Quelle: https://pixabay.com/de/abenteuer-h%C3%B6he-arm-hilfe-sportler-1807524/

Open Source Firewalls schaffen digitale Souveränitat an der Unternehmensgrenze.

Hierbei kommen folgende maßgeblichen Punkte zum Tragen:

 

  • Quelloffenheit schafft technologische Transparenz
  • Vermeidung von Herstellerabhängigkeiten
  • Verwendung offener Standards

Dies gilt nicht nur für Firewalls, also dem Schutz der Unternehmensgrenze, sondern auch für den Transport und Weitervermittlung von Daten, also für Router.

Quelloffenheit schafft technologische Transparenz

Quelloffenheit der Software bedeutet, dass der Sourcecode des Betriebssystems und der darauf laufenden Anwendungen frei einsehbar sind. Diese Quelloffenheit schafft technologische Transparenz. In Bezug auf Firewall-Lösungen ist dies wichtig, da technologische Transparenz es maßgeblich erschwert, Hintertüren einzurichten. Die Verfügbarkeit der Softwarequellen macht es möglich, dass unabhängige Stellen den Quelltext auditieren können. Dies ist auch in Bezug auf den Umgang mit Sicherheitslücken und Fehlern in der Software ein großer Vorteil. Gerade im Bezug auf die Handhabung von Netzwerkverkehr und Verschlüsselung gibt es Programmierfehler, die auf gleiche Weise in mehreren Implementierungen zu finden sind – diese lassen sich so systematisch finden und beheben.

Vermeidung von Herstellerabhängigkeiten

Herstellerabhängigkeit ist gegeben, wennnur ein einzelner Hersteller die Software und Updates dazu liefert. Sie tritt dann negativ in Erscheinung, wenn der Hersteller für ein eingesetztes Produkt eine neue Strategie vorsieht, eine andere Preisfindung betreiben möchte, Abkündigung oder Verkürzung von Support-Zyklen eintreten. Im Firewall-Geschäft – einem Segment, in dem durchaus noch viele Hardware Appliances vertreten sind – bedeutet dies, dass die bestehende Gerätelandschaft nicht mehr durch Sicherheits-Updates bedient wird und dadurch Neuanschaffungen schneller anstehen, als eigentlich notwendig.

Dass sich ein Open-Source-Projekt nicht in die Richtung entwickelt, wie Nutzer es gerne hätten, kommt auch immer wieder vor. Wie aber an zwei der vorgestellten Lösungen gut zu sehen ist, gibt es dafür in der Open-Source-Welt ein probates Mittel: Durch eine OSI-konforme Open-Source-Lizenz wird sichergestellt, dass sich der Sourcecode des Projektes abspalten („Fork“) und separat als neues Projekt weiterentwickeln lässt.

Beispielhaft zeigt sich das an VyOS, welches sich als Communityfork von Vyatta entwickelt hat, als Brocade die Firma Vyatta aufgekauft hat und die weitere Strategie in Bezug auf die Entwicklung nicht eindeutig erkenntlich war.

Verwendung offener Standards

Gerade bei der Vernetzung ist die Verwendung und Einhaltung von offenen Standards von großem Vorteil. Ein tolles Beispiel für einen offenen de-facto Standard ist die Software OpenVPN. Diese hat sich im Bereich der SSL-basierten VPN-Lösungen in den letzten zehn Jahren maßgeblich durchgesetzt. Jede ernsthafte Open-Source-Firewall-Lösung unterstützt OpenVPN. Gleiches gilt für die Unterstützung des Netzwerkprotokolls IPSec (anders als OpenVPN, welches ein VPN auf der Anwendungsschicht bereitstellt, realisiert IPSec dies auf der Transportschicht).

Service, Support und Gewährleistung

Fehlender Hersteller-Support oder die Angst, im Problemfall keinen Ansprechpartner zu haben, werden oft als Argumente in das Feld geführt, um eine Open-Source-Lösung zu vermeiden. Bei näherer Betrachtung der vorgestellten Lösungen zeigt sich, dass bei den beiden BSD-basierten Lösungen (pfSense und OPNsense) jeweils ein offizielles Partnernetzwerk existiert und so auch bei Ausfall eines Dienstleisters kein Vakuum entsteht. Im Falle von VyOS existiert mit Vyatta ein kommerzieller Zweig, der von der Firma Brocade vertrieben wird.

Funktionsumfang

Der Funktionsumfang von (Open Source) Firewall-Lösungen umfasst in der Regel neben der eigentlichen „Netzwerkverkehrfilter“-Funktion viele weitere Aspekte: angefangen bei DHCP, Proxyserver (typischerweise Squid) über die oben erwähnte VPN-Dienste, Dynamische DNS-Dienste bis hin zu Intrusion Detection Systemen.

Überblick Open-Source-Firewalls

Im Folgenden werden drei Open-Source-Firewall-Lösungen betrachtet:

  1. pfSense
  2. OPNsense
  3. VyOS

Die ersten beiden sind Vertreter aus der BSD-Familie, während VyOS auf Linux basiert.

pfSense OPNsense VyOS
Lizenz BSD BSD GPL-mostly / divers
Webfrontend x x
OpenVPN x x x
Kommerzieller Support x x x (Vyatta)
OS Basis FreeBSD 10 FreeBSD 11 Debian 6
Aktuellster Release 2.3.3p1 17.1.4 1.1.7
2-Faktor Auth x
Supported von Oxidized x x
HA-Support CARP CARP VRRP
Primärer Einsatz Firewall/VPN Firewall/VPN Router / VPN

pfSense

Das auf FreeBSD-basierende pfSense ist ursprünglich 2004 als Spin-Off des m0n0wall-Projekt-s entstanden. Mittlerweile treibt das Projekt maßgeblich die Firma Rubicon Communications voran. pfSense lässt sich auf Geräten aller Größenklassen installieren und bietet vom Funktionsumfang eine große Bandbreite – insbesondere da problemlos 3rd-Party-Pakete installiert werden können.

Um die Anforderungen an die Hardware bestimmen zu können, hat pfSense auf der Projekt-Webseite einen Leitfaden.

Die 2.3er Versionsreihe von pfSense basiert noch auf FreeBSD 10.3, ab der 2.4er Version ist es das Ende 2016 veröffentlichte FreeBSD 11.

OPNsense

OPNsense wiederum ist eine Abspaltung von pfSense und 2015 entstanden. OPNsense setzt bereits in der aktuellen Version auf FreeBSD 11. Der Funktionsumfang von OPNsense ist insbesondere in Bezug auf moderne Features wie die Einbindung von Let’s encrypt, Zwei-Faktor-Authentisierung und einer API sehr umfangreich.

VyOS

VyOS ist ein Fork von „Vyatta“, das Brocade vertreibt. Der Fokus von VyOS liegt mehr auf Routing als auf Firewall, auch wenn Funktionen wie Paketfilter, Proxy und Loadbalancing zur Verfügung stehen.

Besonderheiten:

  • Konfiguration ähnlich „großen“ Hardware-Routern über eine zentrale Konfigurationsdatei (klassisches „edit“, „commit“, „save“), keine Web-Konfigurationsschnittstelle
  • Advanced Routing-Features: Quagga, ISC DHCPD, OpenVPN, StrongS/WAN
  • VLAN-Support inkl. 802.1q
  • VRRP, connection table synchronization
  • NetFlow, sFlow
  • Python/Perl-API für zentrales Konfigurationsmanagement

Fazit

Die hier erwähnten drei Vertreter sind die Spitze des Eisberges – so dass sich in diesem Segment für viele Anforderungen eine geeignete Lösung finden lässt. Wir von der WG Security der OSB Alliance wollen das Bewusstsein für die Entscheidung schärfen, ob in sicherheitskritischen Bereichen eine quelloffene Lösung nicht die bessere Wahl ist, und stehen für Kommentare, Fragen und Anmerkungen auch gerne über den Verteiler der Workinggroup „wg-security@osb-alliance.com“ zur Verfügung.

Die Autoren:
Christian Eich, WorNet AG
Felix Kronlage, bytemine GmbH
WG Security der OSB Alliance

Creative Commons Lizenzvertrag„CC BY-SA 3.0 de“
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz.