10
PfSense Wildcard FQDN
Moin zusammen,
sehe ich es nur nicht oder kann die Sense tatsächlich keine Wildcard FQDNs Bsp. in nem Alias händel?
fe: (http://*.windowsupdate.microsoft.com)
Hintergrund ist eine Vernünftige Regel für den WSUS Server, der eben nach extern nur zu den Update Server quatschen können soll.
Das Thema von wegen Reverse Lookup ist mir bewusst, nur habe ich keine Ahnung wie dies sonst bei jeder "teuren" FW funktioniert.
Euch noch einen schönen Abend!
Gruß
Spirit
sehe ich es nur nicht oder kann die Sense tatsächlich keine Wildcard FQDNs Bsp. in nem Alias händel?
fe: (http://*.windowsupdate.microsoft.com)
Hintergrund ist eine Vernünftige Regel für den WSUS Server, der eben nach extern nur zu den Update Server quatschen können soll.
Das Thema von wegen Reverse Lookup ist mir bewusst, nur habe ich keine Ahnung wie dies sonst bei jeder "teuren" FW funktioniert.
Euch noch einen schönen Abend!
Gruß
Spirit
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 374123
Url: https://administrator.de/contentid/374123
Ausgedruckt am: 23.11.2024 um 07:11 Uhr
10 Kommentare
Neuester Kommentar
Guten Abend,
wie soll die Firewall einen Alias *.microsoft.com in eine IP-Adresse auflösen? Die Frage beziehe ich nicht nur auf pfSense sondern generell auf alle Hersteller. Was du meinst geht meiner Meinung nach, eher Richtung Application Detection bzw. Rule.
Gruß,
Dani
wie soll die Firewall einen Alias *.microsoft.com in eine IP-Adresse auflösen? Die Frage beziehe ich nicht nur auf pfSense sondern generell auf alle Hersteller. Was du meinst geht meiner Meinung nach, eher Richtung Application Detection bzw. Rule.
Gruß,
Dani
Zitat von @Dani:
Guten Abend,
wie soll die Firewall einen Alias *.microsoft.com in eine IP-Adresse auflösen? Die Frage beziehe ich nicht nur auf pfSense sondern generell auf alle Hersteller. Was du meinst geht meiner Meinung nach, eher Richtung Application Detection bzw. Rule.
Gruß,
Dani
Guten Abend,
wie soll die Firewall einen Alias *.microsoft.com in eine IP-Adresse auflösen? Die Frage beziehe ich nicht nur auf pfSense sondern generell auf alle Hersteller. Was du meinst geht meiner Meinung nach, eher Richtung Application Detection bzw. Rule.
Gruß,
Dani
Jip, nur was ist best practise?
Bei einer Watchguard kann ich dieses Ziel einfach als FQDN mit Wildcards definieren.
// Ich nehme an, das die Sense nur auf IP Basis arbeitet und diese daher immer wieder auflösen muss um eine entsprechende Regel zu nutzen.
das die Sense nur auf IP Basis arbeitet
Wie meinst du das ? Sollte sie auch Apple Talk oder Novell IPX/SPX als Protokoll können. Logisch das irgendwie alles IP basiert ist !Nur WAS willst du genau fragen ? Kollege @Dani hat schon recht das das eher eine Grundsatzfrage ist als eine Produkt spezifische.
Deine Frage ist ja eher DNS bezogen wenn man das jetzt richtig versteht ?!
Normal arbeitet nur ein DNS Caching Server auf der FW. Wenn du mehr willst musst du über die Package Verwaltung einen vollwertigen DNS dazu installieren, damit sind solche Klimmzüge wie du sie vorhast dann problemlos umsetzbar.
Guten Abend,
Gruß,
Dani
Bei einer Watchguard kann ich dieses Ziel einfach als FQDN mit Wildcards definieren.
nicht nur bei einer Watchguard. Geht bei anderen Hersteller auch. Aber pfSense bietet da meines Wissens aktuell keine Möglichkeit. Im pFsense Forum findest du sicherlich Workarounds. Gruß,
Dani
Wildcard-Einträge sind bei einer Firewall immer heikel. Die Fortigates können es auch, verweigern es aber für Neueinträge, weil es einfach zu unzuverlässig ist. Entweder müsste die Firewall sämtliche DNS-Anfragen überwachen und entsprechend reagieren, was aber bei Enterprise-Umgebungen meist nicht klappt, da der/die DNS-Server als Teil des AD oder vergleichbarer Dienste intern bereitgestellt werden. Oder die Firewall müsste zu Beginn jeder Verbindung ein RDNS-Lookup machen, wobei man hoffen muss, dass Vorwärts- und Rückwärtsauflösung passen.
Bei HTTP ist es wieder was anderes. Hier könnte man einen Proxy oder ein ALG nutzen (Squid gibt es auch für die *Sense), da hier der HTTP-Hostname ausgewertet werden kann. Für HTTPS müsste man dann schauen, ob und wie es mit Squid geht, Fortigate bietet hier für Deep und Certificate Inspection, die Deep Inspection zwingend mit SSL-Fehler oder administrativem Aufwand, beides jedoch als Man-in-the-Middle-"Angriff".
Bei HTTP ist es wieder was anderes. Hier könnte man einen Proxy oder ein ALG nutzen (Squid gibt es auch für die *Sense), da hier der HTTP-Hostname ausgewertet werden kann. Für HTTPS müsste man dann schauen, ob und wie es mit Squid geht, Fortigate bietet hier für Deep und Certificate Inspection, die Deep Inspection zwingend mit SSL-Fehler oder administrativem Aufwand, beides jedoch als Man-in-the-Middle-"Angriff".
Hi,
Mit dem Squid package oder pflockerNG kann es ggf. gelöst werden.
Gruß
CH
kann die Sense tatsächlich keine Wildcard FQDNs Bsp. in nem Alias händelt ?
nein, du bist nicht der Einzige, der dies zu Recht bemängelt. z.B. hier.Mit dem Squid package oder pflockerNG kann es ggf. gelöst werden.
Gruß
CH
Zitat von @aqui:
Nur WAS willst du genau fragen ? Kollege @Dani hat schon recht das das eher eine Grundsatzfrage ist als eine Produkt spezifische.
Deine Frage ist ja eher DNS bezogen wenn man das jetzt richtig versteht ?!
Normal arbeitet nur ein DNS Caching Server auf der FW. Wenn du mehr willst musst du über die Package Verwaltung einen vollwertigen DNS dazu installieren, damit sind solche Klimmzüge wie du sie vorhast dann problemlos umsetzbar.
das die Sense nur auf IP Basis arbeitet
Wie meinst du das ? Sollte sie auch Apple Talk oder Novell IPX/SPX als Protokoll können. Logisch das irgendwie alles IP basiert ist !Nur WAS willst du genau fragen ? Kollege @Dani hat schon recht das das eher eine Grundsatzfrage ist als eine Produkt spezifische.
Deine Frage ist ja eher DNS bezogen wenn man das jetzt richtig versteht ?!
Normal arbeitet nur ein DNS Caching Server auf der FW. Wenn du mehr willst musst du über die Package Verwaltung einen vollwertigen DNS dazu installieren, damit sind solche Klimmzüge wie du sie vorhast dann problemlos umsetzbar.
Nein, aus meiner Sicht lassen sich die Informationen aus anderen Packages nicht in eine Policy einbinden.
In einem Alias kann die Sense nicht mit dem Wildcard Krams umgehen da dies nur über eine DNS Geschichte abgefackelt werden kann. Eben so wie du schon sagst.
Ich wollte hier auch nur eine Bestätigung und ggf. ein best practise zu der Thematik. Das dies nicht vollständig Sicherheitskonform ist dürfte jedem klar sein.
Auf L7 wäre es aber z.B. wieder möglich wenn hier in den Header geschaut werden würde. Dort ist ja nunmal immer die FQDN vorhanden.
Anhand dessen wäre eine Regel ohne DNS Möglich.
Zitat von @ChriBo:
Hi,
Mit dem Squid package oder pflockerNG kann es ggf. gelöst werden.
Gruß
CH
Hi,
kann die Sense tatsächlich keine Wildcard FQDNs Bsp. in nem Alias händelt ?
nein, du bist nicht der Einzige, der dies zu Recht bemängelt. z.B. hier.Mit dem Squid package oder pflockerNG kann es ggf. gelöst werden.
Gruß
CH
Da habe ich schon länger drüber nachgedacht, nur kann ich die Info dann nicht mit einer Policy verknüpfen. Was eben viel übersichtlicher wäre.
Es gibt ja Möglichkeiten dies umzusetzen, nur ist es noch nicht implementiert.
Nun, ich habe mich bereits umgehört und wie oben schon erwähnt mehrere Lösungsansätze die wohl nicht mit der Sense umsetzbar sind.
Wie löst ihr die Thematik denn? Oder lasst ihr solche Geschichten einfach über die Ports 80,443 durchs IDS/IPS rennen?
Wie löst ihr die Thematik denn? Oder lasst ihr solche Geschichten einfach über die Ports 80,443 durchs IDS/IPS rennen?
Moin,
Gruß,
Dani
Wie löst ihr die Thematik denn?
ein Stück weit über Application Rules/Detection. Somit spielen die IP-Adresse eine untergeordnete Rolle. Gerade bei Produkte in den Cloud, wo der DNS-Server verschiedene IP-Adressen zurückgeben kann, unumgänglich. Denn die IP-Rangen zeitnah zu pflegen ist fast unmöglich.Gruß,
Dani
