OPNsense Cyber Security: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(15 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 
= Übersicht der Fähigkeiten einer OPNsense =
 
= Übersicht der Fähigkeiten einer OPNsense =
 
=='''Lesen bevor wir anfangen'''==
 
=='''Lesen bevor wir anfangen'''==
*Intel PRO/1000 MT Desktop Treiber auswählen
+
=='''VirtualBox – OPNsense Netzwerkkarte (Empfehlung)'''==
*'''[[OPNsense Access zum Wan Interface]]'''
+
* Adaptertyp: '''Intel PRO/1000 MT Desktopr (82545EM)'''
*Plugin os-virtualbox installieren
+
* Promiscuous-Modus:
 +
** '''verweigern (deny)''' für normales Routing/NAT
 +
** '''zulassen (Allow All)''' bei HA/CARP, Bridge-Mode, Port-Mirror/Sniffing, IPS/Suricata mit Netmap
 +
* (Alle OPNsense-Adapter konsistent konfigurieren; Storage-Controller: '''SATA (AHCI)''')
 +
=Bug fix=
 +
<pre>
 +
Schritte in OPNsense GUI
 +
 
 +
Einloggen ins Webinterface (als root/Admin).
 +
 
 +
Menü: System → Einstellungen → Networking
 +
 
 +
Dort siehst du drei Häkchen zu Hardware-Offloading:
 +
 
 +
Hardware Checksum Offloading
 +
 
 +
Hardware TCP Segmentation Offloading (TSO)
 +
 
 +
Hardware Large Receive Offloading (LRO)
 +
 
 +
Alle drei deaktivieren (Häkchen rausnehmen).
 +
 
 +
Unten Save klicken und OPNsense neu starten (oder wenigstens die Interfaces reloaden).
 +
</pre>
 +
 
 +
Firewall: Settings: Advanced
 +
Disable reply-to                                                (x)  Disable reply-to on WAN rules         
 +
 
  
 
== ausfallsichere Firewall ==
 
== ausfallsichere Firewall ==
Zeile 41: Zeile 68:
 
*[[OPNsense Allgemein]]
 
*[[OPNsense Allgemein]]
 
*[[OPNsense Installation]]
 
*[[OPNsense Installation]]
*[[OPNsense Active Directory]]
+
*[[OPNsense Grundkonfiguration]]
 +
*[[OPNsense NAT]]
 +
*[[OPNsense ACME Client]]
 +
*[[OPNsense Zertifikat einpflegen]]
 +
*[[OPNsense Import der Maschinen]]
 +
*[[OPNsense Netz Scan]]
 
*[[OPNsense Active Directory MemberOf]]
 
*[[OPNsense Active Directory MemberOf]]
*[[OPNsense IPsec VPN]]
+
*[[OPNsense site2site IPSEC mit Bildern]]
*[[OPNsense IPsec VPN zu Linux Strongswan]]
 
 
*[[OPNsense site2site IPSEC]]
 
*[[OPNsense site2site IPSEC]]
 
*[[OPNsense Route based (VTI) PSK setup]]
 
*[[OPNsense Route based (VTI) PSK setup]]
*[[OPNsense NAT in der SP]]
 
 
*[[OPNsense Wireguard]]
 
*[[OPNsense Wireguard]]
 
*[[OPNsense OpenVPN]]
 
*[[OPNsense OpenVPN]]
*[[OPNsense Traffic Shaping]]
 
*[[OPNsense NAT]]
 
*[[OPNsense ACME Client]]
 
*[[OPNsense Zertifikat einpflegen]]
 
 
*[[OPNsense HAProxy]]
 
*[[OPNsense HAProxy]]
 
*[[OPNsense HAProxy Einrichtung]]
 
*[[OPNsense HAProxy Einrichtung]]
 
*[[OPNsense Suricata]]
 
*[[OPNsense Suricata]]
 
*[[OPNsense Logging]]
 
*[[OPNsense Logging]]
*[[OPNsense Unbound DNS]]
+
*[[OPNsnse Unbound DNS]]
 
*[[OPNsense Transparenter Proxy]]
 
*[[OPNsense Transparenter Proxy]]
 
*[[OPNsense Multiwan]]
 
*[[OPNsense Multiwan]]
 
*[[OPNsense Konsole]]
 
*[[OPNsense Konsole]]
*[[OPNsense WAF nginx]]
 
 
*[[OPNsense Squid ClamAV]]
 
*[[OPNsense Squid ClamAV]]
*[[OPNsense HA]]
 
 
*[[OPNsense HA KIT]]
 
*[[OPNsense HA KIT]]
*[[OPNsense DHCP im Cluster]]
 
*[[OPNsense Elastic Search]]
 
*[[OPNsense Wireguard CARP]]
 
 
*[[OPNsense IPv6]]
 
*[[OPNsense IPv6]]
 +
*[[OPNsense Cyber Security Weiteres]]
 
[[Kategorie:OPNsense]]
 
[[Kategorie:OPNsense]]
 +
 +
=Weiteres=
 +
*[https://hedgedoc.xinux.net/p/DO7sQY-lX#/ WAF]
 +
*[[Modsecurity]]
  
 
= Verwandte Themen =
 
= Verwandte Themen =
Zeile 78: Zeile 104:
 
= Links =
 
= Links =
 
* [https://docs.opnsense.org/ offizielle OPNsense Dokumentation].
 
* [https://docs.opnsense.org/ offizielle OPNsense Dokumentation].
 +
<!--
 +
 
=Virtual Box Rocky=
 
=Virtual Box Rocky=
 
;Alle Maschinen runterfahren
 
;Alle Maschinen runterfahren
 
*sudo dnf remove VirtualBox-7.0
 
*sudo dnf remove VirtualBox-7.0
 
*sudo dnf install VirtualBox-7.1-7.1.6_167084_el9-1.x86_64.rpm
 
*sudo dnf install VirtualBox-7.1-7.1.6_167084_el9-1.x86_64.rpm
 +
-->

Aktuelle Version vom 18. Februar 2026, 06:09 Uhr

Übersicht der Fähigkeiten einer OPNsense

Lesen bevor wir anfangen

VirtualBox – OPNsense Netzwerkkarte (Empfehlung)

  • Adaptertyp: Intel PRO/1000 MT Desktopr (82545EM)
  • Promiscuous-Modus:
    • verweigern (deny) für normales Routing/NAT
    • zulassen (Allow All) bei HA/CARP, Bridge-Mode, Port-Mirror/Sniffing, IPS/Suricata mit Netmap
  • (Alle OPNsense-Adapter konsistent konfigurieren; Storage-Controller: SATA (AHCI))

Bug fix

Schritte in OPNsense GUI

Einloggen ins Webinterface (als root/Admin).

Menü: System → Einstellungen → Networking

Dort siehst du drei Häkchen zu Hardware-Offloading:

Hardware Checksum Offloading

Hardware TCP Segmentation Offloading (TSO)

Hardware Large Receive Offloading (LRO)

Alle drei deaktivieren (Häkchen rausnehmen).

Unten Save klicken und OPNsense neu starten (oder wenigstens die Interfaces reloaden).

Firewall: Settings: Advanced
Disable reply-to                                                 (x)   Disable reply-to on WAN rules


ausfallsichere Firewall

  • Stateful-Firewall, welche Pakete anhand der Verbindungsinformation filtert
  • Intrusion Detection and Prevention System (IDS/IPS)
  • Virtuelle IP-Addressen für Load-Balancing
  • Synchronisation der Konfiguration zu Slave-Nodes über CARP

VPN

  • IPsec-, OpenVPN-, und WireGuard-Support
  • Site-to-site and remote access VPN
  • SSL/TLS VPN for secure remote access

Proxy

  • Squid-Proxy zur Kontrolle der besuchten Webseiten: Whitelist, Blacklist, Nutzerkonto...
  • Reverse-Proxy mit zentraler SSL-Terminierung durch HA-Proxy

zentrale Benutzerverwaltung

  • LDAP-, Active Directory-, und RADIUS-Integration
  • Captive Portal für Gastzugänge

Traffic Shaping and QoS

  • Kontrolle der Bandbreite für bestimmte Anwendungen mit Traffic Shaping
  • Support für Quality of Service Mechanismen

Logging

  • Jeder Dienst führt ein Log über vergangene Aktivitäten und mögliche Fehler
  • Visualisierung der Statistiken in Echtzeit
  • Möglichkeiten zur Berichterstattung

Open Source

  • Support für das installieren von Plugins und deren Integration in die Weboberfläche
  • OPNsense ist ein Open-Source Projekt mit einer sehr aktiven Community
  • Updates kommen regulär und man kann eigene

Kapitel

Weiteres

Verwandte Themen

Links

Abgerufen von „http://wiki.ixheim.de/index.php?title=OPNsense_Cyber_Security&oldid=66991