Beiträge zu “pfSense”

Router zurücksetzen

Vielleicht fühlt sich der eine oder andere wegen diesem Aufruf zu einem Router Reset ja angesprochen.

Hier die Schritte um es nach aktuellem Stand richtig zu machen

  1. Dokumentation aller Änderungen: Provider Informationen DNS, IP, Telefonnumern (aber das habt Ihr ja wahrscheinlich eh schon). Kein Backup des Routers.
  2. Die aktuellste Version der Firmware laden und prüfen. Es macht keinen Sinn das mit dem Router Management zu machen wenn sich eine Malware darauf befindet die euch wieder eine falsche Version unterjubelt
  3. Router vom Internet abtrennen und neu starten
  4. Router zu Werkseinstellungen zurücksetzen und noch nicht an das Internet anschliessen.
  5. Die gerade geladene Firmware installieren.
  6. Die dokumentierten Konfigurationen wieder eintragen
  7. Ein eigenes starkes Kennwort einstellen und wenn möglich den Adminnamen auf etwas eigenen persönliches ändern
  8. Prüfen ob eine Fernwartung aktiviert ist und ausschalten
  9. Wechselt die IP Range von 192.168.1.x auf etwas anderes was nicht Standard ist (192.168.148.x oder 10.12.122.x)
  10. Tragt einen DNS Server ein z.B. Quad9 9.9.9.9 und Google 8.8.8.8
  11. Router anschliessen und rebooten.

Besser wäre natürlich einfach mal pfsense auszuprobieren

8.6.18
Weitere Beiträge zu: pfSense   Sicherheit   Router  

Router Malware VPNFilter

Hier habe ich zum ersten Mal von einem Angriff auf diverse Standardrouter von verschiedenen Herstellern gelesen.

Aktuell zeigt sich anscheinend erst das ganze Ausmaß dieses Angriffs. Inzwischen hat das FBI die Bürger dazu aufgerufen die Router neu zu starten.

Gestern hat Talos ein Update der Erkenntnisse veröffentlicht. Die Liste der betroffenen Geräte ist grösser geworden und es gibt Beschreibungen was genau das “Ding” kann.

Es wird nicht nur der Verkehr kompromittiert der über diesen Router läuft, sondern es werden auch Geräte im Netzwerk angegriffen.

Das liest sich gar nicht gut.

These new discoveries have shown us that the threat from VPNFilter continues to grow. In addition to the broader threat surface found with additional targeted devices and vendors, the discovery of the malware’s capability to support the exploitation of endpoint devices expands the scope of this threat beyond the devices themselves, and into the networks those devices support. If successful, the actor would be able to deploy any desired additional capability into the environment to support their goals, including rootkits, exfiltration capability and destructive malware.

6.6.18
Weitere Beiträge zu: pfSense   Sicherheit   VPNFilter  

Wake on Lan über VLANs hinweg

Ich wollte einen Backup Server der in einem separaten VLAN steht über den Wake on LAN Mechanismus wecken. WOL an sich geht den darüber wird der Server jede Nach von der pfSense Firewall geweckt.

Nur leider klappte es nicht von einem Debian Rechner in einem anderen VLAN.

Eigentlich sollte das gehen

  wakeonlan -i 192.168.xx.255 00:xx:yy:zz:0c

Auch etherwake ging leider nicht durch

  etherwake -i eth1 00:xx:yy:zz:0c -b 192.168.xx.255

Erst mit einem statischen ARP Eintrag in der DHCO Konfiguratin der pfsense firewall ging es dann mit diesem Befehl

  wakeonlan -i 192.168.xx.4 00:xx:yy:zz:0c

Ich habe die Logik dafür nur teilweise verstanden also: Use At Your Own asterisk

30.5.18
Weitere Beiträge zu: pfSense   debian   WOL  

Warum ein Opensource Router wie pfSense?

Opensource Router sind nicht pauschal sicherer. Aber das ein solcher Angriff denkbar wird ist deutlich unwahrscheinlicher.

Working with our partners, we estimate the number of infected devices to be at least 500,000 in at least 54 countries. The known devices affected by VPNFilter are Linksys, MikroTik, NETGEAR and TP-Link networking equipment in the small and home office (SOHO) space, as well at QNAP network-attached storage (NAS) devices.

23.5.18
Weitere Beiträge zu: pfSense   Sicherheit   VPNFilter  

pfSense Update auf 2.4

Schon seit einiger Zeit schiebe ich ein Update meiner pfSense 2.3.5-x auf die aktuelle 2.4.x vor hier her. Gestern war es dann soweit.

Als Vorbereitung habe ich mich an diesen Guide eingehalten.

  1. Alle Zusatzpakete deinstalliert
  2. Die aktuelle Firmware für den Fall einer Neuinstallation von hier geladen
  3. Mir noch mal heraus gesucht wie ich von Linux auf die Console komme

und dann den Upgrade gestartet der laut Weboberfläche auch erfolgreich war.

Danach war erst mal warten angesagt. Und zwar ein paar Minuten. Ich hab es (leider) nicht gestoppt aber es waren laaannnnge Minuten.

   From 192.168.xxx.yy icmp_seq=568 Destination Host Unreachable
   From 192.168.xxx.yy icmp_seq=569 Destination Host Unreachable
   64 bytes from 192.168.xxx.1: icmp_seq=579 ttl=64 time=0.278 ms
   64 bytes from 192.168.xxx.1: icmp_seq=580 ttl=64 time=0.127 ms
   64 bytes from 192.168.xxx.1: icmp_seq=581 ttl=64 time=0.132 ms
   64 bytes from 192.168.xxx.1: icmp_seq=582 ttl=64 time=0.136 ms

Dann war ich “back in business”. Alles noch mal grob kontrolliert und die gelöschten Pakete neu deinstalliert.

Hoffentlich bleibt es so wunderschön stabil wie die vergangenen Jahre.

18.2.18
Weitere Beiträge zu: pfSense  

Warum Netzwerksegmente für IOT?

Falls sich jemand fragt warum man besser ein separates abgetrenntes Netzwerksegment für die “smarten” Geräte betreiben sollte der kann ja mal hier nachlesen

Bei vielen Fernsehern kann man nur von mangelnder Sicherheit sprechen

They allowed researchers to pump the volume from a whisper to blaring levels, rapidly cycle through channels, open disturbing YouTube content, or kick the TV off the WiFi network.

während gleichzeitig massiv Nutzungsdaten übertragen werden

Race through your TV’s setup, agreeing to everything, and a constant stream of viewing data will be collected through automatic content recognition. The technology identifies every show you play on the TV—including cable, over-the-air broadcasts, streaming services, and even DVDs and Blu-ray discs—and sends the data to the TV maker or one of its business partners, or both.

Das ist nicht das einzige Argument auch ein privates Netzwerk zu trennen. Vielleicht hilft es aber mal dem einen oder anderen damit zu beginnen.

17.2.18
Weitere Beiträge zu: Privatsphäre   pfSense   vlan  

pfSense: USB Datenträger verwenden

Ich wollte einen USB Stick in meinem ALIX Board für die pfSense Firewall einbinden. Ziel war es Logdateien und Caches Verzeichnisse von der CF Karte auf einen USB Stick zu verlagern. Mit folgenden teilweise recht rustikalen Schritten im Terminal ist mir das gelungen.

Zuerst herausfinden unter welcher Adresse der USB Stick erkannt worden ist

dmesg

 TEST UNIT READY. CDB: 0 0 0 0 0 0
(probe0:umass-sim0:0:0:0): CAM status: SCSI Status Error
(probe0:umass-sim0:0:0:0): SCSI status: Check Condition
(probe0:umass-sim0:0:0:0): SCSI sense: UNIT ATTENTION asc:28,0 (Not ready to ready change, medium may have changed)
da0 at umass-sim0 bus 0 scbus0 target 0 lun 0
da0: < USB Flash Drive 8.07> Removable Direct Access SCSI-2 device
da0: 40.000MB/s transfers
da0: 1973MB (4040704 512 byte sectors: 255H 63S/T 251C)

Dann ein neues Filesystem und das Verzeichnis zum mounten anlegen.

newfs -U -L CacheDisk /dev/da0s1
/dev/da0s1: 1967.9MB (4030264 sectors) block size 16384, fragment size 2048
    using 11 cylinder groups of 183.77MB, 11761 blks, 23552 inodes.
    with soft updates
super-block backups (for fsck -b #) at:
 160, 376512, 752864, 1129216, 1505568, 1881920, 2258272, 2634624, 3010976, 3387328, 3763680

mkdir /mnt/cache

Damit man die Filesystem Tabelle editieren kann muss zuerst die Root Partition zum schreiben gemounted werden und dann kann man die notwendige Erweiterung in der /etc/fstab einfügen.

mount -u -w /dev/ufs/pfsense0
vi /etc/fstab
    /dev/da0s1 /mnt/cache ufs rw,sync,noatime 1 1

Jetzt kann man den Stick zwar schön mounten aber damit wird aber noch nicht automatisch gemounted beim booten. Keine Ahnung warum das so schwierig it aber ich habe keine direkte Lösung gefunden.

Am Ende bin ich dann auf die Datei /etc/rc gestossen in der auch die /cf automatische gemounted wird.  Ich habe dann einfach die Zeile

/sbin/mount -w /mnt/cache 2>/dev/null

dort eingefügt und gut war. Man muss allerdings beim Systemupdate aufpassen da ich vermute das diese Datei wieder auf das Original zurückgesetzt wird.

27.8.13
Weitere Beiträge zu: pfSense  

HTTP Anti-Virus Scanning mit HAVP auf pfsense

Ich wollte mit einem Webproxy und integriertem Virenscanner meinen Arbeitsplätzen einen weiteren zusätzlichen Schutz vor Angriffen beim Surfen bieten. Für pfsense gibt es dazu fertige Pakete und die Installation ist denkbar einfach. Außerdem lässt sich HAVP auf pfSense als transparenter Zwangsproxy verwenden. Hört sich toll an. Sagt nix anderes als das auf den Clients nichts eingestellt werden muss. Zuerst wird Squid als als Caching-Proxy installiert und dann HAVP.

Will man Squid installieren gilt es einfach unterSsystem \package manager rechts neben der beschreibung auf "Plus" zu drücken. Nach ein paar Minuten ist der Proxy installiert und auch schon gestartet. Unter "status - Services" kann man diese prüfen. Folgende Einstellung müssen vorgenommen werden

201007-pfsense-squid-config-1.pngDann Havp. Wird zwar nicht mehr weiterentwickelt scheint aber noch zu tuen was es soll. Wieder im Package Manager das Plus zeichen drücken und warten das es installiert wird. Die Konfiguration geht recht schnell. In den Settings auf "Show Antivirus" drücken.

201007-pfsense-havp-config-1.pngund dann den Haken bei Enable setzen sowie die Netzwerkadapter auswählen und einen Proxy Port angeben

201007-pfsense-havp-config-2.png

Zum Testen ob alles funktionier gibt es sogenannten Signaturdateien die von allen Virenscannern als Virus erkannt werden ohne allerdings einer zu sein. z.B. hier

201007-pfsense-havp-test-eicar.pngWill man dann noch diese Seite aufhübschen oder anpassen so soll das in den Dateien hier

/usr/local/share/examples/havp

gehen (noch nicht getestet / vielleicht später mal)

5.7.10
Weitere Beiträge zu: pfSense  

VPN mit OpenVPN und pfSense

Ich möchte ein virtuelles privates Netzwerk (VPN) installieren um sicher über das Internet auf mein privates Netzwerk zugreifen zu können. pfSense bietet diese Möglichkeit. Als Clients sind Note- / Netbooks mit Ubuntu im Einsatz. Der Ablauf ist so. Erst werden die Konfigurationsdateien erstellt, dann wird der Server konfiguriert und dann ist der Client dran.

Disclaimer: dies sind meine Notizen nach bestem Gewissen. Bitte erst Denken dann Abtippen ;-) Es wird mit Sicherheit Möglichkeiten geben das schneller/besser zu machen aber so bin ich ans Ziel gekommen.

Zuerst gilt es das OpenVPN Packet zu installieren. Auf Ubunutu geht das ziemlich einfach über den Packetmanager. Im OpenVPN Packet ist ein Verzeichniss, das es einem erlaubt schnell eine einfache und kleine Konfiguration zu erstellen: EasyRSA

Konfiguration erstellen

Zuerst kopiert man die Templates in ein eigenes Verzeichniss

sudo mkdir /etc/openvpn/myvpn
sudo cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/myvpn/

Dann editiert man eine Textdatei und gibt Angaben zu Land, Organisation, Servernamen.

sudo vi /etc/openvpn/myvpn/vars

export KEY_COUNTRY="DE"
export KEY_PROVINCE="NRW"
export KEY_CITY="Meckenheim"
export KEY_ORG="hbauer"
export KEY_EMAIL="hagen-bauer@web.de"

Dann "baut" man durch aufrufen von ein paar Scripts die notwendigen CA, Keyfiles sowohl für den Server als auch für den Client ... (das zu erklären führt hier zu weit)

sudo su -
cd /etc/openvpn/myvpn/
source ./vars
./clean-all
./build-dh
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
........+..............+..........................................+....+...........................

./pkitool --initca
./pkitool --server server1
cd keys/
openvpn --genkey --secret ta.key
./build-key client1
Generating a 1024 bit RSA private key
...............++++++

writing new private key to 'client1.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [DE]:
State or Province Name (full name) [NRW]:
Locality Name (eg, city) [Meckenheim]:
Organization Name (eg, company) [hbauer]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [client1]:
Name []:
Email Address [hagen-bauer@web.de]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/myvpn/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'DE'
stateOrProvinceName   :PRINTABLE:'NRW'
localityName          :PRINTABLE:'Meckenheim'
organizationName      :PRINTABLE:'hbauer'
commonName            :PRINTABLE:'client1'
emailAddress          :IA5STRING:'hagen-bauer@web.de'
Certificate is to be certified until Mar 23 08:09:03 2020 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Das wars damit hat man die notwendigen Zertificate, CA , Key files.

pfSense konfigurieren

Jetzt wird der Openvpn Server auf pfSense konfiguriert. Zuerst auf der administrativen Oberfläche einloggen und dann unter

201004-pfsense-openvpn1.png

einen neuen Server anlegen. Wichtig ist, daß der Adresspool ein Netzwerk ist, welches momentan noch nicht benutzt wird. Aus eigener Erfahrung empfehle ich auch nicht die Standardwerte 192.168.1.1 zu nehmen. Die sind häufig auch in Hotels im Einsatz und das beist sich dann.

Protocol: UDP
Local port: 1194
Address pool: 192.168.xx.0/24
Remote Network: blank
Cryptography: BF-CBC (128 bit)
Authentication Method: PKI
CA certificate => <Inhalt der Datei ca.crt>
Server Certificate =>
<Inhalt der Datei server.crt >
Server Key =>
<Inhalt der Datei server.key>
DH parameters =>
<Inhalt der Datei dh1024.pem>
LZO Compression = on

Jetzt noch Regeln auf der Firewall damit "was durchkommt. Auf

201004-pfsense-openvpn2.png

eine neue Regel anlegen

PASS
WAN
Protocol: TCP
source: any
OS type: any
Destination: any
Destination port range from: OpenVPN
Destination port range to: OpenVPN
LOG => true

Der Rest bleibt default.

Setup des Client Rechners

Auf dem Client habe ich unter /etc/openvpn ein Verzeichniss "clients" angelegt. Dort kommt auch die Konfigurationsdatei hin.
 

cd /etc/openvpn/
mkdir clients
cd clients/
cp /home/hbauer/Documents/keys/client1.* .
cp /home/hbauer/Documents/keys/ca.crt .
cd ..

und jetzt die Konfigurationsdatei.

vi server1.conf

dev tun
proto tcp-client
remote <your-server-address>
ping 30
persist-tun
persist-key
cipher bf-cbc
tls-client
ca /etc/openvpn/clients/ca.crt
cert /etc/openvpn/clients/client1.crt
key /etc/openvpn/clients/client1.key
ns-cert-type server
comp-lzo
pull

Ich kann zwar die Networkmanager in Ubuntu mit den Openvpn daten füttern aber leider wird das nicht erfolgreich gestartet. Deswegen einfach als root von der Kommando zeile.
 

openvpn --config /etc/openvpn/clients/server1.conf

und wenn euch dann ein

Initialization Sequence Completed

anlacht seit Ihr drin

Man kann das ganze jetzt auch noch automatisieren oder bei jedem Starten aber das brauche ich eigentlich nicht.

 

11.6.10
Weitere Beiträge zu: OpenVPN   pfSense  

pfsense als Nabaztag Gateway

Ich hatte ja an dieser Stelle beschrieben, wie ich einen Nabaztag dazu benutze mir neue Nachrichten auf meinem Asterisk Anrufbeantworter anzuzeigen. Der Nabaztag der ersten Generation hat einen grossen Nachteil. Er kann nur Verschlüsselung nach WEP. (Ich hoffe es weiss jeder, daß diese Verschlüsselung nicht sicher genug ist). Aus diesem Grund betreibe ich den Nabaztag mit in folgender Konfiguration.
ma311.jpg

Meine pfSense Firewall hat eine alte Netgear WLAN Karte MA311 eingebaut. Diese WLAN Karte betreibe ich als ungesichterten Access Point. Über die Firewall Regeln erlaube ich Geräten, die sich an dieses Netzwerk anmelden, genau das zu tuen was mein Nabaztag braucht. Nämlich den Zugriff auf eine IP Adresse und den DNS Server um eine Adresse aufzulösen. Wenn sich also mein Nachbar an dem Netz anmeldet bekommt er eine IP Adresse und das wars. :-(

So kann man das in pfSense einrichten.

1. Einrichten einer Netzwerkarte als opt1nabaz Netzwerk

 

201005-pfsense-nabaz-netzwerk-1.png

 

2.DHCP auf diesem diesem Netzwerk einrichten

201005-pfsense-nabaz-dhcp.png

3. Firewall Regeln

201005-pfsense-nabaz-rules.png

2.6.10
Weitere Beiträge zu: Nabaztag   pfSense  

pfSense: Portforwarding muss man "von draussen" testen

Eigentlich ist das mit dem Portforwarding bei pfsense eine recht einfache Sache. Im Menüpunkt Firewal: Nat : Portforwarding die Adresse eintragen über die man von draussen erreichbar sein möchte (ich nehme hier lieber nicht standard ports) und den internen Rechner mit Port angeben.

Das wars. Wenn man weiss das das ganze nicht klappt wenn man es "von drinnen" testet. Wenn ich also in meinem LAN bin und über meine externe Addresse wieder "reinmöchte" dann geht das nicht. Mann muss das testen wenn man ausserhalb des eigenen Netzes ist. z.B. UMTS karte. Dann gehts. 201005-pfsense-portforward.png


19.5.10
Weitere Beiträge zu: pfSense  

pfSense Firewall installieren

pfsense-logo.PNGIch habe jetzt auf die Firewall/Router Software pfsense gewechselt. Bisher wurde diese Aufgaben von der Fritzbox überommen. In naher Zukunft brauche ich eine echte DMZ und weitere Funktionen die man auf einer Fritzbox nicht bekommt. Basis ist eine alter x342 von IBM. (Kaufpreis 10 Euro + Plus Versand). Ausserdem brauchte ich noch ein altes DSL Modem.

Die Installation ist simpel. Packet runterladen, auf CD brennen und booten. Die Zuweisung der Netzwerkarten geschieht einfach. Einfach wenn man gefragt wird das Kabel reinstecken. Bei mir erstmal ein WAN für "nach draussen" und ein Lan für "drinnen". Später kommt noch ein Wirelesss Accesspoint hinzu der meine Nabaztag "sicher" ans Internet anschliesst.

Auf der Console bekommt man ein einfaches Menu wo man die Lan Adresse auf sein Netzwerk anpassen sollte. Wer möchte kann direkt auf die Festplatte installieren. Wenn man die ganze Festplatte nimmt ist das schwierigste daran eigentlich immer den default accept Knopf zu finden.

Hat man das geschafft kann man den Bildschirm ausschalten und über eine Webanwendung weiterkonfigurieren. Das erste was man machen sollte ist die DSL Benutzerdaten anzugeben. Meine grösste Hürde hier war das ich nicht genau wusste in welchem Format das zu geschehen hat. Für den Usernamen fügt man die zwölfstellige Anschlusskennung, die zwölfstellige T-Online-Nummer, die vierstellige Mitbenutzernummer sowie "@t-online.de" ohne Leerstellen und Anführungszeichen hintereinander ein.

Das wars. Wenn noch DHCP braucht (läuft bei mir woanders) muss man das noch einschalten.

201004-pfsense-wan.gif

15.5.10
Weitere Beiträge zu: pfSense  

Dies ist ein privater Blog von Hagen Bauer- berufstätiger Vater, Ehemann, Naturliebhaber, Läufer, Zelter, technikverliebt.


Creative Commons License
This blog is licensed under a Creative Commons License