Archive

Posts Tagged ‘OPNsense’

Zabbix Agent plugin available for OPNsense

July 10th, 2017 No comments

OPNsense received a new plugin some weeks ago: It allows you to configure Zabbix Agent from the OPNsense WebGUI. Enabling this powerful monitoring agent takes only a few seconds:

 

It’s also possible to customize Zabbix Agent according to your needs, for example several features can be enabled or disabled:

Categories: [EN] Tech Tags: ,

Let’s Encrypt plugin available for OPNsense

July 6th, 2017 No comments

A Let’s Encrypt plugin for OPNsense was released back in january. It enables you to configure Let’s Encrypt SSL certificates from within the OPNsense WebGUI:

Not only is it one of the most comfortable ways to get free SSL certificates, it also integrates nicely with the HAProxy plugin for OPNsense:

The Let’s Encrypt plugin will automatically extend the HAProxy configuration and it will even verify that nothing was deleted and adds missing configuration items for you.

Don’t want to use HTTP-01 validation? Not an issue! The plugin supports a large number of DNS providers and services:

Naturally all SSL certificates are automatically imported into OPNsense’s certificate manager and may be used in multiple plugins and applications.

The awesome OPNsense users helped to iron out a few bugs and the plugin is mature enough for use in production environments. Of course, the plugin follows OPNsense security principles: ACME challenges are handled by a dedicated web service – the OPNsene GUI is never exposed to the
internet.

HAProxy plugin available for OPNsense

May 25th, 2016 No comments

OPNsense, the open source firewall, just received it’s own HAProxy plugin, a GUI for the popular HAProxy load balancer. And today’s release of OPNsense 16.1.15 included the first batch of bugfixes and improvements.

While OPNsense already includes a load balancer based on OpenBSD’s relayd, the new HAProxy plugin allows for far more complex configurations and has a superior feature-set. HAProxy’s features include SSL offloading, Lua scripting, extensive header manipulation and many more. It’s known for being a very fast and reliable solution.

The new HAProxy plugin integrates nicely with the OPNsense GUI and makes it easy to build complex HAProxy configurations:
338f5aca-04f9-11e6-807e-6d2626c2e481

42832df4-04f9-11e6-87a6-5b5cb9f218c2

555dbab6-04f9-11e6-8b22-779b0f47471a

The development was sponsored by markt.de. You can find the original pull request along with some additional information here. Please submit bug reports and feature requests on GitHub.

Categories: [EN] Tech Tags: , , ,

OPNsense: Warum Open Source Firewalls wichtig sind

December 6th, 2015 No comments

In nahezu jedem Unternehmen kommt auf die ein oder andere Weise Open Source Software zum Einsatz. Vom Betriebssystem für Arbeitsplatzrechner über die Datenbanksoftware für unternehmenskritische Daten bis hin zum Webserver zur Auslieferung der Website des Unternehmens – Open Source ist scheinbar überall und leistet hervorragende Arbeit.

Bei einem Thema ist das allerdings anders: Die Firewall. Hier greifen Unternehmen offenbar ohne zu zögern zu den kommerziellen Produkten der etablierten Größen der Branche. Aber warum ist das so?

Sicherheit von Open Source

Ein wichtiger Aspekt: Sicherheit. Die Firewall eines Unternehmens ist zwar nicht der Heilige Gral, aber sie spielt eine wichtige Rolle dabei, ebendiesen gegen Angriffe zu schützen. Bedeutet die Bevorzugung kommerzieller Lösungen bei diesem wichtigen Thema also, dass Open Source Firewalls weniger Sicherheit bieten?

Die eigentliche Frage lautet: Ist Open Source Software unsicher? Und diese Frage beantworten branchenübergreifend die größten Unternehmen, indem sie sensible Daten ganz selbstverständlich mit Open Source Software verarbeiten und speichern. Das würde in diesem Umfang nicht stattfinden, wenn es erwiesen wäre, dass Unsicherheit der hohe Preis für den Einsatz dieser kostenlosen Lösungen wäre.

Der gefühlte Vorteil

Es geht also gar nicht um messbare Werte, wie die Zahl der erkannten Sicherheitslücken eines Produkts, sondern um die gefühlte Sicherheit. Und die ist bei Open Source Firewalls bisher schlecht. Wieso? Das liegt an der Omnipräsenz kommerzieller Lösungen am Markt und der Tatsache, dass kaum ein Unternehmen den Mut aufbringt, den Einsatz der Open Source Alternativen offen bekannt zu machen und zu unterstützen. Fehlendes Marketing dieser Projekte ist dabei vielleicht ein weiterer wichtiger Aspekt.

Aber wenn sie schon nicht weniger sicher sind, dann bieten sie doch zumindest einen schwächeren Schutz gegen Angriffe oder weniger ausgeklügelte Sicherheitsfunktionen, richtig? OPNsense, die Open-Source Firewall um die es in diesem Artikel hauptsächlich geht, bietet bereits IDS Funktionen und hat erst kürzlich IPS Funktionen in der Entwicklerversion freigeschaltet und im Januar 2016 werden sie in der stabilen Version verfügbar sein. Neben kaum noch beachteten Selbstverständlichkeiten wie Paketfiltern und VPN-Tunneln waren solche Funktionen bislang häufig unerreichbar für Unternehmen, denen kein großes Budget für IT-Sicherheit zur Verfügung steht.

Was Unternehmen an kommerziellen Produkten lieben

Hohe Sicherheit und alle wichtigen Funktionen bieten Open Source Firewalls bereits. Was hält Unternehmen dann noch davon ab, diese Lösungen selbst zu verwenden? Die Haftungsfrage. Also der Wunsch nach einem Verantwortlichen bei Sicherheitsfragen und -problemen. Oder eine Möglichkeit, Hilfe bei der Umsetzung komplexer Aufgaben zu erhalten. Das alles gibt es bei Open Source Lösungen nicht, richtig? Falsch. Bei zahlreichen Projekten wird die Weiterentwicklung von Unternehmen gesponsort und kostenpflichtiger Support von Partnern und Unterstützern bereitgestellt.

In diesem Fall hat es ein wenig den “Free-to-Play” Charakter, den viele von Mobile Games kennen: Es kann völlig kostenfrei genutzt werden, aber gewisse Extras kosten etwas. Diese extras sind größtenteils kommerzieller Support oder vom Projekt unterstützte Hardware. Wenn ein Unternehmen darauf angewiesen ist, kann es beides von Decisio bekommen, dem Unternehmen hinter dem OPNsense Projekt: zertifizierte Hardware und kommerziellen Support gibt es auf den entsprechenden Webseiten.

Wert von Open Source Firewalls – OPNsense

Worin liegt also der Wert von Open Source Firewalls? Ist es die Kostenersparnis? Wahrscheinlich nicht. Ein Teil der Kosten, die dadurch eingespart werden, muss voraussichtlich in die Wartung und Pflege investiert werden.

Der eigentliche Wert steckt bereits im Begriff “Open Source”: Größtmögliche Offenheit. Alle Fehler und Schwächen liegen offen – und werden so zu einer Stärke des Projekts. Denn dadurch kann jeder etwas zur Verbesserung beitragen. Ein Unternehmen könnte gezielt zur Behebung eines Fehlers oder zur Integration eines neuen Features beitragen. Dabei ist nicht ausschließlich Geld und Personal gefragt, sondern auch die Erstellung qualifizierter Fehlerberichte und Feature-Wünsche beschleunigt diesen Prozess. In kommerziellen Produkten haben nur die größten Kunden die Möglichkeit einer solchen Einflussnahme, bei Open Source ist das grundlegend anders.

Noch einmal zum Begriff “Open Source”. Das bedeutet in erster Linie: offener Quellcode. Aber eigentlich sollte es noch viel mehr bedeutet: Offene Kommunikation, aktive Einbeziehung der Nutzer, keine Angst vor Forks und vor allem: keinen relevanten Quellcode verstecken oder den Zugang dazu erschweren. Deshalb ist OPNsense so empfehlenswert, wenn es um Open Source Firewalls geht, denn diese Punkte sind fester Bestandteil der Philosophie des Projekts. Kein Wunder, denn man ist sich seiner eigenen Geschichte vollständig bewusst: M0n0wall => pfSense => OPNsense. Noch dazu baut das Projekt bewusst Unterschiede zur stabilen Version von FreeBSD ab, wodurch viele Ressourcen für die Wartung eingespart werden und in die Weiterentwicklung fließen können.

Dazu gesellen sich die gewohnten Errungenschaften heutiger Open-Source Projekte:

Fazit

Open Source Lösungen sind ständigem Wandel unterworfen: Projekte sterben, Forks tauchen auf, Software wird neugeschrieben. Aber auch kommerzielle Produkte zwingen die Nutzer oft zum Produktwechsel oder zu einem ungewünschten Upgrade. Fortlaufende Veränderung lässt sich also nicht vermeiden. Und das ist auch gut so, sonst würden wir wohl kaum Verbesserungen und nie irgendwelche Innovationen erleben.

Der Einsatz von Open Source Firewalls ist für Unternehmen kein Risiko, sondern eine große Chance, die akzeptierten Grenzen kommerzieller Produkte endlich zu durchbrechen.

You should try OPNsense, a pfSense fork

January 13th, 2015 No comments

OPNsense® is a fork of pfSense®, the popular open-source firewall. Deciso founded the OPNsense project with emphasis on community and openness. Their mission statement sums it up quite nicely:

Give users, developers and businesses a friendly, stable and transparent environment.
Make OPNsense the most widely used open source security platform.

OPNsense 15.1 is the first release by the OPNsense project. It offers noticable enhancements:

  • New and much improvement WebGUI
  • Whole codebase is under simple 2-clause BSD license
  • Based on FreeBSD 10.0 (VirtIO support, improved Hardware support, etc.)
  • Obsoletes legacy packages in favor of pkg(ng)

You can download it here. You may report bugs and request features on GitHub. Of course, there are also several mailing lists and a forum available.

OPNsenseOPNsense logo and navbar

Categories: [EN] Tech Tags: , , ,
css.php