mclion
Goto Top

Firewall simulieren

Hallo Leute,
ich habe eine Firewall mit zig-Regeln übernommen, wo kein Mensch mehr irgendwas durchblicken kann. Nun möchte ich dieses Regelwerk nachstellen und somit neu konfigurieren.
Kennt eventuell jemand eine (möglichst) Open-Source oder Freeware Software für das Simulieren einer Firewall bzw. der Firewall-Regeln?
Vielen Dank!

Content-ID: 4786510015

Url: https://administrator.de/forum/firewall-simulieren-4786510015.html

Ausgedruckt am: 26.12.2024 um 01:12 Uhr

evgnbz
Lösung evgnbz 28.11.2022 aktualisiert um 11:27:50 Uhr
Goto Top
eine vm starten und firewall software (os) installieren
McLion
Lösung McLion 28.11.2022 um 11:31:57 Uhr
Goto Top
Ist zu aufwendig, vllt gibt es ein Programmchen dafür?
Lochkartenstanzer
Lösung Lochkartenstanzer 28.11.2022 aktualisiert um 11:39:53 Uhr
Goto Top
Moin,

Best Network Simulation Tools

lks

PS:

Entweder eine Kopie der Firewall in einem Testnetz installieren oder die Regeln alle rausschreiben, ggf. sogar auf Paier ausdruchken!(), und versuchen logisch zu ordnen.

Alternativ: Tabula Rasa machen und alles frisch konfigurieren. damit entledigt man sich auch eventueller Altlasten, die die Sicherheit gefährden können.
Mystery-at-min
Lösung Mystery-at-min 28.11.2022 um 11:42:41 Uhr
Goto Top
willst es ordentlich machen (dann Aufwand) oder nur so wirken lassen (dann bist du der falsche). face-smile Aber dann brauchst du auch kein Pseudotool.
Crusher79
Lösung Crusher79 28.11.2022 um 11:48:32 Uhr
Goto Top
+1 für GNS3

Man kann auch Edge Image laden und so unter "echten" Windows testen. Braucht nur mehr RAM, sonst schließt sich das Projekte automatisch.

Unter VMware Workstation läuft GNS3 auch recht gut. QEMU Virtualisierung ist nur nicht Hyper-V oder ESXi. Trivial gesagt also deutlich lagnsamer. Für diesen bestimmten Zwecke aber ausreichend.

Firewall Image ist so eine Sache. OPNsense und pfsense sind eh kein Thema. Watchguard hat auch eine VM, aber da weiss ich grad nicht ob man Lizenzen braucht.

Ist zu aufwendig, vllt gibt es ein Programmchen dafür?

Bleibt auch im geringeren Maß bei GNS3 so. Image muss installiert und eingerichtet werdne. Die halten halt nicht alle Firewall auf Erden per Button Klick bereit! Das muss klar sein!

Durch integrierte Virtualisierung mit QEMU wird dir viel abgenommen. Außerdem bleibt es bei der lokalen Variante auf einer VM. Mit NAT hat man Anbindung nach draußen.

Cisco Packet Tracer da hast du bunte Icons, die von A nach B schweben. Man kann damit die Dinge vor allem visualisieren....
Visucius
Lösung Visucius 28.11.2022 um 12:09:34 Uhr
Goto Top
GNS3 oder eve-ng ggfs. mal ansehen.
Mr-Gustav
Lösung Mr-Gustav 28.11.2022 um 12:24:33 Uhr
Goto Top
Wird schwierig. Wie stellst du dir die Software vor ?
Wenn du etwas testen oder Simulieren willst so musst du dir vorher einen oder mehrere Testcases bauen welche du dann abarbeitest. Um die Cases zu erstellen musst du also so oder so Wissen was an Regeln eingerichtet ist und was die Firewall genau macht denn ohne genaue Vorbereitung kommt hinterher nur Mist raus. Ein Test oder Simulation bezieht sich immer auf ein konkretes Problem.
Wie ist denn die Beschreibung des konkreten Problems ? Ich will die Regeln aufräumen isst zwar ein Problem aber dieses lässt sich aber nur Stück für Stück abarbeiten. Eine Simulation bringt hinterher etwas wenn man testen ob die Änderungen passen die man machen will.

Als Produkt könntest du dir mal den Solarwinds Network Config Manager ansehen andernfalls wie oben geschrieben
Virtualisierung.
Oder wie beschrieben die Regeln exportieren ( zur Not von Hand ) und dann Konsolidieren und oder Sortieren.
Das ist es aber was einen guten Admin ausmacht eben solche Arbeiten konzeptionell und Technisch umzusetzen.
Ist viel Arbeit aber ich kann dir aus eigener Erfahrung sagen das sich die Arbeit u.U. lohnt aber denke dran das dass ganze dann auch gepflegt werden muss denn sonst sieht das ganze nach 1 bis 2 Jahren wieder wie vorher aus. Das ganze ist eher als regelmäßig laufende Überprüfung zu verstehen. Im Sinne von Regel XYZ macht ABZ für PC123, brauche ich diese Regel noch ? Gibt es den PC noch ? Gibt es den Anwendungsfall überhaupt noch ?

Ich kann dir hier sachen erzählen von VPN Tunneln ( site 2 Site ) die nie getrennt bzw. nach beendeter Zusammenarbeit nicht gelöscht wurden usw. usf. Freigaben für Programme die schon lange nicht mehr eingesetzt wurden usw....
Einmal Ordnung machen und regelmäßig pflegen. Auch wenns u.U. hier und da Beschwerden geben wird


https://www.solarwinds.com/network-configuration-manager
Crusher79
Lösung Crusher79 28.11.2022 um 12:27:09 Uhr
Goto Top
https://www.gns3.com/software/download-vm

Hier nochmal die VMs dazu. Habs selber offen getanden erst am Freitag installiert.

"Local" oder "VM" oder so ähnlich ist nur die Fallhürde. Man muss sich bewusst sein, dass das ein bundle Server ist der alles inne hat. Die Youtube Videos passen nicht so ganz.

Ist das Template richtige eingestellt wird auch die OPNsense z.B. gefunden. War bei mir ein logisches Problem. Am VM Network/ NAT etc. lag es nicht.

Aber man kommt doch relativ intuitiv damit klar. Ansonsten hilft nur die Doku.

Mal im ernst: was möchtest du denn investieren? Dein Vorhaben ist uns klar, aber irgendwo musst du Federn lassen! Ganz ohne zu tun wird es nicht gehen.

GNS3 kann zumindest frei geladen werden. Cisco Packet Tracer sieht da anders aus

https://www.brianlinkletter.com/open-source-network-simulators/

Oder mal die Seiten durchstöbern. Ob hier noch was dabei ist....
aqui
Lösung aqui 28.11.2022 aktualisiert um 15:06:53 Uhr
Goto Top
Einfach eine pfSense oder OPNsense FW in einer VM starten z.B. mit Virtual Box usw.. Ist in 15 Min. erledigt und du kannst loslegen mit dem Testen.
Crusher79
Lösung Crusher79 28.11.2022 um 15:18:45 Uhr
Goto Top
Zitat von @aqui:

Einfach eine pfSense oder OPNsense FW in einer VM starten z.B. mit Virtual Box usw.. Ist in 15 Min. erledigt und du kannst loslegen mit dem Testen.

Frage ist, ob die neue Firewall API hat. https://docs.opnsense.org/development/api/core/firewall.html

Idee wäre es mit PowerShell via Script zu befüllen. Wiederholungen und nur Port/ Protokollwechsel sind ja schnell gemacht.

Wenn die neue Fierwall sowas auch zuletzt könnte man sich arbeit ersparen, in dem man die Regeln automatisch erstellen lässt oder eine Import File generiert. Je nachdem was da möglich ist.

OPNsense kann auch XML lesbar ausgeben - Backup der Konfiguration. Alles was nicht passt, kann man rausschmeissen und hat so die Dinge auch gleich dokumentiert.

Oder nimmt man sie, um die Firwall damit mit Leben zu füllen.
McLion
McLion 28.11.2022 um 16:37:32 Uhr
Goto Top
Vielen Dank an alle!!!
Mr-Gustav
Mr-Gustav 28.11.2022 um 16:44:12 Uhr
Goto Top
Da wir ja nicht wissen was er für eine Firewall hat bzw. welchen Hersteller er Simulieren will ist das mit openSense und Pfsense alles nur vorgeschlagen was wahrscheinlich nie umgesetzt werden wird.
Und wenn er eine Sophos,Cisco ASA, Securepoint,Watchguard,Paloalto ader was auch immer für eine Kiste hat dann will der TO bestimmt nicht alle FW Regeln einzeln abtippen und in die Demo Umgebung eintragen denn sonst würde er ja keine Software dafür suchen. Weil wenn er die Regeln abtippen würde dann kann er die Regeln auch gleich von Hand konsolidieren und dann testen.
Und er hat ja auch weiter oben gesagt das er das aufsetzen einer VM Firewall zu aufwendig findet.
Er hat ja aber auch nicht wirklich gesagt was die Spezial Software machen oder können soll. Er will eine FW simmulieren und das ginge auch mit Gns3 und einem billig minimal Linux mit IPTables.

Er sollte uns daher mal sagen was er genau simulieren will und was, nach seiner Meinung, da hinterher raus kommen soll.
Wenn er die Firewall Regeln auf einer ASA oder was auch immer für ein FW Modell simulieren will, sprich richtig im Betrieb, ist doch einiges mehr notwendig als ein FW OS in einer VM zu installieren. Alleine die Ganzen Programme und Anwendungen welche durch die Firewall "verarbeitet"werden müssen dann ja auch entsprechend mit Simuliert werden. Was bringt mir eine Regel für VPN wenn ich diese nicht testen kann weil ich mir das VPN Backend für die Auth im Hintergrund gespart habe ? Was Bringt mir ein Webproxy oder Rev. Proxy wenn ich intern od. extern keinen Webserver habe ? Ich hoffe jeder versteht was ich meine.
Es fehlt so ein bisschen an einem oder mehreren Test Case. Wenn ich die Hardware in der Mitte testen will so muss ich auch links und rechts die Umgebung nachbauen damit ich richtig testen kann und da er ja noch nicht eine Firewall in der VM will scheidet das ganze Testen schon aus denn die virtuelle FW bringt nix ohne Daten bzw. die durchgehenden datenströme. Wie sill ich denn sonst feststellen wenn ich eine Regel ändere ob ich die Firewall offen wie ein Schleusentor habe oder eben das gegen teil bewirke und keine Daten mehr durch die Kiste gehen.

Ich glaube er suche so eine Software wo er eine Regel erstellt und dann auf einen Knopf drückt und da dann ein Wizzard läuft und der dann sagt: Regel ist Ok passt habe ich getestet kannste einrichten. oder er Importiert alle Regeln und die Software Analysiert dann alle Regeln und er ändert dann etwas und die Software sagt dann : Alles Gut passt keine Probleme. Sprich er sucht eine SW die ihm die Arbeit des erstellen/Konsolidierens und Testen abnimmt