Freie Firewall OPNSense » ADMIN-Magazin

Aus IT-Administrator 12/2016

'Datenbanken' lautet der Schwerpunkt der Dezember-Ausgabe des IT-Administrator. Darin werfen wir einen Blick auf den Firewall-Schutz und das ... (mehr)

Firewall-Konfiguration

Nach Abschluss der Grundkonfiguration lohnt ein Blick unter "Firewalls / Rules / LAN", denn dort hat OPNSense automatisch drei Firewall-Regeln erzeugt. Die erste "Anti Lockout Rule" sorgt dafür, dass der Zugriff auf die Web-GUI immer möglich bleibt und Sie sich nicht durch eine andere Regel versehentlich aus dem System aussperren. Die zweite und dritte Regel erlauben den Zugriff per IPv4 und IPv6 in alle Netze und für alle Dienste. Mit dieser Default-Einstellung haben also alle an die Firewall angeschlossenen Netze uneingeschränkten Zugriff auf alle Dienste und Netze und damit auch auf das Internet. Die dafür erforderliche NAT-Konfiguration nimmt OPNSense ebenfalls selbständig vor: Unter "Firewall / NAT / Outbound" ist der Modus "Automatic outbound NAT rule generation" aktiv.

Bild 2: Durch die Einbindung der kostenfreien DROP- und EDROP-Listen von Spamhaus unterbindet OPNSense jegliche Kommunikation mit IP-Netzwerken, die bekanntermaßen für kriminelle Zwecke genutzt werden

Der Vorteil dieser offenen Konfiguration ist, dass der Internet-Zugriff sofort funktioniert und alle Dienste korrekt arbeiten. Ein wichtiges Paradigma für die Konfiguration von Firewalls lautet allerdings "Alles, was nicht explizit erlaubt wurde, ist verboten". So sollte beispielsweise ausschließlich dem internen Mailserver gestattet werden, per SMTP in Richtung Internet zu kommunizieren. Die Gefahr ist ansonsten einfach zu groß, dass sich Malware im Netz diese Freizügigkeit zu Nutze macht und vertrauliche Informationen ins Internet überträgt oder gar die eigene Firewall zur Spamschleuder macht. Sie sollten sich also in jedem Fall Gedanken über ein eigenes Regelwerk machen und die Default-Regeln abschalten. Aktive Firewall-Regeln erkennen Sie an dem vorangestellten grünen Pfeil. Durch Klick auf den Pfeil lassen sich Regeln komfortabel deaktivieren und aktivieren, zum Editieren einer Regel verwenden Sie das Stiftsymbol. Kommt in Ihrem Netzwerk kein IPv6 zum Einsatz, können Sie die vorhandene IPv6-Regel also problemlos deaktivieren.

Zugriffe mit 2-Faktor- Authentifizierung absichern

OPNSense verfügt über eine integrierte 2-Faktor-Authentifizierung (Bild 4). Diese arbeitet nach dem TOTP-Standard (gemäß RFC 6238) und damit problemlos zum Beispiel mit dem Google Authenticator zusammen. Auf Wunsch kann der Administrator damit folgende Dienste auf der Firewall mit einer starken Authentifizierung absichern: Web-Admin GUI, Captive Portal, VPN (OpenVPN und IPSec), Web Proxy. Leider kann der SSH-Zugang von OPNSense derzeit noch nicht mit der 2-Faktor-Authentifizierung abgesichert werden, die Einrichtung für die anderen Dienste ist aber schnell erledigt:1. "System / Access / Servers / Add Server"- Name: TOTP- Type: Local and Timebased OneTime Password- Token length: 6- Die Felder "Time Window" und "Grace Period" bleiben leer.2. "System / Users / add User"- Legen Sie einen neuen Benutzer mit Passwort an, weisen Sie ihm die Benutzergruppe "Admins" zu. Aktivieren Sie das Häkchen vor "OTP seed / generate new (160bit) secret" und klicken Sie auf "Save".- Installieren Sie den Google Authenticator auf Ihrem Smartphone und editieren Sie den soeben angelegten Benutzer mit Hilfe des Stiftsymbols.- Klicken Sie auf das kleine "i" vor OTP Seed und scannen Sie den QR-Code, indem Sie im Google Authenticator auf das Pluszeichen klicken.3. "System / Access / Tester"- Geben Sie zum Test den Benutzernamen und im Passwortfeld das sechsstellige Einmalpasswort aus dem Google Authenticator und das normale Passwort ein. Wenn OPNSense meldet, dass die Authentifizierung erfolgreich war, können Sie sich ab sofort mit den neuen Credentials am Web-GUI von OPNSense anmelden.

Zeit sparen mit Aliasen

Unter Aliasen versteht OPNSense eine Liste von Netzwerken, Hosts oder Ports und Diensten. So können Sie beispielsweise die IP-Adressen sämtlicher Drucker, Clients oder Server im Netzwerk unter je einem Aliasnamen zusammenfassen, sprechende Namen für einzelne Hosts vergeben (zum Beispiel "AdminWorkstation"), Port-Ranges definieren oder - mit einem Alias vom Typ "URL Table (IPs)" – sogar automatisch Listen mit IP-Adressen von einem externen Server beziehen (Bild 1). Mit Hilfe von Aliasen lässt sich die Anzahl der benötigten Firewall-Regeln drastisch reduzieren, was für wesentlich mehr Übersichtlichkeit im Regelwerk sorgt. Die unter "Firewall / Aliases / View" definierten Aliase können Sie später in allen Dialogen mit Source-/Destination-Angabe wie zum Beispiel Firewall- oder NAT-Regeln verwenden.

« Zurück 1 2 3 4 5 Weiter »