[操作疑難] Firewall 安全技術/防護討論/分享

raywan

小弟玩左pfsense大約十多年,轉用左opnsense有一年多,想請問下除左行IPS/IDS,仲有咩方法可以加強內網/上網安全,現在只有用open source bad ip blocklist做firewall block rules,想請問下有無網路安全專家/玩家可以分享下大家用緊咩技術去block drop hacker/attack?
有無其他師兄玩緊O的好勁firewall /next generation firewall可以比我開下眼界

jimswong

基本上而家防Attack唔止在於Firewall，係講緊cybersecurity，有好多EDR / XDR / SIEM / MDR / SOAR方案，睇下俾幾多錢做幾多野所謂防護，但都唔係民用價錢。

jimswong

仲有Firewall做Scanning都要爆開SSL先叫比較有用...

tongziv

冇野對外,基本上家用就相對安全啦
假設你有野放PORT出行,最少都要加多個WAF
就咁BASIC FIREWALL唔夠
其實好多所謂FIREWALL只係一個比你自由放PORT放NAT等既ROUTER

fakeman

其實好多 security 問題都係源自內部，即係籠裡雞

所以好多企業實際上係要對內網嘅 device 作嚴格管理，獨立 guest VLAN 不在話下，就算 trusted network 都用 802.1x 之類嘅認證，確保 on network device 可以有 trace，甚至種埋自己嘅 SSL cert 去所有內網機去增加透明度

raywan

仲有Firewall做Scanning都要爆開SSL先叫比較有用...
jimswong 發表於 2024-11-26 02:12

    呢個我又唔同意,好似NAS有security問題,基本上比成個地球O的hacker日日scan,試過有排disconnect左port forwarding NAS都有hack 不停試username/password,秒秒都有來自世界不同地方hacker入侵NAS,後來比我發現upnp有security問題,disable左upnp就再無hacker可以login入NAS

upsagel

呢個我又唔同意,好似NAS有security問題,基本上比成個地球O的hacker日日scan,試過有排disconnect左po ...
raywan 發表於 2024-11-26 21:11

    我估 @jimswong 的意思，係SSL MITM decryption 。即在防火牆中可以睇晒https/ssl traffic，但防火牆的外面和裡面依然係加密的。 Sophos 有呢個功能，OPNsense好似冇。有錯請勘誤。

自我業配： 所以我在UPS-N100上同時裝咗 Sophos 和 OPNsense。 OPNSense名氣大D，但Sophos有D商業級功能真係夠佛心比家用免費玩。

upsagel

回覆  fakeman


    請問mesh ap router是否同主router1唔同，佢本身沒有一個獨立ipv4地址？如果在電腦裝 ...
derekchan 發表於 2024-11-26 17:43

    1. Mesh AP 同主路由器嘅 IPv4 有咩唔同？
Mesh AP（無線網絡嘅接入點）本身通常冇獨立嘅外網 IPv4 地址，因為佢淨係負責幫主路由器延伸 Wi-Fi 覆蓋範圍，等你全屋都有好信號。Mesh AP 會用內網 IP（好似 192.168.x.x）同主路由器溝通，而主路由器就負責對外聯網，擁有唯一嘅外網 IPv4 地址。

2. VM 用橋接模式嘅封包係點分？
喺電腦上用 VM（虛擬機）開咗橋接模式，VM 會好似一部實體機咁，向路由器攞一個內網 IPv4 地址。當有外面嘅封包傳入嚟時，路由器會根據 NAT（網絡地址轉換）嚟判斷個封包應該俾邊個內網設備。如果封包嘅目標係 VM 嗰個 IP，就會俾 VM OS；如果唔係，就俾實體機嘅 OS 或其他設備。

3. 有線電視會唔會用 IGMP？佢會唔會食你屋企寬頻流量？
傳統嘅有線電視服務通常唔會用 IGMP（即係網絡組播協議），因為佢係專用頻道直接傳送訊號，所以唔會食你屋企寬頻嘅流量。但如果係 IPTV（網絡電視），就可能會用 IGMP 嚟傳送，咁就會用到你寬頻嘅頻寬。

至於免費高清電視 VS 有線電視：
有線電視並唔係免費高清電視台，佢通常係用預設嘅解像度，消費者係揀唔到畫質嘅。反而免費嘅數碼地面廣播（例如 DVB-T2）會提供高清信號（好似 1080i）。

4. 高清電視嘅廣播同 5G 係咪相似？
高清電視訊號（例如 DVB-T2）同 5G 技術其實有分別。雖然佢哋都係用無線電波傳送，但電視廣播係用嚟固定傳輸視頻內容，好似高清節目（例如 1080i）。而 5G 就係用蜂窩技術，除咗視頻串流之外，仲支援其他數據應用，好多功能都係更彈性化。

5. WhatsApp 嘅語音加密係 HTTPS 嗎？
WhatsApp 嘅語音通話加密（端對端加密，E2EE）並唔係用 HTTPS，而係用 Signal 協議。呢個協議可以確保通話內容淨係由發送方同接收方睇到，中間嘅伺服器或者第三方完全無法攔截。

6. 收驗證碼 SMS 用咩協議？佢安全性點樣？
傳統 SMS 係用 SMPP 協議（短消息點對點協議），喺電訊商嘅專用網絡傳輸，唔經互聯網。
比較安全性：

SMS 嘅加密層冇 HTTPS 咁高，傳輸期間有機會被攔截，所以安全性低啲。
HTTPS 驗證碼或者信用卡付款用公鑰加密，整體上會比 SMS 安全啲。
7. Wi-Fi 熱點分享數據時，兩部機嘅 IP 有冇分別？
當手機開咗 Wi-Fi 熱點功能，共享移動數據俾另一部機：

外網 IP（IPv4）： 兩部機係共用同一個外網 IP，由手機網絡供應商分配。
內網 IP（IPv4）： 手機熱點會分配一個內網地址（例如 192.168.x.x）俾連接嘅設備。
咁樣，外網地址一樣，但內網地址唔同。

8. 用 IP Cam 喺外地連屋企嘅問題
如果你屋企 IP Cam 係用公網 IPv4 地址嚟外地連接，一旦 ISP 更改咗你嘅公網 IP，短時間內係有機會失聯，因為外地裝置搵唔到新 IP。解決方法：

使用 動態域名系統（DDNS），將變動的公網 IP 與固定域名綁定，讓你即使 IP 改變，也能通過域名訪問設備。
啟用 P2P 連線功能（很多現代 IP Cam 支持），由設備廠商的伺服器中繼連接。

bunch

回復 8 #upsagel

OPNSense可以起個transparent proxy
再起兩條LAN Rules將destination係80同443嘅指去proxy度都得
係Client要手動add左個private CA呢下麻煩

via HKEPC Reader for Android