Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense Wildcard FQDN

Mitglied: Spirit-of-Eli

Spirit-of-Eli (Level 2) - Jetzt verbinden

16.05.2018 um 19:15 Uhr, 336 Aufrufe, 10 Kommentare

Moin zusammen,

sehe ich es nur nicht oder kann die Sense tatsächlich keine Wildcard FQDNs Bsp. in nem Alias händel?

fe: (http://*.windowsupdate.microsoft.com)

Hintergrund ist eine Vernünftige Regel für den WSUS Server, der eben nach extern nur zu den Update Server quatschen können soll.

Das Thema von wegen Reverse Lookup ist mir bewusst, nur habe ich keine Ahnung wie dies sonst bei jeder "teuren" FW funktioniert.


Euch noch einen schönen Abend!

Gruß
Spirit
Mitglied: Dani
16.05.2018 um 19:24 Uhr
Guten Abend,
wie soll die Firewall einen Alias *.microsoft.com in eine IP-Adresse auflösen? Die Frage beziehe ich nicht nur auf pfSense sondern generell auf alle Hersteller. Was du meinst geht meiner Meinung nach, eher Richtung Application Detection bzw. Rule.


Gruß,
Dani
Bitte warten ..
Mitglied: Spirit-of-Eli
16.05.2018, aktualisiert um 19:37 Uhr
Zitat von Dani:

Guten Abend,
wie soll die Firewall einen Alias *.microsoft.com in eine IP-Adresse auflösen? Die Frage beziehe ich nicht nur auf pfSense sondern generell auf alle Hersteller. Was du meinst geht meiner Meinung nach, eher Richtung Application Detection bzw. Rule.


Gruß,
Dani

Jip, nur was ist best practise?
Bei einer Watchguard kann ich dieses Ziel einfach als FQDN mit Wildcards definieren.

// Ich nehme an, das die Sense nur auf IP Basis arbeitet und diese daher immer wieder auflösen muss um eine entsprechende Regel zu nutzen.
Bitte warten ..
Mitglied: aqui
17.05.2018 um 10:08 Uhr
das die Sense nur auf IP Basis arbeitet
Wie meinst du das ? Sollte sie auch Apple Talk oder Novell IPX/SPX als Protokoll können. Logisch das irgendwie alles IP basiert ist !
Nur WAS willst du genau fragen ? Kollege @Dani hat schon recht das das eher eine Grundsatzfrage ist als eine Produkt spezifische.
Deine Frage ist ja eher DNS bezogen wenn man das jetzt richtig versteht ?!
Normal arbeitet nur ein DNS Caching Server auf der FW. Wenn du mehr willst musst du über die Package Verwaltung einen vollwertigen DNS dazu installieren, damit sind solche Klimmzüge wie du sie vorhast dann problemlos umsetzbar.
Bitte warten ..
Mitglied: Dani
17.05.2018 um 22:52 Uhr
Guten Abend,
Bei einer Watchguard kann ich dieses Ziel einfach als FQDN mit Wildcards definieren.
nicht nur bei einer Watchguard. Geht bei anderen Hersteller auch. Aber pfSense bietet da meines Wissens aktuell keine Möglichkeit. Im pFsense Forum findest du sicherlich Workarounds.


Gruß,
Dani
Bitte warten ..
Mitglied: tikayevent
17.05.2018 um 23:07 Uhr
Wildcard-Einträge sind bei einer Firewall immer heikel. Die Fortigates können es auch, verweigern es aber für Neueinträge, weil es einfach zu unzuverlässig ist. Entweder müsste die Firewall sämtliche DNS-Anfragen überwachen und entsprechend reagieren, was aber bei Enterprise-Umgebungen meist nicht klappt, da der/die DNS-Server als Teil des AD oder vergleichbarer Dienste intern bereitgestellt werden. Oder die Firewall müsste zu Beginn jeder Verbindung ein RDNS-Lookup machen, wobei man hoffen muss, dass Vorwärts- und Rückwärtsauflösung passen.

Bei HTTP ist es wieder was anderes. Hier könnte man einen Proxy oder ein ALG nutzen (Squid gibt es auch für die *Sense), da hier der HTTP-Hostname ausgewertet werden kann. Für HTTPS müsste man dann schauen, ob und wie es mit Squid geht, Fortigate bietet hier für Deep und Certificate Inspection, die Deep Inspection zwingend mit SSL-Fehler oder administrativem Aufwand, beides jedoch als Man-in-the-Middle-"Angriff".
Bitte warten ..
Mitglied: ChriBo
18.05.2018 um 18:29 Uhr
Hi,
kann die Sense tatsächlich keine Wildcard FQDNs Bsp. in nem Alias händelt ?
nein, du bist nicht der Einzige, der dies zu Recht bemängelt. z.B. hier.
Mit dem Squid package oder pflockerNG kann es ggf. gelöst werden.

Gruß
CH
Bitte warten ..
Mitglied: Spirit-of-Eli
18.05.2018, aktualisiert um 19:07 Uhr
Zitat von aqui:

das die Sense nur auf IP Basis arbeitet
Wie meinst du das ? Sollte sie auch Apple Talk oder Novell IPX/SPX als Protokoll können. Logisch das irgendwie alles IP basiert ist !
Nur WAS willst du genau fragen ? Kollege @Dani hat schon recht das das eher eine Grundsatzfrage ist als eine Produkt spezifische.
Deine Frage ist ja eher DNS bezogen wenn man das jetzt richtig versteht ?!
Normal arbeitet nur ein DNS Caching Server auf der FW. Wenn du mehr willst musst du über die Package Verwaltung einen vollwertigen DNS dazu installieren, damit sind solche Klimmzüge wie du sie vorhast dann problemlos umsetzbar.

Nein, aus meiner Sicht lassen sich die Informationen aus anderen Packages nicht in eine Policy einbinden.
In einem Alias kann die Sense nicht mit dem Wildcard Krams umgehen da dies nur über eine DNS Geschichte abgefackelt werden kann. Eben so wie du schon sagst.

Ich wollte hier auch nur eine Bestätigung und ggf. ein best practise zu der Thematik. Das dies nicht vollständig Sicherheitskonform ist dürfte jedem klar sein.

Auf L7 wäre es aber z.B. wieder möglich wenn hier in den Header geschaut werden würde. Dort ist ja nunmal immer die FQDN vorhanden.
Anhand dessen wäre eine Regel ohne DNS Möglich.
Bitte warten ..
Mitglied: Spirit-of-Eli
18.05.2018 um 19:09 Uhr
Zitat von ChriBo:

Hi,
kann die Sense tatsächlich keine Wildcard FQDNs Bsp. in nem Alias händelt ?
nein, du bist nicht der Einzige, der dies zu Recht bemängelt. z.B. hier.
Mit dem Squid package oder pflockerNG kann es ggf. gelöst werden.

Gruß
CH

Da habe ich schon länger drüber nachgedacht, nur kann ich die Info dann nicht mit einer Policy verknüpfen. Was eben viel übersichtlicher wäre.

Es gibt ja Möglichkeiten dies umzusetzen, nur ist es noch nicht implementiert.
Bitte warten ..
Mitglied: Spirit-of-Eli
18.05.2018 um 19:12 Uhr
Nun, ich habe mich bereits umgehört und wie oben schon erwähnt mehrere Lösungsansätze die wohl nicht mit der Sense umsetzbar sind.

Wie löst ihr die Thematik denn? Oder lasst ihr solche Geschichten einfach über die Ports 80,443 durchs IDS/IPS rennen?
Bitte warten ..
Mitglied: Dani
18.05.2018 um 23:31 Uhr
Moin,
Wie löst ihr die Thematik denn?
ein Stück weit über Application Rules/Detection. Somit spielen die IP-Adresse eine untergeordnete Rolle. Gerade bei Produkte in den Cloud, wo der DNS-Server verschiedene IP-Adressen zurückgeben kann, unumgänglich. Denn die IP-Rangen zeitnah zu pflegen ist fast unmöglich.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Hosting & Housing
Dyndns.org wildcard
Frage von mahala60Hosting & Housing

ich habe eine Domain bei dyndns.org mit dieser domain kann ich auf einen bestimmten rechner, was auch funktioniert. bei ...

Verschlüsselung & Zertifikate
SSL-Webserver-Wildcard-Zertifikate
Frage von OlliPWSVerschlüsselung & Zertifikate5 Kommentare

Moin, wer kann mir SSL-Webserver-Wildcard-Zertifikate bisschen erklären? wir haben eine Domain draußen bei einem Dienstleister registiert. mustermax.org Jetzt haben ...

Exchange Server
Wildcard Zertifikat und Exchange 2013
Frage von redlordExchange Server7 Kommentare

Folgendes Szenario: Hauptdomäne ist mydom.de, darunter existieren vpn.mydom.de und mail.mydom.de (2 externe Anbindungen), das interne netz dahinter heist verwaltung.mydom.de. ...

Mac OS X
Zugriff von Mac nur per FQDN
Frage von Leo-leMac OS X2 Kommentare

Hallo zusammen, wir haben in unserer Windows Domain einen Mac, dieser kann die internen Adressen ausschließlich per FQDN auflösen. ...

Neue Wissensbeiträge
Windows Server

Scheduled Task zum Log - Löschen direkt aus der SCOM Console

Tipp von Juanito vor 1 StundeWindows Server

SCOM Agent Task - Create Log Deletion Job Einleitung: Viele Applikationen und Dienste die auf Servern laufen erstellen Log ...

Humor (lol)

Ratgeber: Die wichtigsten Fragen und Antworten zur neuen Datenschutz-Grundverordnung (DSGVO)

Information von BassFishFox vor 1 StundeHumor (lol)

Hier bleiben keine Fragen offen. ;-)

Humor (lol)
Wieder mal DSGVO
Information von brammer vor 13 StundenHumor (lol)2 Kommentare

Mal was zum Lachen: Der Countdown zur Datenschutz-Grundverordnung läuft. Ab 25. Mai sollte man folgende Regeln beachten: Visitenkarten nur ...

Router & Routing

Cisco Talos deckt riesiges Router- und NAS-Botnetz auf

Tipp von Bosnigel vor 13 StundenRouter & Routing

Anscheinend kommt da wieder was auf uns zu: Gruß Bosnigel

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Powerline über zwei Stockwerke optimieren
gelöst Frage von DultusLAN, WAN, Wireless45 Kommentare

Guten Morgen liebes Forum, ich hätte einmal eine Frage bezüglich Powerline Adapter: Mein Problem ist seit gestern präsent, da ...

HTML
Link nicht vollständig
Frage von jensgebkenHTML32 Kommentare

Hallo Gemeinschaft, ich erstelle mit Word einen Serienbrief, den ich per Mail versende. Nun mein Problem der Wordserienbrief holt ...

Datenschutz
E-Mail Verschlüsselung DSGVO 2018
Frage von SoccerdeluxDatenschutz27 Kommentare

Hallo zusammen, ich verzweifele langsam und wende mich an euch und hoffe vielleicht ein paar Antworten zu finden. Ich ...

Rechtliche Fragen
DISKUSSION: Was bringt der Disclaimer "Wenn Sie nicht der Empfänger sind."
Frage von N8DragonRechtliche Fragen23 Kommentare

So oder ähnlich, lese ich immer wieder Kleingedrucktes am Ende diverser Mails. Letzten Endes wollen sie mir alle sagen, ...