標題: [操作疑難] Firewall 安全技術/防護討論/分享 [打印本頁]

---

作者: raywan    時間: 2024-11-26 00:44     標題: Firewall 安全技術/防護討論/分享

小弟玩左pfsense大約十多年,轉用左opnsense有一年多,想請問下除左行IPS/IDS,仲有咩方法可以加強內網/上網安全,現在只有用open source bad ip blocklist做firewall block rules,想請問下有無網路安全專家/玩家可以分享下大家用緊咩技術去block drop hacker/attack?
有無其他師兄玩緊O的好勁firewall /next generation firewall可以比我開下眼界

---

作者: jimswong    時間: 2024-11-26 10:00

基本上而家防Attack唔止在於Firewall，係講緊cybersecurity，有好多EDR / XDR / SIEM / MDR / SOAR方案，睇下俾幾多錢做幾多野所謂防護，但都唔係民用價錢。

---

作者: jimswong    時間: 2024-11-26 10:12

仲有Firewall做Scanning都要爆開SSL先叫比較有用...

---

作者: tongziv    時間: 2024-11-26 11:15

冇野對外,基本上家用就相對安全啦
假設你有野放PORT出行,最少都要加多個WAF
就咁BASIC FIREWALL唔夠
其實好多所謂FIREWALL只係一個比你自由放PORT放NAT等既ROUTER

---

作者: fakeman    時間: 2024-11-26 14:33

其實好多 security 問題都係源自內部，即係籠裡雞

所以好多企業實際上係要對內網嘅 device 作嚴格管理，獨立 guest VLAN 不在話下，就算 trusted network 都用 802.1x 之類嘅認證，確保 on network device 可以有 trace，甚至種埋自己嘅 SSL cert 去所有內網機去增加透明度

---

作者: derekchan    時間: 2024-11-26 17:43

提示: 作者被禁止或刪除 內容自動屏蔽

---

作者: raywan    時間: 2024-11-26 21:11




    呢個我又唔同意,好似NAS有security問題,基本上比成個地球O的hacker日日scan,試過有排disconnect左port forwarding NAS都有hack 不停試username/password,秒秒都有來自世界不同地方hacker入侵NAS,後來比我發現upnp有security問題,disable左upnp就再無hacker可以login入NAS

---

作者: upsagel    時間: 2024-11-26 22:09




    我估 @jimswong 的意思，係SSL MITM decryption 。即在防火牆中可以睇晒https/ssl traffic，但防火牆的外面和裡面依然係加密的。 Sophos 有呢個功能，OPNsense好似冇。有錯請勘誤。

自我業配： 所以我在UPS-N100上同時裝咗 Sophos 和 OPNsense。 OPNSense名氣大D，但Sophos有D商業級功能真係夠佛心比家用免費玩。

---

作者: upsagel    時間: 2024-11-26 22:16




    1. Mesh AP 同主路由器嘅 IPv4 有咩唔同？
Mesh AP（無線網絡嘅接入點）本身通常冇獨立嘅外網 IPv4 地址，因為佢淨係負責幫主路由器延伸 Wi-Fi 覆蓋範圍，等你全屋都有好信號。Mesh AP 會用內網 IP（好似 192.168.x.x）同主路由器溝通，而主路由器就負責對外聯網，擁有唯一嘅外網 IPv4 地址。

2. VM 用橋接模式嘅封包係點分？
喺電腦上用 VM（虛擬機）開咗橋接模式，VM 會好似一部實體機咁，向路由器攞一個內網 IPv4 地址。當有外面嘅封包傳入嚟時，路由器會根據 NAT（網絡地址轉換）嚟判斷個封包應該俾邊個內網設備。如果封包嘅目標係 VM 嗰個 IP，就會俾 VM OS；如果唔係，就俾實體機嘅 OS 或其他設備。

3. 有線電視會唔會用 IGMP？佢會唔會食你屋企寬頻流量？
傳統嘅有線電視服務通常唔會用 IGMP（即係網絡組播協議），因為佢係專用頻道直接傳送訊號，所以唔會食你屋企寬頻嘅流量。但如果係 IPTV（網絡電視），就可能會用 IGMP 嚟傳送，咁就會用到你寬頻嘅頻寬。

至於免費高清電視 VS 有線電視：
有線電視並唔係免費高清電視台，佢通常係用預設嘅解像度，消費者係揀唔到畫質嘅。反而免費嘅數碼地面廣播（例如 DVB-T2）會提供高清信號（好似 1080i）。

4. 高清電視嘅廣播同 5G 係咪相似？
高清電視訊號（例如 DVB-T2）同 5G 技術其實有分別。雖然佢哋都係用無線電波傳送，但電視廣播係用嚟固定傳輸視頻內容，好似高清節目（例如 1080i）。而 5G 就係用蜂窩技術，除咗視頻串流之外，仲支援其他數據應用，好多功能都係更彈性化。

5. WhatsApp 嘅語音加密係 HTTPS 嗎？
WhatsApp 嘅語音通話加密（端對端加密，E2EE）並唔係用 HTTPS，而係用 Signal 協議。呢個協議可以確保通話內容淨係由發送方同接收方睇到，中間嘅伺服器或者第三方完全無法攔截。

6. 收驗證碼 SMS 用咩協議？佢安全性點樣？
傳統 SMS 係用 SMPP 協議（短消息點對點協議），喺電訊商嘅專用網絡傳輸，唔經互聯網。
比較安全性：

SMS 嘅加密層冇 HTTPS 咁高，傳輸期間有機會被攔截，所以安全性低啲。
HTTPS 驗證碼或者信用卡付款用公鑰加密，整體上會比 SMS 安全啲。
7. Wi-Fi 熱點分享數據時，兩部機嘅 IP 有冇分別？
當手機開咗 Wi-Fi 熱點功能，共享移動數據俾另一部機：

外網 IP（IPv4）： 兩部機係共用同一個外網 IP，由手機網絡供應商分配。
內網 IP（IPv4）： 手機熱點會分配一個內網地址（例如 192.168.x.x）俾連接嘅設備。
咁樣，外網地址一樣，但內網地址唔同。

8. 用 IP Cam 喺外地連屋企嘅問題
如果你屋企 IP Cam 係用公網 IPv4 地址嚟外地連接，一旦 ISP 更改咗你嘅公網 IP，短時間內係有機會失聯，因為外地裝置搵唔到新 IP。解決方法：

使用 動態域名系統（DDNS），將變動的公網 IP 與固定域名綁定，讓你即使 IP 改變，也能通過域名訪問設備。
啟用 P2P 連線功能（很多現代 IP Cam 支持），由設備廠商的伺服器中繼連接。

---

作者: bunch    時間: 2024-11-26 23:02

本帖最後由 bunch 於 2024-11-26 23:14 編輯

回復 8 #upsagel

OPNSense可以起個transparent proxy
再起兩條LAN Rules將destination係80同443嘅指去proxy度都得
係Client要手動add左個private CA呢下麻煩

via HKEPC Reader for Android

---

作者: raywan    時間: 2024-11-26 23:10




    睇到SSL TRAFFIC有咩用途?係睇唔睇到內容係咩,如果加密左,應該只係見到o的連線,睇唔到真正內容,如果用左VPN加密連線,再加上平時上網用HTTPS,應該咩都睇唔到
仲有一個問題想請教下,如果隻ROUTER長期比幾個ip 不停PORT SCAN/ICMP ATTACK,除左轉ip之外,有咩方法可以停止佢,我個個鐘都見到某幾個IP LOG特別多,唔通真係要DDOS返佢個IP?

---

作者: bunch    時間: 2024-11-26 23:21

本帖最後由 bunch 於 2024-11-26 23:27 編輯

回復 11 #raywan

做法有好多
SSL MITM其實就係類似transparent proxy
你所有Destination係80同443嘅都去transparent proxy度(又或者你browser指住用proxy出街)

你去Proxy果度嘅encryption係router張private cert
而Proxy會代你連過去
所以所有野會響Firewall度decrypt好再用private cert包返比client

至於你話Client事先開左VPN都唔係完全冇方法，果D響client side都要裝application嘅都做到，但我未見過免費

而長期比人Scan嘅野，而家所有IP都係咁架喇，轉完都一樣，想主動D嘅，用GEOIP封左D唔會係客嘅區域
(否則邊會有Test話XP機祼跑放出街十秒就被hack)

via HKEPC Reader for Android

---

作者: jwong2k04    時間: 2024-11-27 11:53

我就開一條 rule drop PORT SCAN packet
開另一條  rule 加哂果啲 IP 嚟 drop

---

作者: raywan    時間: 2024-11-27 15:49



呢個方法唔太可行,O的ip太多，日日都唔同，無可能用入手加入

---

作者: jwong2k04    時間: 2024-11-27 18:26

本帖最後由 jwong2k04 於 2024-11-27 18:37 編輯


行緊，暫時手動 droplist 有 263 個 entries
不過我唔係 IP 計，直接 class A/B/C (/8, /16, /24) 咁 drop
現在平均一星期才出現一次掃 port
慢慢加入 droplist 就好

另外又有一條 rule 係定期更新另一個 blacklist
    "https://www.spamhaus.org/drop/drop.txt"
    "https://www.spamhaus.org/drop/edrop.txt"
    "https://www.spamhaus.org/drop/dropv6.txt"
    "https://opendbl.net/lists/etknown.list"
    "https://opendbl.net/lists/tor-exit.list"
    "https://opendbl.net/lists/bruteforce.list"
    "https://opendbl.net/lists/blocklistde-all.list"
    "https://opendbl.net/lists/talos.list"
    "https://opendbl.net/lists/dshield.list"
    "https://opendbl.net/lists/sslblock.list"

手動 droplist 攔截得多過外間既 blacklist

---

作者: raywan    時間: 2024-11-27 22:41



師兄你呢個方法都唔錯,我都有用開數十個不同blocklist,所有blocklist IP大約有350萬個,當中應該都有好多ip係重復,但係唔同blocklist有不同更新時間,快至15分鐘更新一次,一般都係1~6小時內更新一次,慢既去到7~14日先更新一次,所以應該有大部份係重復IP,但我想講有部份攻擊IP只會響香港出現,我所有blocklist點更新都block 唔到呢幾個到十幾個IP,呢幾十個IP已經不停攻擊我好多個星期
如果有其他師兄想要free bad IP blocklist/DNS domain,我都可以分享下 e.g (FireHOL, AbuseIPDB, EllioThreat, ipsum, myip_ms......)

---

作者: siacelestar    時間: 2024-11-29 07:51

回復 5 #fakeman

呢樣最真
唔係都唔會早排有新聞報政府內部電腦禁用網上file storage/sharing
大公司禁曬USB storage

講真對比起俾人hack
End user自己亂黎 跌手指呢啲先仲得人驚...

via HKEPC Reader for Android

---

作者: fakeman    時間: 2024-12-1 01:23



係呀，我公司已經禁止寫入 USB drive，除非工作需要而拎到高層 approval 先有例外（仲要只係有時間性）
因為有晒自家 certificate，所以你就算 online file storage 佢都會知道你 upload 咗 d 乜

先唔講呢 d 嘢，單係 notebook 電腦係街中毒然後 network 散開已經死唔少，認真講邊有咁多直接係 network 而來嘅 hacker 去搞你 router 丫

---

作者: derekchan    時間: 2024-12-1 16:46

提示: 作者被禁止或刪除 內容自動屏蔽

---

作者: kirafung    時間: 2024-12-4 09:20




    Sophos 有咩免費玩, 可以分享下嗎?