Messages

1

German - Deutsch / Re: Opnsense als RZ Firewall ?

« on: April 26, 2017, 12:22:04 pm »

Ist bei und nicht viel Anders. Die GF verlässt sich hier i.d.R. auch auf die IT. Nur bleibt die Frage, ob Du wirklich alle möglichen Folgen die sich aus Deiner Wahl ergeben können abschätzen kannst!

Ne das werde ich bei keiner Wahl können, ich muss es dann halt nur "beherrschen", Fehlerquellen etc. zügig im Griff zu haben. Ein Grund der gerade für OpenSource spricht, da man mehr Einblick in Abläufe hat als bei BlackBoxen

Ich weiß echt nicht, was immer dieser Zinnober mit der Uptime eines Systems soll! Wichtig ist zunächst mal eine konsequente und stabile Versorgung mit Updates seitens des Herstellers! Und nach einem Update wird die FW u.U. eben neu gestartet. Dank HA benkommen die User davon ja (fast) gar nichts mit!  Es fliegen halt kurzzeitig alle VPN-Tunnel weg. Aber ein Problem war das bisher auch nicht.
Das halte ich im Übrigen auch bei meiner OPNsense so. Da kommt es bei einem Update auch gern vor, dass z.B. der Squid nach dem Update weiterhin mit der alten Version läuft!

Mit Uptime war einfach ein stabiles System gemeint, was wenn es nicht kritisch ist, auch Updates im Rahmen bekommt. Ein Beispiel, wir hatten mal ein CephCluster betrieben, vertrieben durch Suse. Hier kamen Updates in einem Zyklus der nicht mehr vertretbar war. Lag aber wohl auch an Bugs und zu schnell auf neue Pferde gesetzt.
Sophos war auch was Updates betrifft, nicht übertrieben viel. So konnten wir uns es erlauben, auch die FW nur bei QuartlyPatchDay die FW zu aktualisieren. Ich verstehe aber auch unter Uptime, dass die Dienste bei korrekter Konfiguration nicht alle Nase lang sich aufhängen. NeverEndingStory ; PrintSpooler von Windows Server als Beispiel. Sowas kann man bei einer FW garnicht gebrauchen.

Spam- und AV-Filter für den Exchange!?
Soll der Webbproxy genutzt werden? Wie sieht es dann mit AV-Schutz für Downloads aus?
Sollen ggf. Kategoriesperren genutzt werden (z.B. Porno, Werbung)? Wie sieht es hier mit notwendigen Filterlizenzen für OPNsense aus?
Wie sieht es mit dem Logging/Reporting aus (Zugriffstatistik, Traffic-Reports, usw.)!?

Hier müsste ich im Falle von OPNSense Abstriche machen. Das würde sich aber alles über Linux-Systeme in Form von Appliances lösen lassen denke ich. Erhöht die Administration/Monitoring etc. schafft uns aber Bedarfsgerecht reagieren zu können.

Nun ja, unser FW Cluster läuft auf dedizierter HW! Einzig aus Gründen des Herstellersupports läuft halt ein Hypervisor. Ich würde auch nie auf die Idee kommen eine FW auf einem Host zu nutzen auf dem noch andere produktionskritische VM laufen.

Da würde ich Ärger mit den Netzwerken bekommen Die erzählen mir dann sowas vonwegen im Kernel des Hypervisors war es in der Vergangenheit möglich von einer VM auf die andere zu zugreifen etc.
Aber auch für den DisasterRecovery möchte ich nicht vor einem Henne/Ei Problem stehen. Im ColdStandBy würde ich mir die sekundäre FW noch als VM gefallen lassen.

2

German - Deutsch / Re: Opnsense als RZ Firewall ?

« on: April 26, 2017, 10:10:30 am »

Hallo zusammen

und vielen Dank für die Antworten.
Ja mit OpenSource und gerade hier ohne SLA Support ist es teilweise schwieriger, gerade bei mission critial Systemen wie Firewall.

Hier bin ich gottseidank in der komfortablen Lage, das die Beurteilung zur Verwendung der nötigen Infrastruktur mir alleine unterliegt.
Wenn ich also sage wir fahren OPNSense im HA auf Dellserver, dann wird das nicht hinterfragt.
Das setzt nur vor raus, Vertrauen und Entscheidung treffen = verantwortlich sein

Und da kann ich noch nicht wirklich abschätzen; läuft die angedachte Lösung bestenfalls eine Uptime von 200 Tagen ohne nennenswerte Schwierigkeiten. Ohne HA würde ich das gar nicht erst in Betracht ziehen wollen.

So wäre ich zumindest in der Lage HA aufbrechen, Konten aktualisieren und dann wieder im Sync zu nehmen.
Auch was den Funktionsumfang betrifft, das was eine Firewall können muss, ist gegeben bei OpnSense und auch mehr.
Klare Vorteil z.B. gegenüber Sophos und Co. native Unterstützung LetsEncrypt.
Ich fahre ein Hyper-V Cluster hier, auch das wäre ein denkbares Szenario, diese als VM's einzusetzen.
Für mich gehört aber Firewall noch in eigene Hardware, dediziert und physikalische getrennt.

Der Support der gekauft werden kann ist aber kein klassischer SLA, sondern ein Kontigent an Stunden auf das man zurück greifen kann um entsprechende Experten zu bekommen richtig ?

Das sehe ich weniger als Support, sondern ist eher Consulting mit garantierter Reaktionszeit .)

Gruß
Thorsten

3

German - Deutsch / Re: Opnsense als RZ Firewall ?

« on: April 25, 2017, 08:39:36 pm »

Hallo und vielen Dank.
Ja das meisste sind klassische Portfilterregeln. Terminalservices z.b. TCP 3389 etc.
Mit der Summe der User wollte ich nur darauf hinweisen, days dauerthaft traffic besteht, sei we HAProxy, VPN etc.
Ich habe die ISO zuhause am laufen. Mit IPS , Let's Encrypt, OpenVPN, Squid etc.
Nur ist das leider nicht repräsentativ fürs RZ
Für die ipsec's habe ich an allen Standorten Lancom VPN Gateways. Müssten 16 Stück sein.
Die würde ich damn entsprechend konfigurieren woolen.
WAN Uplink ist 1 GB, die Standorten sind mit his zu 100 MBit angebunden.
Sophos kann ich für Exchange z.b. als Relay betreiben. Würde dies such mit Opnsense klappen ?

Wichtig und interessant ist die Frage ;
Wie stable ist Opnsense.
Ist das o.g. Hardware performant genug. Würde ich stabile Durchsätze haben, such wenn ich die FW voll ausreize, IPS Squid und Co betreibe ?
Danke euch
Edit : sorry für die autovervollständigung, tippe gerade vom Android was nicht so will wie ich

4

German - Deutsch / Opnsense als RZ Firewall ?

« on: April 25, 2017, 07:15:35 pm »

Hallo zusammen,

Ich erstelle gegenwärtig ein Rechenzentrum.
Hier soll folgendes abgebildet werden :
450 User,
Exchange, Terminalservices, MS Nav, Fileserver etc.
Weiterhin wird es Standortvernetzungen per ipsec geben.

Bisher bin ich Sophos UTM erfahren.
Mich reizt aber der Gedanke von OPNSense
Vorgestellt hatte ich mir zwei im HA zu fahren. Als Hardware stünden mir zwei Dell Poweredge R610 zur Verfügung. Je zwei Xeon mit jeweils 36 GB RAM und ein Raid1 mit SSD's . Ich würde noch me DualPort SFP+ 10 GB einbauen können.
Also Hardware ist perfomant. Nun die Quizzfrage.

Eignet sich die Lösung als Enterprise-Lösung ?
Klar wir könnten such zwei UTM SG230 kaufen mit SLA etc. Charmant Bei Sophos ist Mail-Protection an board. Auch ist Sophos einfach zu bedienen etc.
Aber irgendwie glaube ich das OPNSense dem nicht nachsteht oder ?
Die commercial Appliances sichern my Durchsatzraten für VPN, Portfilter IPS etc. an.
Hier bei der Self-made Lösung weiss ich nicht was ich erwarten kann.
Auch lese ich hier und da von Update/Upgrade Schwierigkeiten. Ist das Unfähigkeit ?
Also kurz und Knapp ist OpnSense Enterprise ready so wie oben beschrieben ?

Danke euch
Gruss
Thorsten