OPNsense vs kommezielle Firewalls

[kosta]

Hello,

ich mache ein kleines Brainstorming bzgl. Firewallwechsel.
Wie ist es bei der OPNsense wenn es um den Einsatz im kommerziellen Umfeld geht?
Speziell im Bezug zB. auf Deciso.
Sie haben Support habe ich gesehen, kann man kaufen. Ebenso Hardware.
Kann man es, wenn man das so aufstellt, 1:1 mit zB. einer Fortigate vergleichen?

Mit Sophos SG125 die wir im Einsatz haben, bin ich mittlerweile auch sehr enttäuscht. Ebenso mit dem Support. Seit 5 Tagen haben wir ein massives Problem. Nach einem Tag Troubleshooting habe ich den Support angerufen, dachte mir ein zweites Kopf wäre nicht schlecht. Der Support-MA wusste nicht mal wie man sich auf der Konsole "bewegt", suchte vergleiche Logs, kannte weder cat noch vi... Case eröffnet, als dringend... glaubt man da hat sich wer gerührt? Unfassbar!
So, auch wenn wir heuer 3 Jahres Lizenzen gekauft haben, peile ich mit Jahresende ein Wechsel an. Nur die Frage, wird Forti (oder vergleichbar) oder OPNsense.

Und nicht falsch verstehen, ich bin vom OPNsense begeistert. Aber, ich muss auch meinen CEO überzeugen, denn die erste Frage die er stellen wird: Open Source? "Gratis"? Kann sicher nix...

[cwt]

Das betrifft wohl alle „Splitsysteme“ (kostenlos und kostenpflichtig als Option) im Open Source Bereich… bzw. kommen diese Fragen immer auf. Bspw. auch bei Proxmox und anderen Systemen.

Der Mahagoni-PowerPoint-Fraktion erkläre ich bei sowas immer, dass

- man mit einer Subskription nicht nur Anspruch auf Support hat, sondern solche Systeme auch voranbringt
- viele rein kommerzielle Systeme (closed source) auch nur mit Wasser kochen und sich nicht gerade mit Ruhm bekleckert haben (Stichwort: Lücken, 0days, etc.) - siehe Exchange, Cisco, …
- große Distributoren wie etwa Thomas Krenn Systeme wie OPN & Co. im Portfolio haben und erfolgreich vermarkten

Kommt natürlich auch immer auf das jeweilige Gegenüber an.

Just my 2 cents 

[mimugmail]

Was sind denn deine Anforderungen bzw. welche Features verwendest du von der SG?

[lewald]

Nun,

1. Man sollte sich fragen was soll das jeweilige Produkt für Anforderungen erfüllen.
2. Man sollte zwischen Subscription und Support unterscheiden. Meistens hat man eben nur ein Nutzungsrecht gekauft. Mit minimalem Support.
3. Fast alle kommerziellen großen Firewalls hatten die letzten Jahre schöne Sicherheitslücken und Backdoors.

Wenn eine OPNsense die Aufgaben erfüllt, welche gefordert werden, spricht nichts dagegen sich diese durch einen kompetenten Fachpartner oder selbst zu installieren. Beim Fachpartner zahlt man eben die Dienstleistung. Den kann man dann auch bei Probleme ansprechen.

[lfirewall1243]

Wir setzten die Geräte im Business Bereich ein.

So gehe ich immer heran.

Welche Funktionen braucht man zwingend?
Welche sind nice to have ?

Anhand dessen dann, unterstützt Opnsense das oder eben nicht

[kosta]

@cwt
Danke für die Tipps, die machen Sinn.

@mimugmail

Interfaces:
- aktuell 6 von 8 Ports belegt, brauchen tue ich bald noch eins für DMZ, also 1 bleibt frei

WAN:
- Interface Uplink Balancing / Multipath Rules - DSL und LTE, gewisse Dienste via LTE und gewisse Dienste via DSL, wird sowohl mit mit Multipath Rules wie auch Static Routing realisiert, auch Policy Routing wird verwendet
- Additional Addresses - werden für SNAT genutzt, bspw. für Home-Office-Telefone, damit sie sich auf den Telefonie-Server verbinden können, oder die Remote-Server die Verbindung nur von einer Firmen-IP zulassen zu NATen

QOS:
- Download-Throttling (hauptsächlich einfach nur die Bandbreite für gewisse Dienste begrenzen), bei LTE eh schwierig umsetzbar

DNS:
- Forwarders-Liste
- Request Routing

DHCP:
- Basis-Anwendung für WLAN

Firewall:
- viele Gruppen
- IP-Adressen und DNS Hosts (zB. Mail an "smtp.gmail.com" anstatt 34 IP Adressen eintragen zu müssen)
- Country Blocking

NAT:
- DNAT und SNAT (Port Forwarding und wie vorher schon erwähnt, Umwandlung der externen IPs in die interne IPs)
- IPS (ist an, aber kaum anders konfiguriert als Default)
- Anti-Portscan ist auch an

Web-Filtering:
- habe ich eine Weile verwendet, dann aber aufgegeben, da es alles andere als sinnvoll ist für mich

VPN:
- Site-to-Site
- Remote SSL (OpenVPN)

Webserver Protection:
- Web Application Firewall, wird für Download-Server, Remote-Software und Client-Monitoring Software verwendet (Firewall Profile sind teils konfiguriert, teils "offen")

WLAN Access Points:
- sind von Sophos, und nicht anderer Hardware einsetzbar

RED:
- wie ich eben Site-to-Site Tunnel mit OPNsense<->Sophos mache, so hat ein Mitarbeiter eine Red-Kiste zu Hause

Grundsätzlich sehe ich nicht viele Probleme, meine Bedenken liegen bei folgenden Punkten:
- Gruppierungs-System der Sophos: etwas abschreckend ist das System in dem ich Sophos verwende, mit vielen Gruppen und dazugehörigen IP-Adressen die Namen und Beschreibungen haben, OPNsense ist da etwas im Nachteil, aber aus der Home-Verwendung würde ich sagen managebar
- WLAN - die Sophos müsste als 2. Router bleiben, damit man WLAN hat, sonst müsste man die AP tauschen (die Unifi-AP kosten ja nicht die Welt, aber immerhin)
- RED - die Sophos müsste WAN-seitig die OPNsense haben, und RED-Tunnel müsste man durch OPNsense schleifen (nur eine WAN-IP seitens ISP möglich), ob das so realisierbar ist?

So, ich glaube im Großen und Ganzen dürfte das sein.

Für die Migration, grob gesagt hätte ich mir überlegt so:
- aufstellen einer OPNsense Installation am Server (zur Verfügung steht eine NIC mit 4 Ports)
- nach und nach die Sachen konfigurieren, und außerhalb Produktionszeiten testen
- da ich in der Firma One-Man-Show bin was das und andere IT-Sachen betrifft, muss ich mir dafür lang Zeit nehmen, ich schätze paar Monate ein

@lewald

Man sollte zwischen Subscription und Support unterscheiden. Meistens hat man eben nur ein Nutzungsrecht gekauft. Mit minimalem Support.

Ist mir bewusst. Wenn man aber bessere Support braucht, würde man das noch extra kaufen müssen (nicht bei Sophos, sondern meistens Sophos Partner).
OPNsense wäre nicht wirklich günstiger da man für einige Zusatzfeatures zahlen muss (Stichwort Sensei), aber man kann Support kaufen, was ich hoffen würde, dass das auch einen Mehrwert im Vergleich zum "beworbenen" Support von Sophos, der dermaßen schlecht ist (das war bereits eine zweite, und schlechte, Erfahrung).
Und ja, die Bugs sind mir bekannt, auch bei Sophos.
Die Installation erfolgt, wenn, dann selbst.

@lfirewall1243
Ich denke aus dem obigen Posting dass die OPNsense auf eine oder andere Weise so ziemlich alles abdecken würde, mit Ausnahme vom WLAN und RED. Wobei Thema RED wird mit Jahresende vermutlich aussterben und dann die Sophos nur für WLAN Zugang zu verwenden ist einfach.
Mit dem Rest habe ich nur soweit Erfahrung, was ich in der Home-Anwendung gesehen und selbst konfiguriert habe (und das ist nicht alles was oben erwähnt wurde).

Nice to have? Hat OPNsense einige, unter anderem auch sehr wichtige Punkte für mich:
- Sensei finde ich sehr sinnvoll und sehr gut gemacht
- Allgemeines Troubleshooting auf der OPNsense ist um Lichtjahre einfacher und übersichtlicher, auch mehr Informationen besser ablesbar
- Deutlich performanter wenn es um den GUI geht

So, das war's mal.

[mimugmail]

WLAN und RED geht nicht, WAF wird .. anders, der Rest ist kein Problem. Sophos kann Protokolle in Ports mischen, das geht bei OPN nicht, der Rest ist Fleißarbeit
Guck Mal auf die Partnerliste von OPNsense, da gibt's welche die kommerziellen Support machen.

[kosta]

Danke, genauso dachte ich es mir auch.
Klärung bitte, was meinst du damit:

Sophos kann Protokolle in Ports mischen, das geht bei OPN nicht,

Ja, die Partner habe ich schon gesehen. Deciso, Thomas-Krenn ist mir schon aufgefallen. Sind ja beide EU (Deciso ist vermutlich Support auf Englisch, ist mir aber gleich ob DE oder EN).

[mimugmail]

TK macht nur Hardware.
Richtigen Support in Form von Consulting und Wartungsvertrag macht u.a. BayCIX und max it (mein Arbeitgeber).
Evtl. hab ich einen auf der Liste übersehen, aber das wären die in DE.

[kosta]

Danke für die Infos, werde ich mir ansehen.
Interessant für uns ist denke ich ein "go-to" Partner, bei dem wir nur pro Stunde zahlen wenn wir Fragen zu der Konfiguration oder Problemen haben. Also nur ein Stundensatz.
Ein laufender Wartungsvertrag ist uninteressant, da die Firma "mich" hat. zB. bei Sophos hatte ich in 5 Jahren jetzt 2 Fälle wo ich Support anrufen musste, der Rest ginge alles via Foren und Recherche, da es nicht dringend war.
Und einer der zwei Fälle war eigentlich das Verschulden der Sophos selbst, die haben was im Code gehabt.
Das zweite jetzt war eine Software die uns via WAF wie ein DDos attackiert hat.

[JeGr]

TK macht nur Hardware.
Richtigen Support in Form von Consulting und Wartungsvertrag macht u.a. BayCIX und max it (mein Arbeitgeber).
Evtl. hab ich einen auf der Liste übersehen, aber das wären die in DE.

Machen wir bei qwertiko auch

[mimugmail]

Ihr müsst noch Partner werden! Alles für das Projekt

Bzgl. go-to Partner wirds schwierig, so ein Geschäftsmodell kann nur ein Student stemmen.
Eine Firma mit Personalkosten, Miete etc. wird sicher nicht überleben wenn es nur Kunden hat die zahlen wenn sie Hilfe brauchen.

[kosta]

Hab nie so wirklich darüber nachgedacht, aber ja, hast Recht. Uns geht es genauso, und wir haben auch Wartungsverträge. Nur mit einem bestimmten Unterschied: wir verlangen keine monatlichen Gebühren zzgl. Arbeitsstunden. Aber, Support und IT Dienstleistung ist auch nur ein Teil unseres Kerngeschäftes, wir verkaufen hauptsächlich unsere Software.
Daher, verständlich, es ist aber auch meine Aufgabe meinen Chef dazu zu überzeugen, wie wichtig das ist.

[mimugmail]

Aber, Support und IT Dienstleistung ist auch nur ein Teil unseres Kerngeschäftes, wir verkaufen hauptsächlich unsere Software.

Dann ist das eine Querfinanzierung, für Software hast du ja keinen laufenden Aufwand ausser der Pflege. Was glaubst du warum alle (Cisco etc.) jetzt einen auf Software Defined X machen und Lizenzgebühren wollen. So kommt das Geld rein

[kosta]

Nicht falsch verstehen, wir haben bei der Software auch das gleiche System - man zahlt monatlich oder jährlich. Und ich verstehe auch warum.

Es ist halt nur sehr schwer zu erklären, dass wir monatlich zahlen müssten, falls man da oder dort eventuell Fragen hat. Aber, was wesentlich leichter sein könnte, ist gezielte Schulungen und Webinare zu buchen.