Erfahrungsbericht Firewalls



  • @JeGr ich habe in den letzten 20 Jahren sicher sämtliche namhafte Netzwerkausrüster durch die Bank gedreht. Von Cisco, Avaya, HPE, LanCom, TP-Link, D-Link, Netgear, Linksys, Trendnet, Intellinet, Aruba bis ich zuletzt bei Wortmann/Terra und Securepoint gelandet bin. Von allen Firewalls welche wir in den letzten 20 Jahren verbaut hatten, waren mir dann die D-Link DFL-800 und DFL-1600 mit der MSA-1500 am allerliebsten :-)
    Als es nicht mehr verantwortlich war aufgrund fehlender Firmware und zuletzt auch IDS/IPS Updates schwenkten wir auf Securepoint -> "made in Germany" -> garantiert ohne Backdors -> auf Linuxbasis wo man nun endlich auch halbwegs mal etwas mit den Dingern anfangen konnte..
    ..allerdings alle kochen nur mit Wasser, der schein trügt so oft, UTM-Features werden als teure Lizenz verkauft, verlängert man die Subscription nicht rechtzeitig sind die Geräte in einem unlizenzierten Zustand und wie ich vor einem halben Jahr feststellen musste damit nicht nur ohne UTM-Features sondern gänzlich ohne Schutzfunktion - das heißt es zieht nicht mal mehr das Regelweg. Da ich selbst betroffen war, sah ich mir das OS mal etwas näher an (eine Anmeldung war nicht mehr möglich aufgrund fehlender Lizenz, hatte man keine schmiss er einen wieder zum Anmeldeschirm), denn in der Vergangenheit war es mit den Geräten nicht so arg wenn wie sie mal kurzfristig unlizenziert waren!
    Aber der Hersteller möchte auch in die Cloud und sein neues EdgeSecurityProdukt verkaufen, wo der Kunde keine Hardwarefirewall mehr benötigt und Security aus der Cloud erhält!
    Auf jeden fall als ich sah das ein namhafter großer Hersteller mit einem breit aufgestellten Vertriebsnetz, handelsübliche 08-15 Hardware welche man um jeder Ecke um 150,- bekommt, einsetzt das ganze auf Linux Basis, eine schicke Oberfläche darum gebaut und fertig ist die vom BND als mit Sicherheit ohne Backdoor signierte Security Appliance...

    .. ich hatte also ein ganzes Wochenende (ok nur ein halbes dazwischen muss man mit der Frau auf Pirsch gehen und sich so kräftig die kante geben) um eine Alternative als Lösungsersatz zu finden.
    Nachdem man Hardware selbst besorgen kann, sich mit Linux sagen wir so weit auskennt dachte ich zuerst ich bastel mir selbst eine Lösung, Linux ist schnell auf der SSD installiert und zumindest bis zum Kapitel "Absichern und Harden der Rootserver" welche ich zu genüge im Einsatz habe würde es zumindest mal reichen um wieder in Betrieb zu gehen :-) :-)
    Naja meine Frau verträgt einiges und so war mir am nächsten nicht ganz wohl bzw. war ich nicht Fit genug mich hinzusetzen um ein CentOS aufzusetzen und einzurichten. Da ich aber auch keine Lieferantenabhängigkeit mehr eingehen möchte suchte ich im OpenSource Bereich und fand schnell OPNsense - sah gut aus - wahr leicht zu installieren und einzurichten - das erst mal alle Pakete nachgeladen was es da alles cooles gibt.. lief sie dann 24 Std. und irgendwas störte mich waren nur Kleinigkeiten, nix tragisches, aber kann mich nicht mehr so genau erinnern!
    Naja weitergeguckt und bei pfsense gelandet, ahh das Wort sense war nicht zufällig enthalten, so Endstand das Kind zumindest von dergleichen Mutter (wahrscheinlich Zwillinge - so wie ich und meine Schwester - war ich schon immer der Wilde, der Rebell, der Systemverweigerer, der Alleingänger - und meine Schwester mehr die brave, ein kleinwenig eigensinnig vielleicht, hat sie es seit Jahren nicht sehr leicht... )

    -> Auf jedenfall pfsense installiert, die Kiste war etwas flotter die zwei, drei Problemchen welche ich unter OPNsense nicht beseitigt bekam, traten auch nicht auf. Und ich war sofort verliebt und begeistert von diesem Produkt!
    Nach 48 Std. lief dann auch schon Suqid-Guard, squid, OpenVPN mit Radius aus dem ADFS, nagios, BfBlockNG, snort, und noch einige mehr... einen Syslog Server dazu, ein bisschen Kanban Dashboards ... und ich wollte nur noch eines...

    ...sämtliche Securepoint Firewall Kisten aus dem Keller holen, meiner Frau abstauben und säubern lassen und an einem schönen Freitag Nachmittag alle Kunden abzufahren um dort die verkauften Securepoint Kisten mit dem Vermerk sie müssen zur Inspektion abgebaut und ins Auto geworfen habe...
    .. auf der Terrasse dann gemütlich ein Vorlagen-Image erstellt und mittels dd dann auf eine SSD nach der anderen drüber gebügelt... Für mich ist pfsense weit mehr ENTERPRISE als alles andere was ich bis dato selbst im vierstelligen Eurobereich in Händen hielt! Endlich hatte ich Features die ich mir schon immer wünschte, ein Logging das verwertbar ist, und direkte Möglichkeiten am System dazu bauen oder noch eigene Features hinzuzufügen!

    Für mich steht eines fest ich habe ja nur noch vor maximal 10 Jahre zu arbeiten und bis zum Ende werde ich nur noch pfsense Lösungen meinen Kunden als ENTERPRISE verkaufen! Zumindest schlafe ich um einiges besser seit alle auf pfsense umgestellt wurden. Ich gucke am Abends auf die zahlreichen Monitoring-Dashboard-Screens im Büro und gehe dann beruhigt schlafen. Und treten Kritische Ereignisse ein - was selten vorkommt - weckt mich mein iPhone und ich setz mich gemütlich in mein Büro und sehe mir das treiben der mitigated attacks an oder anderen - seit es so günstig aus der Cloud möglich ist - möglichen Treiben, fahre vielleicht vereinzelte Windows Server herunter und starte sie wieder wenn den Kindern das 200$ Azure Cloud Guthaben ausgegangen ist.

    Es hat 20 Jahre gedauert aber jetzt habe ich sie gefunden die für mich perfekte Lösung mit Enterprise Niveau... Ein danke an netgate und der gesamten pfsense community welche eine Firewalllösung exakt nach meinen Vorstellungen, Träumen und Wünschen realisiert haben ✌

    Lg
    Michael


Log in to reply