Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense Wildcard FQDN

Mitglied: Spirit-of-Eli

Spirit-of-Eli (Level 2) - Jetzt verbinden

16.05.2018 um 19:15 Uhr, 595 Aufrufe, 10 Kommentare

Moin zusammen,

sehe ich es nur nicht oder kann die Sense tatsächlich keine Wildcard FQDNs Bsp. in nem Alias händel?

fe: (http://*.windowsupdate.microsoft.com)

Hintergrund ist eine Vernünftige Regel für den WSUS Server, der eben nach extern nur zu den Update Server quatschen können soll.

Das Thema von wegen Reverse Lookup ist mir bewusst, nur habe ich keine Ahnung wie dies sonst bei jeder "teuren" FW funktioniert.


Euch noch einen schönen Abend!

Gruß
Spirit
Mitglied: Dani
16.05.2018 um 19:24 Uhr
Guten Abend,
wie soll die Firewall einen Alias *.microsoft.com in eine IP-Adresse auflösen? Die Frage beziehe ich nicht nur auf pfSense sondern generell auf alle Hersteller. Was du meinst geht meiner Meinung nach, eher Richtung Application Detection bzw. Rule.


Gruß,
Dani
Bitte warten ..
Mitglied: Spirit-of-Eli
16.05.2018, aktualisiert um 19:37 Uhr
Zitat von Dani:

Guten Abend,
wie soll die Firewall einen Alias *.microsoft.com in eine IP-Adresse auflösen? Die Frage beziehe ich nicht nur auf pfSense sondern generell auf alle Hersteller. Was du meinst geht meiner Meinung nach, eher Richtung Application Detection bzw. Rule.


Gruß,
Dani

Jip, nur was ist best practise?
Bei einer Watchguard kann ich dieses Ziel einfach als FQDN mit Wildcards definieren.

// Ich nehme an, das die Sense nur auf IP Basis arbeitet und diese daher immer wieder auflösen muss um eine entsprechende Regel zu nutzen.
Bitte warten ..
Mitglied: aqui
17.05.2018 um 10:08 Uhr
das die Sense nur auf IP Basis arbeitet
Wie meinst du das ? Sollte sie auch Apple Talk oder Novell IPX/SPX als Protokoll können. Logisch das irgendwie alles IP basiert ist !
Nur WAS willst du genau fragen ? Kollege @Dani hat schon recht das das eher eine Grundsatzfrage ist als eine Produkt spezifische.
Deine Frage ist ja eher DNS bezogen wenn man das jetzt richtig versteht ?!
Normal arbeitet nur ein DNS Caching Server auf der FW. Wenn du mehr willst musst du über die Package Verwaltung einen vollwertigen DNS dazu installieren, damit sind solche Klimmzüge wie du sie vorhast dann problemlos umsetzbar.
Bitte warten ..
Mitglied: Dani
17.05.2018 um 22:52 Uhr
Guten Abend,
Bei einer Watchguard kann ich dieses Ziel einfach als FQDN mit Wildcards definieren.
nicht nur bei einer Watchguard. Geht bei anderen Hersteller auch. Aber pfSense bietet da meines Wissens aktuell keine Möglichkeit. Im pFsense Forum findest du sicherlich Workarounds.


Gruß,
Dani
Bitte warten ..
Mitglied: tikayevent
17.05.2018 um 23:07 Uhr
Wildcard-Einträge sind bei einer Firewall immer heikel. Die Fortigates können es auch, verweigern es aber für Neueinträge, weil es einfach zu unzuverlässig ist. Entweder müsste die Firewall sämtliche DNS-Anfragen überwachen und entsprechend reagieren, was aber bei Enterprise-Umgebungen meist nicht klappt, da der/die DNS-Server als Teil des AD oder vergleichbarer Dienste intern bereitgestellt werden. Oder die Firewall müsste zu Beginn jeder Verbindung ein RDNS-Lookup machen, wobei man hoffen muss, dass Vorwärts- und Rückwärtsauflösung passen.

Bei HTTP ist es wieder was anderes. Hier könnte man einen Proxy oder ein ALG nutzen (Squid gibt es auch für die *Sense), da hier der HTTP-Hostname ausgewertet werden kann. Für HTTPS müsste man dann schauen, ob und wie es mit Squid geht, Fortigate bietet hier für Deep und Certificate Inspection, die Deep Inspection zwingend mit SSL-Fehler oder administrativem Aufwand, beides jedoch als Man-in-the-Middle-"Angriff".
Bitte warten ..
Mitglied: ChriBo
18.05.2018 um 18:29 Uhr
Hi,
kann die Sense tatsächlich keine Wildcard FQDNs Bsp. in nem Alias händelt ?
nein, du bist nicht der Einzige, der dies zu Recht bemängelt. z.B. hier.
Mit dem Squid package oder pflockerNG kann es ggf. gelöst werden.

Gruß
CH
Bitte warten ..
Mitglied: Spirit-of-Eli
18.05.2018, aktualisiert um 19:07 Uhr
Zitat von aqui:

das die Sense nur auf IP Basis arbeitet
Wie meinst du das ? Sollte sie auch Apple Talk oder Novell IPX/SPX als Protokoll können. Logisch das irgendwie alles IP basiert ist !
Nur WAS willst du genau fragen ? Kollege @Dani hat schon recht das das eher eine Grundsatzfrage ist als eine Produkt spezifische.
Deine Frage ist ja eher DNS bezogen wenn man das jetzt richtig versteht ?!
Normal arbeitet nur ein DNS Caching Server auf der FW. Wenn du mehr willst musst du über die Package Verwaltung einen vollwertigen DNS dazu installieren, damit sind solche Klimmzüge wie du sie vorhast dann problemlos umsetzbar.

Nein, aus meiner Sicht lassen sich die Informationen aus anderen Packages nicht in eine Policy einbinden.
In einem Alias kann die Sense nicht mit dem Wildcard Krams umgehen da dies nur über eine DNS Geschichte abgefackelt werden kann. Eben so wie du schon sagst.

Ich wollte hier auch nur eine Bestätigung und ggf. ein best practise zu der Thematik. Das dies nicht vollständig Sicherheitskonform ist dürfte jedem klar sein.

Auf L7 wäre es aber z.B. wieder möglich wenn hier in den Header geschaut werden würde. Dort ist ja nunmal immer die FQDN vorhanden.
Anhand dessen wäre eine Regel ohne DNS Möglich.
Bitte warten ..
Mitglied: Spirit-of-Eli
18.05.2018 um 19:09 Uhr
Zitat von ChriBo:

Hi,
kann die Sense tatsächlich keine Wildcard FQDNs Bsp. in nem Alias händelt ?
nein, du bist nicht der Einzige, der dies zu Recht bemängelt. z.B. hier.
Mit dem Squid package oder pflockerNG kann es ggf. gelöst werden.

Gruß
CH

Da habe ich schon länger drüber nachgedacht, nur kann ich die Info dann nicht mit einer Policy verknüpfen. Was eben viel übersichtlicher wäre.

Es gibt ja Möglichkeiten dies umzusetzen, nur ist es noch nicht implementiert.
Bitte warten ..
Mitglied: Spirit-of-Eli
18.05.2018 um 19:12 Uhr
Nun, ich habe mich bereits umgehört und wie oben schon erwähnt mehrere Lösungsansätze die wohl nicht mit der Sense umsetzbar sind.

Wie löst ihr die Thematik denn? Oder lasst ihr solche Geschichten einfach über die Ports 80,443 durchs IDS/IPS rennen?
Bitte warten ..
Mitglied: Dani
18.05.2018 um 23:31 Uhr
Moin,
Wie löst ihr die Thematik denn?
ein Stück weit über Application Rules/Detection. Somit spielen die IP-Adresse eine untergeordnete Rolle. Gerade bei Produkte in den Cloud, wo der DNS-Server verschiedene IP-Adressen zurückgeben kann, unumgänglich. Denn die IP-Rangen zeitnah zu pflegen ist fast unmöglich.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Hosting & Housing
Dyndns.org wildcard
Frage von mahala60Hosting & Housing

ich habe eine Domain bei dyndns.org mit dieser domain kann ich auf einen bestimmten rechner, was auch funktioniert. bei ...

Verschlüsselung & Zertifikate
SSL-Webserver-Wildcard-Zertifikate
Frage von OlliPWSVerschlüsselung & Zertifikate5 Kommentare

Moin, wer kann mir SSL-Webserver-Wildcard-Zertifikate bisschen erklären? wir haben eine Domain draußen bei einem Dienstleister registiert. mustermax.org Jetzt haben ...

Exchange Server
Wildcard Zertifikat und Exchange 2013
Frage von redlordExchange Server7 Kommentare

Folgendes Szenario: Hauptdomäne ist mydom.de, darunter existieren vpn.mydom.de und mail.mydom.de (2 externe Anbindungen), das interne netz dahinter heist verwaltung.mydom.de. ...

Mac OS X
Zugriff von Mac nur per FQDN
Frage von Leo-leMac OS X2 Kommentare

Hallo zusammen, wir haben in unserer Windows Domain einen Mac, dieser kann die internen Adressen ausschließlich per FQDN auflösen. ...

Neue Wissensbeiträge
Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 13 StundenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Firewall

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Information von LordGurke vor 2 TagenFirewall3 Kommentare

Hallo zusammen, vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche ...

Erkennung und -Abwehr
Rechner hacken mit Cortana, auch Remote
Information von Lochkartenstanzer vor 3 TagenErkennung und -Abwehr3 Kommentare

heise berichtet über den Vortrag von der Blackhat Open Sesame: Picking Locks with Cortana. Einige Fehler sind schon gefixt, ...

DSL, VDSL
Bei Unitymedia eine eigene IPv4 mit DS bekommen
Tipp von matze2090 vor 3 TagenDSL, VDSL1 Kommentar

Hallo, ich hatte noch vor kurzem eine DS-Lite Verbindung bei Unitymedia. Das nachteil zu DS ist das Port Forwarding ...

Heiß diskutierte Inhalte
Windows Netzwerk
Performance bei Terminalserver
Frage von azizalexanderWindows Netzwerk20 Kommentare

Hallo zusammen, Ich wusste nicht in welches Thema meine Frage passt ich Bitte um Vergebung falls ich hier falsch ...

LAN, WAN, Wireless
Bandbreitenverteilung Netzwerk Linux NAS Qnap
Frage von Re-AnimatorLAN, WAN, Wireless18 Kommentare

Hallo Allerseits, ich habe hier im Netzwerk ein Problem mit der Bandbreite für das ich keine Erklärung habe! und ...

Exchange Server
Exchange 2013 - Unable to Relay nach extern, SuperMailer
Frage von leon123Exchange Server13 Kommentare

Hallo zusammen, ich brauch mal wieder eure Hilfe. Ich beschäftige mich gerade mit dem SuperMailer und erhalte vom Exchange ...

Windows Server
Fujitsu Server Installation
Frage von stolliWindows Server10 Kommentare

Guten Tag, Ich benötige mal wieder eure Hilfe. Ich hab mir einen gebrauchten Fujitsu Server Primergy TX120 SP3 zugelegt ...