OPNsense im professionellen Umfeld
Hallo Zusammen,
mir wurde als Firewall eine Server mit opnsense Software empfohlen. Hinter der Firewall werden etwa 50 Firmen mit ihrem Routern und manche auch ohne Router liegen. Außerdem soll ein Mailproxy betrieben werden.
Da ich mit OPNsense keine Erfahrung habe nun die Frage an Euch. Ist OPNsense für das vorgenannte Einsatzfeld zu empfehlen oder nehmen wir da nicht doch lieber eine Sophos oder ähnliches. Wie sieht es bei OPNsense mit den verschiedenen Sicherheitspaketen aus, de es bei den kommerziellen Anbietern ja gibt? Bisher habe ich immer Sophos/Watchguard eingesetzt, aber die Preise sind hier natürlich andere.
Ich würde mich freuen Eure Meinung zu diesem Thema zu hören.
Gruß Syncmaster
mir wurde als Firewall eine Server mit opnsense Software empfohlen. Hinter der Firewall werden etwa 50 Firmen mit ihrem Routern und manche auch ohne Router liegen. Außerdem soll ein Mailproxy betrieben werden.
Da ich mit OPNsense keine Erfahrung habe nun die Frage an Euch. Ist OPNsense für das vorgenannte Einsatzfeld zu empfehlen oder nehmen wir da nicht doch lieber eine Sophos oder ähnliches. Wie sieht es bei OPNsense mit den verschiedenen Sicherheitspaketen aus, de es bei den kommerziellen Anbietern ja gibt? Bisher habe ich immer Sophos/Watchguard eingesetzt, aber die Preise sind hier natürlich andere.
Ich würde mich freuen Eure Meinung zu diesem Thema zu hören.
Gruß Syncmaster
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 619366
Url: https://administrator.de/contentid/619366
Ausgedruckt am: 14.11.2024 um 19:11 Uhr
7 Kommentare
Neuester Kommentar
Moin,
ich bin nach kurzer Zeit von OPNsense zu pfSense gewechselt, da ich mit der OPNsense immer wieder ein paar kleinere aber nervige Probleme hatte. Grundsätzlich halte ich die *Senses aber für eine gute, stabile und tragfähige Lösung. Ich muss aber dazu sagen, dass ich keine Erfahrungen in den größeren Umgebungen habe, die du beschreibst.
VG
ich bin nach kurzer Zeit von OPNsense zu pfSense gewechselt, da ich mit der OPNsense immer wieder ein paar kleinere aber nervige Probleme hatte. Grundsätzlich halte ich die *Senses aber für eine gute, stabile und tragfähige Lösung. Ich muss aber dazu sagen, dass ich keine Erfahrungen in den größeren Umgebungen habe, die du beschreibst.
VG
Hi,
von mir kommt ein eindeutiges: Mach es nicht mit OPNsense.
OPNsense ist noch zu instabil.
welche Sicherheitspakete bnötigst du genau ?
OPNsense und pfSense sind vorrangig Firewalls und keine UTMs.
Mache Funktionen können abgebildet werden, ista ber teilweise schwierig bis schlecht.
Machbar wäre es eher mit einem pfSense Cluster, wobei ein integrierter Mailproxy (was immer du damit genau meinst) schon eine Herausforderung ist.
Was kostet (euch) 1 Stunde (4 Stunden / 8 Stunden) Ausfall der Firewall bei 50 angeschlossenen Firmen ?
Sophos/Watchguard oä. mit entsprechenden Supportverträgen sind meiner Meinung nach eine bessere Lösung.
CH
von mir kommt ein eindeutiges: Mach es nicht mit OPNsense.
OPNsense ist noch zu instabil.
welche Sicherheitspakete bnötigst du genau ?
OPNsense und pfSense sind vorrangig Firewalls und keine UTMs.
Mache Funktionen können abgebildet werden, ista ber teilweise schwierig bis schlecht.
Machbar wäre es eher mit einem pfSense Cluster, wobei ein integrierter Mailproxy (was immer du damit genau meinst) schon eine Herausforderung ist.
Was kostet (euch) 1 Stunde (4 Stunden / 8 Stunden) Ausfall der Firewall bei 50 angeschlossenen Firmen ?
Sophos/Watchguard oä. mit entsprechenden Supportverträgen sind meiner Meinung nach eine bessere Lösung.
CH
Hmm,
also grundsätzlich sage ich mal ja, aber...
Die Frage ist halt, ob Dir die Möglichkeiten der OPNsense ausreichen. M.E. taugt z.B. die genutzte AV-Software nicht viel (Clam-AV). Du kannst zwar auch jede andere AV-Lösung, die icap unterstützt nutzen, aber dann entstehen ja auch wieder Kosten und die Komplexität steigt.
Ähnlich ist es dann bei Filterlisten. Reichen Die frei verfügbaren Filterlisten für DNS-Blocking/Proxy aus, oder musst Du spezielle Szenarien abbilden (z.B. Jugendschutz gemäß deutschem Recht).
Dann bleibt noch die Haftungsfrage. Kommerzielle Lösungen bzw. Firmen können u.U. für Ihre Fehler haftbar gemacht werden. Bei OPNsense eher nicht. Gerade, wenn wie im oben genannten Szenario 50 Firmen hinter der FW hängen sollen...
Dan ist ein wichtiger Punkt die Frage des Supports. Was ist, wenn Du ein Problem/Anforderung nicht umsetzten kannst (z.B. Urlaub). Wie sieht es mit einem Wartungsvertrag aus?
Privat nutze ich auch OPNsense, aber im o.g. Umfeld (50 Firmen) würde ich mir das sehr gut überlegen, bzw. mir einen Partner suchen, der so etwas mit OPNsense umsetzt und auch die Wartung mit entsprechenden SLA übernimmt.
also grundsätzlich sage ich mal ja, aber...
Die Frage ist halt, ob Dir die Möglichkeiten der OPNsense ausreichen. M.E. taugt z.B. die genutzte AV-Software nicht viel (Clam-AV). Du kannst zwar auch jede andere AV-Lösung, die icap unterstützt nutzen, aber dann entstehen ja auch wieder Kosten und die Komplexität steigt.
Ähnlich ist es dann bei Filterlisten. Reichen Die frei verfügbaren Filterlisten für DNS-Blocking/Proxy aus, oder musst Du spezielle Szenarien abbilden (z.B. Jugendschutz gemäß deutschem Recht).
Dann bleibt noch die Haftungsfrage. Kommerzielle Lösungen bzw. Firmen können u.U. für Ihre Fehler haftbar gemacht werden. Bei OPNsense eher nicht. Gerade, wenn wie im oben genannten Szenario 50 Firmen hinter der FW hängen sollen...
Dan ist ein wichtiger Punkt die Frage des Supports. Was ist, wenn Du ein Problem/Anforderung nicht umsetzten kannst (z.B. Urlaub). Wie sieht es mit einem Wartungsvertrag aus?
Privat nutze ich auch OPNsense, aber im o.g. Umfeld (50 Firmen) würde ich mir das sehr gut überlegen, bzw. mir einen Partner suchen, der so etwas mit OPNsense umsetzt und auch die Wartung mit entsprechenden SLA übernimmt.
Hi,
erzähl doch mal bitte genauer:
Zum Thema Mailproxy: nicht meines, man verschenkt dadurch sehr viel Möglichkeiten der Spamfilterung. Lieber direkt an 'nen Postscreen mit Postfix leiten und dann intern verteilen. Postfix kommt immerhin von einem anerkannten Sicherheitsexperten, die Software kann man bei richtiger Konfiguration durchaus direkt ans Internet klemmen.
Was du suchst ist grundsätzlich keine reine Firewall, sondern eine ausgewachsene Unified Threat Management Lösung. Eine reine Firewall bastele ich dir auch einfach so mit OpenBSD und Pf, kein Thema. Das ist dann aber nicht das, was du haben willst.
Zu OPNSense: es gibt Leute, die setzen es seit Jahren erfolgreich im professionellen Umfeld ein. Andere bevorzugen lieber pfSense, wiederum anderen Untangle oder ganz was anderes. Historisch gesehen ist OPNSense ein Fork von pfSense. Je nachdem, wen du frägst, wirst du entsprechende Antworten bekommen.
Und solange du nicht genauer definierst, was du eigentlich brauchst, kann dir weder guten Gewissens eine Empfehlung geben noch von etwas abraten.
erzähl doch mal bitte genauer:
- Was sind denn deine konkreten Anforderungen und für was setzt du das Ding eigentlich ein?
- Ist man mit einer Firewall als Single Point of Failure zufrieden, oder aber ist Redundanz von Anfang an ein Thema?
- Wie hoch ist eigentlich das Budget, welches ausgegeben werden kann?
- 50 Firmen mit ihren Routern liegen hinter der Firewall - a-ha. Heißt das nun, dass du bei einem ISP/VPN-Anbieter arbeitest, und die Firmen über euch den Internetzugang abwickeln? Oder was genau darf man sich darunter vorstellen? 50 Webpräsenzen?
Zum Thema Mailproxy: nicht meines, man verschenkt dadurch sehr viel Möglichkeiten der Spamfilterung. Lieber direkt an 'nen Postscreen mit Postfix leiten und dann intern verteilen. Postfix kommt immerhin von einem anerkannten Sicherheitsexperten, die Software kann man bei richtiger Konfiguration durchaus direkt ans Internet klemmen.
Was du suchst ist grundsätzlich keine reine Firewall, sondern eine ausgewachsene Unified Threat Management Lösung. Eine reine Firewall bastele ich dir auch einfach so mit OpenBSD und Pf, kein Thema. Das ist dann aber nicht das, was du haben willst.
Zu OPNSense: es gibt Leute, die setzen es seit Jahren erfolgreich im professionellen Umfeld ein. Andere bevorzugen lieber pfSense, wiederum anderen Untangle oder ganz was anderes. Historisch gesehen ist OPNSense ein Fork von pfSense. Je nachdem, wen du frägst, wirst du entsprechende Antworten bekommen.
Und solange du nicht genauer definierst, was du eigentlich brauchst, kann dir weder guten Gewissens eine Empfehlung geben noch von etwas abraten.
Historisch gesehen ist OPNSense ein Fork von pfSense.
Richtig, aber eben in manchen Funktionen noch instabil. Hier kann man den Aussagen der Kollegen oben, besser auf pfSense Firmware zu setzen, nur bestätigen.Der TO wäre also mit einer pfSense Lösung besser beraten zumal er für die pfSense auch professionellen Support abschliessen kann wenn er es denn möchte.
Die Anforderungen des TO setzt eine pfSense auf einem APU4 oder größer natürlich problemlos um.