Aus Linux-Magazin 05/2021

Freie Firewall OPNsense auf Basis eines FreeBSD-Forks

© Igor Zhuravlov / 123RF.com

OPNsense verspricht Nutzern viel Firewall für wenig Geld, sowohl bei der Hardware als auch bei der Software. Im Kern basiert das Produkt auf FreeBSD und bietet praktische Features, die sowohl im Enterprise-Umfeld als auch in privaten Umgebungen überzeugen.

Die Zeiten, in denen einzelne Computer unmittelbar am Internet hingen, sind längst vorbei, aus mannigfaltigen Gründen. Im Endanwenderbereich genügt eine Maschine mit Internet-Zugang pro Haushalt heute schlicht nicht mehr, weil neben mehreren Rechner auch Tablets und diverse IoT-Geräte ins Netz wollen. Die Provider reagieren darauf mit Routern und NAT.

Im Enterprise-Umfeld wäre es in vielen Firmen sogar theoretisch denkbar, jeden Arbeitsplatz-PC mit einer öffentlichen IP-Adresse auszustatten und direkt ans Internet anzuschließen. Der Sicherheitsbeauftragte bräuchte in einem solchen Szenario aber wahrscheinlich seinen eigenen Defibrillator, weil permanente Angriffe die zwangsläufige Konsequenz wären.

Endanwender wie Unternehmen setzen heute deswegen auf Firewalls. Typische Modems aus dem SoHo-Bereich bieten zumindest einen rudimentären Paketfilter, und auch im Enterprise-Umfeld gibt es entsprechende Embedded Devices. Wer mehr Features will, wird mit diesen Lösungen aber kaum glücklich. Welche Alternativem stehen dem Admin zur Verfügung?

Bastelspaß fraglich

Der erste Impuls mag frei nach der Aufforderung einer deutschen Baumarkt-Kette lauten: “Mach es zu deinem Projekt.” Doch davor sei ausdrücklich gewarnt. Es stimmt schon: Ein kleiner Computer mit hinreichender Hardware ist schnell zur Hand, eine Pizzabox oder für den privaten Bereich ein Raspberry Pi oder Intel NUC genügen völlig. Darauf lässt sich mit CentOS, Ubuntu oder Debian und den dort vorhandenen Bordmitteln sicherlich eine Firewall konstruieren.

Wirklich Spaß macht so ein Bastelprojekt im Alltag allerdings nicht. Wer etwa schon einmal Iptables-Regeln in größerer Menge geschrieben hat, leidet vermutlich bis heute unter Alpträumen. Auch der Iptables-Nachfolger Nftables macht die Sache kaum besser. Hinzu kommt im Enterprise-Umfeld, dass es für Firewalls eine gar nicht so kleine Menge an gesetzlichen Vorgaben im Hinblick auf Compliance gibt, die der Admin bei einer Bastellösung in Betracht ziehen müsste.

Eine Firewall-Appliance bietet sich deshalb als valide Alternative zur handgetackerten Firewall an, und einer der bekanntesten Vertreter dieser Gattung ist OPNsense. Dabei handelt es sich um einen Fork der Firewall pfSense, die sich bereits vor etlichen Jahren einer großen Fangemeinde erfreute. Anders als das Original basiert OPNsense nicht direkt auf FreeBSD, sondern auf HardenedBSD, einem besonders auf Sicherheit getrimmten FreeBSD-Fork. Das Linux-Magazin unterzieht OPNsense in diesem Artikel einem detaillierten Test.

Dabei stehen fünf Kriterien im Fokus: Wie leicht fällt dem mit OPNsense unerfahrenen Administrator der Einstieg, und wie leicht geht das initiale Setup von der Hand? Wie gut lässt das Produkt sich mittels GUI oder per API konfigurieren, gegebenenfalls auch aus einer CI/CD-Umgebung heraus? Welche Reporting-Fähigkeiten stehen zur Auswahl, und entsprechen sie gängigen Compliance-Anforderungen? Wie sieht es mit der Erweiterbarkeit aus, lassen sich zusätzliche Funktionen schnell einbauen? Und zu guter Letzt: Wie sicher ist das System selbst, und welche Möglichkeiten implementiert es, um sich zu schützen?

Hardware: nicht so wild

Am Anfang seiner Karriere als OPNsense-Admin befasst man sich typischerweise zunächst mit der idealen Hardware für den persönlichen Einsatzzweck. OPNsense fußt auf FreeBSD und unterstützt in weiten Teilen dieselbe Hardware. Zwar läuft es auch auf Embedded-Systemen, doch wer das Produkt als Firewall für ein Büro oder ein etwas komplexeres privates Setup nutzen möchte, sollte sich bei der Hardware allerdings nicht allzu knauserig zeigen.

Gerade für den professionellen Einsatzbereich bieten verschiedene Hersteller wie die Thomas Krenn AG Hardware-Appliances mit vorinstalliertem OPNsense an. Dabei handelt es sich im Grunde aber auch nur um normale x86_64-Systeme mit hinreichend viel RAM und so viel Flash-basiertem Storage wie nötig.

Die minimalen Systemvoraussetzungen, die die OPNsense-Entwickler auf ihrer Website veröffentlichen, klingen da fast schon niedlich: Eine Multi-Kern-CPU mit 1,5 GHz Taktrate, 4 GByte RAM sowie 4 Gigabyte Speicherplatz wünscht man sich. Diese Anforderungen erfüllt selbst ein Raspberry Pi problemlos, alles ab der Klasse Intel NUC hat mit einem OPNsense also absolut keine Probleme.

Es gilt allerdings zu bedenken, dass der Server für die Firewall so viele Netzwerkschnittstellen braucht, wie er Netzwerke nutzen soll. Wer bei einem Privat-Setup OPNsense etwa als Firewall oder als Router nutzen will, braucht im Normalfall mindestens zwei Ports für das Netzwerk: einen zum Anschluss ans DSL- oder Kabelmodem, einen für die Verbindung ins private Netz.

Textbasierter Installer

Ist die Hardware angeschafft, geht es mit ihrem Setup weiter. Das Image der aktuellen OPNsense-Distribution kopieren Sie zunächst per Dd auf einen USB-Stick, den Sie anschließend im Zielsystem booten. Hier vermag OPNsense seine Herkunft nicht zu verbergen, den Installer des einstigen Urvaters FreeBSD erkennt der versierte Admin sofort (Abbildung 1). Eine grafische Installationsroutine gibt es nicht, doch wer auf der Kommandozeile einigermaßen fit ist, vermisst sie auch nicht.

Abbildung 1: Die Installationsroutine von OPNsense kommt etwas kantig daher, doch keine Panik: Sie geht sehr leicht von der Hand.

Abbildung 1: Die Installationsroutine von OPNsense kommt etwas kantig daher, doch keine Panik: Sie geht sehr leicht von der Hand.

Praktisch: Hat der OPNsense-Installer während des Setups eine IP-Adresse per DHCP bezogen, lässt sich der Installer danach per SSH steuern (Username installer, Passwort »opnsense«). Das ist oft bequemer als die Arbeit mit der Kommandozeile des Servers und einem US-Tastaturlayout, das der Admin vermutlich nicht gewohnt ist.

Egal ob per CLI oder per SSH – die OPNsense-Installation startet automatisch. Wer etwas Erfahrung im Umgang mit der Konsole hat, steht hier nicht vor einem unlösbaren Rätsel. Die geführte Einrichtung nimmt die Hardware des Systems nach sinnvollen Defaults in Beschlag und fragt nur dort nach Anweisungen, wo sie eine sinnvolle Entscheidung selbst nicht zu treffen vermag.

Wichtig: Während der Installation setzen Sie ein Passwort für root (Abbildung 2). Notieren Sie es unbedingt; Sie benötigen es später für die erste Anmeldung am Web-Interface von OPNsense. Nur darüber lässt sich die Konfiguration der Firewall abschließen. Nach einem erfolgreichem Neustart des frisch installierten Systems landen Sie flugs in eben jener Webschnittstelle.

Abbildung 2: Das während der Installation gesetzte Root-Passwort fungiert als Schlüssel zur GUI – notieren Sie es also unbedingt.

Abbildung 2: Das während der Installation gesetzte Root-Passwort fungiert als Schlüssel zur GUI – notieren Sie es also unbedingt.

Die erste Konfiguration

Nach dem Login an der OPNsense-Web-GUI empfängt Sie erneut ein Assistent (Abbildung 3), der bei der Ersteinrichtung hilft. Er fragt vorrangig grundlegende Parameter ab, etwa die Konfiguration der WAN- und LAN-Interfaces und die Zuweisung physischer Schnittstellen zu den WAN- und LAN-Zonen. Die Frage, ob Sie einen DHCP-Server betreiben wollen, bejahen Sie in aller Regel, weil OPNsense in den meisten Umgebungen den bestehenden Router ersetzt. Der Assistent macht es selbst Einsteigern leicht, die benötigten Einstellungen vorzunehmen; jede Angst vor dem BSD unter der Haube ist unnötig. Davon bekommt der Administrator in den allermeisten Fällen nichts mit.

Abbildung 3: Ein Assistent führt Sie nach der Installation von OPNsense durch die Erstkonfiguration.

Abbildung 3: Ein Assistent führt Sie nach der Installation von OPNsense durch die Erstkonfiguration.

Es mag übrigens durchaus Szenarien geben, in denen der Admin mit der ersten Konfiguration noch nicht durch ist, wenn der OPNsense-Wizard die eigene Arbeit für beendet erklärt. Gilt es, neben den Netzwerkschnittstellen fürs Internet und dem lokalen Traffic zusätzliche Interfaces zu definieren oder benötigen Sie VLAN-Interfaces, klappt das über den System-Eintrag der OPNsense-GUI auch nach der Nutzung des Assistenten noch. Weil der Wizard die Menüpunkte nicht neu implementiert, sondern Sie durch verschiedene Einträge des Standardmenüs führt, kommt Ihnen die Struktur der GUI hier bereits bekannt vor. Entsprechend dürften Sie auch ohne Wälzen der Dokumentation wissen, was zu tun ist.

Die Web-Oberfläche

Ist die initiale Konfiguration von OPNsense erst einmal abgeschlossen und die frischgebackene Firewall online, geht es in vielen Umgebungen mit dem Setup erst so richtig los. Die durchaus sinnvolle Default-Konfiguration von OPNsense vermag auf spezifische Einzelheiten der Umgebung, innerhalb derer sie läuft, nicht ohne Hilfe einzugehen. Es stellt sich die konkrete Frage, welche Firewall-Regeln ab Werk greifen und wie leicht sie sich für spezielle Einsatzszenarien ändern lassen. Im Alltag umfassen solche speziellen Szenarien häufig das Freischalten eines bestimmten Ports samt Weiterleitung auf einen internen Dienst oder das Unterdrücken bestimmten Traffics von drinnen nach draußen.

Erwartungsgemäß verstecken sich die für diese Einstellungen zuständigen Module der Oberfläche hinter dem Menüpunkt Firewall. Hier haben die Entwickler der GUI durchaus Erstaunliches geleistet: Ab Werk haben sie OPNsense zwar insbesondere für eingehenden Internet-Traffic komplett zugenagelt, doch auch für den Austausch von Daten zwischen internen Zonen gilt ein striktes Regime von Verboten.

Zusätzlich zu den WAN- und LAN-Zonen definieren Sie nach Belieben weitere Zonen mit eigenen Regeln (Abbildung 4). Im Anschluss stehen Sie vor der Aufgabe, sowohl für das Übertragen von Paketen zwischen Zonen entsprechende Erlaubnis-Regeln hinzuzufügen als auch für den eingehenden Traffic auf den einzelnen Schnittstellen. Die OPNsense-Konfiguration zeigt sich an dieser Stelle extrem versatil und bietet hinter einer gut nutzbaren Oberfläche Profifunktionen für das Filtern von Paketen.

Abbildung 4: Die OPNsense-GUI erlaubt das Setzen von Firewall-Regeln anhand einer Vielzahl verschiedener Parameter und ist sehr komfortabel.

Abbildung 4: Die OPNsense-GUI erlaubt das Setzen von Firewall-Regeln anhand einer Vielzahl verschiedener Parameter und ist sehr komfortabel.

Dazu trägt auch bei, dass die Default-Policy bei OPNsense immer Blockieren lautet. Eingehende Pakete durchlaufen ähnlich wie bei Iptables alle Regeln der Tabelle bis zum ersten Treffer. Entsprechend empfiehlt es sich, generische Regeln für die einzelnen Zonen ans Ende von deren Regelwerk zu packen und spezifischere Regeln weiter vorn zu platzieren. Das stellt sicher, dass die spezifischere Regel zuerst greift.

Ziehen Sie OPNsense für den Einsatz zu Hause in Betracht, sollten Sie die mittlerweile voreingestellte Regel beibehalten, die lokalen Traffic mit der Außenwelt erlaubt. Die Alternative wäre, für jeden einzelnen Dienst, der eine Verbindung nach außen benötigt, spezifische Regeln zu hinterlegen. Das wäre zwar möglich, vor dem Hintergrund einer Heimumgebung vermutlich jedoch etwas zu viel des Guten, trotz der Tatsache, dass der Dialog von OPNsense für das Hinzufügen von neuen Firewall-Regeln intuitiv und effizient funktioniert. Dasselbe gilt für Regeln, die Pakete auf einzelne Ports weiterleiten.

Summa summarum schafft das Web-Interface von OPNsense etwas, das sich Iptables- und Nftables-Admins mit Linux-Hintergrund kaum vorzustellen wagen: Das Einrichten einer Firewall geht nicht nur leicht von der Hand, es macht fast schon Freude. Und es kommt noch besser: Wer OPNsense nicht per Web-GUI bedienen möchte, sondern Regeln lieber automatisiert per API einwirft, freut sich über die hierzu von OPNsense zur Verfügung gestellte API. Sie bildet die Kernfunktionen von OPNsense ab und bietet unter anderem die Möglichkeit, per HTTP-Request Firewall-Regeln zu konfigurieren.

Das lässt sich sogar aus einer CI/CD-Toolchain heraus nutzen, falls Sie dafür nicht gleich auf eine der vielfältigen Lösungen setzt, die die Community rund um OPNsense mittlerweile erarbeitet hat. So lässt das Produkt sich etwa direkt aus Ansible heraus mit der passenden Rolle auf der Kommandozeile konfigurieren. Infrastructure as Code wird dann auch für OPNsense Wirklichkeit: Nach dem initialen Setup der Lösung lassen Sie einmal Ansible auf den OPNsense-Host los und bekommen exakt die Firewall, die Sie in Git als Bestandteil der Ansible-Rolle [1] hinterlegt haben. Das ist wirklich Vielfalt, die begeistert.

Reporting und Compliance

Für Heimanwender spielt es in der Regel kaum einer Rolle, welche Angriffe OPNsense abwehrt, solange es sie erfolgreich verhindert. Im Firmenumfeld sieht das freilich etwas anders aus. So möchten Admins wissen, ob sich Angriffe spezifischer Art oder aus spezifischer Richtung häufen, um gegebenenfalls noch stärkere Schutzmaßnahmen zu ergreifen. Das setzt allerdings voraus, dass sich die entsprechenden Informationen irgendwie aus der Firewall auslesen lassen – ein umfassendes Reporting und zusätzliche Analyse gehören zum Pflichtprogramm. OPNsense punktet hier gleich auf mehrere Arten.

Zunächst schreibt OPNsense je nach Konfiguration sämtliche Aktivitäten penibel mit. Das reicht bis auf die Ebene einzelner Pakete hinunter, für die OPNsense vermerkt, ob es sie akzeptiert oder abgelehnt hat. Für das Debugging einzelner Verbindungen mag das hilfreich sein, und die Compliance-Abteilung kann sich die entsprechenden Reports ausdrucken und an die Wand hängen. Für das Aufspüren von Angriffen bieten die Logs aber kaum Unterstützung, weil die kritischen Passagen sich mit bloßem Auge kaum erkennen lassen.

Hier wäre ein Intrusion Detection oder Intrusion Prevention System die bessere Wahl, und in Form von Suricata hat OPNsense ein ebensolches auch an Bord. Sie entscheiden sich, ob Sie mit Suricata lediglich den direkt durch OPNsense fließenden Traffic überwachen möchten, oder ob auch anderer Datenverkehr im Netzwerk durch die Angriffserkennung von OPNsense laufen soll. In letzterem Fall definieren Sie an seinem Switch einen Mirror-Port und statten den Suricata-Server mit einer zusätzlichen Netzwerkschnittstelle aus, um die Daten dieses Ports zu empfangen.

Netflow-Daten

Besonders hilfreich erweist sich in Sachen Reporting zudem das Netflow-Feature. Das ursprünglich von Cisco erfundene Netflow-Protokoll liegt mittlerweile in vielfältigen Implementierungen für diverse Betriebssysteme vor, darunter auch HardenedBSD. Netflow verzeichnet für jede Art von Traffic relevante Daten wie die IP-Adressen von Sender und Empfänger, die Port-Nummern und diverse weitere Details des jeweiligen Protokolls.

:Das geht über das bereits beschriebene Logging von Paketen in OPNsense deutlich hinaus, weil sich Netflow maschinell interpretieren und nicht nur in eine Logdatei ausgeben lässt. OPNsense hat zudem ein Werkzeug an Bord, mit dem die Netflow-Daten sich unmittelbar anzeigen und untersuchen lassen. Betreiben Sie dafür durchaus erhältliche eigene Hard- oder Software, exportieren Sie die Daten aus OPNsense aber ebenso komfortabel dorthin.

Darüber hinaus verfügt OPNsense über grundlegende Statistiken zum gerade anliegenden und historischen Datenverkehr. Sie dienen allerdings weniger der Analyse als vielmehr dem Monitoring der Lösung selbst und sollen etwa bei der Einschätzung helfen, ob die für OPNsense genutzte Hardware noch ausreichend dimensioniert ist. In Summe fokussiert das Reporting bei OPNsense eher auf das Firmenumfeld, liefert dort aber jene Features, die Admins sich im Alltag wünschen.

Erweiterbarkeit

Schon als simple Firewall vermag OPNsense mit seinem Funktionsumfang durchaus zu überzeugen. Von seinem Urahn pfSense hat es allerdings die Idee geerbt, verschiedene Funktionen in Form von Plugins nachzurüsten. Solche Erweiterungen beziehen sich vorrangig auf die Integration in die GUI; ein OPNsense-Plugin kann etwa im Hintergrund auch zusätzliche Software ausrollen. Von diesem System macht OPNsense ebenso ausgiebig Gebrauch wie eine Vielzahl von Drittanbietern.

Soll die OPNsense-Firewall obendrein als Reverse Proxy agieren? Mit dem verfügbaren Nginx-Plugin lässt sich das ohne Probleme realisieren. Metrikdaten für andere MAT-Systeme wie InfluxDB (in Form von Telegraf), Prometheus (via Node Exporter) oder Zabbix lassen sich über die passenden Plugins ebenfalls exportieren. Oder soll OPNsense als Routing-Server zum Einsatz kommen? Mittels des FRR-Plugins kommt ein ausgewachsener BGP-Server daher, der sich nahtlos in den Rest der Umgebung integriert.

Der Virenscanner ClamAV kommt ebenfalls in Plugin-Form daher, was es ermöglicht, Angriffe über Schad-Software zu identifizieren. Wollen Sie OPNsense als Router für das Tor-Netzwerk betreiben, installieren Sie das OS-Tor-Plugin. Und passt Ihnen die Standardansicht des Web-Interfaces nicht in den Kram, finden sich diverse Plugins mit Theme-Alternativen. Unternehmen, die Wert darauf legen, dass OPNsense sich in die eigene Corporate Identity einfügt, implementieren ein entsprechendes Plugin einfach selbst.

Grundsätzlich gilt: OPNsense ist freie Software und seitens seiner Entwickler explizit auch als solche konzipiert. Einer der Hauptgründe für den zwischen pfSense und OPNsense vor einigen Jahren ausgebrochenen Streit war die Frage um die Zukunft der Lösung. pfSense entwickelt sich seither eher in eine proprietäre Richtung, während die OPNsense-Leute der Open-Source-Schiene die Treue hielten.

Sicherheitsfragen

Die schönste Firewall taugt nichts, wenn Angreifer sie problemlos aushebeln. Den OPNsense-Entwicklern ist das ganz offensichtlich klar: OPNsense verfügt über diverse Schutzvorrichtungen, die Angreifer nicht nur von Attacken auf die Firewall selbst, sondern auch vom Eindringen in das dahinterliegende Netz abhalten sollen.

Das OPNsense-Web-Interface zählt sicherlich zu den neuralgischsten Schnittstellen des Produkts. Ab Werk sichert OPNsense es mit einem selbst generierten SSL-Zertifikat ab (Abbildung 5), das man freilich auch durch ein offizielles Zertifikat ersetzen kann. Mittlerweile gibt es daneben ein Let’s-Encrypt-Plugin, mit dem sich Zertifikate automatisiert ausstellen lassen.

Abbildung 5: OPNsense legt auch großen Wert auf Selbstschutz; in der Standardkonfiguration sichert etwa ein per SSL selbst generiertes SSL-Zertifikat das Web-Interface.

Abbildung 5: OPNsense legt auch großen Wert auf Selbstschutz; in der Standardkonfiguration sichert etwa ein per SSL selbst generiertes SSL-Zertifikat das Web-Interface.

Um den Zugriff auf OPNsense von außen noch strikter abzuriegeln, schließen Sie HTTPS für die externe Zone und verbieten ein SSH-Login, aktivieren parallel dazu aber den in die Lösung integrierten OpenVPN-Server. Der lässt sich wahlweise mit der Kombination aus Passwort und Login oder Zertifikaten betreiben, sodass bei OPNsense bloß noch der OpenVPN-Port ins Internet hin offensteht.

Um die Gefahr gehackter Passwörter zu minimieren, lässt sich das Web-Interface von OPNsense außerdem an einen Verzeichnisdienst wie LDAP oder Active Directory anschließen. Dortige Passwortvorgaben gelten dann auch für die Firewall. Wie für Nutzer, die in OPNsense lokal angelegt wurden, lässt sich auch für Benutzer aus solchen Verzeichnissen der Zugriff auf Teile des Web-Interfaces ganz oder funktionsweise einschränken.

Daneben spielt in sicherheitstechnischer Hinsicht durchaus auch die Provenienz der Lösung eine Rolle. Ein wichtiger Unterschied zwischen OPNsense und seinem Urvater pfSense besteht ja gerade darin, dass OPNsense nicht direkt auf FreeBSD basiert, sondern auf HardenedBSD. Letzteres hat im Gegensatz zu FreeBSD etliche Sicherheits-Features im Gepäck, die dem normalen BSD fehlen. Dazu zählen diverse Schutzmechanismen auf der Code-Ebene und im Compiler, die in den anderen BSD-Varianten und den meisten Linux-Distributionen fehlen.

Einen Großteil davon nutzt OPNsense konsequent. Selbst wenn also ein einzelner Dienst von OPNsense gegen Angriffe verwundbar wäre, hätten Angreifer es dank HardenedBSD erheblich schwerer, gleich die ganze Firewall unter Kontrolle zu bringen. Das System müsste zwar trotzdem als kompromittiert gelten und bedürfte einer Neuinstallation, das Weiterkommen der Bösewichte ins eigene Firmennetzwerk ließe sich so aber mit hoher Wahrscheinlichkeit verhindern.

In Summe präsentiert sich OPNsense damit als sehr gut geschützt. Wer die gängigen Standards in Sachen Konfiguration und Wartung einhält, ist mit der Firewall-Appliance auf der sicheren Seite.

Die Kosten

Der Test einer kommerziellen Appliance wäre spätestens jetzt an dem Punkt, an dem die Kosten der Lösung zur Sprache kämen. Bei OPNsense fällt das flach: Die Entwickler stellen die komplett quelloffene Software kostenlos zur Verfügung. Es spricht aber nichts dagegen, über die OPNsense-Website eine Spende zu leisten.

Darüber hinaus gibt es eine Business Edition von OPNsense, die mit 149 Euro pro Jahr zu Buche schlägt und Funktionen bietet, die in der Community-Variante fehlen. Dazu gehören Zugriff auf eine GeoIP-Datenbank, die die OPNsense-Entwickler selbst pflegen, sowie auf das offizielle OVA-Image von OPNsense, ein E-Book sowie Support vom Hersteller. Obendrein hat man das gute Gefühl, die Entwicklung von OPNsense nachhaltig zu unterstützen. Wer aus Compliance-Gründen Support braucht, bekommt ihn ebenfalls unmittelbar von den Machern.

Fazit

Auch wenn einem bei Firewalls und deren Regelwerk im ersten Moment Iptables & Co. einfallen – OPNsense vermag zu begeistern. Die bräsige Art, die Firewalls unter Linux an den Tag legen, fehlt bei OPNsense komplett. Stattdessen bekommen Sie hier eine rundum leistungsfähige Firewall-Software, die intelligente Zusatzfunktionen bietet und sich obendrein mit einer intuitiven GUI gut steuern lässt.

Selten stellt OPNsense den Admin vor knifflige Aufgaben. Wer die Grundlagen von Firewalls und Netzwerken kennt, hat keine größeren Schwierigkeiten, die Firewall zu konfigurieren. Kombiniert mit dem Umstand, dass OPNsense sich im Hinblick auf den benötigten Dampf unter der Haube handzahm gibt, führt das zu einer Firewall-Wundertüte höchster Qualität. Dass die Maintainer OPNsense explizit als freie Software konzipieren, die ausschließlich ebenso freie Komponenten umfasst, und dass sie versprechen, diesen Modus auch beizubehalten, ist da nur das Sahnehäubchen.

Gleichzeitig garantiert dieser Ansatz den Nutzern auch eine gewisse Freiheit sowie Flexibilität. Wer OPNsense nur auf Basis der Standardfunktionen nutzt, bekommt eine zuverlässige Firewall. Hat man erst einmal die Plugin-Schnittstelle der Lösung für sich entdeckt, erschließt sich ein Stück weit, wie kraftvoll OPNsense wirklich sein kann. Von der kleinen Firewall im SoHo-Umfeld bis hin zum Großkonzern lässt sich nahezu jedes Szenario mit der Software abdecken. Suchen Sie eine Firewall-Appliance mit Mehrwert, sollten Sie sich OPNsense unbedingt ansehen. (jcb/jlu)

Der Autor

Martin Gerhard Loschwitz beackert als Cloud Platform Architect bei Drei Austria Themen wie OpenStack, Kubernetes und Ceph.

Infos

  1. Ansible-Rolle für OPNsense: https://github.com/naturalis/ansible-opnsense
DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 6 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben