Firewalls mit OPNsense erfreuen sich immer größerer Beliebtheit. Die Open Source Software überzeugt mit einer ordentlichen Oberfläche, mit erweiterbaren Software-Paketen und das beste: mit Sicherheitsfunktionen, die durchaus mit Profi-Equipment mithalten kann. Kein Wunder, dass diese Systeme insbesondere bei KMUs sehr beliebt sich. Häufig stellt sich die Frage: welche Hardware nimmt man für die OPNsense-Firewall?
Kriterien für die Hardware-Auswahl
Wir mussten diese Frage schon häufig beantworten, darum ist hier kurz und knapp unsere Frageliste für die richtige Hardware:
- Format: Box (Plastikrouter-Format) oder Rack (für den Einbau in einen Schrank)?
- Geräusch: Lüfterlos (im Büro), geräuscharm oder Lüfter?
- VPN: ist IPSec gewollt oder nicht?
- VPN-Leistung: welche Datenmengen werden über das VPN übertragen?
- Leistung: wie viele Nutzer/Server/Endgeräte sind geplant?
- Funktionen: reines Firewalling oder auch IPS, WebProxy, etc.?
- Festplatte: reicht eine CF/SD-Karten, bzw. eine SSD oder muss eine Festplatte verbaut werden?
- Anzahl der Netzwerkschnittstellen: mindestens 3, wie stark soll das Netzwerk segmentiert werden?
- Ausfallsicherheit: soll es ein HA-System werden?
Warum sind diese Fragen wichtig? Einige Kriterien schließen sich einfach gegenseitig aus. So kann man von einer kleinen Box nicht erwarten, dass dort alle IPS-Rulesets geladen und performant ausgewertet werden können. Auch fehlt manchen kleinen CPUs die Erweiterung AES-NI für ein performantes VPN-Erlebnis. Daumenregel: wer Profi-Funktionen haben möchte, benötigt auch Profi-Hardware. Wenn das allerdings nur für 2-10 Nutzer sein soll, lassen sich ein paar Abstriche bei der Performance machen.
Raspberry Pi?
Bevor wir starten: es ist grundsätzlich möglich, OPNsense auf einem Raspberry Pi laufen zu lassen. Aber: ein Raspberry sowie seine vergleichbaren Systeme (BananaPi, Beagleboard) haben in der Regel nur ein Netzwerkinterface. Ja, es gibt auch USB-Netzwerkadapter. Ja, man kann auch zwei Netze mit VLANs aufspannen. Ja, man kann…
So richtig Spaß macht das aber alles nicht und gehört eher in den Bereich „Jugend forscht“.
Minimalsystem 1
Für das Minimalsystem 1 gehen wir zu einen bekannten Auktionshaus und suchen nach „fanless mini pc intel firewall“. Diese Suche liefert recht viele passiv gekühlte Systeme mit 4 oder mehr Ports.
Kosten: 230,- bis 400,-
Funktionen: DSL-Einwahl, VPN für etwa 5 Nutzer, Firewalling
Minimalsystem 2
Wer lieber etwas Hardware-Support oder eine ordentliche Rechnung mit Umsatzsteuer benötigt, der kann vergleichbare Systeme auch bei den folgenden Anbieter kaufen:
- Deciso (sehr empfehlenswert)
- Thomas Krenn
Kosten: 600,- bis 900,-
Funktionen: DSL-Einwahl, VPN für etwa 10 Nutzer, Firewalling, vorinstalliertes System
Minimalsystem 3
Hierzu nehmen wir uns die sogenannten APU-Boards von PC Engines, ein schweizer Hersteller. Das beste Board ist unserer Meinung das APU4D4. Die erste 4 steht für die Anzahl der Interfaces, die zweite 4 steht für den RAM. Die kleinen Boxen verfügen sogar über AES-NI für eine VPN-Beschleunigung.
- APU 4D4 (NRG Systems)
- APU 6B4 mit SPF-Interface (NRG Systems)
ThinClient mit Zusatzkarte
Ebenfalls aus dem Bürobereich kommen sogenannte ThinClients. Diese sind recht ressourcensparend. Sie stellen in großen Unternehmen häufig nur das Bild dar, die Berechnungen führen Terminalserver durch. Die Geräte haben in der Regel einen PCIe-Slot, allerdings ist für die Nutzung der Gehäuseöffnung eine RISER-Karte notwendig, da der Anschluss um 90 Grad gedreht werden muss.
Bekanntester Vertreter sind Fujitsu Futro mit RISERCARD D3318 und Intel Pro/1000PT.
Kosten: ThinClient 40,- € + RISERCARD 35,- € + QuadPort PCIe 45,- €
PC-Nachnutzung 1
Hierzu nehmen wir einfach einen etwas älteren Tower-PC, der nicht mehr benötigt wird. Zusätzlich müssen wir eine PCI/PCIe Quad Port-Karte einbauen, um die Netzwerkinterfaces für unsere Firewall zu bekommen. Fertig ist die Hardware-Firewall!
Kosten: PC 50,- € + Quad Port 200,- €
PC-Nachnutzung 2
Irgendwann haben sich im Bürobereich kleinere PC-Formate durchgesetzt. Für diesen Vorschlag suchen wir einfach in Kleinanzeigen oder Auktionshäusern nach „PC SFF“. Auch hier müssen wir eine PCI/PCIe Quad Port Karte verbauen, allerdings ist hier „Low Profile“ das Zauberwort, damit sind die Karten nur halb so breit.
Kosten: PC 100,- € + Quad Port
Alter Server
Eins vorweg: eine Firewall ist für mich ein Netzwerkgerät. Dementsprechend erwarte ich die Netzwerkports an der Vorderseite der Geräte. Wem das nicht stört, kann einen alten Server auftreiben, die Netzwerk-Interfaces erweitern und loslegen. Diese Suche geht daher in Richtung „short server rack“. In diesem Bereich gibt es seit einiger Zeit den fernöstlichen Hersteller HUNSN, schon etwas länger gibt es SuperMicro.
Ehemalige Firewall
Da auch die Großen nur mit Wasser kochen, basiert die Hardware für deren Firewalls häufig auf Standard-Architekturen. Sobald wir in der Lage sind, von einem USB-Stick zu booten, lässt sich in der Regel auch OPNsense installieren. Häufig lassen sich so ausgelaufene Modelle ohne Hersteller-Support noch sinnvoll nachnutzen.
Bekannte Modelle sind:
- Sophos SG/XG
- Astaro, z.B. ASG320 (ca. 250,- €)
- WatchGuard, z.B. XT 820 (ca. 250,- €)
- Cisco Firepower (aufwändig)
Fazit
Die Auswahl ist enorm. Für die Installation von OPNsense kommt von neuer Hardware, über gebrauchter Privathardware bis hin zu leistungsstarken Servern alles in Betracht. Mit der eingangs erwähnten Checkliste sollte keine Fragen mehr offen bleiben.
Managed Firewall Service
Für Unternehmen, die auf der Suche nach einem professionellen Firewall-Betrieb sind, bieten wir unseren Managed Firewall Service.
