Ihre Fragen zum OPNsense Webinar mit Michael Münz von der m.a.x. it vom 19.07.2023

Aus Thomas-Krenn-Wiki
Zur Navigation springen Zur Suche springen

Dieser Artikel zeigt eine Auswahl der gestellten Fragen des OPNsense Q&A Webinars mit Michael Münz von der m.a.x. it. Das ganze Video finden Sie bei Youtube auf dem Kanal von Thomas-Krenn.

Welche IDS Listen sind sinnvoll in der Nutzung?

Aktivierte IDS Rulesets

Alle Listen von Abuse.ch:

  • abuse.ch/Feodo Tracker
  • abuse.ch/SSL Fingerprint Blacklist
  • abuse.ch/SSL IP Blacklist
  • abuse.ch/ThreatFox
  • abuse.ch/URLhaus

Ausgewählte Listen von Emerging Threats:

  • ET open/ciarmy
  • ET open/dshield
  • ET open/emerging-current_events
  • ET open/emerging-malware
  • ET open/emerging-phishing
  • ET open/emerging-policy
  • ET open/emerging-worm

Unbound DNS: Welche DNS Filter sind sinnvoll?

Ausgewählte Unbound DNS DNSBL

Folgende Listen sind empfehlenswert:

  • Abuse.ch - Threatfox IOC database
  • Blocklist.site Abuse
  • Blocklist.site Fraud
  • Blocklist.site Malware
  • Blocklist.site Phishing
  • Blocklist.site Scam

Zur Konfiguration dieser Blocklisten gehen Sie im OPNsense Webinterface wie folgt vor:

Services -> Unbound DNS -> Blocklist -> Zeile Type of DNSBL (hier im Dropdown Menü die Listen auswählen)

Optional können Sie das Adguard Plugin über das Community Repo installieren.

Konfiguration von pfSense zu OPNsense übertragen?

Eine Übertragung der Konfiguration ist nicht mehr möglich, die Codebasis ist bereits zu weit voneinander entfernt.

Tipp: Konfiguration bei der Migration neu machen, man hat dadurch die Möglichkeit Anpassungen und Verbesserungen vorzunehmen.

OPNsense HA Cluster Konfigurationserklärung

Wie Sie einen OPNsense HA Cluster einrichten haben wir in unserem Wiki notiert. Im aktuellen OPNsense Webinar finden Sie zusätzlich noch eine ausführliche Hands-on Erklärung zur Einrichtung eines HA Clusters ab Zeitstempel 8:02: https://www.youtube.com/watch?v=zDzmvn7SHTk

HA Cluster Betrieb mit nur einer öffentlichen IP-Adresse

Das ist nicht empfohlen, einen HA Cluster mit nur einer öffentlichen IP-Adresse zu betreiben.

OPNsense 2FA über Azure Active Directory

Sie können OPNsense mit Azure AD und 2FA nutzen:

  • OPNsense per LDAP and das Azure AD anbinden
  • 2FA per TOTP läuft lokal auf der OPNsense
  • Menü: System -> Access -> Servers und dann bei Type "LDAP + Timebased One Time Password" auswählen.
  • Initial Template: Microsoft AD
  • Haken bei "Synchronize groups" setzen
  • Haken bei "Automatic user creation" setzen, dann werden die User lokal synchronisiert und dann kann man einen 2FA Token setzen.

OPNsense als VPN Gateway hinter einer anderen Firewall (z.B. OPNsense, pfSense)

Dies können Sie mit folgender Konfiguration ermöglichen:

  • Port Forwarding
  • eigener IP-Pool erforderlich
  • Outbound NAT konfigurieren

HTTPs scannen

  • Aufbrechen von HTTPs Verbindungen ist unserer Meinung nach nicht sinnvoll
  • Apps auf Smartphones verwenden Certificate Pinning und akzeptieren dann das selbst erstellte Zertifikat nicht
  • HTTPs Inspection
    • Verschlüsselter Stream wird auf bestimmte Muster untersucht
    • Die Applikation dahinter wird erkannt
    • Kein Inhaltsscan
  • Lieber auf DNS Filter (z.B. mit Unbound), Transparenter Proxy mit URL Filter und Blacklists (Firehol) bei den Firewall Regeln setzen.

Firewall Maximum Table Entries

Falls Sie eine Fehlermeldung Firewall Maximum Table Entries reached erhalten, sind die maximal möglichen Firewalltablleneinträge erreicht. Der Wert ist standardmäßig auf 1.000.000 Einträge festgelegt, Sie können den Wert bei ausreichend RAM (8GB RAM und mehr) jederzeit erhöhen.

Zentrales Management

  • OPNcentral
    • Steuern von Firewalls mit aktivierter OPNsense Business Edition
    • Überwachung
    • Firmware Updates
    • Provisionierung der Aliase, Firewall Regeln. Nicht mandantenfähig, eine zentrale Konfiguration gilt dann für alle.
  • IPsec stoppen und starten per Monit: https://docs.opnsense.org/manual/monit.html#example-2
  • E-Mail Benachrichtigung wenn Service down
    • Identisch zu dem IPsec Beispiel mit Monit
    • Im Reiter Service Settings einen Service Check anlegen
    • Type Process wählen
    • Prüfen der PID File, wenn die PID nicht vorhanden ist wird der Dienst neu gestartet

DMZ schützen

Es gibt hier mehrere Möglichkeiten wie Sie die DMZ schützen können:

  • Eingehendes NAT zur DMZ konfigurieren
  • Alternativ einen Reverse Proxy einsetzen
  • oder die DMZ mit Public IPs betreiben

Firewall automatisch updaten

Sie können bei OPNsense viele Aufgaben per Cronjob automatisieren, auch ein Firewall Update lässt sich damit automatisieren:

Cronjob zum automatischen Update der Firewall anlegen
  • Das lässt sich über einen Cronjob erledigen
  • System -> Settings -> Cron
  • Auf das orange Plus klicken
  • Den Zeitpunkt der Ausführung festlegen
  • In der Zeile Command "Automatic firmware update" wählen
  • Tipp: Besser manuell unter Aufsicht machen.

CARP und zugleich BGP

Ja, OPNsense unterstützt zeitgleich CARP und BGP. Installieren Sie zur Konfiguration von BGP das Plugin os-frr.

Autor: Thomas Niedermeier

Thomas Niedermeier arbeitet im Product Management Team von Thomas-Krenn. Er absolvierte an der Hochschule Deggendorf sein Studium zum Bachelor Wirtschaftsinformatik. Seit 2013 ist Thomas bei Thomas-Krenn beschäftigt und kümmert sich unter anderem um OPNsense Firewalls, das Thomas-Krenn-Wiki und Firmware Sicherheitsupdates.


Das könnte Sie auch interessieren

Broadcom Netzwerkkarten Firmware mit niccli unter OPNsense aktualisieren
Zum Artikel
OPNsense OpenVPN Instances Site-to-Site einrichten
Zum Artikel
Selbstsignierte SSL Zertifkate mit OPNsense erstellen
Zum Artikel