Die Open-Source-Firewalls OPNsense und Pfsense gehören zu den besten Lösungen für KMU, sind aber auch für große Unternehmen und Privathaushalte geeignet. Die beiden Firewalls bieten viele Möglichkeiten für die Absicherung von Netzwerken, die sich hinter den Möglichkeiten von Enterprise-Firewalls nicht verstecken müssen.

Was OPNsense und PFsense fehlt, vielen anderen Firewalls aber auch, sind moderne Features für die Abwehr aktueller Cyberangriffe. Dazu gehören umfangreiche Richtlinien, Anwendungsfilter, Deep Packet Inspection (DPI), benutzerbezogene Regeln, umfangreiche Auswertungen und Web-Blocking. Diese Funktionen gibt es auch in vielen Enterprise-Firewalls nicht. Vor allem DPI ist an dieser Stelle relevant, da sich dadurch Bedrohungen erkennen lassen, die herkömmliche IP-basierte-Regeln und Filter nicht erfassen können.

Zenarmor macht OPNsense fit für moderne Cyberattacken Mit Zenarmor lassen sich diese Funktionen aber in OPNsense und Pfsense integrieren, sogar kostenlos. Dadurch lässt sich die Firewall fit für die Anforderungen von NIS2 machen und kann auch moderne Cyberattacken sehr viel effektiver abwehren. Mit Zenarmor erhält OPNsense KI-basierte Sicherheitsfeatures. Zenarmor ist eine Next-Generation-Firewalls (NGFW), die sich als Erweiterung in OPNsense/Pfsense einbinden lässt. Dadurch bleiben alle Funktionen von OPNsense und Pfsense erhalten und Zenarmor ergänzt die Open-Source-Firewalls mit NGFW-Funktionen. Dazu stellt Zenarmor auch eine Datenbank in der Cloud zur Verfügung, auf die OPNsense und Pfsense zugreifen können, zum Beispiel für das Identifizieren von gefährlichen oder auch ungefährlichen Anwendungen, Webseiten und anderen Objekten, welche die Firewall filtern soll. Dabei kommen auch KI-Technologien zum Einsatz. Dadurch besteht auch die Möglichkeit Zero-Day-Exploits und aktuelle Phishing-/Ransomware-Attacken abzuwehren. Stellt eine an Zenarmor angebundene Firewall einen Angriff fest, erkennen auch alle anderen Firewalls den Angriff und können ihn abwehren. Regeln lassen sich damit auch benutzerdefiniert erstellen, zum Beispiel auf Basis von Active Directory oder anderen Systemen. Wir beschreiben die Vorgehensweise für die Installation von Zenarmor am Beispiel von OPNsense.

Zenarmor in OPNsense integrieren Für die Integration von Zenarmor sollte OPNsense zunächst auf den aktuellen Stand gebracht werden. Nur dann lässt sich die Zenarmor-Erweiterung installieren. Um Zenarmor in OPNsense zu integrieren, installiert man über Firmware > Erweiterungen zunächst die Erweiterungen os-sunnyvalley und os-sensei. Nach der Aktualisierung des Seitenmenüs ist auf der linken Seite der neue Menüpunkt Zenarmor zu finden. Hierüber erfolgt die Einrichtung der NGFW in OPNsense Abbildung 1: Die Zenarmor-Funktionen lassen sich nach der Installation der notwendigen Erweiterungen über das Seitenmenü erreichen und konfigurieren. Nach Bestätigung der Lizenzbedingungen, erfolgt die Auswahl der Datenbank für den Betrieb von Zenarmor. Hier ist Install a local Mongodb Database ideal. Im Rahmen der Einrichtung erfolgt danach die Konfiguration für die Bereitstellung von Zenarmor. Für die Absicherung der Umgebung ist Routed Mode (L3 Mode, Reporting + Blocking) with emulated netmap driver sinnvoll und danach der Auswahl der Schnittstellen, auf der Zenarmor die Anfragen schützen soll. Anschließend erfolgt über Set security zone die Auswahl der Art der Schnittstellen, also in den meisten Fällen lan. Abbildung 2: Konfigurieren der Zenarmor-Bereitstellung in OPNsense. Zenarmor steht als Abonnement, als kostenlose Version und als Testversion zur Verfügung. Wem die Funktionen der kostenlosen Version ausreichen, kann im Einrichtungsassistenten Get me the Free Edition auswählen. In der kostenlosen Version lassen sich zum Beispiel keine eigenen Richtlinien erstellen, sondern es kommt die Standardrichtlinie von Zenarmor zum Einsatz. Auch verschiedene Informationen wie Top Devices sind den kostenpflichtigen Abonnements vorbehalten. Das kostenpflichtige Abonnement kann jederzeit in den Einstellungen bei Subscription aktiviert werden, die Preise finden Sie hier. Danach wird der Assistent abgeschlossen und das Zenarmor-Dashboard steht zur Verfügung. Wichtig ist, dass bei Engine > Status der Wert Running zu sehen ist. Abbildung 3: Verwalten von Zenarmor über das Dashboard in OPNsense.