies heißen heute nur anders und sind CDNs (Content Delivery Networks), Cloudflare oder Akamai sind da vermutlich die bekanntesten. Da legt aber der Betreiber fest welche Daten an welchen Standorten als Cache vorgehalten werden soll.
Lange Rede kurzer Sinn: Für einen privat zuhause mit unter 5 oder 10 Anwendern macht ein Cache vergleichsweise wenig Sinn. Wenn dich die Aktivierung/Nutzung nix zusätzlich kostet und der Aufwand dafür überschaubar ist dann nutze ihn. Vielleicht gibt es ja netterweise ein paar Statistiken über die "hit rate" die du mit uns teilen kannst in einer oder mehreren Wochen. Kann ja gut sein, dass sich dies stark verbessert hat aber ich würde nicht darauf wetten.

Was empfiehlst Du für die NC?

443 und HTTPS reicht, Zertifikate kannst ggf. per DNS validieren wenn möglich, ansonsten braucht es dafür halt noch Port 80, würde dort aber den Zugriff auf explizit den notwendigen Pfad im Webroot beschränken und für Nextcloud noch einen http -> https redirect.

Logs prüfen finde ich immer noch bei Privatpersonen eine Zeitverschwendung. Entweder ist das ein Fulltime-Job oder du machst es mehr als Placebo stichprobenartig aber mal Hand aufs Herz: Entweder du siehst einfach nur eine lange Liste von fehlgeschlagenen Versuchen oder du siehst wider Erwarten doch etwas. Was genau machst du dann außer deine Systeme im besten Fall direkt zu wipen und aus sauberen Backups wieder aufzusetzen?
Du notierst dir doch auch nicht jedes Nummernschild von jedem Auto was bei dir am Haus vorbei fährt. Könnte ja ein Einbrecher auf Erkundungstour sein. Da gilt das gleiche Prinzip. Eine Detektion (Logging) und ggf. Sichtung und Alarmierung macht nur Sinn wenn daraus konkrete Handlungen zur Gefahrenabwehr folgen. Fail2Ban ist da ein gutes Beispiel. Zu viele Zugriffsversuche von Quelle X auf Port Y > temporärer Block in der Firewall.
Beim Haus ähnliches. Was bringen dir gestochen scharfe UHD 4K Bilder des maskierten Einbrechers per Push Nachricht aufs Handy im Urlaub wenn die Bude trotzdem leer geräumt und verwüstet wird? Entweder halten Türen/Fenster/Schlösser lang genug auf, dass ein Dieb aufgibt und sich ein leichteres Ziel sucht oder du aus der Detektion eines Einbrechers müsste eine sofortige Alarmierung an einen Sicherheitsdienst/Polizei/etc erfolgen zur weiteren Gefahrenabwehr. Das sollte im besten Fall aber ein Fachmann eingerichtet haben denn Fehlalarme werden sehr schnell sehr teuer.
Egal ob du dir einen ELK (elasticsearch, logstash, kibana) oder Graylog oder sonstwas für ein Log-Manangement-System hin stellst: Am Ende hast du anstatt vieler kleiner einen sehr großen Haufen Logs. Da musst dann die Nadel im Heuhaufen finden und die Fälle und Szenarien selbst anlegen bei denen du ein extra Alert willst (User loggt sich mit Adminrechten ein um ein Beispiel zu benennen). Aber dann weißt immer noch nicht ob das ein berechtigter Login war oder nicht und du hast Arbeit und Aufwand. Oder du setzt konsequent 2FA/MFA ein. Die Wahrscheinlichkeit dass beide Faktoren kompromittiert werden ist deutlich geringer und zumindest im privaten Umfeld würde ich das Risiko akzeptieren.
Wenn du dich damit aus Interesse und zum lernen beschäftigen willst dann ist Graylog ein guter Einstieg in die Welt des Loggings und als SIEM-ohne-Geld^^

Tipps Empfehlungen? Traefik soll schön aber kompliziert sein, nginx soll das auch gut machen

Das kann genauso gut ein Apache sein. Aber welche technische Lösung es am Ende wird ist fast vollkommen nebensächlich. Relevant ist ob und wie gut DU als Admin diese bedienen und konfigurieren kannst. Ein reiner Reverse Proxy ist primär dafür da als einziger Außenkontakt zu agieren und je nach unterschiedlicher Anfrage diese entsprechend an das dahinter liegende eigentliche Zielsystem weiter zu leiten oder die Anfragen aufzuteilen, quasi als Loadbalancer. Worauf ich eher abzielte war die Tatsache, dass ein Reverse Proxy, sofern er dies technisch unterstützt und auch korrekt vom Admin konfiguriert bekam, die Anfragen filtern kann und nur korrekte und legitime Anfragen weiter leitet. Das ist streng genommen dann weniger ein Reverse Proxy sondern eine WAF (Web Application Firewall) aber auch da gilt: Diese vernünftig zu konfigurieren ist aufwendig. Klar kann man eine Handvoll vorgefertigte Regeln nehmen aber das ist wie mit dem pihole oder ähnlichem. In vielen Situationen passt das aber in vielen anderen ist dies mehr ein Vorschlag und eine Orientierung.
Traefik hat soweit ich weiß keine Möglichkeit etwas in Richtung WAF zu verwenden, nginx oder apache können mit modSecurity betrieben werden aber wie gesagt: Einfach nen Haken setzen und alles ist toll und perfekt wird nicht funktionieren.

 

[DFFVB]

Danke Dir für die ausführliche Antwort! Hilft mir auf jeden Fall in der Priorisierung der Dinge, der Cache-Proxy gehört wohl erstmal nicht dazu 😅 ein Reverse Proxy könnte interessant sein...

 

[Bob.Dig]

Ich nutze tatsächlich mein reguläres Backup, die so genannten Checkpoints müssten aber ausreichen.
Und die Scripte für meine ollen AC56U sind aus einem anderen Forum und lassen sich nicht unbedingt auf moderne Geräte übertragen. Müsstest Du mal bei Interesse hier fragen.

Was Logs betrifft, hier block ich tatsächlich alles per Hand, was sich insbesondere auf meinen E-Mail-Server verirrt und nicht schon anderweitig geblockt wird. Auf meinem VPS habe ich aber leider keine "Firewall", da block ich händisch, aber nur, wer es arg übertreibt.