Skip to content

Blog

Firewall für Anfänger
– pf vs. pfSense vs. OPNsense

 

Eine Firewall ist die erste Hürde und eine der wichtigsten Schutzmaßnahmen gegen Hackerangriffe aus dem Internet!

Nahezu jeder Router zuhause wird mit einer integrierten Firewall ausgeliefert. Für Firmen ist eine detailliertere und sensiblere Firewalltechnik unverzichtbar!
Wir stellen in diesem Artikel die Unix Firewall pf vor.

Schematische Darstellung, wie Hackerangriffe an der Firewall geblockt werden
Während zulässige Datenpakete die Firewall passieren, werden Cyberangriffe von der Firewall blockiert.

Firewall – Wozu braucht man das?
 
Keine Firma kommt heute ohne eine sogenannte Firewall aus. Sie schützt das Netzwerk und die darin laufenden Computer vor unerwünschten Zugriffen. Der Einsatz einer Firewall ist immer ein Teilaspekt des Sicherheitskonzeptes einer Firma und einfache Basis-Firewalls sind auf allen handelsüblichen Routern vorinstalliert.
Jede Firewall basiert im Grunde auf einer Softwarelösung. Diese dient dazu, bestimmte Netzwerkpakete anhand von zuvor festgelegten Regeln den Zugang zu verschieden Diensten zu gewähren oder zu versagen. Abhängig davon wo die Firewall installiert ist, wird unterschieden zwischen einer Desktop-Firewall, die auf einem PC läuft, oder einer externen Firewall, die auf einem separaten Gerät läuft.
In besonders sicheren Netzwerken werden sogar mehrere externe Firewalls eingesetzt, die unterschiedliche Bereiche unterschiedlich stark absichern. Hierbei steht die externe Firewall zwischen verschiedenen Netzwerken oder auch Netzwerksegmenten und regelt anhand von Regelsätzen den Zugriff zwischen den verbundenen Netzwerken und Diensten.
 
Ursprünglich besteht die Aufgabe der Firewall nicht darin, Angriffe zu erkennen, sondern ausschließlich die gesetzten Regelsätze der Netzwerkkommunikation umzusetzen. Heutzutage übernehmen Firewalls jedoch auch viele zusätzliche Sicherheitsfunktionen.
 
Da die Zahl an Bedrohungen in Form von Trojanern, Malware und Würmern stetig zunimmt, ist die Auswahl der Software also ein wichtiger Schritt!

 
Unix Firewalls für Firmen
 
Die Auswahl einer Firewall-Software ist oft schwierig, da die vielen Produktlösungen, die es auf dem Markt gibt, mehr oder weniger eine Internet-Security-Suite darstellen. Sie beinhalten zusätzliche Funktionen zu den eigentlichen Firewallaufgaben. Für kleinere
Unternehmen ist dies praktisch, da man gleich eine ganze Bandbreite an Sicherheitsfunktionen erhält. Allerdings sind diese sehr unspezifisch und erlauben keine tiefgehenderen Sicherheitskonfigurationen, wie sie für mittelständische und größere Unternehmen häufig notwendig sind.

Die Einsicht in den Quellcode der Software ist ein Aspekt der Computersicherheit. Die quelloffene Software kann dabei von der Öffentlichkeit auf Schwachstellen überprüft werden, wodurch diese schneller geschlossen werden. Zwei Produkte, die eine solche Prüfung zulassen, sind OPNsense und pfSense, die auf eigenständiger Hardware betrieben werden. Dadurch, dass die Software frei zur Verfügung steht, kann man das Produkt vor der eigentlichen Inbetriebnahme ausprobieren, um sich selbst ein Bild zu machen.
 
Der wohl größte Unterschied zwischen beiden ist, dass pfSense das ZFS Filesystem als Standard implementiert. Beide Systeme bieten über Plug-Ins die Möglichkeit, bestimmte Software wie Snort oder Suricata zusätzlich zu installieren. Mit Pfsense kommt obendrein die Möglichkeit E-Mails zu Konfigurieren die über bestimmte Ereignisse informieren. OPNsense bietet dafür eine Möglichkeit, System-Backups verschlüsselt an GoogleDrive oder auch datenschutzgerecht an eine NextCloud zu übertragen.
 
Da pfSense schon etwas länger auf dem Markt ist, fällt die Dokumentation etwas üppiger aus. Da beide Systeme sehr ähnliche Funktionalitäten bieten, kann man sich zu vielen Themen rund um die Einrichtung bestimmter Funktionen wechselseitig aus beiden Dokumentationen bedienen. Durch die weite Verbreitung von pfSense findet man auch deutlich mehr Beschreibungen im Internet und durch die große Nutzerbasis ist der Support durch andere Nutzer in den Foren ebenfalls größer.  
 
Für einfache Netzwerke kommt man mit pfSense bzw. OPNsense recht weit. Wem die Kommandozeile zu kompliziert ist und wer sich mit den Möglichkeiten einer grafischen Webschnittstelle zufrieden gibt, ist hier also gut aufgehoben!
 
Erfahrungswerte zu den grafischen Firewalls

 

Die Stabilität beider Produkte kann ich aus meiner Erfahrung heraus als zuverlässig und robust bezeichnen. Da OPNsense mehr Updates bringt, birgt das auch mehr Möglichkeiten, dass etwas schief geht. Was pfSense mehr Stabilität verleiht, ist der Einsatz des ZFS Filesystems, das – wie erwähnt – in der OPNsense Version nicht zur Verfügung steht.

Die Einfache Nutzung der Oberfläche, ist ein wichtiges Merkmal für die Entscheidung, eines der beiden Systeme zu nutzen. OPNsense bietet ein modernes Aussehen und ist oft übersichtlicher in seinem Aufbau. Allerdings bieten beide Systeme auch sehr komplexe Funktionalitäten, in die sich der Netzwerk-Administrator einarbeiten muss.
 
Da beide Systeme auf einem BSD Unix-Betriebssystem aufsetzen und im Hintergrund pf als Firewall einsetzen, zeigen beide Systeme ähnliche Performance in der Praxis. Beide bieten im Großen und Ganzen ähnliche Funktionen an und stellen die selben Anforderungen an die eingesetzte Hardware.
 
Bei einer direkten Konfiguration mit pf auf der Kommandozeile sind selbstverständlich noch mehr Möglichkeiten gegeben, wie zum Beispiel eine filigranere Konfiguration der Netzwerke – doch dazu später mehr!

 

Detaillierte Netzwerkgliederungen und noch mehr Sicherheit: pf das Original

Eine schematische Darstellung, wie sich Firewalls in die Netztopologie einfügen.
Verschiedene Unternehmensstandorte und Homeoffice-Arbeitsplätze können sich mit dem Firmennetz verbinden, während Cyberangriffe abgewehrt werden. Das Firmennetz hat zwischen zwei Firewalls eine Demilitarized Zone (DMZ), in der aus dem Internet zugreifbare Webdienste liegen.
Wie schon im vorigen Absatz kurz erwähnt, nutzen beide Systeme unter der Haube die Funktionen der pf Firewall, die auch das Pakete Filtern ermöglicht (daher der Name – pf steht für “Packet Filter”). Hiermit können sehr genaue Regeln für bestimmte Pakete erstellt werden.  Da das Thema Netzwerksegementierung hier zu weit führen würde, werden wir das demnächst in einem Blogartikel “DMZ und Netzwerktopologie” näher beleuchten.
 
pf wird in einem Konsole-Programm gesteuert und, nachdem überprüft wurde, ob die Einstellungen auch das gewünschte Ergebnis erzielen, in der pf.conf Datei abgespeichert, die nach einem Reboot vom System gelesen wird. In dieser Datei können Macros, Tables, Options und Filter Regeln gespeichert werden. Für die Interaktion mit der Firewall steht das Kommando ‘pfctl’ zur Verfügung. Mit der reinen pf auf Konsolen-Ebene kann man seine Firewall bis ins letzte Detail konfigurieren und beliebig komplexe Netzwerk-Konstellationen einrichten.
 
Eine solche Anwendung einer Firewall bietet sich dann an, wenn weitreichende Sicherheitsrichtlinien umgesetzt werden sollen. Diese kommen in Betrieben mit mehr als 20 PC-Arbeitsplätzen schnell zusammen und somit ist diese Lösung am Besten geeignet, um sein Netzwerk nachhaltig vor Angriffen zu sichern.
 
Wir nutzen bei unseren Kunden in Netzwerksegmenten mit erhöhtem Sicherheitsbedarf oder Ansprüchen auf unbedingte Netzverfügbarkeit spezielle Hardware, welche pf in einem Failover-System gleich doppelt einsetzt und auf einem read-only Dateisystem auf dem NanoBSD Kernel aufsetzt: Sollte die eine Konfiguration ausfallen, springt die Hardware in Echtzeit auf das Ersatzsystem um!
 
Wenn Sie mehr über pf erfahren wollen, sprechen Sie uns gerne an!
 

(Artikel von M. Reinhardt)

KONTAKTFORMULAR

KONTAKTFORMULAR

KONTAKTFORMULAR