OPNsense und Zenarmor: Worauf Sie beim Erstellen von Firewall-Regeln achten sollten

ETES Spotlight von Simon Jung

tadamichi/shutterstock.com

Filter-Regeln einer Firewall bestimmen, welcher Netzwerkverkehr zulässig ist. Mit dem Zenarmor Plugin für OPNsense lassen sich zusätzliche, individuelle Regelungen erstellen. Dabei gibt es jedoch einiges zu beachten.

Die Firewall zählt zu den wichtigsten Schutzinstanzen der IT-Infrastruktur eines Unternehmens. Filter-Regeln innerhalb der Firewall bestimmen, welche Art von Netzwerkverkehr erlaubt oder eingeschränkt wird. Diese werden im Regelfall im Rahmen des Setups initial festgelegt und im Rahmen der kontinuierlichen Pflege der Firewall angepasst, überarbeitet und überprüft, um dauerhaft maximale Sicherheit zu garantieren.

Die Open Source Firewall OPNsense bietet out of the box leistungsstarke Firewall-Funktionen, welche durch das Zenarmor-Plugin um sog. Next-Generation-Firewall-Funktionen erweitert werden kann. Um ein sicheres Firewall-System betreiben zu können gibt es jedoch einige Grundlagen, welche beachtet werden sollten.

Regel-Management in Zenarmor

In OPNsense gibt es klassische Port-Firewall-Regeln wie „Erlaube von extern jeglichen Zugriff auf Port 443/TCP“. Mit dem Zenarmor Plugin können spezielle Filter-Regeln auf Anwendungs-Ebene erstellt werden. So können zum Beispiel bestimmte Anwendungen oder auch bestimmte URLs gefiltert werden, wobei diese explizit auf bestimmten Anwendungen/URLs oder auf beinhalteten  Kategorien basieren. Neben der Angabe des Ziels, kann auch die Quelle auf Basis von IP-Adresse, MAC-Adresse, Geräte-Kategorie oder mit AD-Integration sogar auf User/Gruppen-Ebene erfolgen.

Worauf muss beim Erstellen von Firewall-Regeln geachtet werden?

  • Beginnen Sie mit einer Standard-Verweigerungs-Haltung:
    Blockieren Sie zuerst allen Verkehr und erlauben Sie dann selektiv den notwendigen Netzwerkverkehr. Dies reduziert drastisch die Angriffsfläche.

  • Vermeiden Sie zu breit gefasste Regeln:
    Je spezifischer eine Regel ist, desto unwahrscheinlicher ist es, dass sie legitimen Netzwerkverkehr versehentlich blockiert oder bösartigen Datenverkehr zulässt.

  • Regeln werden von oben nach unten ausgewertet:
    Platzieren Sie die spezifischsten und kritischsten Regeln oben in der Liste. Eine allgemeinere Regel weiter unten in der Liste kann eine spezifischere Regel darüber außer Kraft setzen.

  • Überprüfen Sie Ihr Regelset regelmäßig:
    Durch eine regelmäßige Prüfung werden redundante, veraltete oder zu nachgiebige Regeln  identifiziert und können bereinigt werden. Durch dieses regelmäßige Vorgehen können auch redundante Regeln konsolidiert werden.

  • Dokumentieren Sie den Zweck jeder Regel:
    Eine Hinterlegung einer Beschreibung, warum eine Regel existiert und vor was sie schützt im Kommentarfeld der Regel erleichtert die Fehlerbehebung und zukünftige Änderungen.

  • Verwenden Sie Netzwerkbereiche anstelle einzelner IP-Adressen:
    Wann immer möglich empfiehlt sich der Einsatz von Netzwerkbereichen anstelle einzelner IP-Adressen. Dies beschleunigt die Verarbeitung der Regeln.

  • Verwenden Sie sprechende Aliase für IP-Adressen, Netzwerke oder Ports
    In OPNsense ist die Definition von Aliasen möglich, die an verschiedenen Stellen der Firewall verwendet werden können. Dies vereinfacht die Regelerstellung und -aktualisierung sowie die Nachvollziehbarkeit.

Maximaler Schutz durch kluges Regel-Management

Effektives Regel-Management ist entscheidend, um das volle Schutzpotenzial von OPNsense und Zenarmor auszuschöpfen. Durch die Einhaltung bewährter Verfahren, die Optimierung Ihres Regelsets und die Nutzung der verfügbaren Tools können Sie eine robuste und effiziente Netzwerksicherheits-Haltung schaffen. Am wichtigsten dabei: Regeln regelmäßig überprüfen und verfeinern, um sich an sich entwickelnde Bedrohungen und sich ändernde Netzwerkanforderungen anzupassen.

Gerne übernehmen wir das Management Ihrer Firewall und kümmern uns um die entsprechende Betreuung und Wartung. Wir bieten OPNsense auch als Full Managed Firewall Sprechen Sie uns gerne noch heute an.

Zu
OPNsense
Jetzt Kontakt
aufnehmen!

Kontaktieren Sie uns

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns über Ihr Interesse und auf Ihre Fragen.

Datenschutzerklärung

Unsere Kontaktdaten: +49 711 / 489083 - 0

Facebook Instagram

Bitte addieren Sie 3 und 6.
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.
eteslogo4

Latest Blog News

OPNsense und Zenarmor: Worauf Sie beim Erstellen von Firewall-Regeln achten sollten

NIS2 einfach erklärt: Was Unternehmen jetzt wissen müssen

Hybride Cloud Infrastruktur: Verknüpfung eines lokalen Samba4 mit Microsoft Entra ID


phone_red +49 711 / 48 90 83 - 0

mail_red Kontaktformular

Bürozeiten:
Mo. - Fr.: 9:00 - 18:00 Uhr

Autoren

Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

Markus Espenhain

Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

Ioannis Dimas

Chantal Nußbaum

In den Bereichen Datenschutz und Informationssicherheit liegt ihr Schwerpunkt. Durch Fortbildungen ist sie immer auf dem neusten Stand der Gesetze.

Chantal Nußbaum

Simon Jung

Planung, Realisierung, Wartung und Support sämtlicher Systeme Ihrer individuellen IT-Infrastruktur ist das Fachgebiet seines Teams.

Simon Jung

Christian Gleich

Sein Schwerpunkt liegt in dem Kontakt zu Kunden. Durch seine tägliche Arbeit mit unserem gesamten Produktportfolio landen Neuigkeiten immer zuerst bei ihm.

Christian Gleich