c.r.s.
Goto Top

Neue Open-Source-Firewall: DynFi

DynFi kannte ich seit einiger Zeit als zentrale Verwaltungssoftware für pfSense und OPNsense.

Das französische Unternehmen hat aber auch kürzlich seinen OPNsense-Fork "DynFi Firewall" veröffentlicht: https://dynfi.com/de/dynfi-produkte/firewall/dynfi-firewall/

Experimentierfreudig bin ich bei Firewalls eher nicht und habe sie demnach auch noch nicht ausprobiert. Aber vielleicht findet ja jemand, dem die Alteingesessenen nicht zusagen, hier eine Alternative und teilt dann idealerweise auch seine Erfahrungen.

Content-ID: 1573279659

Url: https://administrator.de/knowledge/neue-open-source-firewall-dynfi-1573279659.html

Ausgedruckt am: 22.12.2024 um 04:12 Uhr

St-Andreas
St-Andreas 30.11.2021 um 23:18:30 Uhr
Goto Top
Wenn man auf DynFi-Firewall Benutzerhandbuch geht und eine französisches Handbuch bekommt, dann sträuben sich bei mir alle Nackenhaare.
Ich habe seit >10 Jahren Erfahrungen mit französischen IT Dienstleistern und Entwicklern und habe die Erfahrung gemacht, dass die, oft faktisch nicht vorhandenen, Sprachkenntnisse der Franzosen in Richtung Englisch in etwa auf meinem Sprachniveau Französisch sind. Dazu muss man wissen, dass ich genau 4 Monate Französisch in der Schule hatte und diverse Frankreichurlaube.
StefanKittel
StefanKittel 30.11.2021 aktualisiert um 23:21:34 Uhr
Goto Top
<satire>Wenn die so gut Firewalls bauen wie Autos....</satire>
surreal1
surreal1 30.11.2021 um 23:55:38 Uhr
Goto Top
Ein Fork nach dem anderen, genau so schnell verschwinden sie auch von der Bildfläche. So sehr ich auch Opnsense von der GUI gut finde, so instabil ist sie im Vergleich zu PfSense. Diverse Funktionen laufen nicht wie so eigentlich sollten. Updates zerstören selten rudimentäre Features... An welche Firewall erinnert mich das denn? Irgendwas mit Forti...
tech-flare
tech-flare 01.12.2021 um 08:02:55 Uhr
Goto Top
Zitat von @surreal1:

Ein Fork nach dem anderen, genau so schnell verschwinden sie auch von der Bildfläche. So sehr ich auch Opnsense von der GUI gut finde, so instabil ist sie im Vergleich zu PfSense. Diverse Funktionen laufen nicht wie so eigentlich sollten. Updates zerstören selten rudimentäre Features... An welche Firewall erinnert mich das denn? Irgendwas mit Forti...

Welche Probleme hast du denn?
Ich betreibe diese die Opnsense bei 5
Kunden und habe keine großen Probleme.

Eingesetzt wird immer OpenVPN und HAProxy
surreal1
surreal1 01.12.2021 um 18:39:11 Uhr
Goto Top
Zitat von @tech-flare:

Zitat von @surreal1:

Ein Fork nach dem anderen, genau so schnell verschwinden sie auch von der Bildfläche. So sehr ich auch Opnsense von der GUI gut finde, so instabil ist sie im Vergleich zu PfSense. Diverse Funktionen laufen nicht wie so eigentlich sollten. Updates zerstören selten rudimentäre Features... An welche Firewall erinnert mich das denn? Irgendwas mit Forti...

Welche Probleme hast du denn?
Ich betreibe diese die Opnsense bei 5
Kunden und habe keine großen Probleme.

Eingesetzt wird immer OpenVPN und HAProxy

Keine mehr seitdem ich PfSense nutze face-smile
cryptochrome
cryptochrome 20.12.2021 um 14:07:11 Uhr
Goto Top
Ich würde pfSense oder OPNsense als Firewalls überhaupt nicht einsetzen. Zumindest nicht am Perimeter. 90+% des Internet Traffics ist SSL-verschlüsselt, und da kann keines der beiden Produkte mehr in den Traffic reinschauen. Mit ein bisschen Gefummel kriegt man zwar den Squid dazu, SSL aufzubrechen, das ist dann aber auch nur die halbe Miete, weil nur Traffic inspiziert wird, der über den Proxy läuft.
StefanKittel
StefanKittel 20.12.2021 um 14:12:11 Uhr
Goto Top
Zitat von @cryptochrome:
Ich würde pfSense oder OPNsense als Firewalls überhaupt nicht einsetzen. Zumindest nicht am Perimeter. 90+% des Internet Traffics ist SSL-verschlüsselt, und da kann keines der beiden Produkte mehr in den Traffic reinschauen.
Das kann keine Firewall solange sie nicht die Schlüssel der Clients hat.

Mit ein bisschen Gefummel kriegt man zwar den Squid dazu, SSL aufzubrechen, das ist dann aber auch nur die halbe Miete, weil nur Traffic inspiziert wird, der über den Proxy läuft.
Viele Firewall die ich bei Kunden gesehen (nicht installiert) habe, lassen SSL Traffic unbeachtet durch.
Denn für die Installation muss man jedem Geräte beibringen mit dem Proxy zu sprechen und dessen Zertifikate zu akzeptieren. Besonders Online-Banking mag das gar nicht.

Und SSL-Traffic der sich nicht daran hält, wird schlicht blockiert.
cryptochrome
cryptochrome 20.12.2021 um 14:28:34 Uhr
Goto Top
Zitat von @StefanKittel:
Das kann keine Firewall solange sie nicht die Schlüssel der Clients hat.

Das kann so ziemlich jede kommerzielle Firewalls, selbst Billigheimer wie Sophos, Watchguard und Konsorten. SS-Decryption ist seit vielen Jahren Grundausstattung der meisten Firewalls. Mir fiele keine ein, die das nicht könnte.

Viele Firewall die ich bei Kunden gesehen (nicht installiert) habe, lassen SSL Traffic unbeachtet durch.

Kann man so machen, die Firewall ist dann halt bei 90+% des HTTP Traffics komplett blind.

Denn für die Installation muss man jedem Geräte beibringen mit dem Proxy zu sprechen und dessen Zertifikate zu akzeptieren. Besonders Online-Banking mag das gar nicht.

Das ist kein Problem. Zum einen arbeiten die meisten richtigen Firewalls nicht mit Proxies, zum anderen gibt es transparente Proxies, wo man dem Client nichts beibringen muss. Abgesehen vom Rollout des Zertifikates. Aber das ist mit einer GPO fix gemacht.

Auch das mit Online Banking ist kein Problem. Zum einen kann man bestimmte Kategorien (wie Online Banking) einfach von der SSL-Decryption ausschließen, zum anderen lassen sich Whitelists für problematische Ziele (Stichwort Certificate Pinning) pflegen.

Und SSL-Traffic der sich nicht daran hält, wird schlicht blockiert.

Woran hält?

Der Punkt ist: Am Perimeter eine Firewall zu betreiben, die nicht in den SSL Traffic reinschauen kann, um auf Schadcode, gefährliche URLs wie Phishing Links etc. zu prüfen, ist grob fahrlässig.
tech-flare
tech-flare 20.12.2021 aktualisiert um 14:33:15 Uhr
Goto Top
Zitat von @StefanKittel:

Zitat von @cryptochrome:
Ich würde pfSense oder OPNsense als Firewalls überhaupt nicht einsetzen. Zumindest nicht am Perimeter. 90+% des Internet Traffics ist SSL-verschlüsselt, und da kann keines der beiden Produkte mehr in den Traffic reinschauen.
Das kann keine Firewall solange sie nicht die Schlüssel der Clients hat.

Mit ein bisschen Gefummel kriegt man zwar den Squid dazu, SSL aufzubrechen, das ist dann aber auch nur die halbe Miete, weil nur Traffic inspiziert wird, der über den Proxy läuft.
Wieso? Die Ports 80 und 443 an den Proxy Port umeliten....fertig.

Viele Firewall die ich bei Kunden gesehen (nicht installiert) habe, lassen SSL Traffic unbeachtet durch.
Denn für die Installation muss man jedem Geräte beibringen mit dem Proxy zu sprechen und dessen Zertifikate zu akzeptieren. Besonders Online-Banking mag das gar nicht.
Dafür gibt es ja Ausnahmen.

Letztendlich funktioniert z.B. das Umbrella Security Internet Gateway auch genau. Es ist ein Proxy in der Cloud, welcher optional in den SSL Traffic reinschaut. Natürlich benötigen die Clients dann das Zertifikat oder eben das eine CA Zertifikat, sofern man dieses einbindet. Funktioniert übrigens problemlos.

Wenn man in den SSL Traffic als Unternehmen nicht reinschaut bzw. analysiert, wird es irgendwann schwierig mit der Gefahrenabwehr.


Zitat von @cryptochrome:

Ich würde pfSense oder OPNsense als Firewalls überhaupt nicht einsetzen. Zumindest nicht am Perimeter. 90+% des Internet Traffics ist SSL-verschlüsselt, und da kann keines der beiden Produkte mehr in den Traffic reinschauen. Mit ein bisschen Gefummel kriegt man zwar den Squid dazu, SSL aufzubrechen, das ist dann aber auch nur die halbe Miete, weil nur Traffic inspiziert wird, der über den Proxy läuft.
Wo ist das Gefummel? Port 80 und Port 443 an den Proxyport weiterleiten .


Zitat von @cryptochrome:
Der Punkt ist: Am Perimeter eine Firewall zu betreiben, die nicht in den SSL Traffic reinschauen kann, um auf Schadcode, gefährliche URLs wie Phishing Links etc. zu prüfen, ist grob fahrlässig.


Dies kann doch aber OPNsense und PFSense...nur eben nicht so schön "Klicki-Bunti"
cryptochrome
cryptochrome 20.12.2021 um 14:40:24 Uhr
Goto Top
Zitat von @tech-flare:
Dies kann doch aber OPNsense und PFSense...nur eben nicht so schön "Klicki-Bunti"

Zum einen ist es meines Wissens nach nicht offiziell "supported", zum anderen - und das ist viel schwerwiegender - schaust Du dann nur den Traffic an, der über den Proxy geht. Und da hast Du dann keine vernünftige Threat Prevention (Malware etc.), kein vernünftiges URL-Filtering, etc. - Und das IPS kriegt überhaupt nix mit.

pfsense ist toll für Hobbyprojekte zu Hause, aber im Unternehmensumfeld ist es einfach den Umständern der Zeit nicht mehr gewachsen. Wer hier spart, spart am falschen Ende.
StefanKittel
StefanKittel 20.12.2021 um 15:25:16 Uhr
Goto Top
Zitat von @cryptochrome:
Zitat von @StefanKittel:
Das kann keine Firewall solange sie nicht die Schlüssel der Clients hat.
Das kann so ziemlich jede kommerzielle Firewalls, selbst Billigheimer wie Sophos, Watchguard und Konsorten. SS-Decryption ist seit vielen Jahren Grundausstattung der meisten Firewalls. Mir fiele keine ein, die das nicht könnte.

Die Firewall agiert hier, egal ob Proxy oder hidden Proxy als Man in the middle.
Das funktioniert nur wenn die Firewall eigene Zertifikate für SSL verwendet und der Client diese akzeptiert.

Dazu muss man CA-Zertifikat der Firewall dem PC als Vertrauenswürdig beigebracht haben.
Das ist der gleiche Prozess mit einer Sophos als auch bei einer PFSense.
Und das machen viele Dienstleister bei der Einrichtung schlicht nicht. Wodurch die Firewall quasi sinnlos wird.

Siehe z.B.
https://support.sophos.com/support/s/article/KB-000034264?language=en_US
"Sophos UTM's Web Proxy can transparently filter HTTPS traffic. When this is activated and set to Decrypt & Scan, secure sites will be prompted with a security warning in the client browser unless the UTM Proxy CA certificate is installed on the client browser."

Unfreundliche Programme verschlüsselt ihre Daten zusätzlich zur SSL Verschlüsselung. Dies kann die Firewall nicht entschlüsseln. Also entweder alles durchlassen oder alles blockieren.

Stefan
cryptochrome
cryptochrome 20.12.2021 um 19:43:44 Uhr
Goto Top
Zitat von @StefanKittel:
Das funktioniert nur wenn die Firewall eigene Zertifikate für SSL verwendet und der Client diese akzeptiert.

Korrekt. Und eben das beherrschen quasi alle Firewalls heutzutage. Man legt auf der Firewall ein Zertifikat für die Entschlüsselung an und verteilt es auf die Clients.

Dazu muss man CA-Zertifikat der Firewall dem PC als Vertrauenswürdig beigebracht haben.

Richtig. Und wo ist das Problem?

Und das machen viele Dienstleister bei der Einrichtung schlicht nicht. Wodurch die Firewall quasi sinnlos wird.

Das macht genau genommen kein einziger "Dienstleister". Wie auch. Selbstverständlich muss man hier selbst Hand anlegen.

Unfreundliche Programme verschlüsselt ihre Daten zusätzlich zur SSL Verschlüsselung. Dies kann die Firewall nicht entschlüsseln. Also entweder alles durchlassen oder alles blockieren.

Klar, man kann auch einfach den Kopf in den Sand stecken und mögliche Lösungen zur drastischen Erhöhung der eigenen Sicherheit ignorieren.

Oder man legt sich Whitelists für "unfreundliche" Programme an - die übrigens deshalb in diesem Kontext nicht funktionieren, weil sie Certificate Pinning einsetzen. Es ist allemal besser, 99% des SSL Traffics kontrollieren zu können und für 1% Ausnahmen zu schaffen, als einfach gar nichts zu kontrollieren.

Wer sich an der Stelle vor dem zusätzlichen Aufwand scheut (der sich übrigens in einem überschaubaren Rahmen bewegt), der tut sich keinen Gefallen.
StefanKittel
StefanKittel 20.12.2021 um 21:20:10 Uhr
Goto Top
Zitat von @cryptochrome:
Richtig. Und wo ist das Problem?
Kein Problem, aber das kann die PFSense mit Squid auch.
cryptochrome
cryptochrome 20.12.2021 um 21:33:08 Uhr
Goto Top
Zitat von @StefanKittel:

Zitat von @cryptochrome:
Richtig. Und wo ist das Problem?
Kein Problem, aber das kann die PFSense mit Squid auch.

Klar, bringt Dir dort halt nur nicht viel, weil Du auf einer pfsense weder eine vernünftige Malware detection, noch einen vernünftigen URL Filter hast, und das IPS den Squid Traffic nicht untersuchen kann. So gesehen bin ich dann ganz bei Dir: Da kann man es auch lassen. Deswegen war ja mein Punkt: pfsense taugt nix face-smile
StefanKittel
StefanKittel 20.12.2021 um 22:57:55 Uhr
Goto Top
Zitat von @cryptochrome:
Klar, bringt Dir dort halt nur nicht viel, weil Du auf einer pfsense weder eine vernünftige Malware detection, noch einen vernünftigen URL Filter hast, und das IPS den Squid Traffic nicht untersuchen kann. So gesehen bin ich dann ganz bei Dir: Da kann man es auch lassen. Deswegen war ja mein Punkt: pfsense taugt nix face-smile

Ok, Roger.
Klar ist, eine PFSense ist ein prima Router aber keine UTM-Firewall.
tech-flare
tech-flare 21.12.2021 um 10:48:08 Uhr
Goto Top
Ok, Roger.
Klar ist, eine PFSense ist ein prima Router aber keine UTM-Firewall.

Naja.....die Frage ist.....was definierst du als UTM....

Schnell danach im Web gesucht steht folgendens:

Internet-Gateway -> ist natürlich die *sense
Firewall -> ist natürlich die *sense
VPN Gateway -> ist natürlich die *sense
Spam-Protection - kann die *sense mit Plugin
Virusschutz -> kann die *sense mit Plugin...auch mit Hilfe eines externen Scanners
Content-Filter -> Ist Umsetzbar mit Plugins
Intrusion Detection System - > SNORT ---> geht also
Endpoint-Protection und Surf-Protection -> wenn alles durch den Proxy leitet und dieser richtig konfiguriert ist, besteht auch gewisser Entschutz
Authentifizierung -> Logisch....AD, Radius, MFA...
Quality of Service (QoS) -> geht
Reporting -> geht.....zb via Syslog und Grafana
tech-flare
tech-flare 21.12.2021 um 10:48:45 Uhr
Goto Top
Zitat von @cryptochrome:
Klar, bringt Dir dort halt nur nicht viel, weil Du auf einer pfsense weder eine vernünftige Malware detection, noch einen vernünftigen URL Filter hast, und das IPS den Squid Traffic nicht untersuchen kann. So gesehen bin ich dann ganz bei Dir: Da kann man es auch lassen. Deswegen war ja mein Punkt: pfsense taugt nix face-smile
Und was ist das deiner Meinung nach die ultimative Firewall?
cryptochrome
cryptochrome 22.12.2021 um 23:22:12 Uhr
Goto Top
Zitat von @tech-flare:
Und was ist das deiner Meinung nach die ultimative Firewall?

Die ultimative Firewall gibt es nicht. Es gibt nur passende Firewalls für die eigenen Anforderungen.

Wer wirklich Sicherheit will, ist mit einer pfsense nicht gut bedient. Ja, sie kann vieles, wie Du in Deiner vorherigen Beitrag geschrieben hast, aber wie gut sie es kann, steht auf einem anderen Blatt. Technisch sicher prima, aber der Knackpunkt ist die Security "Intelligenz".

Hinter den entsprechenden Engines (IPS, Malware Detection, malicious URL detection, etc.) kommerzieller Anbieter stehen Heerscharen von professionellen Security Analysten, die auf Basis von riesigen Datenmengen, mittlerweile auch KI und Verhaltensanalysen auf Erkennungs- und Vermeidungsraten kommen, an die kein kostenloses Produkt jemals auch nur ansatzweise herankommen könnte.

Sowas kostet eine Menge Geld.

Es gibt aber auch schon günstige Produkte, die in Sachen Sicherheit jede pfsense komplett in den Schatten stellen. Zum Beispiel Sophos oder Fortinet. Wer es noch besser will, greift zu Palo Alto Networks, oder von mir aus auch Checkpoint.