spirit-of-eli
Goto Top

PfSense Wildcard FQDN

Moin zusammen,

sehe ich es nur nicht oder kann die Sense tatsächlich keine Wildcard FQDNs Bsp. in nem Alias händel?

fe: (http://*.windowsupdate.microsoft.com)

Hintergrund ist eine Vernünftige Regel für den WSUS Server, der eben nach extern nur zu den Update Server quatschen können soll.

Das Thema von wegen Reverse Lookup ist mir bewusst, nur habe ich keine Ahnung wie dies sonst bei jeder "teuren" FW funktioniert.


Euch noch einen schönen Abend!

Gruß
Spirit

Content-Key: 374123

Url: https://administrator.de/contentid/374123

Printed on: March 2, 2024 at 07:03 o'clock

Member: Dani
Dani May 16, 2018 at 17:24:22 (UTC)
Goto Top
Guten Abend,
wie soll die Firewall einen Alias *.microsoft.com in eine IP-Adresse auflösen? Die Frage beziehe ich nicht nur auf pfSense sondern generell auf alle Hersteller. Was du meinst geht meiner Meinung nach, eher Richtung Application Detection bzw. Rule.


Gruß,
Dani
Member: Spirit-of-Eli
Spirit-of-Eli May 16, 2018 updated at 17:37:36 (UTC)
Goto Top
Zitat von @Dani:

Guten Abend,
wie soll die Firewall einen Alias *.microsoft.com in eine IP-Adresse auflösen? Die Frage beziehe ich nicht nur auf pfSense sondern generell auf alle Hersteller. Was du meinst geht meiner Meinung nach, eher Richtung Application Detection bzw. Rule.


Gruß,
Dani

Jip, nur was ist best practise?
Bei einer Watchguard kann ich dieses Ziel einfach als FQDN mit Wildcards definieren.

// Ich nehme an, das die Sense nur auf IP Basis arbeitet und diese daher immer wieder auflösen muss um eine entsprechende Regel zu nutzen.
Member: aqui
aqui May 17, 2018 at 08:08:34 (UTC)
Goto Top
das die Sense nur auf IP Basis arbeitet
Wie meinst du das ? Sollte sie auch Apple Talk oder Novell IPX/SPX als Protokoll können. Logisch das irgendwie alles IP basiert ist !
Nur WAS willst du genau fragen ? Kollege @Dani hat schon recht das das eher eine Grundsatzfrage ist als eine Produkt spezifische.
Deine Frage ist ja eher DNS bezogen wenn man das jetzt richtig versteht ?!
Normal arbeitet nur ein DNS Caching Server auf der FW. Wenn du mehr willst musst du über die Package Verwaltung einen vollwertigen DNS dazu installieren, damit sind solche Klimmzüge wie du sie vorhast dann problemlos umsetzbar.
Member: Dani
Dani May 17, 2018 at 20:52:49 (UTC)
Goto Top
Guten Abend,
Bei einer Watchguard kann ich dieses Ziel einfach als FQDN mit Wildcards definieren.
nicht nur bei einer Watchguard. Geht bei anderen Hersteller auch. Aber pfSense bietet da meines Wissens aktuell keine Möglichkeit. Im pFsense Forum findest du sicherlich Workarounds. face-smile


Gruß,
Dani
Member: tikayevent
tikayevent May 17, 2018 at 21:07:04 (UTC)
Goto Top
Wildcard-Einträge sind bei einer Firewall immer heikel. Die Fortigates können es auch, verweigern es aber für Neueinträge, weil es einfach zu unzuverlässig ist. Entweder müsste die Firewall sämtliche DNS-Anfragen überwachen und entsprechend reagieren, was aber bei Enterprise-Umgebungen meist nicht klappt, da der/die DNS-Server als Teil des AD oder vergleichbarer Dienste intern bereitgestellt werden. Oder die Firewall müsste zu Beginn jeder Verbindung ein RDNS-Lookup machen, wobei man hoffen muss, dass Vorwärts- und Rückwärtsauflösung passen.

Bei HTTP ist es wieder was anderes. Hier könnte man einen Proxy oder ein ALG nutzen (Squid gibt es auch für die *Sense), da hier der HTTP-Hostname ausgewertet werden kann. Für HTTPS müsste man dann schauen, ob und wie es mit Squid geht, Fortigate bietet hier für Deep und Certificate Inspection, die Deep Inspection zwingend mit SSL-Fehler oder administrativem Aufwand, beides jedoch als Man-in-the-Middle-"Angriff".
Member: ChriBo
ChriBo May 18, 2018 at 16:29:47 (UTC)
Goto Top
Hi,
kann die Sense tatsächlich keine Wildcard FQDNs Bsp. in nem Alias händelt ?
nein, du bist nicht der Einzige, der dies zu Recht bemängelt. z.B. hier.
Mit dem Squid package oder pflockerNG kann es ggf. gelöst werden.

Gruß
CH
Member: Spirit-of-Eli
Spirit-of-Eli May 18, 2018 updated at 17:07:13 (UTC)
Goto Top
Zitat von @aqui:

das die Sense nur auf IP Basis arbeitet
Wie meinst du das ? Sollte sie auch Apple Talk oder Novell IPX/SPX als Protokoll können. Logisch das irgendwie alles IP basiert ist !
Nur WAS willst du genau fragen ? Kollege @Dani hat schon recht das das eher eine Grundsatzfrage ist als eine Produkt spezifische.
Deine Frage ist ja eher DNS bezogen wenn man das jetzt richtig versteht ?!
Normal arbeitet nur ein DNS Caching Server auf der FW. Wenn du mehr willst musst du über die Package Verwaltung einen vollwertigen DNS dazu installieren, damit sind solche Klimmzüge wie du sie vorhast dann problemlos umsetzbar.

Nein, aus meiner Sicht lassen sich die Informationen aus anderen Packages nicht in eine Policy einbinden.
In einem Alias kann die Sense nicht mit dem Wildcard Krams umgehen da dies nur über eine DNS Geschichte abgefackelt werden kann. Eben so wie du schon sagst.

Ich wollte hier auch nur eine Bestätigung und ggf. ein best practise zu der Thematik. Das dies nicht vollständig Sicherheitskonform ist dürfte jedem klar sein.

Auf L7 wäre es aber z.B. wieder möglich wenn hier in den Header geschaut werden würde. Dort ist ja nunmal immer die FQDN vorhanden.
Anhand dessen wäre eine Regel ohne DNS Möglich.
Member: Spirit-of-Eli
Spirit-of-Eli May 18, 2018 at 17:09:22 (UTC)
Goto Top
Zitat von @ChriBo:

Hi,
kann die Sense tatsächlich keine Wildcard FQDNs Bsp. in nem Alias händelt ?
nein, du bist nicht der Einzige, der dies zu Recht bemängelt. z.B. hier.
Mit dem Squid package oder pflockerNG kann es ggf. gelöst werden.

Gruß
CH

Da habe ich schon länger drüber nachgedacht, nur kann ich die Info dann nicht mit einer Policy verknüpfen. Was eben viel übersichtlicher wäre.

Es gibt ja Möglichkeiten dies umzusetzen, nur ist es noch nicht implementiert.
Member: Spirit-of-Eli
Spirit-of-Eli May 18, 2018 at 17:12:32 (UTC)
Goto Top
Nun, ich habe mich bereits umgehört und wie oben schon erwähnt mehrere Lösungsansätze die wohl nicht mit der Sense umsetzbar sind.

Wie löst ihr die Thematik denn? Oder lasst ihr solche Geschichten einfach über die Ports 80,443 durchs IDS/IPS rennen?
Member: Dani
Dani May 18, 2018 at 21:31:08 (UTC)
Goto Top
Moin,
Wie löst ihr die Thematik denn?
ein Stück weit über Application Rules/Detection. Somit spielen die IP-Adresse eine untergeordnete Rolle. Gerade bei Produkte in den Cloud, wo der DNS-Server verschiedene IP-Adressen zurückgeben kann, unumgänglich. Denn die IP-Rangen zeitnah zu pflegen ist fast unmöglich.


Gruß,
Dani