Freie Firewall OPNSense

Sense mit Angriffen

Die Auswahl einer geeigneten Firewall ist kein leichtes Unterfangen. Denn neben dem Schutzbedarf des Netzwerks und den daraus resultierenden konkreten Anforderungen an die Firewall sind auch das vorhandene Budget und die Skills des Administrationspersonals zu berücksichtigen. Das Angebot kommerzieller Firewallsysteme ist riesig. Insbesondere kleinere Unternehmen sehen da schnell den Wald vor lauter Bäumen nicht mehr. Hier kann der Blick in die Open-Source-Welt lohnen, denn mit OPNSense steht ein freies Firewallsystem auf BSD-Basis zur Verfügung, das auch einige Enterprise-Features bietet.
'Datenbanken' lautet der Schwerpunkt der Dezember-Ausgabe des IT-Administrator. Darin werfen wir einen Blick auf den Firewall-Schutz und das ... (mehr)

Das Akronym OPNSense ist den Entwicklern zufolge abgeleitet von "Open" und "Sense" und steht daher für "Open (source) makes sense". OPNSense basiert auf FreeBSD 10.1 und ist eine Abspaltung von pfSense, das wiederum auf dem zwischenzeitlich eingestellten Projekt "M0n0wall" basiert.

Das erste offizielle Release von OPN­Sense erschien im Januar 2015, der Code wird von der Deciso B.V., einem niederländischen Netzwerkausrüster, gepflegt und erweitert. Weiterhin bietet Deciso auch kommerzielle Support-Pakete für Endkunden und Systemintegratoren an.

OPNSense verfolgt einen sechsmonatigen Release-Zyklus für Major Releases. Derzeit aktuell ist Version 16.7.3 (Dan­cing Dolphin), die Versionsnummern folgen dabei der Namenskonvention "Jahr.Monat", Minor Releases im selben Monat werden durch eine eigene Zahl gekennzeichnet. Die aktuelle Version ist im Juli 2016 erschienen und hat zwischenzeitlich das dritte Minor-Update erfahren. Das nächste Major Release (17.1) erscheint im Januar 2017, Details zur Roadmap sind unter [1] zu finden.

Enterprise-Features an Bord

OPNSense läuft auf x86-Hardware (32 oder 64 Bit) und damit auch auf den gängigen Hypervisoren beziehungsweise in der Amazon Cloud (AWS). Unter [2] stehen vier verschiedene Installationsmedien zum kostenfreien Download bereit:

- cdrom: Standardmedium als ISO Image

- vga: USB-Installations-Image

- serial: USB-Installations-Image mit Unterstützung für die serielle Konsole

- nano: Vorinstalliertes "serial"-Image für 4-GByte-USB-Sticks, SD- oder CF-Karten für Embedded Devices

Darüber hinaus existiert auch eine OPN­Sense-Variante auf Basis von Hardened-BSD [3], einem auf hohe Sicherheit optimierten Fork des FreeBSD-Projekts. Für diese Variante gibt es allerdings keinen offiziellen Support.

Die Feature-Liste von OPNSense ist beachtlich, enthält sie doch neben der IPv4/IPv6-Unterstützung und den klassischen Firewall-Funktionen Stateful Packetfiltering, Intrusion Prevention und VPN auch einige regelrechte Enterprise-Features:

- Hochverfügbarkeit (HA): OPNSense unterstützt den Failover-Betrieb über das Common Address Redundancy Protocol (CARP). Damit lassen sich zwei Firewalls zu einer Failover-Gruppe zusammenfassen. Im Cluster ist immer nur ein System aktiv, Konfigurationsänderungen werden auf alle Sys- teme in einer Failover-Gruppe repliziert. Fällt das Produktivsystem aus, übernimmt automatisch das zweite System aus der Failover-Gruppe den Produktivbetrieb.

- Multi-WAN-Anbindung und Traffic Shaping: OPNSense kann mehrere Internet-Uplinks verwalten und damit Failover, Loadbalancing oder eine Kombination beider realisieren.

- Unterstützung für externe Authentifizierungsserver: OPNSense bringt eine Benutzerdatenbank mit und bindet zusätzlich externe Authentifizierungsdienste wie LDAP inclusive Microsoft Active Directory und RADIUS ein.

- 2-Faktor-Authentifizierung: Für die Dienste Web-GUI, Captive Portal, VPN (OpenVPN & IPsec) und den Caching Proxy unterstützt OPNSense 2-Faktor-Authentifizierung mit One-Time Passwords nach dem TOTP-Standard.

- HTTP / HTTPS / Caching Web Proxy mit Blacklist Support: Der auf Squid basierende Web-Proxy unterstützt auch den Transparent-Modus, bei dem für den Proxy-Betrieb keine Änderung an den Clients erforderlich ist.

- Captive Portal / Voucher Support: Für den Betrieb von Gästenetzwerken (Ethernet oder WiFi) bietet OPNSense ein integriertes Captive Portal inklusive Voucher-Verwaltung.

- 802.1Q VLAN Support: Unterstützung für getaggte VLANs zur Verwaltung mehrerer virtueller Netzwerke.

Fokus: Netzwerksicherheit

Das Hauptaugenmerk von OPNSense liegt eindeutig eher auf dem Network- als auf dem Application Layer. Im Vergleich zu modernen (UTM / XTM) Firewallsystemen fehlen OPNSense daher zur echten Enterprise-Firewall eigentlich "nur" ein SMTP-Proxy mit Antispam-Funktion, User-/Application-Control beziehungsweise "Next-Generation Firewallfunktionen" und ein Virenscanner. Letzterer lässt sich im Bedarfsfall aber über die integrierte ICAP-Schnittstelle von extern andocken, wenn auch derzeit nur für HTTP/HTTPS, nicht aber für SMTP.

Auf Netzwerk-Ebene kann OPNSense dafür aber gleich mehrfach punkten. So bringt es ein sehr leistungsfähiges, auf Suricata basierendes Inline-Intrusion-Detection-System mit, das "ET Open Rules", die freien IDS-Patterns von Emerging Threats, nutzen kann. Weiterhin bindet OPNSense auf Wunsch SSL-Blacklisten von abuse.ch sowie die – ebenfalls kostenlose – GeoIP-Datenbank "Maxmind GeoLite2 Country" ein. Ein weiteres Highlight ist der Netflow Analyzer "Insight", mit dessen Hilfe Admins die Netzwerknutzung auf Benutzer- und Port- beziehungsweise Protokollebene grafisch und "on the fly" aufbereiten können.

Erwähnenswert ist die Tatsache, dass Administratoren bei OPNSense zwischen der Standard-Kryptobibliothek OpenSSL und der freien Alternative LibreSSL wählen können. Angesichts einiger Horror-Bugs der jüngeren Vergangenheit in OpenSSL (Heartbleed, FREAK, Poodle...) ist die Verwendung einer alternativen Kryptobibliothek eine Überlegung wert.

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023