Sicheres Bollwerk
Die Zeiten, in denen einzelne Computer unmittelbar am Internet hingen, sind längst vorbei, aus mannigfaltigen Gründen. Im Endanwenderbereich genügt eine Maschine mit Internet-Zugang pro Haushalt heute schlicht nicht mehr, weil neben mehreren Rechner auch Tablets und diverse ins Netz wollen. Die Provider reagieren darauf mit Routern und NAT.
Im Enterprise-Umfeld wäre es in vielen Firmen sogar theoretisch denkbar, jeden Arbeitsplatz-PC mit einer öffentlichen IP-Adresse auszustatten und direkt ans Internet anzuschließen. Der Sicherheitsbeauftragte bräuchte in einem solchen Szenario aber wahrscheinlich seinen eigenen Defibrillator, weil permanente Angriffe die zwangsläufige Konsequenz wären.
Endanwender wie Unternehmen setzen heute deswegen auf Firewalls. Typische Modems aus dem SoHo-Bereich bieten zumindest einen rudimentären Paketfilter, und auch im Enterprise-Umfeld gibt es entsprechende Embedded Devices. Wer mehr Features will, wird mit diesen Lösungen aber kaum glücklich. Welche Alternativen stehen dem Admin zur Verfügung?
Bastelspaß fraglich
Der erste Impuls mag frei nach der Aufforderung einer deutschen Baumarktkette lauten: „Mach es zu deinem Projekt.“ Doch davor sei ausdrücklich gewarnt. Es stimmt schon: Ein kleiner Computer mit hinreichender Hardware ist schnell zur Hand, eine Pizzabox oder für den privaten Bereich ein Raspberry Pi oder Intel NUC genügen völlig. Darauf lässt sich mit CentOS, Ubuntu oder Debian und den dort vorhandenen Bordmitteln sicherlich eine Firewall konstruieren.
Wirklich Spaß macht so ein Bastelprojekt im Alltag allerdings nicht. Wer etwa schon einmal Iptables-Regeln in größerer Menge geschrieben hat, leidet vermutlich bis heute unter Alpträumen. Auch der Iptables-Nachfolger Nftables macht die Sache kaum besser. Hinzu kommt im Enterprise-Umfeld, dass es für Firewalls eine gar nicht so kleine Menge an gesetzlichen Vorgaben im Hinblick auf Compliance gibt, die der Admin bei einer Bastellösung in Betracht ziehen müsste.
Firewall-Appliance
Eine Firewall-Appliance bietet sich deshalb als valide Alternative zur handgetackerten Firewall an, und einer der bekanntesten Vertreter dieser Gattung ist OPNsense. Dabei handelt
Sie lesen eine Vorschau, starten Sie ein Abonnement, um mehr zu lesen.
Starten Sie Ihre kostenlosen 30 Tage