n33lix
Goto Top

Restricted connection für NAS

Hallo liebe Kollegen,
ich da ne blöde Erfahrung bei einem privaten Projekt von mir.
Ich habe natürlich, wie wahrscheinlich jeder oder viele von euch auch, zuhause eine Firewall (Typ opnSense) am laufen. Der Hypervisor hostet unter anderem noch eine NAS (Typ TrueNAS). Läuft alles ganz wunderbar mal davon abgesehen das die OpnSense für mein Geschmack zu viel cached und wenn man mit dem Regelwerk hantiert die Kiste einfach zu oft neustarten muss weil der allow noch irgendwo im cache hängt. Egal, wenn man das weiß, dann passt das schon.
Ich bin jetzt auf die grandiose Idee gekommen die NAS per Regelwerk vom großen bösen Internet abzukoppeln. klappt auch super... Logischer Weise kann die NAS jetzt auch keine Updates mehr empfangen. Da ich aber ein fauler Admin bin und dachte ich bin richtig pfiffig hab ich mir den FQDN (update-master.freenas.org) vom TrueNAS-Updateserver aufgelöst und die Kommunikation zu diesem Host erlaubt. klasse klasse, jetzt kann er die Metadaten für die Updates auch wieder einlesen, restliche Kommunikation wird wunschgemäß blocked. Das dumme daran ist nur das die eigentlichen Updatedaten von anderen Servern kommen und ich jetzt nicht mehr ganz so pfiffig aus der Wäsche kucke. Bestimmt sind die Server breit gefächert und Infos über die IPs bekommt man natürlich nicht mal eben (ich hab GIDF-like jedenfalls -> auf anhieb <- keine gefunden). Die Kommunikation mit der ganzen DNS-Zone ixsystems.com & freenas.org zu erlauben hat leider auch nicht geholfen.

Einzige Lösung die ich gerade sehe ist:

A) Updates manuell runterladen -> übertragen & dann einspielen
-> da hab ich mal voll keine Lust zu.......

B) Updates zwar manuell anstoßen & vorher die Firewall Regel kurz abschalten. Runterladen und Installation kann er dann selber.
-> nicht ganz so umständlich aber trotzdem muss ich was machen....

C) nen Skript schreiben (Deaktivierung der entsprechenden Regel), dieses in der Firewall per cron ausführen und ebenfalls per cron auf der NAS den Updateprozess timen und ausführen.
-> einmal aufwendig aber das favorisiere ich aktuell.....

D) ne runde Wiresharken

Lange Rede kurzer Sinn... von euch kennt nicht ZUFÄLLIG einer die Updateserver von TrueNAS?

Darum geht es aber nur Sekundär... Der Diskussionsanstoß ist eher die Frage:
"Was haltet Ihr davon eine NAS so einzuschränken? würdet ihr das auch machen? habt ihr das vlt auch so gemacht? oder haltet Ihr mich für bekloppt und Paranoid face-wink"

Diskutiert nun


Liebe Grüße aus der Ecke Bremen

Content-ID: 3820804773

Url: https://administrator.de/forum/restricted-connection-fuer-nas-3820804773.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

radiogugu
radiogugu 02.09.2022 um 12:29:27 Uhr
Goto Top
Mahlzeit.

Prinzipiell ist es besser, je weniger Vektoren für Angriffe gibt.

Geräte vom Internet abzukoppeln, welche den Zugriff für ihre Funktion nicht benötigen ist eine gute und sinnvolle Strategie.

Zuhause in meinem Homelab habe ich das ähnlich gehandhabt und gewähre vor der Update-Suche dem NAS kurz Internetzugriff und knipse den dann wieder zu, sobald der Download abgeschlossen ist.

In größeren Umgebungen mit dutzenden Geräten ist das natürlich nicht so einfach handhabbar.

Aber du müsstest mittels Wireshark ja herausbekommen, welche Server angesprochen werden und eine kleine Whitelist selbst zusammengeschustert bekommen.

Gruß
Marc
n33lix
n33lix 02.09.2022 um 18:00:57 Uhr
Goto Top
Zitat von @radiogugu:

Aber du müsstest mittels Wireshark ja herausbekommen, welche Server angesprochen werden und eine kleine Whitelist selbst zusammengeschustert bekommen.
Die Idee hatte ich als Punkt D auch...

Zuhause in meinem Homelab habe ich das ähnlich gehandhabt und gewähre vor der Update-Suche dem NAS kurz Internetzugriff und knipse den dann wieder zu, sobald der Download abgeschlossen ist.

Da ist mir doch vorhin eine Idee gekommen. Eine Funktion der OPNsense die ich schon oft überlesen habe weil nie gebraucht... Ob Sophos das auch kann, keine Ahnung kenn niemanden der das je gebraucht hat, außer ich jetzt.

--->>> DIE ZEITSCHALTUNG <<<---
Im Regelwerk kann man einen Zeitplan hinterlegen....

snap

nicht so OldSchool wie nen Skript via Cron aber defenitiv unumständlicher.. jetzt noch das Update vie Cron auf der NAS scheduler´n und fertig....

Die Variante mit Wireshark zu forschen und nur DIE Ansprechpartner zu erlauben die benötigt werden ist natürlich am elegantesten face-wink

Geräte vom Internet abzukoppeln, welche den Zugriff für ihre Funktion nicht benötigen ist eine gute und sinnvolle > Strategie. Zuhause in meinem Homelab habe ich das ähnlich gehandhabt...

Kern der Diskussion war ja die Frage wie Ihr das so macht..
aqui
aqui 02.09.2022 aktualisiert um 18:08:18 Uhr
Goto Top
Forschen muss man da gar nicht, denn die OPNsense hat wie auch die pfSense eine Paket Capture Funktion gleich mit an Bord so das das einfach per Mausklick aus dem FW GUI erledigt ist. 😉
n33lix
n33lix 02.09.2022 um 18:13:09 Uhr
Goto Top
Ahhh, danke für den Link....
ist Paket Capture onboard oder ne Erweiterung? ist mir noch nie aufgefallen... habs mal über Analyse bzw nennen wir es mal lieber Sichtung des Live-Protokolls versucht aber ohne erfolg....

Herzlichen Dank...
MysticFoxDE
Lösung MysticFoxDE 03.09.2022 um 07:28:02 Uhr
Goto Top
Moin n33lix,

lass die NAS doch durch den (transparenten) Proxy laufen, damit siehst du deutlich mehr als über den reinen Paketfilter.
https://docs.opnsense.org/manual/how-tos/proxytransparent.html

Ausserdem kannst du beim Proxy FQDN's freigeben und musst so die entsprechenden Ziel-IP's nicht selber rausfieseln. 😉

Beste Grüsse aus BaWü
Alex
aqui
aqui 03.09.2022 um 11:15:15 Uhr
Goto Top
ist Paket Capture onboard oder ne Erweiterung?
Ist immer onboard!
n33lix
n33lix 03.09.2022 um 19:44:27 Uhr
Goto Top
Hi MysticFoxDE

lass die NAS doch durch den (transparenten) Proxy laufen ....
Gute Idee, nen transparenten Proxy dazwischen lauschen lassen, auf die Idee bin ich nicht gekommen.

hab ich zwar schomal gemacht, ist aber auch ne weile her, danke für den link

Gruss:n33lix
aqui
aqui 16.09.2022 um 08:02:24 Uhr
Goto Top
Wenn es das denn nun war bitte dann nicht vergessen deinen Thread auch als erledigt zu schliessen!
n33lix
n33lix 16.09.2022 um 22:30:11 Uhr
Goto Top
@aqui

es geht nicht um ein Problem sondern um eine Diskussion...... aber ja ich schließ das dann mal.....

LG