0
Upgrade (IPS-) PfSense mit Snort und HAVP von 2.15 auf 2.23
Heute stand es an, irgendwann, nach dem 3. Release der 2.2 kann man es ja mal versuchen, ein PfSense System, das als IDS werkelt auf die neueste Version zu bringen.
Installierte Packages: Snort, HAVP, Squid (2.x), PfBlocker, Dashboard Widgets für HAVP und ein paar Kleinigkeiten
Dass das Core System mit dem Upgrade keine Probleme hat, war zu erwarten, da ist das PfSense-Team bekanntermaßen zuverlässig...
Aber ob die Packages das Update mögen und die Umstellung von Racoon auf Strong Swan bei IPSec "flawless" laufen, bleibt ja erfahrungsgemäss zu bezweifeln. Mal sehen.
Der Download des Updates über das Webinterface geht schnell, die Box verabschiedet sich mit der Meldung, dass sie nach einem Neustart wieder zur Verfügung steht.
Bei meiner ollen Test-Hardware (Fujtsu Thin Client S300 mit 512 MB) dauert das Installieren mit allem Drum und Dran ca. 45 min. Das erhöht die Spannung.
Danach zuerst Freude. Sie bootet und ein etwas aufgehübschtes Webinterface erwartet mich. IPSec ist da, die Einstellungen werden übernommen und noch schöner: Die Konfigurationsseite ist gleich geblieben. Das Update auf Strong Swan findet also im Hintergrund statt und erfordert keinerlei Benutzeraktivität. Ob der konfigurierte Tunnel auch läuft, kann ich in der Testumgebung leider nicht feststellen, denn es gibt auf den Adressen einen "realen" Tunnel. Sieht aber gut aus und das Log zeigt einen Verbindungsaufbau, der aufgrund mangelnder Antwort der Gegenseite eben scheitert.
Bei den Packages sieht es leider nicht so rosig aus. Snort ist da, SQUID ebenfalls. Aber: Kein HAVP und PfBlocker ist ebenfalls verschwunden.
HAVP lässt sich zwar installieren und wird unter "Packages" angezeigt, unter "Services" taucht es aber nicht mehr auf und startet offenbar auch nicht.
Schauen wir also zum Thema HAVP: Das Problem ist seit dem "Initial Release" der 2.2 bekannt, das Paket müsste etwas angepasst werden, getan hat sich seitdem offenbar leider nichts.
Es wird empfohlen, auf die integrierte ClamAV Lösung in SQUID 3 umzusteigen. Ist ja einen Versuch wert, da konzeptionell eigentlich besser, aber:
Die "default" Konfiguration meldet sofort diverse Fehler. Die Engine ist offenbar nicht eingebunden und eine Standard HTML Fehlerseite wie aus HAVP gewohnt, gibt es default auch nicht. Positiv ist, dass es klare Hinweise auf die Fehlkonfiguration gibt, aber dass die AV Engine in der Default Konfiguration nicht aktiviert ist, obwohl CLAMAV läuft ärgert mich.
Abgesehen davon, dass eine übersichtliche und einfach zu bedienende Konfigurationsseite in HAVP nun im Bearbeiten von Config Files endet. Zu bewältigen, aber unnötig.
Ein Test mit EICAR führt auch zu keiner Erkennung, geschenkt.
Ich will zurück zu HAVP, das ja gerade nochmal ein Update (offiziell für 2.2) bekommen hat und probiere es mal folgendermassen: SQUID 3 (immer noch beta) runter HAVP installieren und dann SQUID 2.7 wieder drauf. Scheint erst zu klappen, aber HAVP wird in der 2.2x aktuell nicht mehr unterstützt. Helfen auch keine Tricks.
SCHADE.
Also wieder ein laufendes 2.15 System aufsetzen (ich will ja das Update testen) und von vorne. HAVP und Squid runter und dann wieder ein Update auf 2.23 angeleiert.
Squid 3 (immer noch beta) drauf. Dauert (Hardware...) aber klappt.
Dann den Proxy entsprechend konfiguriert und auf den Reiter "Anitvirus" geklickt. Ein initiales "Save" lädt die Standardkonfiguration. Man muss nun 3 Schritte ausführen:
1.: Fehlerseite definieren (IP der PfSense eingeben)
2.: Die Engine aktivieren.
3.: LDAP Support entfernen.
Nach dieser Anleitung: http://taste-of-it.de/pfsense-squid-als-transparenter-proxy-mit-antivir ...
geht das problemlos. (Findet sich auch analog im PfSense Forum)
Warum der Autor (marcelloc) das nicht in die default config aufgenommen hat, konnte ich nicht eruieren... (Mag seine Gründe haben.)
Dann aber die nächste Enttäuschung. Es gibt keine Möglichkeit, ein Update der Virendefinitionen zu konfigurieren. Statt dessen heisst es lapidar "freshclam ausführen."
1x ist das o.k. aber doch nicht täglich oder stündlich.... (?)
Ziemlich beta das ganze, oder zumindest nicht Userfreundlich.
Natürlich gibt es via Google Abhilfe: Cronjob definieren. (Ups, ich muss googeln um ein Definitionsupdate in einer integrierten AV-Lösung zu bekommen? Nicht gerade State-of-the-art...)
Geht aber natürlich auch: Package "Cron" installiert und ich brauche nicht mal mehr die Kommandozeile um den entsprechenden Job zu definieren.
Mir ist unklar, ob ich bei "Who" "root" eintragen muss und als Befehl "freshclam --silent" oder wie ergoogelt "who": "freshclam" und als Befehl --silent".
Macht aber nix, ist mein erster Cronjob (ehrlich!), das bekomme ich aber nun auch noch raus.
Danach filtert der Squid den Eicar Virus mit einer ansprechenden Fehlerseite und ich vermisse mein "Dashboard-Widget", das mir die Virusmeldungen und den Update Status bereits auf der PfSense Startseite gezeigt hat.
Sehr positiv: Die Filterung von SSL-Verbindungen funktioniert ebenfalls nach wenigen Schritten, und ich vermisse mein geliebtes HAVP weniger...
Der Gedanke, dass die dahinterliegende Technik aber die Verschlüsselung zwischen Browser und Server aushebelt und genau dazu von krimineller Seite natürlich auch verwendet wird, lässt mich aber wünschen, es ginge nicht...
Snort ist es egal, ob es auf der 2.15 oder 2.23 läuft. Das Reinstall nach dem Upgrade läuft ohne Fehler durch und die Konfiguration bleibt erhalten. (Ja, so geht das auch!)
PfBlocker mag das Upgrade nicht. Die Firewall erhält zwar die Regeln, aber das Package ist nicht mehr vorhanden und man muss auf PfBlocker_ng umsteigen und die alten Regeln händisch löschen.
Der PfBlocker_ng bietet mehr (insb. IPv6), ist dadurch in der Konfiguration etwas komplexer, aber intuitiv umsetzbar. Man muss halt alle Listen neu eingeben. Wäre ja zu schön, wenn solche Konfiguratuionen ausgelesen und übernommen würden...
(Schön ist auch, dass Deutschland bei den TopSpammers jetzt weit oben rangiert...)
Ob ein PfBlocker bei installiertem Snort aber überhaupt noch Sinn macht, muss ich nochmal eruieren. Evtl. einzelne Listen, die bekannten "Bad Guys" müssten aber in den Snort Rules vorhanden sein. (Meinungen willkommen)
Fazit: Ein Upgrade einer (IPS-) PfSense 2.15 auf 2.23 ist auch mit den entsprechenden Packages mit mittlerem Aufwand machbar, eine Neuinstallation ist unnötig. Die Umsetzung ist leider im (IDS-) Packages Bereich wie erwartet wenig professionell und wird dem Vergleich einer kommerziellen Lösung nicht gerecht. Marcelloc schafft da zwar wie wild (auch Dansguardian z.B.), kann aber die Sache alleine natürlich nicht bewältigen. Ist halt Open Source...
Wenn man aber bedenkt, dass das Projekt mittlerweile nicht zuletzt wegen der Erweiterbarkeit MonoWall gekillt hat und "Electric Sheep Fencing" viel Wert auf Markenschutz und finanzielle Interessen legt (Supportkosten!) und da sicher auch gutes Geld verdient wird, ist das Qualitätsmanagement bei den "Packages" dringend verbesserungsfähig!
Vorschläge gibt es seit Jahren, meines Wissenstandes ruhen die PfSense Entwickler da (leider) auf einem recht hohen Ross...
Nichtsdestoweniger: Wenn man etwas Zeit und Nerv mitbringt, macht die PfSense letztlich am Ende sogar Spass
Möge es Einem nutzen...
Der Buc
Nachtrag: Auf der verwendeten Hardware (FSC S300 mit 512 MB) ist der "neue" Virenschutz ("SquidClamAV") nicht performant zum laufen zu bringen. Clamd benötigt auch ohne Traffic dauerhaft 260 MB RAM, Webseiten werden mit "Analog-Modem-Geschwindigkeit" aufgebaut und ein Anpassen der config nach den wenigen ergoogelten Tips bringt keine Resultate. Ohne Virenscanner schnurrt es wie ein Kätzchen, trotz des angeblichen Performancekillers Snort. Schade, da das HAVP-Package auf der Hardware ziemlich flott läuft, aber ein Produktiveinsatz war ja auch nicht Sinn der Übung und mit DualCore und 2 GB RAM bin ich da nicht ängstlich.
Da ich aber ziemlich sicher bin, dass HAVP und Snort auf der Kiste werkeln können, wenn man wenig Traffic hat und Snort etwas anpasst, gehe ich nochmal zurück auf die 2.15.
Alles prima. CPU ruhig, nur der Speicher lagert noch etwas viel aus (ca. 200MB) Das liegt am Snort in der Standardkonfiguration und ist sicher lösbar.
Dann darf das mal im familiären Umfeld sein bestes geben, bis ich wegen des lahmen Internets gesteinigt werde...
Installierte Packages: Snort, HAVP, Squid (2.x), PfBlocker, Dashboard Widgets für HAVP und ein paar Kleinigkeiten
Dass das Core System mit dem Upgrade keine Probleme hat, war zu erwarten, da ist das PfSense-Team bekanntermaßen zuverlässig...
Aber ob die Packages das Update mögen und die Umstellung von Racoon auf Strong Swan bei IPSec "flawless" laufen, bleibt ja erfahrungsgemäss zu bezweifeln. Mal sehen.
Der Download des Updates über das Webinterface geht schnell, die Box verabschiedet sich mit der Meldung, dass sie nach einem Neustart wieder zur Verfügung steht.
Bei meiner ollen Test-Hardware (Fujtsu Thin Client S300 mit 512 MB) dauert das Installieren mit allem Drum und Dran ca. 45 min. Das erhöht die Spannung.
Danach zuerst Freude. Sie bootet und ein etwas aufgehübschtes Webinterface erwartet mich. IPSec ist da, die Einstellungen werden übernommen und noch schöner: Die Konfigurationsseite ist gleich geblieben. Das Update auf Strong Swan findet also im Hintergrund statt und erfordert keinerlei Benutzeraktivität. Ob der konfigurierte Tunnel auch läuft, kann ich in der Testumgebung leider nicht feststellen, denn es gibt auf den Adressen einen "realen" Tunnel. Sieht aber gut aus und das Log zeigt einen Verbindungsaufbau, der aufgrund mangelnder Antwort der Gegenseite eben scheitert.
Bei den Packages sieht es leider nicht so rosig aus. Snort ist da, SQUID ebenfalls. Aber: Kein HAVP und PfBlocker ist ebenfalls verschwunden.
HAVP lässt sich zwar installieren und wird unter "Packages" angezeigt, unter "Services" taucht es aber nicht mehr auf und startet offenbar auch nicht.
Schauen wir also zum Thema HAVP: Das Problem ist seit dem "Initial Release" der 2.2 bekannt, das Paket müsste etwas angepasst werden, getan hat sich seitdem offenbar leider nichts.
Es wird empfohlen, auf die integrierte ClamAV Lösung in SQUID 3 umzusteigen. Ist ja einen Versuch wert, da konzeptionell eigentlich besser, aber:
Die "default" Konfiguration meldet sofort diverse Fehler. Die Engine ist offenbar nicht eingebunden und eine Standard HTML Fehlerseite wie aus HAVP gewohnt, gibt es default auch nicht. Positiv ist, dass es klare Hinweise auf die Fehlkonfiguration gibt, aber dass die AV Engine in der Default Konfiguration nicht aktiviert ist, obwohl CLAMAV läuft ärgert mich.
Abgesehen davon, dass eine übersichtliche und einfach zu bedienende Konfigurationsseite in HAVP nun im Bearbeiten von Config Files endet. Zu bewältigen, aber unnötig.
Ein Test mit EICAR führt auch zu keiner Erkennung, geschenkt.
Ich will zurück zu HAVP, das ja gerade nochmal ein Update (offiziell für 2.2) bekommen hat und probiere es mal folgendermassen: SQUID 3 (immer noch beta) runter HAVP installieren und dann SQUID 2.7 wieder drauf. Scheint erst zu klappen, aber HAVP wird in der 2.2x aktuell nicht mehr unterstützt. Helfen auch keine Tricks.
SCHADE.
Also wieder ein laufendes 2.15 System aufsetzen (ich will ja das Update testen) und von vorne. HAVP und Squid runter und dann wieder ein Update auf 2.23 angeleiert.
Squid 3 (immer noch beta) drauf. Dauert (Hardware...) aber klappt.
Dann den Proxy entsprechend konfiguriert und auf den Reiter "Anitvirus" geklickt. Ein initiales "Save" lädt die Standardkonfiguration. Man muss nun 3 Schritte ausführen:
1.: Fehlerseite definieren (IP der PfSense eingeben)
2.: Die Engine aktivieren.
3.: LDAP Support entfernen.
Nach dieser Anleitung: http://taste-of-it.de/pfsense-squid-als-transparenter-proxy-mit-antivir ...
geht das problemlos. (Findet sich auch analog im PfSense Forum)
Warum der Autor (marcelloc) das nicht in die default config aufgenommen hat, konnte ich nicht eruieren... (Mag seine Gründe haben.)
Dann aber die nächste Enttäuschung. Es gibt keine Möglichkeit, ein Update der Virendefinitionen zu konfigurieren. Statt dessen heisst es lapidar "freshclam ausführen."
1x ist das o.k. aber doch nicht täglich oder stündlich.... (?)
Ziemlich beta das ganze, oder zumindest nicht Userfreundlich.
Natürlich gibt es via Google Abhilfe: Cronjob definieren. (Ups, ich muss googeln um ein Definitionsupdate in einer integrierten AV-Lösung zu bekommen? Nicht gerade State-of-the-art...)
Geht aber natürlich auch: Package "Cron" installiert und ich brauche nicht mal mehr die Kommandozeile um den entsprechenden Job zu definieren.
Mir ist unklar, ob ich bei "Who" "root" eintragen muss und als Befehl "freshclam --silent" oder wie ergoogelt "who": "freshclam" und als Befehl --silent".
Macht aber nix, ist mein erster Cronjob (ehrlich!), das bekomme ich aber nun auch noch raus.
Danach filtert der Squid den Eicar Virus mit einer ansprechenden Fehlerseite und ich vermisse mein "Dashboard-Widget", das mir die Virusmeldungen und den Update Status bereits auf der PfSense Startseite gezeigt hat.
Sehr positiv: Die Filterung von SSL-Verbindungen funktioniert ebenfalls nach wenigen Schritten, und ich vermisse mein geliebtes HAVP weniger...
Der Gedanke, dass die dahinterliegende Technik aber die Verschlüsselung zwischen Browser und Server aushebelt und genau dazu von krimineller Seite natürlich auch verwendet wird, lässt mich aber wünschen, es ginge nicht...
Snort ist es egal, ob es auf der 2.15 oder 2.23 läuft. Das Reinstall nach dem Upgrade läuft ohne Fehler durch und die Konfiguration bleibt erhalten. (Ja, so geht das auch!)
PfBlocker mag das Upgrade nicht. Die Firewall erhält zwar die Regeln, aber das Package ist nicht mehr vorhanden und man muss auf PfBlocker_ng umsteigen und die alten Regeln händisch löschen.
Der PfBlocker_ng bietet mehr (insb. IPv6), ist dadurch in der Konfiguration etwas komplexer, aber intuitiv umsetzbar. Man muss halt alle Listen neu eingeben. Wäre ja zu schön, wenn solche Konfiguratuionen ausgelesen und übernommen würden...
(Schön ist auch, dass Deutschland bei den TopSpammers jetzt weit oben rangiert...)
Ob ein PfBlocker bei installiertem Snort aber überhaupt noch Sinn macht, muss ich nochmal eruieren. Evtl. einzelne Listen, die bekannten "Bad Guys" müssten aber in den Snort Rules vorhanden sein. (Meinungen willkommen)
Fazit: Ein Upgrade einer (IPS-) PfSense 2.15 auf 2.23 ist auch mit den entsprechenden Packages mit mittlerem Aufwand machbar, eine Neuinstallation ist unnötig. Die Umsetzung ist leider im (IDS-) Packages Bereich wie erwartet wenig professionell und wird dem Vergleich einer kommerziellen Lösung nicht gerecht. Marcelloc schafft da zwar wie wild (auch Dansguardian z.B.), kann aber die Sache alleine natürlich nicht bewältigen. Ist halt Open Source...
Wenn man aber bedenkt, dass das Projekt mittlerweile nicht zuletzt wegen der Erweiterbarkeit MonoWall gekillt hat und "Electric Sheep Fencing" viel Wert auf Markenschutz und finanzielle Interessen legt (Supportkosten!) und da sicher auch gutes Geld verdient wird, ist das Qualitätsmanagement bei den "Packages" dringend verbesserungsfähig!
Vorschläge gibt es seit Jahren, meines Wissenstandes ruhen die PfSense Entwickler da (leider) auf einem recht hohen Ross...
Nichtsdestoweniger: Wenn man etwas Zeit und Nerv mitbringt, macht die PfSense letztlich am Ende sogar Spass
Möge es Einem nutzen...
Der Buc
Nachtrag: Auf der verwendeten Hardware (FSC S300 mit 512 MB) ist der "neue" Virenschutz ("SquidClamAV") nicht performant zum laufen zu bringen. Clamd benötigt auch ohne Traffic dauerhaft 260 MB RAM, Webseiten werden mit "Analog-Modem-Geschwindigkeit" aufgebaut und ein Anpassen der config nach den wenigen ergoogelten Tips bringt keine Resultate. Ohne Virenscanner schnurrt es wie ein Kätzchen, trotz des angeblichen Performancekillers Snort. Schade, da das HAVP-Package auf der Hardware ziemlich flott läuft, aber ein Produktiveinsatz war ja auch nicht Sinn der Übung und mit DualCore und 2 GB RAM bin ich da nicht ängstlich.
Da ich aber ziemlich sicher bin, dass HAVP und Snort auf der Kiste werkeln können, wenn man wenig Traffic hat und Snort etwas anpasst, gehe ich nochmal zurück auf die 2.15.
Alles prima. CPU ruhig, nur der Speicher lagert noch etwas viel aus (ca. 200MB) Das liegt am Snort in der Standardkonfiguration und ist sicher lösbar.
Dann darf das mal im familiären Umfeld sein bestes geben, bis ich wegen des lahmen Internets gesteinigt werde...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 275900
Url: https://administrator.de/contentid/275900
Printed on: April 19, 2024 at 23:04 o'clock
