NAT und Egress Firewall, squid, snort

Smalltalk
Antworten
BenutzerGa4gooPh

NAT und Egress Firewall, squid, snort

Beitrag von BenutzerGa4gooPh » 18.01.2017 11:07:50

Hallo zusammen,

die meisten unter uns werden privat einen NAT-Router mit Firewall-Fähigkeiten nutzen. NAT lehnt ankommende Verbindungen in das interne, private Netz ab. Auf dessen WAN-Interface mit öffentlicher IP erst mal nicht.

Deshalb habe ich personlich den WAN-Zugang auf das Router-Management (ssh, http, https) sowie ICMP aus WAN auf Router/FW selbst geblockt. Ich benötige kein Remote-Management. Des weiteren ist das ebenfalls aus dem privaten WLAN geblockt. Managementzugang und ICMP auf Router/FW also nur per NW-Kabel (LAN) möglich.

Ich möchte mit euch 3 Dinge besprechen:

Wie seht ihr Egress-Filterung hinter NAT, also kleines, privates Netzerk?
-nur Linux Hosts vorhanden
-zusätzlich Android, iOS, Smartphones, Smart-TV
-zusätzlich Windows-PCs (Desktop-FW bis auf Anwendungsebene kann ja auch kompromittiert werden, doppelt hält besser?)
Ein schnell zu lesendes Dokument als Gesprächsgrundlage: https://www.sans.org/reading-room/white ... g-faq-1059
Mit Stateful Packet Inspection ist eine Whitelist von Regeln recht einfach. (Was nicht geregelt ist, ist verboten. Ausgehandelte Verbindungen aufgrund Whitelist werden ebenfalls überwacht. Beispiel FTP.)

Wie seht ihr den Einsatz von snort, Intrusion Detection im privaten Netz? Egress Filter schützen ja teilweise und lindern Folgen.

Wie seht ihr den Einsatz von squid als (nicht-transparentem) https-Proxy im privaten Netz?

Debiansnort und Debiansquid sind wohl eher Erweiterungen von Egress Filtering, da m. E. Egress Filtering auch Angriffschutz bietet - neben Minderung der Folgen. (Siehe verlinktes Dokument.) Oder ist das alles (statistisch gesehen) sinnloser Aufwand für ein privates Netz hinter NAT?

LG Jana

PS: Mir geht es ausschließlich um Router bzw. Hardware-Firewall (kombiniert), nicht Personal oder Desktop FW.
Zuletzt geändert von BenutzerGa4gooPh am 19.01.2017 11:45:26, insgesamt 2-mal geändert.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: NAT und Egress Firewall

Beitrag von uname » 18.01.2017 15:57:23

Es geht ja eigentlich nur um ausgehende Verbindungen. Natürlich kannst du unschöne Protokolle wie in dem Dokument genannt blocken. Aber dann fange bitte mit HTTPS an. Dein Android-Smartphone kommuniziert fast nur darüber (musst mal mitsniffen) und auch deine Windows-Malware wird es zur Kommunikation mit dem C&C-Server im Internet verwenden. Warum sollte der Angreifer Protokolle nutzen, die potentiell gesperrt sind. Es gibt doch HTTPS und jeder will "sicher" surfen. Squid ist aber leider auch keine wirkliche Lösung. Du musst deine Endsysteme sauber halten und kannst maximal deine Endsysteme gegeneinander abgrenzen. Beim Windows-System würde ich anfangen ;-)

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: NAT und Egress Firewall

Beitrag von MSfree » 18.01.2017 16:08:06

Jana66 hat geschrieben:Wie seht ihr Egress-Filterung hinter NAT, also kleines, privates Netzerk?
Ich setze zuhause auch auf Filterung des ausgehenden Verkehrs. Ich fühle mich einfach wohler, zu wissen, daß z.B. der SMTP-Port nach aussen blockiert ist ausser zum Relais meines Providers.
Wie seht ihr den Einsatz von snort, Intrusion Detection im privaten Netz?
Es kommt darauf an, wie scharf man seine Firewall einrichtet. Wer alles mögliche raus läßt, ist vielleicht um IDS ganz froh, weil damit zumindest nach einer Komprometierung nachvollzogen werden kann, was passiert ist. Andererseits kann auch iptables sehr viel loggen und die Logs können Aufschluß über Angriffe geben, sie sind aber leider nicht so gut lesbar wie die Logs einiger IDS.
Wie seht ihr den Einsatz von squid als (nicht-transparentem) https-Proxy im privaten Netz?
Squid ist einie gute Ergänzung zur Firewall. Allerdings sind die Filtermöglichkeiten bei https sehr beschränkt. URLS werden verschlüsselt übertragen, und nur die Hostnamen beliben für squid sichtbar. Man kann über https z.B. nicht die für Tracking genutzten Javaskripte blockieren, Beispiel:

von https://irgendein.host.tld/tracking/trackme.js ist für squid nur irgendein.host.tld sichtbar. Man kann also entweder irgendein.host.tld zulassen und damit trackme.js auch ins Haus lassen, oder irgendein.host.tld blockieren und muß auf den "redaktionellen" Teil der Webseite auch verzichten.

Ich sehe hier sogar eine Verschlechterung der Privatsphäre durch die Nutzung von HTTPS, weil sehr viel versteckte Daten unkontrollierbar durch den Datentunnel fließen können.

btw: HTTPS geht via squid sowieso nicht transparent.
Des weiteren ist das ebenfalls aus dem privaten WLAN geblockt
Das mußte ich von weiter oben runterziehen :wink:
Falls den WLAN-Client via squid auf das Remote-Management des Routers zugreift, bringt das Blockieren via WLAN gar nichts. Squid dürfte ja am Kabelnetz hängen und der Zugriff darüber erlaubt dann auch einem WLAN-Client über den Umweg squid Zugriff auf das Management.
Oder ist das alles (statistisch gesehen) sinnloser Aufwand für ein privates Netz hinter NAT?
Nichts ist schützenswerter als meine Privatsphäre, also muß der zu treibende Aufwand sogar deutlich höher liegen als der, den z.B. Firmen treiben. Es geht schlicht und ergreifend niemand etwas an, was in meinem Netz passiert. Ich habe alles zu Verbergen, sogar die Tatsache, wenn ich so etwas harmloses wie die Sendung mit der Maus auf KiKa anschauen würde.

BenutzerGa4gooPh

Re: NAT und Egress Firewall

Beitrag von BenutzerGa4gooPh » 18.01.2017 16:42:18

Danke für eure AWs! Als Fragesteller halte ich mich erst mal raus. :wink:
uname hat geschrieben: ... Beim Windows-System würde ich anfangen ;-)
Alle halben Jahre mal für HW-Inbetriebnahmen, Fehlereingrenzung, Dualboot. (Ging mir mehr darum, dass der Thread für andere auch lehrreich wird.)
MSfree hat geschrieben:Falls den WLAN-Client via squid auf das Remote-Management des Routers zugreift, bringt das Blockieren via WLAN gar nichts. Squid dürfte ja am Kabelnetz hängen und der Zugriff darüber erlaubt dann auch einem WLAN-Client über den Umweg squid Zugriff auf das Management.
Klarstellung: Wenn squid, dann ebenfalls auf Router-FW-Wollmilchsau (derzeit PFSense).

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: NAT und Egress Firewall

Beitrag von MSfree » 18.01.2017 17:17:17

Jana66 hat geschrieben:Klarstellung: Wenn squid, dann ebenfalls auf Router-FW-Wollmilchsau (derzeit PFSense).
Dann schildere ich dir mal anders, was ich meinte:

Ich habe letztens eine Fritzbox zum WLAN-AP konfiguriert. In dem Haus, wo das letztlich aufgestellt wurde, hat man keine Chance, WLAN ohne separate APs direkt vom Router aufzuspannen. Bei der FB habe ich auch eingestellt, daß das Management der FB nicht vom WLAN aus erreichbar sein soll. Gesagt getan, Notebook ans WLAN der FB und dort dann zum Check die IP der FB in die Adresszeile, et voila, Zugriff kein Problem.

Nachdem ich mich so vier bis dreimal gewundert habe, fiel mir der Proxy ein. Also im Browser den Zugriff auf "direkte Verbindung" gestellt, wieder auf die IP der FB, et voila, kein Zugriff mehr. Die Erklärung ist hier ganz einfach. Der Proxy läuft auf meiner Debian-Firewall-Router-Kiste, die per Kabel mit der FB verbunden ist. Konfiguriert man im Browser nun den Internetzugriff via Proxy, fließt auch der Intranetverkehr darüber und somit erfolgt der Zugriff auf das Managemenrt der FB via WLAN zum Proxy und von dort per Kabel zum Management der FB und der Zugriff auf das Management via Kabel ist erlaubt.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: NAT und Egress Firewall

Beitrag von uname » 19.01.2017 09:03:44

Natürlich muss man in Squid den Zugriff zur Fritzbox deaktivieren. Aber Squid selbst halte ich nur bedingt für sinnvoll. Squid muss schon einen Mehrwert wie ein Scanning bringen. Hierfür muss man dann auch TLS/SSL aufbrechen und im HTTPS-Datenstrom scannen. Sonst kann man es gleich sein lassen und mit Paketfiltern auf der Fritzbox den ausgehenden Datenverkehr auf HTTP/HTTPS und einige mehr einschränken, da man damit dasselbe erreichen kann. Mit Debianconnect-proxy kannst du z.B. SSH und damit ganze VPNs durch Squid leiten. Der Mehrwert von Squid ist somit gering. Natürlich kann man in der Verbindung wiederum seinen eigenen Proxy tunneln usw. Geht unter Windows aber auch mit Putty und natürlich nutzen auch Trojaner diese Möglichkeit.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: NAT und Egress Firewall

Beitrag von MSfree » 19.01.2017 09:27:45

uname hat geschrieben:Natürlich muss man in Squid den Zugriff zur Fritzbox deaktivieren.
Schon klar :wink:
Squid muss schon einen Mehrwert wie ein Scanning bringen. Hierfür muss man dann auch TLS/SSL aufbrechen und im HTTPS-Datenstrom scannen.
Was allerdings einem Man-in-the-Middle-Angriff gleichkommt und genau das will man überhaupt nicht.
Natürlich kann man in der Verbindung wiederum seinen eigenen Proxy tunneln.
Richtig, und das nutze ich auch ausgesprochen intensiv. Beispielsweise kann ich so den Squidport über SSH tunneln, was vor allem über Mobilfunk sehr sinnvoll ist, um ungewünschten Netzverkehr zu vermeiden und Datenmengen zu reduzieren. Auch den Zugriff auf meinen IMAP zuhause tunnel ich über SSH. (statt SSH ginge natürlich auch VPN).

BenutzerGa4gooPh

Re: NAT und Egress Firewall

Beitrag von BenutzerGa4gooPh » 19.01.2017 09:54:05

uname hat geschrieben:Es geht ja eigentlich nur um ausgehende Verbindungen. Natürlich kannst du unschöne Protokolle wie in dem Dokument genannt blocken. Aber dann fange bitte mit HTTPS an. Dein Android-Smartphone kommuniziert fast nur darüber (musst mal mitsniffen) und auch deine Windows-Malware wird es zur Kommunikation mit dem C&C-Server im Internet verwenden. Warum sollte der Angreifer Protokolle nutzen, die potentiell gesperrt sind. Es gibt doch HTTPS und jeder will "sicher" surfen. Squid ist aber leider auch keine wirkliche Lösung. Du musst deine Endsysteme sauber halten und kannst maximal deine Endsysteme gegeneinander abgrenzen. Beim Windows-System würde ich anfangen ;-)
Mit der AW von MSFree erscheint mir sinnvoll, die "unschönen Protokolle" per Egress Filter zu blocken. Und dann kann man sich auf http/https konzentrieren.
Im einfachsten (und fein "granulierbarem") Fall auf den Endsystemen mittes uBlockOrigin und NoScript/uMatrix. (Mal von irgendwelchen Virenscannern und Personal FW auf Windows abgesehen, soll nicht Thema sein.) Um diese Endsysteme sauberzuhalten, wie du so treffend sagtest. :THX: .
Das funktioniert dann wohl auch mit jedem Plastikrouter (OpenWRT) und dem begrenzten Speicher der Plastikrouter. Für squid wird der Speicher eines Plastikrouters ja wohl kaum reichen.
Wäre das ein sinnvoller Konsens/Schlussfolgerung aus euren AW - vor einer Betrachtung von squid?
--------------------

Ich habe noch nie einen Proxy aufgesetzt, denke jedoch darüber nach, also sorry wg. blöder Fragen:
uname hat geschrieben:Hierfür muss man dann auch TLS/SSL aufbrechen und im HTTPS-Datenstrom scannen.
Genauso dachte ich, es eventuell zu tun.
MSfree hat geschrieben:Was allerdings einem Man-in-the-Middle-Angriff gleichkommt und genau das will man überhaupt nicht.
Wieso nicht??? Ich will doch Content Scanning usw. für https-Traffic. Der Mittelmann hilft mir dabei. Muss mich eh bei dem anmelden. (Proxy-Browserkonfig.) Was ist daran ungewollt?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: NAT und Egress Firewall

Beitrag von MSfree » 19.01.2017 10:17:50

Jana66 hat geschrieben:Für squid wird der Speicher eines Plastikrouters ja wohl kaum reichen.
Wäre das ein sinnvoller Konsens/Schlussfolgerung - vor einer Betrachtung von squid?
--------------------
Ich habe noch nie einen Proxy aufgesetzt, denke jedoch darüber nach, also sorry wg.
Das Aufsetzten ist gar nicht soo schwierig, die mitgelieferte Defaultkonfiguration ist ganz gut lesbar. Allerdings muß man ein paar Stellen ändern, um den Speicherverbrauch seinen Vorzügen anzupassen. Bei mir braucht squid 40MB RAM, weniger wäre aber möglich.
Wieso nicht??? Ich will doch Content Scanning usw. für https-Traffic. Der Mittelmann hilft mir dabei. Muss mich eh bei dem anmelden. (Proxy-Browserkonfig.) Was ist daran ungewollt?
Wenn man so einfach einen Mittelmann dazwischen setzen könnte, könnte auch jeder andere (Geheimdienst, Polizei, Gauner) so einen Proxy an einer zentralen Stelle aufsetzen und alles mitlesen.

Eigentlich sollte TLS/SSL ja sicherstellen, daß die Verbindung ohne MIM stattfindet.

BenutzerGa4gooPh

Re: NAT und Egress Firewall

Beitrag von BenutzerGa4gooPh » 19.01.2017 10:24:22

MSFree hat geschrieben:Wenn man so einfach einen Mittelmann dazwischen setzen könnte, könnte auch jeder andere ...
Eine Authentifizierung zwischen MEINEN Browsern und MEINEM Squid muss doch machbar sein?! Notfalls eigene CA - wenn Spassworte nicht reichen? Der Squid soll dann die Ende-zu-Ende-Verbindung neu machen, aber vorher auspacken und kontrollieren. So denke ich mit meinem "jugendlichen" Schwachsinn. :mrgreen:

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: NAT und Egress Firewall

Beitrag von MSfree » 19.01.2017 10:28:57

Jana66 hat geschrieben:Eine Authentifizierung zwischen MEINEN Browsern und MEINEM Squid muss doch machbar sein?! Notfalls eigene CA - wenn Spassworte nicht reichen?
Ich weiß, daß es inzwischen wohl Firmen gibt, die solche MIM-Proxys betreiben. Mitarbeiter müssen dabei natürlich informiert sein (Datenschutz etc.).

Ob und wie das mit squid geht, weiß ich leider nicht.

BenutzerGa4gooPh

Re: NAT und Egress Firewall

Beitrag von BenutzerGa4gooPh » 19.01.2017 10:59:11

MSfree hat geschrieben:Ob und wie das mit squid geht, weiß ich leider nicht.
Wenn du das schon nicht weißt ... der eigentlich viel weiß ... komme ich doch gleich auf die Schlussfolgerung: Wenn das übel kompliziert ist, lasse ich das einfach: Neben Paranoia gibt es auch ein interessantes Leben außerhalb dieser, also Verhältnismäßigkeit von Maßnahmen muss gewährleistet sein. :wink:
(Ohne https-Scanning sehe ich keinen allzugroßen Sinn in squid für privat. Also wie uname schrieb.)

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: NAT und Egress Firewall

Beitrag von MSfree » 19.01.2017 11:13:26

Jana66 hat geschrieben:Wenn du das schon nicht weißt ...
Ich habe gerade das hier gefunden:
http://wiki.squid-cache.org/Features/SslBump

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: NAT und Egress Firewall

Beitrag von uname » 19.01.2017 11:16:10

Nicht dass ich falsch verstanden werde. Von HTTP- und HTTPS-Scanning per Squid oder Debiandansguardian halte ich gar nichts. Malware kann natürlich JavaScript-Verschlüsselung nutzen und dann hilft ein MiM nichts. Entsprechende Maßnahmen sind wie oben geschrieben auf den Clients aufzusetzen. Auf Windows verzichte ich ganz, bei Debian installiere ich nur benötigte Anwendungen (also Openbox statt Gnome) und entsprechend konfiguriert (z.B. Firefox). Android ist ein schwieriges Thema: Wenig Apps und nur für unwichtige Dinge. Auch dort kein Virenscanner, da es eine zusätzliche unnötige Anwendung ist, der man auch noch vertrauen muss.

BenutzerGa4gooPh

Re: NAT und Egress Firewall

Beitrag von BenutzerGa4gooPh » 19.01.2017 11:36:21

MSfree hat geschrieben:Ich habe gerade das hier gefunden: http://wiki.squid-cache.org/Features/SslBump
Danke, lese ich in Ruhe. :THX:
Edit: So, gelesen. Ist ja echt unschön, wenn der Browser-Nutzer immer gültige (Fake-)Zertifikate vom Squid erhält und so ungültige Zertifikate von der angesurften Website nicht bemerkt!!! :evil:
uname hat geschrieben:Nicht dass ich falsch verstanden werde.
Nö, ich werde so machen wie du sagst. Auf den Clients und zusätzlich eine Egress FW. Kann nicht schaden, ab und an Logs zu schauen. Und lernen tut man auch bei. Protokolle, Ports, eigener (ungewöhnlicher?) Traffic, Analyse dessen. Kein squid. :wink:
uname hat geschrieben:Android ist ein schwieriges Thema: Wenig Apps und nur für unwichtige Dinge. Auch dort kein Virenscanner, da es eine zusätzliche unnötige Anwendung ist, der man auch noch vertrauen muss.
Passt, mache ich jetzt schon so. Tablet ohne persönliche Daten und "unsmartes Handy". :THX:

Damit ist der Thread fast "rund". Vlt. betrachten wir (oder besser ihr :mrgreen: ) am Ende noch Debiansnort etwas mehr? Ich habe als "Gateway" keinen Plastikrouter - sondern x86_amd64-Hardware. Könnte ein Unterschied sein: Mögliche oder wahrscheinliche Kompromittierungen, Interesse böser Buben an x86_amd64-Server vlt. größer als an Plastikrouter mit dedizierter (begrenzter) HW?!

PS: Ich erweitere besser mal den Threadtitel.

BenutzerGa4gooPh

Re: NAT und Egress Firewall, squid, snort

Beitrag von BenutzerGa4gooPh » 20.01.2017 10:56:52

So, ich habe mal meinen Egress Filter hinter NAT geplant und zeige die Planung auch im Interesse der Mitleser. In deren und meinem Interesse sind Kritiken und Bemerkungen herzlich willkommen. Remote-Zugriffe auf Router/FW und interne Dienste sind bei mir nicht gewollt. Was nicht funktioniert, werde ich in den Logs sehen. Absehbare Protokolle kann man jedoch vorher überlegen. Hier gibt es nur IPv4. Das implizite REJECT/DROP aller Protokolle ohne ACCEPT versteht sich von selbst:
506

BenutzerGa4gooPh

Re: NAT und Egress Firewall, squid, snort

Beitrag von BenutzerGa4gooPh » 26.02.2017 19:30:08

Vielleicht hilft es Leuten, die ihren SMART-TV per Router/FW disziplinieren möchten (Regeln oder DNS-Blocker): https://jkry.org/ouluhack/HackingSamsungSmartTV
OpenWrt hat auch einen entsprechenden Adblocker, manche Router "Kinderschutz". :wink:

PS:
In meinem Bild oben fehlen Ports für BitTorrent. Möchte ich hiermit nachliefern: http://bittorrent-faq.de/#ss2.2
Ports findet man auch unter Deluge->Einstellungen->Netzwerk.
Beinahe vergessen: Liebe Grüße an alle Aluhuete! :THX:

Antworten