Transparante bridge/firewall met IDS of IPS

[NuKeM]

Omdat ik vandaag wat tijd heb en het mij wel boeit, ben ik gaan zoeken of het mogelijk is een IDS/IPS te installeren op mijn netwerk. De bedoeling is dat het IDS/IPS zit tussen mijn Fritz!Box LAN (router 1) en mijn eigen Routerboard daarachter (router 2). Daar rijst de eerste vraag al, hoe nuttig is het om dit op die plek te zetten (je zit immers al na een firewall, deze van de eerste router/firewall)... het is een beetje als kijken wie er op je voordeur (router2) komt kloppen terwijl iedereen aan het hek rond het huis komt aanbellen (router1).

Maar kom. Ik wou het eens proberen/testen. Liefst hou ik het ook transparant omdat dat gemakkelijk is in te voegen in de bestaande infrastructuur + een 3de router wat teveel van het goed zou zijn in mijn thuisomgeving
Na wat opzoekingswerk leek pfSense wel interessant met Snort of Suricata. Dan krijg ik een IDS. (Tips m.b.t. andere omgevingen zijn ook welkom). OPNSense ook even snel geprobeerd, maar omwille van keyboard problemen tijdens de installatie ervan in de VM al snel links laten liggen (ook al zou het quasi hetzelfde moeten zijn als pfSense).

De moeilijkheid zit hem in het transparant krijgen van de pfSense en daarna Snort goed in te stellen.
Bijkomende moeilijkheid/abstractie is dat ik alles op een Hyper-V wil laten draaien. Op zich niet zo moeilijk, gewoon bv. in mijn geval 3 virtuele NICs voorzien, en op de echte NIC van de Hyper-V host zien dat alle VLANs binnen komen (tagged), namelijk:
- VLAN 1, waarin de Fritz!Box met internetaansluiting zit, 192.168.1.0/24
- VLAN 5, nieuwe vlan om mee te bridgen, hierin komt dan router/firewall 2, ook 192.168.1.0/24
- VLAN 10, puur voor de webgui en beheer van pfSense

De bedoeling is dan dat ik (dacht ik) de interface met daarop VLAN1 en VLAN5 bridge en Snort los laat op die bridge (waar alles dan door gaat).

Maar, bij mij loopt het al vast op het Bridgen. Er is heel wat informatie over te vinden (die elkaar soms tegenspreekt), bv.:
http://people.pharmacy.purdue.edu/~tarr ... 0Tarrh.pdf
http://pfsense.trendchiller.com/transpa ... rewall.pdf
http://users.ox.ac.uk/~clas0415/assets/ ... rdware.pdf

Daarnaast ter info, Snort op transparante firewall: https://forum.pfsense.org/index.php?topic=65858.0 en https://forum.pfsense.org/index.php/top ... #msg345194

Als ik de stappen volg en de bridge leg, wordt ze gewoon niet gebruikt en heb ik geen internet verbinding meer als ik de WAN van router 2 op VLAN 5 zet ipv VLAN 1 zoals voorheen. De VLANs zitten goed op de switches en worden ook goed doorgeven aan de VM.

Is er iemand hier die dit al eens geprobeerd heeft en misschien tips heeft (over het nut en/of het werkende krijgen ervan of misschien een alternatief heeft)?

[NuKeM]

Toch even melden dat ik na enig gevloek en gezweet een deftige pfsense config heb kunnen opstellen. Meer nog, hij gaat mijn routerboard vervangen (geen transparante firewall meer dus). Pfsense draait nu virtueel op HyperV met twee virtuele CPU's van een i3-4010U en 2Gig Ram. Snort op de WAN durft dan al eens de CPU vol belasten Ik kijk uit naar een nieuwe server (waarschijnlijk ESXi based) voor mijn home-lab.

Voordeel van pfsense is dat de routing nu gewoon aan wire-speed gaat (bij de routerboard RB951G-2HnD niet) en OpenVPN ook iets meer mogelijkheden (UDP etc.) heeft en sneller is.

RouterOS vind ik nog steeds zeer goed, vooral door zijn eenvoudige en goede interface die je snel realtime informatie kon verschaffen, daar kan pfsense wel nog iets van leren!

De routerboard gaat nu extern de OpenVPN-verbinding voorzien voor mijn wekelijkse remote backup. Ik zal hem/winbox missen, maar krijg er wel IPS, extra performance en andere handigheden voor in de plaats.

[Yarisken]

Ik heb net een mikrotik gekocht om makkelijk IDS te kunnen doen.

Ik heb virtueel security onion draaien met 2 nics op een esxi machine. http://blog.securityonion.net/
1 nic is voor management, de andere virtuele nic gaat via zijn fysieke nic gaat naar een poort op de mikrotik die in mirror staat met mijn wan.
Super makkelijk in te stellen op mikrotik .
Je kan ook snort apart installeren op een server. Persoonlijk hou ik liever de zaken wat gescheiden. Een pfsense installeren om IDS te kunnen doen is wat overkill .

Ter info: Ik heb een servertje met een celeron en 16GB ram voor mijn virtuele machines. Als ik download aan volle snelheid dan gaat mijn cpu zwaar in overdrive. Dus een i3 zoals jij hebt is geen overbodige luxe als je nog meer machines wilt draaien.

[NuKeM]

Het kan inderdaad door je WAN trafiek door te sluizen naar een derde machine (zie bv. 1, 2 en 3).
In link 2 zegt men:

System loads
With a network usage at around 7-8 Mb/s, the RB2011 uses about 40-45% CPU with traffic capture enabled, as opposed to 10-15% without traffic capture.

Ik veronderstel dat dat MB/s is. Maar ik wou het risico niet lopen dat ik tegen de limiet van de routerboard aantikte.

Ook, jouw systeem is een IDS (detection) waar bij pfsense IPS (protection) mogelijk is. Toch wel een niet onbelangrijk voordeel (vraagt wel wat tuning om de false positives te limiteren).

Ik heb even zitten kijken naar wat Supermicro spul (Atom C2758 en Xeon D-1518), maar dat gaat over het budget. Hun N3700 oplossing weet mijn te charmeren, maar ik denk daar toch power en geheugen te gaan missen als ik meer wil draaien.
Een mogelijkheid is ook een i3-6100 van Gigabyte met twee (Intel) ethernetpoorten.
Een APU2C4 stond ook op het lijstje, maar ik weet niet of die voldoende power heeft voor Snort en eventueel andere + 'veel' geld voor dedicated hardware.
Allé, je ziet, ik ben er nog niet uit