7
Firewall mit OpenWRT oder OPNsense als Betriebssystem
Hallochen Gemeinde,
ein aktuell anstehender Standortwechsel ist die geeignete Gelegenheit, die gesamte Netzwerktechnik kritisch und ergebnisoffen zu hinterfragen. Im Zuge dessen soll endlich die betagte FortiGate 60D in den Ruhestand geschickt werden.
Aus der Erfahrung mit BinTec und Fortinet wird es hier - unter anderem unter dem Gesichtspunkt der Nachhaltigkeit - als Ärgernis angesehen, dass solche proprietären Geräte höchstens ca. drei Jahre benutzt werden können, weil sie dann gänzlich aus dem Support fallen. An einer solchen Stelle setzt bekanntlich OpenWRT als alternative Firmware an, um brauchbare Hardware noch wesentlich länger nutzen zu können. Freilich gibt es nicht für jedes Routermodell ein passendes OpenWRT-Image. Außerdem kommt auch der Einsatz von OpenWRT nicht umhin, bei mit der Zeit steigenden Ressourcenanforderungen ältere nicht mehr taugliche Hardware aus dem Support zu nehmen. Das ist auch nachvollziehbar und vernünftig, weil solche Hardware bereits deutlich über den EOL-Stichtag des Herstellers weiter benutzt werden konnte.
Dessen ungeachtet kann OpenWRT - auch virtualisiert - auf einer x86-Computer-Hardware betrieben werden. Das macht OpenWRT zu einer Alternative neben OPNsense (/ pfsense) gegenüber proprietärer Hardware mit vielfältigen Gestaltungsmöglichkeiten.
Indes konnte ich in der Vergangenheit immer mal wieder in Kommentaren vernehmen, dass seitens des einen oder anderen Kommentators einer OPNsense-Installation die Tauglichkeit für den Unternehmensbereich abgesprochen wird, insbesondere im Vergleich zu einer (proprietären) NG-Firewall. Es wird dann meist nur mit großen Namen wie Cisco, Fortinet & Co. hantiert. Das ist einigermaßen erstaunlich, weil OPNsense durch eine Vielzahl von bereitstehenden ergänzenden Paketen nicht nur eine ganz individuelle Konfiguration, sondern ebenso alle Funktionalitäten bietet, die eine professionelle NG-Firewall auszeichnen. Und das allem Anschein nach unzweifelhaft auf einem Niveau, dass dem einer proprietären NG-Firewall in nichts nachsteht.
Da OpenWRT in einem erheblichen Umfang auf dieselben Pakete zurückgreift, gilt das sinngemäß auch für OpenWRT.
In beiden Fällen wird die aktive Weiterentwicklung von interessierten Unternehmen tatkräftig unterstützt und gefördert. Außerdem gibt es jeweils eine sehr aktive Community. Die Releasezyklen sind obendrein straff und verlässlich.
Hinzukommt der Umstand, dass für beide alternativen Firewall-Lösungen dedizierte Hardware-Appliances angeboten werden, die technisch gleichfalls nichts erkennen lassen, was einer proprietären Firewall irgendwie per se nachstehen könnte.
Welche Sachgründe können es also rechtfertigen, diesen beiden alternativen Firewall-Lösungen eine Tauglichkeit für den Unternehmensbereich abzusprechen, insbesondere in Bezug auf NG-Firewall-Funktionalitäten?
Ich vermag jedenfalls keine solchen Gründe zu erkennen. Zumal beispielsweise auch das FortiOS keine Zauberveranstaltung ist. Ob nun die benötigten Funktionalitäten von einem einzigen Hersteller kommen oder durch das Hinzufügen geeigneter Zusatzpakete bereitgestellt werden, ist aus meiner Sicht "gehuppt wie gesprungen", wenn alles gut integriert ist und miteinander harmoniert.
Vielen Danke für Eure Rückäußerungen und noch einen schönen Sonntagabend
HansDampf06
ein aktuell anstehender Standortwechsel ist die geeignete Gelegenheit, die gesamte Netzwerktechnik kritisch und ergebnisoffen zu hinterfragen. Im Zuge dessen soll endlich die betagte FortiGate 60D in den Ruhestand geschickt werden.
Aus der Erfahrung mit BinTec und Fortinet wird es hier - unter anderem unter dem Gesichtspunkt der Nachhaltigkeit - als Ärgernis angesehen, dass solche proprietären Geräte höchstens ca. drei Jahre benutzt werden können, weil sie dann gänzlich aus dem Support fallen. An einer solchen Stelle setzt bekanntlich OpenWRT als alternative Firmware an, um brauchbare Hardware noch wesentlich länger nutzen zu können. Freilich gibt es nicht für jedes Routermodell ein passendes OpenWRT-Image. Außerdem kommt auch der Einsatz von OpenWRT nicht umhin, bei mit der Zeit steigenden Ressourcenanforderungen ältere nicht mehr taugliche Hardware aus dem Support zu nehmen. Das ist auch nachvollziehbar und vernünftig, weil solche Hardware bereits deutlich über den EOL-Stichtag des Herstellers weiter benutzt werden konnte.
Dessen ungeachtet kann OpenWRT - auch virtualisiert - auf einer x86-Computer-Hardware betrieben werden. Das macht OpenWRT zu einer Alternative neben OPNsense (/ pfsense) gegenüber proprietärer Hardware mit vielfältigen Gestaltungsmöglichkeiten.
Indes konnte ich in der Vergangenheit immer mal wieder in Kommentaren vernehmen, dass seitens des einen oder anderen Kommentators einer OPNsense-Installation die Tauglichkeit für den Unternehmensbereich abgesprochen wird, insbesondere im Vergleich zu einer (proprietären) NG-Firewall. Es wird dann meist nur mit großen Namen wie Cisco, Fortinet & Co. hantiert. Das ist einigermaßen erstaunlich, weil OPNsense durch eine Vielzahl von bereitstehenden ergänzenden Paketen nicht nur eine ganz individuelle Konfiguration, sondern ebenso alle Funktionalitäten bietet, die eine professionelle NG-Firewall auszeichnen. Und das allem Anschein nach unzweifelhaft auf einem Niveau, dass dem einer proprietären NG-Firewall in nichts nachsteht.
Da OpenWRT in einem erheblichen Umfang auf dieselben Pakete zurückgreift, gilt das sinngemäß auch für OpenWRT.
In beiden Fällen wird die aktive Weiterentwicklung von interessierten Unternehmen tatkräftig unterstützt und gefördert. Außerdem gibt es jeweils eine sehr aktive Community. Die Releasezyklen sind obendrein straff und verlässlich.
Hinzukommt der Umstand, dass für beide alternativen Firewall-Lösungen dedizierte Hardware-Appliances angeboten werden, die technisch gleichfalls nichts erkennen lassen, was einer proprietären Firewall irgendwie per se nachstehen könnte.
Welche Sachgründe können es also rechtfertigen, diesen beiden alternativen Firewall-Lösungen eine Tauglichkeit für den Unternehmensbereich abzusprechen, insbesondere in Bezug auf NG-Firewall-Funktionalitäten?
Ich vermag jedenfalls keine solchen Gründe zu erkennen. Zumal beispielsweise auch das FortiOS keine Zauberveranstaltung ist. Ob nun die benötigten Funktionalitäten von einem einzigen Hersteller kommen oder durch das Hinzufügen geeigneter Zusatzpakete bereitgestellt werden, ist aus meiner Sicht "gehuppt wie gesprungen", wenn alles gut integriert ist und miteinander harmoniert.
Vielen Danke für Eure Rückäußerungen und noch einen schönen Sonntagabend
HansDampf06
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6888201724
Url: https://administrator.de/contentid/6888201724
Printed on: April 27, 2024 at 14:04 o'clock
7 Comments
Latest comment
Hallo,
unabhängig von den techn. Anforderungen und ihren Umsetzungen steht gerade im professionellen Umfeld der Hersteller-Support im Mittelpunkt der Entscheidungsfindung.
Für mich ist der professionelle Support ein wichtiger Entscheidungsgrund. Oper Source ist damit nicht raus, aber es muss prof. Support geben. (ZB sind 80% meiner Server SLES).
Jürgen
unabhängig von den techn. Anforderungen und ihren Umsetzungen steht gerade im professionellen Umfeld der Hersteller-Support im Mittelpunkt der Entscheidungsfindung.
Für mich ist der professionelle Support ein wichtiger Entscheidungsgrund. Oper Source ist damit nicht raus, aber es muss prof. Support geben. (ZB sind 80% meiner Server SLES).
Jürgen
Wir sind letztes Jahr in unserem Unternehmen auf OPNsense umgestiegen und sind bisher sehr zufrieden. Professionellen Support gibt es von Deciso, sowie gute Hardware.
Wir setzen 2x DEC3850 als HA Lösung ein
Wir setzen 2x DEC3850 als HA Lösung ein
2
Ich würde es bei sowas auch vom "Support" abhängig machen. Zum einen beim Hersteller - und zum anderen ggf. beim Dienstleister. Es bringt mir ja wenig wenn ich sagen "ich will aber Hersteller xyz" aber dann eben ohne Support da stehe. Andersrum KANN man natürlich einige Dinge auch gut selbst erledigen - zB. beim VPN setze ich einfach nur auf OpenVPN weil es alles macht was ich brauche. Und wenns da wirklich mal komplett ausfällt hab ich immer noch nen "Backup-Weg" um noch an alles ranzukommen um notfalls hintenrum das wieder aufzubauen.
Von daher würde ich halt schauen: Wie gut sind deine Kenntnisse u. wieviel Zeit hast du um dich um sowas zu kümmern? Dann geht natürlich auch jede OS Software zumal grad bei zentralen Komponenten das Update ja vermutlich eh nicht "mal eben montags beim Morgenkaffee" eingespielt wird. Das "gesparte" Geld für Wartungsverträge kannst du dann ja zB. auch in ne HA-Lösung investieren.
Wenn du aber natürlich weder Zeit noch Lust hast dich damit zu beschäftigen wirds halt eher der "Markenhersteller". Auch die machen ja am Ende nix anderes und - wie es so schön heisst - kochen auch nur mit Wasser. Nur DA hast du eben (je nach Vertrag) ne Telefon-Nr wo du anrufen kannst und auch mal sagen kannst "Kundenkarte, ich will eigentlich nicht wissen warum und wieso es nicht geht - mach heile und gut is". Grad wenns mal wieder etwas Hektischer wird ist sowas natürlich durchaus ein Argument...
Von daher würde ich halt schauen: Wie gut sind deine Kenntnisse u. wieviel Zeit hast du um dich um sowas zu kümmern? Dann geht natürlich auch jede OS Software zumal grad bei zentralen Komponenten das Update ja vermutlich eh nicht "mal eben montags beim Morgenkaffee" eingespielt wird. Das "gesparte" Geld für Wartungsverträge kannst du dann ja zB. auch in ne HA-Lösung investieren.
Wenn du aber natürlich weder Zeit noch Lust hast dich damit zu beschäftigen wirds halt eher der "Markenhersteller". Auch die machen ja am Ende nix anderes und - wie es so schön heisst - kochen auch nur mit Wasser. Nur DA hast du eben (je nach Vertrag) ne Telefon-Nr wo du anrufen kannst und auch mal sagen kannst "Kundenkarte, ich will eigentlich nicht wissen warum und wieso es nicht geht - mach heile und gut is". Grad wenns mal wieder etwas Hektischer wird ist sowas natürlich durchaus ein Argument...
+1 für den fehlenden (24/7) Support
+1 für bezahltes aktuelles und vergleichbares UTM
+1 für bezahltes aktuelles und vergleichbares UTM
Hi,
Meiner Meinung nach ist OpenWRT nur ein Router mit ein bißchen Paketfilter plus VPN Möglichkeiten, OPNsense ist nicht viel mehr.
Ich selber habe vor fast genau 20 Jahren angefangen M0n0wall in unserem Unternehmen einzusetzen und bin dann auf pfSense bzw. später zeitweise auf OPNsense gewechselt.
Gefühlt bis ca. 2010 war pfSense gleichwertig mit z.B. einer CISCO ASA, einer Netscreen oä.
Auch damals gab es bei den großen Firewall Anbietern schon "UTM Funktionen", war am Anfang meiner Meinung nach nur viel heiße Luft, hat sich aber weiterentwickelt. Inzwischen nennen es viele Hersteller NG-Firewall.
von einer NG Firewall Funktionalität sehe ich nichts bei einer aktuellen OPNsense.
Das bißchen SNORT, ClamAV, Squid etc. plus Erweiterungen hat nichts mit einer aktuellen NG Firewall Funktionalität zu tun.
Ebenso fehlt bei OPNsense z.B. ein vernünftiges Monitoring, bzw. eine zeitnahe Reaktion auf Vorfälle im Regelwerk bzw. bei den Security Modulen.
Ein ganz großes Manko, wenn nicht sogar das größte Manko von OPNsense ist: bei Security Audits, ISO-27001 Zertifizierung und besonders wenn das Unternehmen eine IT-Security-Versicherung hat bzw. abschließen will, sind "Bastellösungen" wie OPNsense nicht mehr anerkannt oder werden nur mit hohen Auflagen geduldet.
Gruß
CH
Meiner Meinung nach ist OpenWRT nur ein Router mit ein bißchen Paketfilter plus VPN Möglichkeiten, OPNsense ist nicht viel mehr.
Ich selber habe vor fast genau 20 Jahren angefangen M0n0wall in unserem Unternehmen einzusetzen und bin dann auf pfSense bzw. später zeitweise auf OPNsense gewechselt.
Gefühlt bis ca. 2010 war pfSense gleichwertig mit z.B. einer CISCO ASA, einer Netscreen oä.
Auch damals gab es bei den großen Firewall Anbietern schon "UTM Funktionen", war am Anfang meiner Meinung nach nur viel heiße Luft, hat sich aber weiterentwickelt. Inzwischen nennen es viele Hersteller NG-Firewall.
von einer NG Firewall Funktionalität sehe ich nichts bei einer aktuellen OPNsense.
Das bißchen SNORT, ClamAV, Squid etc. plus Erweiterungen hat nichts mit einer aktuellen NG Firewall Funktionalität zu tun.
Ebenso fehlt bei OPNsense z.B. ein vernünftiges Monitoring, bzw. eine zeitnahe Reaktion auf Vorfälle im Regelwerk bzw. bei den Security Modulen.
Ein ganz großes Manko, wenn nicht sogar das größte Manko von OPNsense ist: bei Security Audits, ISO-27001 Zertifizierung und besonders wenn das Unternehmen eine IT-Security-Versicherung hat bzw. abschließen will, sind "Bastellösungen" wie OPNsense nicht mehr anerkannt oder werden nur mit hohen Auflagen geduldet.
Gruß
CH
Ebenso fehlt bei OPNsense z.B. ein vernünftiges Monitoring
Das kann man so pauschal nicht sagen wobei die Ansichten was "vernünftig" ist ja bekanntlich immer relativ sind und von einer Unternehmensanforderung abhängen. Wenn man jetzt sarkastisch ist ist z.B. eine PaloAlto, Fortinet oder Cisco Firepower usw. auch nichts anderes als Linux mit ein bisschen Paketfilter und VPN denn bei allen werkelt zu 99% ein Linux im Unterbau. Natürlich mit weiteren Herstellerfunktionen und Support verbunden, keine Frage.Zumindestens OPNsense kommt im Default, abgesehen vom klassischen SNMP, mit einem vollständig installierten NetFlow Support. Was das Thread Management anbetrifft ist Suricata an Bord. Ganz ohne ist es also nicht...
1