OPNsense im professionellen Umfeld

syncmaster
Goto Top
Hallo Zusammen,

mir wurde als Firewall eine Server mit opnsense Software empfohlen. Hinter der Firewall werden etwa 50 Firmen mit ihrem Routern und manche auch ohne Router liegen. Außerdem soll ein Mailproxy betrieben werden.

Da ich mit OPNsense keine Erfahrung habe nun die Frage an Euch. Ist OPNsense für das vorgenannte Einsatzfeld zu empfehlen oder nehmen wir da nicht doch lieber eine Sophos oder ähnliches. Wie sieht es bei OPNsense mit den verschiedenen Sicherheitspaketen aus, de es bei den kommerziellen Anbietern ja gibt? Bisher habe ich immer Sophos/Watchguard eingesetzt, aber die Preise sind hier natürlich andere.

Ich würde mich freuen Eure Meinung zu diesem Thema zu hören.

Gruß Syncmaster

Content-Key: 619366

Url: https://administrator.de/contentid/619366

Ausgedruckt am: 18.08.2022 um 22:08 Uhr

Mitglied: BirdyB
Lösung BirdyB 05.11.2020 um 08:04:41 Uhr
Goto Top
Moin,

ich bin nach kurzer Zeit von OPNsense zu pfSense gewechselt, da ich mit der OPNsense immer wieder ein paar kleinere aber nervige Probleme hatte. Grundsätzlich halte ich die *Senses aber für eine gute, stabile und tragfähige Lösung. Ich muss aber dazu sagen, dass ich keine Erfahrungen in den größeren Umgebungen habe, die du beschreibst.

VG
Mitglied: ChriBo
Lösung ChriBo 05.11.2020 um 08:07:08 Uhr
Goto Top
Hi,
von mir kommt ein eindeutiges: Mach es nicht mit OPNsense.
OPNsense ist noch zu instabil.

welche Sicherheitspakete bnötigst du genau ?
OPNsense und pfSense sind vorrangig Firewalls und keine UTMs.
Mache Funktionen können abgebildet werden, ista ber teilweise schwierig bis schlecht.

Machbar wäre es eher mit einem pfSense Cluster, wobei ein integrierter Mailproxy (was immer du damit genau meinst) schon eine Herausforderung ist.

Was kostet (euch) 1 Stunde (4 Stunden / 8 Stunden) Ausfall der Firewall bei 50 angeschlossenen Firmen ?

Sophos/Watchguard oä. mit entsprechenden Supportverträgen sind meiner Meinung nach eine bessere Lösung.

CH
Mitglied: monstermania
Lösung monstermania 05.11.2020 um 08:19:14 Uhr
Goto Top
Hmm,
also grundsätzlich sage ich mal ja, aber...
Die Frage ist halt, ob Dir die Möglichkeiten der OPNsense ausreichen. M.E. taugt z.B. die genutzte AV-Software nicht viel (Clam-AV). Du kannst zwar auch jede andere AV-Lösung, die icap unterstützt nutzen, aber dann entstehen ja auch wieder Kosten und die Komplexität steigt.
Ähnlich ist es dann bei Filterlisten. Reichen Die frei verfügbaren Filterlisten für DNS-Blocking/Proxy aus, oder musst Du spezielle Szenarien abbilden (z.B. Jugendschutz gemäß deutschem Recht).
Dann bleibt noch die Haftungsfrage. Kommerzielle Lösungen bzw. Firmen können u.U. für Ihre Fehler haftbar gemacht werden. Bei OPNsense eher nicht. Gerade, wenn wie im oben genannten Szenario 50 Firmen hinter der FW hängen sollen...
Dan ist ein wichtiger Punkt die Frage des Supports. Was ist, wenn Du ein Problem/Anforderung nicht umsetzten kannst (z.B. Urlaub). Wie sieht es mit einem Wartungsvertrag aus?

Privat nutze ich auch OPNsense, aber im o.g. Umfeld (50 Firmen) würde ich mir das sehr gut überlegen, bzw. mir einen Partner suchen, der so etwas mit OPNsense umsetzt und auch die Wartung mit entsprechenden SLA übernimmt.
Mitglied: Gentooist
Gentooist 05.11.2020 aktualisiert um 16:34:30 Uhr
Goto Top
Hi,

erzähl doch mal bitte genauer:

  • Was sind denn deine konkreten Anforderungen und für was setzt du das Ding eigentlich ein?
  • Ist man mit einer Firewall als Single Point of Failure zufrieden, oder aber ist Redundanz von Anfang an ein Thema?
  • Wie hoch ist eigentlich das Budget, welches ausgegeben werden kann?
  • 50 Firmen mit ihren Routern liegen hinter der Firewall - a-ha. Heißt das nun, dass du bei einem ISP/VPN-Anbieter arbeitest, und die Firmen über euch den Internetzugang abwickeln? Oder was genau darf man sich darunter vorstellen? 50 Webpräsenzen?

Zum Thema Mailproxy: nicht meines, man verschenkt dadurch sehr viel Möglichkeiten der Spamfilterung. Lieber direkt an 'nen Postscreen mit Postfix leiten und dann intern verteilen. Postfix kommt immerhin von einem anerkannten Sicherheitsexperten, die Software kann man bei richtiger Konfiguration durchaus direkt ans Internet klemmen.

Was du suchst ist grundsätzlich keine reine Firewall, sondern eine ausgewachsene Unified Threat Management Lösung. Eine reine Firewall bastele ich dir auch einfach so mit OpenBSD und Pf, kein Thema. Das ist dann aber nicht das, was du haben willst.

Zu OPNSense: es gibt Leute, die setzen es seit Jahren erfolgreich im professionellen Umfeld ein. Andere bevorzugen lieber pfSense, wiederum anderen Untangle oder ganz was anderes. Historisch gesehen ist OPNSense ein Fork von pfSense. Je nachdem, wen du frägst, wirst du entsprechende Antworten bekommen.

Und solange du nicht genauer definierst, was du eigentlich brauchst, kann dir weder guten Gewissens eine Empfehlung geben noch von etwas abraten.
Mitglied: syncmaster
syncmaster 05.11.2020 um 14:39:36 Uhr
Goto Top
Hallo Gentooist,

danke für Deine Bemühungen. Ich wollte eigentlich nur eine Einschätzung, ob das kurz benannte Szenario mit der OVNsense dauerhaft und gut lösbar ist oder nicht. Ein Lösungsvorschlag war hier nicht die Frage.

Aber Du hast mir dennoch mit ein paar Aussagen weiter geholfen.

Gruß Syncmaster
Mitglied: aqui
aqui 05.11.2020 aktualisiert um 15:26:08 Uhr
Goto Top
Historisch gesehen ist OPNSense ein Fork von pfSense.
Richtig, aber eben in manchen Funktionen noch instabil. Hier kann man den Aussagen der Kollegen oben, besser auf pfSense Firmware zu setzen, nur bestätigen.
Der TO wäre also mit einer pfSense Lösung besser beraten zumal er für die pfSense auch professionellen Support abschliessen kann wenn er es denn möchte.
Die Anforderungen des TO setzt eine pfSense auf einem APU4 oder größer natürlich problemlos um.
Mitglied: Inf1d3l
Inf1d3l 05.11.2020 aktualisiert um 17:25:50 Uhr
Goto Top
Watchguard und Co. als externe Firewall, OPNsense als interne Firewall. Wobei als externe Firewall ich lieber Richtung Made in Germany gehen würde, z.B. Lancom.