2023 / Datendiebstahl / Open Source

Die 12 besten Open Source Firewalls

Firewalls sind ein integraler Bestandteil jeder Sicherheitsstrategie. Sie gehören zur technischen Grundausstattung eines jeden Unternehmens. Selbst Privatpersonen nehmen die Kosten- und den Wartungsaufwand heutzutage in Kauf, um sich mit einer Schutzmauer nach außen zu umgeben. Das ist mal mit mehr und mal mit weniger Stress verbunden und auch die Kosten fallen im Bereich der Firewalls oft vollkommen unterschiedlich aus. Pauschale Aussagen sind hier daher fehl am Platz. Mit Open Source Firewalls gibt es hier aber durchaus Alternativen.

Meist reicht eine der zahlreichen Open Source Firewalls bereits aus, um damit für mehr Sicherheit, ohne mehr Kosten zu sorgen. Das Einzige, was dann noch investiert werden muss, ist ein wenig Zeit, denn auch Open Source Firewalls richten sich natürlich nicht einfach so von selbst ein. Doch immerhin sparen Sie sich mit diesen dann die etwaigen Lizenzgebühren, welche für die großen kommerziellen Firewalls zwingend notwendig würden.

Diese Open Source Firewalls sind einen Blick wert!

Eine Open Source Firewall findet Ihren Platz für gewöhnlich auf eigener Hardware. Das ist relativ normal und sollte, je nach Größe des Netzwerks, immer individuell entschieden werden. Der schnelle Einsatz solch einer Open Source Firewall bringt dann auch gleich direkte Sicherheitsvorteile mit sich. Wer zuvor beispielsweise noch keinerlei Schutzmauer im Einsatz hatte, der wird von den Vorteilen, die solche eine Firewall im ersten Schritt mit sich bringt, daher augenblicklich profitieren.

Die meisten Open Source Firewalls eignen sich dabei für Linux, doch auch für MacOS gibt es verschiedene, durchaus brauchbare Systeme. Aufgrund der Offenheit ist Linux hier aber für gewöhnlich die deutlich bessere und somit erste Wahl. Die meisten uns bekannten Open Source Firewalls setzen auch ganz konkret auf Linux als Unterbau. Mehr dazu dann in den Vorstellungen der einzelnen Firewalls weiter unten.

Wenn Sie auf eine Open Source Firewall setzen möchten, sollten Sie sich außerdem im Klaren darüber sein, dass es hier gänzlich an Support fehlt. Wer also bereits frühzeitig Zweifel daran hegt, dass er die sicherlich auftauchenden Probleme selbst lösen kann, der ist wahrscheinlich mit einem kostenpflichtigen Angebot besser beraten. Proprietäre Hersteller bieten diesen Support an und unterstützen Sie so oft auch bei der Einrichtung, Wartung und Konfiguration der jeweiligen Firewall. Die folgende Reihenfolge ist zufällig gewählt und stellt keine Priorisierung dar.

1. pfSense

Das Herzstück der Open Source Firewall pfSense ist der benutzerdefinierte Kernel auf Basis von FreeBSD. Zur Verwaltung von pfSense gibt es darüber hinaus eine übersichtliche Weboberfläche. Diese steht bereit, sobald die Software im Netzwerk korrekt eingerichtet ist und erreichbar erscheint. pfSense basiert, wie schon erwähnt, auf FreeBSD und setzt den Paketfilter »pf« ein. Aus eigener Erfahrung können wir sagen, dass mittlerweile zahlreiche kleine und mittelständische Unternehmen auf pfSense setzen. Dabei handelt es sich jedoch meist um Unternehmen, die auch selbst schon eine ausreichend große und versierte IT-Abteilung besitzen. Die Firewall pfSense ist dabei als Hardware, virtuelle Appliance und als herunterladbare Binärdatei (Community Edition) verfügbar. Kostenlos ist nur die Community Edition. Der Rest besitzt einen kommerziellen Funktionsumfang. Intensiver haben wir uns mit pfSense in einem eigenen Artikel beschäftigt.

2. OPNsense

OPNsense ist eine recht umfangreiche Open Source Firewall, die zahlreiche Funktionen besitzt. Auch wenn manchmal weniger mehr ist, kann für manche Unternehmen OPNsense genau die Software sein, die viele der hauseigenen Probleme löst. So besteht neben dem Einsatz von Webfiltern auch die Möglichkeit einen Proxy zu schalten, ein VPN zu etablieren oder einen DHCP- und DNS-Server zu betreiben. Die Open Source Firewall hat dabei an viele Eventualitäten gedacht, wie unter anderem den »Single Point of Failure«. Fällt die Hard- oder Software aus, schalten sich zahlreiche Funktionalitäten ebenfalls ab. Dabei ist OPNsense selbst ein Fork von pfSense und m0n0wall. Somit setzt auch OPNsense auf den Paketfilter »pf«. In Zeiten der Coronapandemie hätten sich die Vorteile gerade für kleine und mittelständische Unternehmen schnell ausgezahlt. Das liegt daran, dass OPNsense die Bereitstellung eines VPNs erleichtert. Anders als bei pfSense, wird bei OPNsense ein gehärtetes BSD als Unterbau verwendet (HardenedBSD). Der Download steht als ISO-Image und USB-Installer bereit, und zwar jeweils für die 32-Bit- oder 64-Bit-Architektur.

3. IPFire

Im direkten Vergleich mit anderen Anbietern von Open Source Firewalls, setzt und vertreibt IPFire auch Appliance. Diese starten bei ca. 1.000 Euro und können so auch in eine bereits bestehende Infrastruktur integriert werden. Auch bei dieser Open Source Firewall besteht zudem die Möglichkeit, einen Proxy zu aktivieren und ein unternehmensweites VPN bereitzustellen. Außergewöhnlich, jedenfalls für eine eher klassische Firewall, ist hingegen die Möglichkeit, ein Intrusion Detection System (IDS) einsetzen zu können. Das gesamte System ist mit IPFire in wenigen Minuten einsatzbereit und erscheint somit vorwiegend für eine schnelle Anwendung erstrebenswert. IPFire selbst basiert auf Netfilter und ist besonders flexibel und anpassbar, je nachdem wie die Firewall konfiguriert wird. Mit zusätzlichem Addon (Guardian) kann auch eine automatische Prävention integriert werden.

4. Uncomplicated Firewall (UFw)

UFw ist im Grunde genommen einfach die Abkürzung für uncomplicated firewall. Dieser Name ist bei der Open Source Firewall tatsächlich auch Programm. Die unkomplizierte Firewall arbeitet zudem etwas anders als ihre direkten Mitbewerber. So setzt die Software beispielsweise auf einfache Iptables. Die Firewall ist für Linux frei verfügbar und kann mit dem Befehl »sudo apt-get instsall ufw gufw« ebenso unkompliziert installiert werden, wie sie sich bedienen lässt. Mit diesem Befehl wird die grafische Oberfläche außerdem direkt mitinstalliert. Alternativ bietet UFw eine Befehlszeilenschnittstelle, die zur Verwaltung des Paketfiltersystems des Linux-Kernels (Netfilter) dient. Die Firewall selbst ist das Standard-Konfigurationswerkzeug für Ubuntu und wurde somit auch gezielt für das Linux-Betriebssystem entwickelt. Ist UFw aktiviert, wird nahezu der gesamte eingehende Datenverkehr abgelehnt.

5. ConfigServer Security & Firewall (CSF)

CSF ist eine beliebte Open Source Firewall, die ebenfalls ein wenig anders funktioniert als viele bekannte Firewalls mit reinen Paketfilter-Regeln. CSF setzt auf eine dynamische Paketfiltertechnik namens SPI (Stateful Packet Inspection). Genau die ist auch der Kern dieser Open Source Firewall. Jedes Datenpaket wird dabei einer aktiven Session zugeordnet. Dafür, dass die Technologie für gewöhnlich etwas aufwendiger umzusetzen ist, bleibt CSF jedoch schnell und problemlos einsetzbar. Somit bleibt die Firewall auch weiterhin flexibel in der Nutzung. Entwickelt wurde die Open Source Firewall für die Verwendung auf Linux-Servern und hat dabei Zugriff auf VirtualBox, Ubuntu und andere. Bekannt ist CSF in erster Linie dafür, dass neuste Technologien integriert sind und jedes Update oft deutliche Verbesserungen mit sich bringt, da CSF von einer großen Community an Entwicklern gepflegt wird.

6. NG Firewall

NG Firewall ist hauptsächlich aufgrund seiner Funktionsweise interessant. Es erinnert an eine Art von App Store oder Plattform, auf der die unterschiedlichen Module erst aktiviert werden müssen. Das bedeutet auch, dass die Open Source Firewall ein wenig alles und nichts kann. Nur wenn die jeweiligen Module genutzt werden, ist der entsprechende Funktionsumfang auch gegeben. Das ansehnliche Dashboard trägt sicherlich zur Popularität der NG Firewall bei. In der kostenlosen Variante der Firewall bekommen Sie die NG Firewall Plattform, ein paar kostenlose Apps und eine Testversion für viele kostenpflichtige Funktionen, damit Sie diese einmal unverbindlich ausprobieren können.

7. Endian Firewall Community (EFW)

Die Endian Firewall Community bietet Linux-basierte Sicherheitslösungen ohne Support an. Die Open Source Firewall beschreibt sich selbst als schlüsselfertige Linux-Sicherheitsdistribution, die jede Bare Metal Appliance in eine vollwertige Unified Threat Management Lösung verwandeln kann. Außerdem soll sie die am einfachsten zu installierende und betreibende Firewall sein, so jedenfalls die Entwickler. Unter den Open Source Firewalls wird Endian oft als die genauste Lösung gehandelt. Endian ist dabei sinnvoll, wenn es um die reine Überwachung des Netzwerkverkehrs, die Verhinderung von Hackerangriffen, Virenangriffen und ein hoher Grad an Datenschutzes geht.

8. Smoothwall Express

Die kostenlose Open Source Firewall Smoothwall Express lässt sich schnell und einfach einrichten und besitzt eine Webschnittstelle als praktische Verwaltungsebene für die Firewall. Das integrierte Linux-basierte Betriebssystem ist gehärtet und besitzt eine überaus große Community. Eine kleine Besonderheit bei Smoothwall Express ist, dass die Open Source Firewall bewusst so aufgebaut ist, dass jeder Anwender mit ihr zurechtkommt. Auch diejenigen, die mit Linux-Systemen für gewöhnlich keinerlei Kontaktpunkte haben. Das System selbst gibt es als 32-Bit und 64-Bit Variante sowie als ISO-Image zum direkten Download. Es kann LAN, DMZ, besitzt internes und externes Netzwerk-Firewalling, einen Web-Proxy und noch einiges mehr. Zwar ist das Programm selbst zuletzt 2014 aktualisiert worden, doch seine Funktionsweise ist immer noch weitgehend aktuell und die Open Source Firewall kann auch immer noch sinnvoll eingesetzt werden.

9. ClearOS

ClearOS ist eine Firewall, die ebenfalls wieder auf Linux basiert und für die Installation auf Linux-Servern gedacht ist. Die Open Source Firewall besitzt dabei benutzerdefinierte Regeln (Iptables), ebenso wie Incoming und Port Forwarding Kontrollen. Es handelt sich bei ClearOS um eine lokal installierte Firewall, die jedoch gleichzeitig auch als Netzwerk-Firewall agiert. Die Webschnittstelle vereinfacht dabei die Verwaltung, sodass ClearOS am Ende nicht nur gut einzurichten, sondern auch entsprechend komfortabel zu bedienen ist. Experten können die Firewall zudem in einen erweiterten Modus versetzen, um weitere, üblicherweise zunächst versteckte Funktionen in der Software freizuschalten.

10. IPCop

Das Linux-basierte Betriebssystem IPCop ist ideal, um Heim- oder auch Firmennetzwerke abzusichern. Allerdings setzt IPCop auf ein technisches Grundverständnis und besitzt somit auch keine grafische Benutzeroberfläche für die Bedienung. Diese erfolgt somit ausschließlich über die Befehlszeile, was Anfängern oder Neulingen sicherlich nicht leicht fallen wird. Alle anderen bekommen mit IPCop eine schlanke und fortgeschrittene Open Source Firewall, die sich mit unter 100 Megabyte Größe ideal einsetzen lässt. Gedacht ist IPCop für die i486-Architektur. Die Firewall selbst wird nicht mehr weiterentwickelt und ist demnach veraltet, jedoch immer dann wichtig und interessant, wenn ältere Systeme im Einsatz sind oder das Aufgabengebiet spezieller wird.

11. Shorewall

Die Open Source Firewall Shorewall kann auf Servern und Routern installiert werden. Für den Betrieb auf virtuellen Maschinen ist Shorewall ausdrücklich nicht gedacht, was je nach Anwendungsfall eine Rolle spielen könnte. Bei Shorewall handelt es sich um ein Iptables Konfigurationswerkzeug, welches Server in eine Hardware Firewall Appliance umwandelt. Wer Shorewall mit mehreren IP-Adressen nutzen muss oder möchte, also weitere öffentliche IPs schützen muss, findet dafür unterschiedliche Installationsoptionen vor. Diese werden alle auch ausführlich auf der Website der Open Source Firewall erläutert. Außerdem gibt es dort unterschiedliche Distributionen von Shorewall. Unter anderem eine Lite-Version, den Core sowie eine Fassung als Addon.

12. VyOS

VyOS ist eine Open Source Firewall oder besser gesagt ein Netzwerkbetriebssystem. Es bringt in erster Linie eine Verwaltungsschnittstelle, die einheitlich auftritt, ähnlich die von Hardware-Routern. VyOS funktioniert dabei problemlos auf amd64-, i586- und ARM-Systemen. Damit wird es häufig als Router- und Firewall-Plattform für Cloud-Lösungen eingesetzt und entsprechend verwendet. Ganz egal ob Bare-Metal oder Hypervisoren. Damit können Sie überall dasselbe Betriebssystem verwenden und müssen nicht auf viele unterschiedliche Lösungen und Systeme setzen. VyOS ist im Kern kostenlos, geht aber dennoch in direkte Konkurrenz mit vielen kostenpflichtigen Lösungen. Wenn VyOS Ihre Ansprüche erfüllt, sollten Sie daher unbedingt einen Blick darauf werfen und sich ein wenig genauer über die Firewall informieren.

Welche Firewall ist die richtige?

Die erste Frage, die sich fast jedes Unternehmen stellen sollte, ist die Frage nach der Sinnhaftigkeit der jeweiligen Firewall. Nicht jede Open Source Firewall eignet sich auch für jeden Anwendungszweck und Unternehmenstyp. Nur weil eine Firewall empfohlen oder gelobt wird, macht es sie also noch lange nicht zur »besten Firewall« für Ihr Unternehmen. Die Frage nach der besten Firewall können Sie sich also nur individuell und selbst beantworten – Durch Hinterfragen und ein unverbindliches Ausprobieren.

Dennoch hilft es sich Gedanken darüber zu machen, welche Funktionen allgemein notwendig sind, was in naher Zukunft geplant ist und wie intensiv die Open Source Firewall gepflegt wird. Wenn die Entscheidung am Ende zwischen zwei oder drei der Open Source Firewalls schwankt, sollten Sie diese in einem Lab betreiben und die Funktionalitäten evaluieren. Dieser Schritt kann enorm hilfreich dabei sein, die am besten geeignetste Firewall für ihr Unternehmen zu finden.

Wer tiefer in die Thematik von Firewalls einsteigen möchte, der kann sich das Buch »Firewall-Systeme« von Professor Dr. Pohlmann herunterladen. Auf über 600 Seiten werden dort die unterschiedlichen Funktionsweisen von Firewalls ausführlich und dennoch absolut verständlich dargestellt. Der ein oder andere Hinweis kann auch heute noch zur Entscheidungsfindung beitragen, selbst wenn das Buch schon im Jahr 2002 veröffentlicht wurde.

Wir selbst sehen den Betrieb einer Firewall im Eigenbetrieb als absolut lohnenswert an. Allerdings nur dann, wenn die dafür notwendige Man-Power gegeben ist und die Verwaltung und Instandhaltung, Konfiguration und Anpassung jederzeit sichergestellt werden kann. Der beste Zaun bringt schließlich nichts, wenn ihn niemand überwacht. Er wird dann zwar ein Hindernis für Angreifer darstellen, doch falls trotzdem mal jemand darüber hüpfen möchte, braucht es immer noch jemanden, der das sieht und den Zaun an den jeweiligen Stellen entsprechend verstärkt. So ähnlich ist das auch mit Firewalls.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.