© sinenkiy / 123RF.com

OPNsense kann mehr als Pakete filtern. Dieser Artikel demonstriert den praktischen Nutzen der Open-Source-Firewall durch kurze Rezepte für typische Umgebungen.

In der guten alten Zeit musste eine Firewall lediglich den Datenverkehr zwischen zwei Netzen überwachen. Heute ist ein reiner Paketfilter eher die Ausnahme, da die Next Generation Firewall und das Unified Threat Management das Spielfeld übernommen haben. Beides sind werbewirksame Namen für eine Firewall, die mehr auf dem Kasten hat als den puren IP-Filter. In diesem Artikel betätigt sich OPNsense als VPN-Server, Homeoffice-Router, virtuelle (Cloud-)Firewall und Traffic-Inspektor. Trotz dieser coolen Features bleibt OPNsense quelloffen und kostenlos.

VPN-Server

Wenn die Anwender Zugriff aus dem Homeoffice auf das Firmennetz benötigen, ist ein virtuelles privates Netzwerk (VPN) die erste Wahl. Für den Mitarbeiter gestaltet sich die Prozedur einfach: VPN-Software starten und auf Connect klicken. Kurz darauf steht die Verbindung, das E-Mail-Postfach füllt sich, und die ERP-Anwendung wartet auf die Eingabe.

Für den Administrator sieht die VPN-Welt komplexer aus: Welches Protokoll, welche Software und welche Form der Authentifizierung? OPNsense hat auf diese Fragen gleich mehrere Antworten und bewirbt sich damit um die Stelle des VPN-Servers in der Unternehmens-Firewall.

OPNsense kommt mit Unterstützung für IPsec und OpenVPN. Das neuere Wireguard gesellt sich als Plugin dazu und lässt sich vollständig über die Weboberfläche von OPNsense konfigurieren. Glücklicherweise muss sich der Netzdesigner nicht für eines dieser Protokolle entscheiden, sondern kann mehrere in seinem VPN-Server anbieten.

IPsec gilt als stabil und sicher, ist in den aktuellen Betriebssystemen bereits eingebaut und ist an Geschwindigkeit kaum zu übertreffen. Das einzige Manko ist die Komplexität, denn IPsec verteilt sich über mehrere Protokolle und Konfigurationsseiten.

Weniger aufwendig kommt OpenVPN daher. Für das Einrichten der Clients hat OPNsense ein Goodie im Gepäck: den Client-Export. Die Web-UI erstellt für jeden User ein ZIP-Archiv mit Konfigurationsdatei und Zertifikaten. Auf den mobilen Endgeräten gestaltet sich die Einrichtung damit etwas einfacher: Installer ausführen und Konfiguration beimischen.

Für ganz moderne Admins bietet Wireguard das passende Konzept. Es kommt ohne Benutzernamen oder Zertifikate aus. Auch AES und SHA such man vergeblich, denn hier herrschen die elliptischen Kurven. In der Praxis bedeutet das mehr Durchsatz bei der Verschlüsselung von Paketen, was Wireguard zum High-Speed-VPN macht.

Workshop: OpenVPN

Für die Praktiker folgt ein Beispiel mit OpenVPN. Vorab stellt sich die Frage: Wer erstellt die Zertifikate? Falls die Umgebung bereits mit einer Public-Key-Infrastruktur gesegnet ist (siehe dazu Artikelserie im Linux Magazin [1]), stellt die bestehende Certificate Authority (CA) ein Server-Zertifikat für die OPNsense-Firewall aus. Ohne schlüsselfertige PKI kann OPNsense selbst zur CA werden und sich selbst mit Zertifikaten versorgen.

Die Reise beginnt in der Weboberfläche von OPNsense beim Menüpunkt VPN | OpenVPN | Server. Starten Sie den Assistenten für das Einrichten eines neuen Servers, der sich um die Zertifikate und die Konfiguration von OpenVPN kümmert. Für den Workshop eignet sich eine Benutzeranmeldung vom Typ Local User Access, da sie keine zusätzlichen Authentifizierungsserver erwartet.

Der Assistent erstellt zuerst eine neue Zertifizierungsstelle, danach ein Server-Zertifikat und erfragt zuletzt die Settings für OpenVPN. Die Felder sind mit Best-Practice-Werten vorausgefüllt und erfordern lediglich bei den IP-Adressen etwas Fantasie und Anpassung an die eigene Umgebung.

Wählen Sie bei IPv4/IPv6 Tunnelnetzwerk einen unbenutzten IP-Bereich, von dem die VPN-Clients nach der Einwahl eine einzelne Adresse für den VPN-Netzadapter erhalten sollen. Bei Lokales IPv4/IPv6-Netzwerk erwartet der Assistent alle verwendeten IP-Netze, die die VPN-Clients durch den Tunnel erreichen sollen. Es dürfen zudem nicht die üblichen Verdächtigen fehlen: DNS-Server, Domänenname und sogar NetBIOS und WINS werden akzeptiert.

Im letzten Schritt klärt der Assistent die Firewall-Frage. Wählen Sie beide angebotenen Optionen, und erlauben Sie damit OpenVPN-Datenverkehr zur Firewall und durch den Tunnel. Damit darf sich ein authentifizierter VPN-Client im Firmennetz austoben. Ein gutes Regelwerk erlaubt nur die bereitgestellten Applikationen und wird weiter unten beschrieben.

Sag mir, wer du bist

Für kleine Umgebungen führt OPNsense eine lokale Liste von Benutzerkonten oder Benutzerzertifikaten. Legen Sie die Benutzerkonten auf der Firewall unter System | Zugang | Benutzer an. Verwenden Sie dafür eine neue Gruppe, um den VPN-Accounts den Zugang zur Konfigurationsoberfläche zu verweigern. Der OpenVPN-Dienst prüft die Mitgliedschaft in einer bestimmten Gruppe über die Option Lokale Gruppe erzwingen. Wenn Sie den Aufwand von Benutzerzertifikaten scheuen, ändern Sie den Server-Modus von OpenVPN in Remotezugriff (Benutzerauthentifizierung).

In großen Umgebungen verwaltet die Benutzerkonten meist ein zentraler Verzeichnisdienst. Den kann OPNsense per RADIUS oder LDAP anzapfen und die einwählenden OpenVPN-User validieren.

Doppelt hält besser

Ein Stückchen mehr Sicherheit bietet eine Zwei-Faktor-Authentifizierung (2FA). Bei dem zusätzlichen Faktor kann es sich um ein Client-Zertifikat oder einen Einmalpasswortauthentifizierer handeln. Für diesen Workshop kommt der Google Authenticator hinzu, der als Smartphone-App zeitbasierte PINs erstellt, die der Anwender bei der VPN-Einwahl präsentieren muss. Eine erfolgreiche Authentifizierung erfordert demnach vom Anwender den Nachweis von Besitz (Smartphone) und Wissen (Kennwort).

Die Einrichtung in der Firewall erfolgt über System | Zugang | Server. Die Bezeichnung Server ist irreführend, denn die neue Authentifizierungsform Lokal + Zeitbasiertes Einmalkennwort benötigt keinen weiteren Server. Entscheiden Sie sich für eine 6-stellige PIN und einen Namen.

Der nächste Schritt verheiratet alle VPN-User bei System | Zugang | Benutzer mit der App ihres Smartphones. Diese Zuweisung gibt jedem Benutzer den zweiten Faktor für die Anmeldung. Erstellen Sie für ein lokales Benutzerkonto ein OTP-Seed, indem Sie das Häkchen bei Erstelle ein neues Geheimnis anklicken und die Settings speichern. Dieselbe Webseite zeigt jetzt einen OTP-QR-Code, den die Google-Authenticator-App einscannt und damit mit dem User verkettet.

Aktivieren Sie in den Settings des OpenVPN-Servers bei Backend Authentifizierung die neue 2FA-Methode, und deaktivieren Sie die lokale User-Datenbank. Auf diese Weise müssen sich die User mit ihrer 6-stelligen Einmal-PIN und dem lokalen Passwort anmelden.

Client-Export

Im Gegensatz zu IPsec ist die OpenVPN-App ein Zusatzprodukt, das es erst einmal zu installieren gilt. Glücklicherweise gibt es OpenVPN für nahezu jedes Betriebssystem. Die Konfigurationsdatei für den Client bietet OPNsense unter VPN | OpenVPN | Clientexport an. Beim Exporttyp Nur Datei enthält sie sogar die Zertifikate. Kopieren Sie die Datei in den »config«-Ordner der OpenVPN-Installation. Triggern Sie anschließend den Verbindungsaufbau, worauf die App beim OpenVPN-Server klingelt und um Anmeldung bittet.

Da die OpenVPN-Client-Software nur ein einziges Feld für das Passwort hat, müssen die Anwender bei der Einwahl ihre PIN unmittelbar vor dem Kennwort in das Feld eintragen. Der Benutzer in Abbildung 1 authentifiziert sich mit »866470geheim«. Die Firewall erhält das zusammengesetzte Kennwort und prüft die PIN unabhängig vom Passwort. Nur wenn beide Faktoren korrekt sind, öffnet sich der Tunnel, und das OpenVPN-Icon schaltet auf Grün.

Abbildung 1: Anmeldung bei OpenVPN mit Google-Authenticator-App und Passwort.

Benimmkurs

Der Einrichtungsassistent hat die Firewall für Datenverkehr durch den Tunnel auf Durchzug gestellt. Für einen ersten Test passt das, ein Regelwerk für das Tagesgeschäft sollte jedoch nur die angebotenen Dienste enthalten. Auf diese Weise unterdrückt die Firewall den Zugriff auf interne Applikationen und schützt das Unternehmensnetz vor neugierigen Blicken.

Bei der Einrichtung von Firewall-Regeln unterscheidet OPNsense zwischen Zugriffen außerhalb des Tunnels (unverschlüsselt, öffentliche IP-Adressen) und innerhalb des Tunnels (verschlüsselt, private Adressen). Formulieren Sie die Regeln für die VPN-Clients bei Firewall | Regeln | OpenVPN. Das Regelwerk kontrolliert die eingehenden Zugriffe – also vom VPN-Client auf Dienste hinter dem Tunnel. In Abbildung 2 gewährt die Richtlinie selektiven Zugang auf verschiedene Dienste innerhalb der eigenen Infrastruktur.

Abbildung 2: Das Regelwerk erlaubt Anwendungen, die durch den Tunnel ankommen.

Traffic-Inspektor

Als VPN-Server steht OPNsense im Mittelpunkt des Geschehens – als Traffic-Inspektor verschwindet die Firewall in den Hintergrund und prüft den vorbeifließenden Verkehr.

Noch unauffälliger wird die Firewall, wenn sie transparent im Pfad der Verbindungen sitzt und somit als Netzbrücke agiert. Routing-Funktionen bleiben abgeschaltet, und für Ping und Traceroute bleibt sie unsichtbar. Eine eigene IP-Adresse benötigt sie nur für das Management. Der Charme der Firewall als Netzbrücke liegt darin, dass man die vorhandene Umgebung nicht umbauen muss.

Erstellen Sie die Netzbrücke bei Schnittstellen | Andere Typen | Brücke. Die Mitglieder der neuen Brücke sind zwei beliebige unbenutzte Netzadapter, meist mit LAN und WAN beschriftet. Gönnen Sie der Brücke bei Schnittstellen | Zuweisungen ein Interface, und vergeben Sie einen schicken Namen dafür. Weder die Brücke noch die Mitglieder verlangen eine IP-Adresse.

Für die weitere Konfiguration benötigt das Bridge-Interface die Fähigkeit zu filtern. Wechseln Sie zu System | Einstellungen | Optimierungen, und ändern Sie die Settings von net.link.bridge so ab, dass der Paketfilter auf dem Bridge-Interface ansetzt und nicht auf den Schnittstellen der Mitglieder. Für die Firewall-Regel der Netzbrücke bei Firewall | Regeln | Bridge dürfen Sie ausnahmsweise eine Regel anlegen, die jeglichen Datenverkehr gestattet.

Platzieren Sie jetzt das Firewall-Gerät in einem überwachungswürdigen Netzsegment. Durch die Arbeitsweise als Ethernet-Switch mit Filterfunktion leitet OPNsense den Datenverkehr ungehindert vom einem Interface zu anderen und blockiert damit nicht den Verkehrsfluss.

Es wird bunt

Ohne weitere Anstrengungen kann OPNsense unter Berichterstattung | Datenverkehr in Echtzeit anzeigen, wie viel Traffic durch die Netzadapter fließt. Direkt daneben stehen die Top Talkers mit IP-Adresse und konsumierter Bandbreite.

Für die Langzeitstatistik nutzt OPNsense das gute alte Netflow und das eigene Frontend namens Einblick. Starten Sie dazu einmalig bei Berichterstattung | Netflow die lokale Aufzeichnung, und genießen Sie nach wenigen Minuten eine bunte Auswertung unter Berichterstattung | Einblick (Abbildung 3).

Abbildung 3: OPNsense enthält einen schlichten Netflow-Analyzer.

Einbruchserkennung

Ein System zur Erkennung von Angriffen und Einbrüchen (Intrusion Detection System, IDS) wirft einen tiefen Blick in die vorbeiziehenden IP-Pakete. Wenn die analysierten Inhalte verdächtig aussehen, schlägt das System Alarm. Ob ein Paket einen möglichen Angriff enthält, weiß das IDS über eine Datenbank mit den bekannten Angriffsmustern. Damit ähnelt das IDS einem Virenscanner, der Daten untersucht und mit bekannten Mustern vergleicht.

Wechseln Sie in der Weboberfläche von OPNsense zu Dienste | Einbruchserkennung | Verwaltung, und aktivieren Sie das IDS. Wählen Sie bei Schnittstellen lediglich den Namen der Netzbrücke aus. Im Reiter Herunterladen präsentiert OPNsense die vordefinierten Regelwerke. Deren Titel geben einen guten Hinweis auf das jeweilige Fachgebiet: Die Stärke von ET open/emerging-imap liegt offensichtlich im IMAP-Protokoll, ET open/emerging-voip beschäftigt sich mit der Internet-Telefonie. Bei aussageschwachen Namen hilft die Detailansicht eines Regelwerks, die stets auch eine weiterführende Webadresse anbietet.

Wählen Sie nur die Regelwerke aus, deren Inhalt in Ihrer Umgebung Sinn ergeben. Haben Sie eine Auswahl getroffen, klicken Sie auf Herunterladen & Regeln aktualisieren. Bei leistungsschwacher Hardware beginnen Sie mit wenigen Regeln und prüfen anschließend, ob die Verkehrsanalyse die CPU oder den Arbeitsspeicher überfordern.

Die Firewall untersucht jetzt die vorbeiziehenden Pakete auf Angriffe und berichtet über Attacken in der Web-UI unter Alarmmeldungen. Jede Notiz zu einem Verstoß enthält die exakte Uhrzeit, die IP-Adressen von Client und Server sowie eine kurze Beschreibung, was den Alarm ausgelöst hat.

Ob das IDS scharf ist und OPNsense tatsächlich Angriffe erkennt, lässt sich prüfen. Gehen Sie dazu mit einem Einweg-PC auf die Malware-Test-Webseite [2], und laden Sie die Bedrohung Embedded VLC AMV. Daraus sollte unmittelbar ein Alarm der Gruppe ET open/emerging-info resultieren (Abbildung 4).

Abbildung 4: Die Einbruchserkennung schlägt Alarm.

Bis jetzt hat der Traffic-Inspektor nur zugesehen und berichtet. Dabei kann das hauseigene IDS nicht nur alarmieren, sondern auch Eindringlinge blockieren. Die Kunst der Einbruchserkennung liegt im Feinschliff. Nach der Ersteinrichtung liegt die Alarmierungsrate hoch, weil das IDS das neue Netz noch nicht kennt. Sie müssen die Falschmeldungen dann durch Ausnahmen oder einzelne deaktivierte Prüfungen minimieren. Erst wenn das System die Umgebung als normal einstuft und keinen falschen Alarm mehr produziert, dürfen Sie den Haken IPS-Modus bei Dienste | Einbruchserkennung | Verwaltung anklicken.

Ausblick: Sensei

Die Profiliga der Anwendungserkennung stammt vom Partner Sensei und ist in der Grundfunktion kostenfrei. Sensei untersucht nicht nur die Datenverbindungen, sondern erkennt die verwendeten Anwendungen und fasst diese in Kategorien zusammen.

Anhand der Kategorien präsentiert Sensei mit Kuchen- und Balkendiagrammen, was die Anwender im Netzwerk so treiben (Abbildung 5). Im Bereich Berichte informiert Sensei über Bedrohungen, welche Clients den meisten Verkehr erzeugen und in welche Kategorien diese fallen.

Abbildung 5: Sensei fasst die Datenströme in Kategorien zusammen.

In der Bezahlversion lassen sich die Richtlinien auf Benutzer, Gruppen oder IP-Bereiche anwenden und nach einzelnen Webanwendungen oder App-Kategorien einschränken.

Im Homeoffice

Seit dem Beginn der Pandemie verschieben viele Unternehmen ihre Mitarbeiter ins Heimbüro. Dort herrscht ein ganz anderes Sicherheitsniveau, denn meist tummeln sich alle Computer und Smartphones im selben IP-Netz, auch der Firmenlaptop. Für diesen Anwendungsfall kann die OPNsense-Firewall als Homeoffice-Router einspringen und die Netze in private und dienstliche Sektionen unterteilen.

Falls der neue Router direkt im Arbeitszimmer steht, wählen Sie eine Hardware ohne Lüfter. Der Prozessor muss vom Typ x86-64 sein, die restlichen Komponenten orientieren sich an der gewünschten Leistungsklasse [3]. Für die Installation auf eingebetteten Systemen stellt OPNsense spezielle ISO-Dateien bereit, die “nano” oder “serial” im Dateinamen haben. Die gesonderte Installation und die Anpassung für Geräte mit Flash-Speicher beschreibt eine Anleitung [4]. Nach Abschluss der Installation fragt die neue Firewall über die serielle Konsole wie gewohnt nach Netzadaptern und IP-Adressen.

Die Aufteilung der Netzsegmente hängt davon ab, in welche Bereiche des heimischen Netzwerks die Firewall eingreifen soll. Für dieses Szenario mutiert OPNsense zum zentralen Homeoffice-Router, der einen VPN-Tunnel zum Firmennetz aufbaut, per WiFi funkt und gleichzeitig die Familiencomputer ins Internet lässt.

Beginnen Sie die Regelwerke mit Verboten: Teilnehmer aus dem ersten Netzsegment dürfen nicht ins zweite und umgekehrt. Die finale Regel erlaubt den Zugriff zum Internet (falls gewünscht). Anschließend dürfen Sie die Regelwerke etwas aufweichen: Möglicherweise möchte der Firmenlaptop den heimischen Drucker benutzen, oder das iPad darf einen Film vom NAS streamen.

Die empfohlene Reihenfolge der Regeln lautet: Zuerst kommen die speziellen Regeln für einzelne Rechner oder Dienste, gefolgt von den allgemeinen Regeln für Netzbereiche. Ans Ende hängt OPNsense eine unsichtbare Default-Regel, die jegliche Zugriffe blockiert. In Abbildung 6 kontrolliert die Firewall das Netzsegment mit dem Firmenlaptop und ermöglicht gleichzeitig den VPN-Zugang zum Unternehmensnetz.

Abbildung 6: Das Regelwerk trennt die WiFi-Clients vom restlichen Heimnetz.

Dass OPNsense als VPN-Server agieren kann, hat bereits das vorherige Szenario gezeigt. Für den Zugang zum Firmennetz muss OPNsense nun als VPN-Client auftreten und sich den Einstellungen des Servers beugen. Die langen Konfigurationsseiten von OpenVPN und IPsec lassen ahnen, dass sich OPNsense auf fast jede Situation einstellen kann. Für proprietäre VPN-Lösungen bietet das Repository weitere Clients an: OS-Openconnect sympathisiert mit Cisco, Juniper und Palo Alto. Wenn kein passendes Plugin dabei ist, kann sich OPNsense bei den Repository-Servern von FreeBSD bedienen. Damit lässt sich eine Verbindung mit einer Gegenstelle etwa von Fortinet aufbauen.

Sind alle Familienmitglieder gleichzeitig im Internet unterwegs, bleiben für die arbeitswütigen Eltern nur Reste der Bandbreite übrig. OPNsense kann zwar keine Bandbreite erzeugen, aber die verfügbaren Megabits nach festen Regeln aufteilen.

Was nach komplexem Quality-of-Service klingt, ist tatsächlich ein klassischer Traffic Shaper. Erstellen Sie zunächst unter Firewall | Shaper | Pipes die maximale Bandbreite, die eine Anwendung, ein Endgerät oder ein Netzsegment nicht überschreiten darf. Im Abschnitt Regeln kombinieren Sie dieses Bandbreitenlimit mit IP-Adressen, -Netzen oder Port-Nummern. Je nachdem, was Sie als Quelle oder Ziel definieren, begrenzt OPNsense den Datenfluss in ein- oder ausgehender Richtung (Abbildung 7). Auf diese Weise blockiert das nächste Playstation-Update nicht mehr die wichtige Videokonferenz mit dem Boss.

Abbildung 7: Der Traffic Shaper bremst störende Anwendungen auf wenige Mbit/s.

OPNsense virtuell

Eine Firewall muss nicht zwingend eine physische Gestalt haben. Beim Umzug von Servern, Routern und Switches in die virtuelle Welt zieht die Firewall als vFirewall mit um. Aus Sicht der Virtualisierungsplattform ist OPNsense eine reguläre virtuelle Maschine (VM) mit Betriebssystem und mehreren Netzadaptern. Die Netzadapter führen über virtuelle Switches in Netzsegmente mit anderen VMs, die die Firewall beschützen soll.

Für diesen Workshop halten wir die Welt überschaubar und beschützen eine Port-Gruppe eines VMware-ESXi-Hosts mit OPNsense. Die Firewall arbeitet dabei auf OSI-Ebene 3 und benötigt in allen beteiligten Netzsegmenten eine IP-Adresse. Abbildung 8 verdeutlicht den Zusammenhang von virtuellen Switches und Port-Gruppen sowie die Position der vFirewall.

Abbildung 8: OPNsense beschützt virtuelle Maschinen.

Bitte nicht verwechseln: Jeder ESXi-Host hat eine eingebaute Firewall, die allerdings nur den Host und seine Dienste schützt. Die OPNsense-Firewall überwacht den durchfließenden Netzverkehr und beschützt die virtuellen Gäste.

Bei einer neuen Installation legen Sie zunächst auf der Web-UI von ESXi oder im vCenter zwei virtuelle Switches an, von denen einer einen physischen Netzadapter hat, der andere nicht. Erstellen Sie anschließend für jeden vSwitch eine Port-Gruppe. Die Port-Gruppe Campus aus Abbildung 8 führt über einen realen Netzadapter zum umliegenden Netzwerk. Die Port-Gruppe Server ist lokal im ESXi-Host und stellt die gesicherte Umgebung für die virtuellen Server bereit.

Erzeugen Sie für die vFirewall eine neue VM, und dimensionieren Sie die Ausstattung gemäß der Empfehlung des Herstellers [3]. Spendieren Sie der VM drei Netzwerkadapter: NIC 1 ermöglicht die Konfiguration der OPNsense-Firewall und führt ins Managementnetz. NIC 2 verbindet die vFirewall mit dem Campusnetz, und NIC 3 führt ins virtuelle Server-Netz. Ändern Sie den Adaptertyp auf VMXNET3, da dieser in Verbindung mit den VMware-Tools die höchste Durchsatzrate erreicht.

Für die Installation benutzen Sie die normale ISO-Datei. Die Installation und Konfiguration gleicht der einer physischen Firewall. Weisen Sie über die Konsole der Firewall die Management-IP des ersten Adapters zu. Anschließend können Sie die virtuelle Firewall wie gewohnt über die Webseite administrieren und die verbleibenden Netzadapter mit IP-Adressen versorgen. Installieren Sie unbedingt die Erweiterung os-vmware unter System | Firmware | Einstellungen.

Apropos Management: Sperren Sie in den Regelwerken den Zugriff auf die Netzadapter der potenziell unsicheren Segmente. Die Konfiguration der OPNsense-Firewall sollte nur über den dedizierten Managementadapter vmx0 oder via VPN möglich sein. Aktivieren Sie dazu den Zugang per IPsec oder OpenVPN, wie im ersten Szenario beschrieben. Auf diese Weise können die Admins ihre Firewall verwalten, ohne dass neugierige Augen die Login-Seite entdecken.

In unsicheren Umgebungen oder auf Kundenwunsch kann die Einbruchserkennung von OPNsense eine weitere Schutzebene aufbauen. Dazu konfigurieren Sie das IDS wie im Szenario Traffic-Inspektor und wählen als Schnittstelle den Netzadapter, der zum Server-Segment führt. Allerdings lässt sich das IDS von OPNsense nicht auf IP-Bereiche beschränken, sondern nur auf Schnittstellen, sodass alle Server in den Genuss der Alarmanlage kommen.

Wenn das Server-Segment aus mehr als einer Handvoll VMs besteht, empfehlen sich die Aliasse von OPNsense. Ein Alias enthält eine Gruppe von Hosts, Netzwerken, Ports oder Ländern (bei GeoIP). Verwenden Sie beim Anlegen von Firewall-Regeln nicht mehr die einzelnen Port-Nummern, sondern ein Alias, das die Liste der Ports enthält (Abbildung 9). Wenn Sie sich konsequent an das Alias-Konzept halten, werden Sie mit einem aufgeräumten Regelwerk belohnt, das auch die Kollegen verstehen können.

Abbildung 9: Aliasse gestalten das Regelwerk aufgeräumt und sind leichter verständlich.

Ausblick

Der dargestellte Aufbau ist bewusst einfach gehalten; OPNsense fühlt sich aber auch in komplexen Umgebungen zu Hause. Die vFirewall kann beliebig viele Netzsegmente bedienen und für jede angeschlossene VM ein individuelles Regelwerk aufbauen. Zieht die vFirewall in eine bestehende virtuelle Infrastruktur mit fixen IP-Adressen ein, kann sie als Netzbrücke auf der Ethernet-Ebene wirken. Aber keine Sorge: Das Regelwerk besteht dann nicht aus MAC-Adressen, sondern hat (fast) die gewohnte Form.

Mit HAProxy im Huckepack kann OPNsense zusätzlich als Frontend oder Lastverteiler für eine Webserverfarm einspringen. Die angefragten Webzugriffe terminieren dann an der vFirewall, und diese leitet den Request an die passende VM im Server-Segment weiter. Für maximale Verfügbarkeit agieren zwei vFirewalls als Team im Cluster und federn damit den Ausfall der Firewall-Funktion ab. Die Konfiguration und Zustandstabellen der ersten vFirewall synchronisieren sich in Echtzeit mit ihrem Partner. (jcb)