Offensive Services

Diese 5 Open-Source Firewalls auf Basis von Linux sind einen Blick wert!

Aktualisiert am

Eine Firewall gehört heute zur technischen Standardausstattung eines Unternehmens. Selbst einige Privatpersonen nehmen den Kosten- und Wartungsaufwand auf sich und betreiben eine Schutzmauer nach innen und außen.

Dabei muss für Software-basierte Schutzmauern kein Geld ausgegeben werden – es gibt zahlreiche Open Source Werkzeuge auf die zurückgegriffen werden kann. Zwar ist mit kurzfristigen höheren Aufwänden bei der Installation und bei der Konfiguration zu rechnen – doch das kann teure Lizenzgebühren aufwiegen.

Diese 5 Open-Source Firewalls sind ein Blick wert!

Eine Open-Source Firewall findet Ihren Platz auf eigener Hardware. Das ist nicht unüblich, kann und sollte je nach Größe des Netzwerks proportioniert werden. Der schnelle Einsatz der Firewall bringt direkte Sicherheitsvorteile mit sich. Wer vorher noch gar keine Schutzmauer eingesetzt hat, der wird von den direkten Vorteilen profitieren. Neben Linux gibt es auch Firewall Systeme für macOS.

Wer auf Open-Source-Firewalls setzt, der muss sich selber helfen können. Mit einem Support-Angebot bei den frei verfügbaren Firewalls ist nicht zu rechnen. Wer bereits frühzeitig Zweifel daran hat die bestehenden und auftauchenden Probleme selbst zu lösen, der ist mit einem kostenpflichtigen Angebot eines proprietären Herstellers besser bedient – dort ist oft ein Kontingent an Tickets oder gar der vollständige Support auf mehreren Wegen inklusive.

Pfsense – Beliebte Firewall auf FreeBSD-Basis

Zur Verwaltung von pfSense gibt es eine Weboberfläche. Diese steht bereit, sobald die Software im Netzwerk erreichbar ist. Pfsense basiert auf FreeBSD und setzt den Paketfilter “pf” ein. Aus eigener Erfahrung setzen mittlerweile zahlreiche kleine und mittelständische Unternehmen auf pfsense – vor allem die mit eigener und ausreichend großer IT-Abteilung.

OPNsense – Firewall mit VPN Funktionalität

OPNsense verfügt über zahlreiche Funktionen. Auch wenn manchmal weniger mehr ist, kann für manche Unternehmen OPNsense die Software sein, die viele Probleme löst. So besteht neben dem Einsatz von Webfiltern auch die Möglichkeit einen Proxy zu schalten, VPN zu etablieren und einen DHCP- und DNS Server zu betreiben. Umfangreiche Funktionen für eine Software. Wer die volle Funktion von OPNsense nutzt, der sollte den “Single Point of Failure” berücksichtigen. Fällt die Hard- oder Software aus, fallen zahlreiche Funktionalitäten ebenfalls aus.

Dabei ist OPNsense selber ein Fork von pfSense. Es wird entsprechend auch auf den Paketfilter “pf” gesetzt. In Zeiten der Corona-Pandemie hätten sich die Vorteile gerade für klein und mittelständische Unternehmen ausgespielt: Denn ein VPN bereitzustellen wäre einfach möglich gewesen. Anders als bei Pfsense wird ein gehärtetes BSD eingesetzt (HardenedBSD).

OPNsense - Open-Source Firewalls im Vergleich
OPNsense basiert auf pfSense und beinhaltet zahlreiche Funktionen. Quelle: opnsense.org

IPFire – kann als Appliance auch gekauft werden

Anders als andere Anbieter von Open-Source-Firewalls vertreibt IPFire auch Appliance. Diese starten ab ca. 1.000 EUR und können so in eine bestehende Infrastruktur eingesetzt werden. Auch bei dieser Open-Source Variante besteht die Möglichkeit einen Proxy zu schalten und ein unternehmensweites VPN anzubieten. Außergewöhnlich für eine klassische Firewall ist hingegen die Möglichkeit ein Intrusion Detection System einsetzen zu können. Dass das System in wenigen Minuten einsatzbereit ist, macht es für den schnellen Einsatz interessant.

IPFire - Open-Source Firewalls in der Uebersicht
IPFire is kostenfrei und als Appliance verfügbar. Quelle: ipfire.org

Ufw – Uncomplicated Firewall in Ubuntu

Die unkomplizierte Firewall arbeitet etwas anders als die Mitbewerber. So arbeitet die Software auf iptables. Die Software ist für Linux frei verfügbar und kann mit dem Befehl "sudo apt-get instsall ufw gufw" installiert werden. Mit diesem Befehl wird die grafische Oberfläche direkt mitinstalliert.

ConfigServer Security & Firewall (csf)

CSF ist eine beliebte Software, die etwas anders funktioniert als Firewalls mit reinen Paketfilter-Regeln. Die dynamische Paketfiltertechnik SPI (Stateful Packet Inspection) ist das Herzstück der Open Source Software. Jedes Datenpaket wird einer aktiven Session zugeordnet. Doch dafür, dass die Technologie grundsätzlich etwas aufwändiger ist, ist die Software schnell eingesetzt.

Welche Open-Source Firewall ist die richtige für unser Unternehmen?

Auch wenn diese Frage nur jedes Unternehmen für sich beantworten kann, so hilft es sich Gedanken darüber zu machen welche Funktionen nötig sind, was in Zukunft geplant ist und wie intensiv die Open-Source Software gepflegt wird. So sind zwei bekannte Firewalls (IPCop und Smoothwall Express) absichtlich nicht in unsere Liste aufgenommen worden.

Wenn die Entscheidung zwischen 2 – 3 Open-Source Firewalls liegt, so können diese in einem Lab betrieben werden um die Funktionalität zu evaluieren. Dieser Schritt kann helfen die passendste Firewall für das Unternehmen zu finden.

Wer tiefer in die Thematik von Firewalls einsteigen möchte, der kann sich das Buch “Firewall-Systeme” von Prof. Dr. Pohlmann herunterladen. Auf über 600 Seiten werden dort die unterschiedlichen Funktionsweisen dargestellt. Der ein oder andere Hinweis kann auch heute noch zur Entscheidungsfindung beitragen, auch wenn das Buch bereits 2002 veröffentlicht worden ist.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.