Open Source Firewall pfSense: kostenlos, aber nicht umsonst
0Beim Thema Firewall kann aktuell auf eine Vielzahl von Lösungen zurückgegriffen werden. In diesem Artikel möchte ich Ihnen die Open Source Firewall pfSense vorstellen.
Diese basiert auf FreeBSD (unixartiges Betriebssystem) welches als sehr sicher und stabil gilt. Meiner Meinung nach ist diese Firewall den meisten Aufgaben eines Unternehmens gewachsen und verursacht keine zusätzlichen Softwarekosten. Auf Wunsch kann kostenpflichtig sogar ein SLA erworben werden. Die Modelle gibt es als 24/7/356 sowie auf Stundenbasis und bieten auch eine 24 h Notfallnummer. Ebenso kann man in einem eigenen Forum relativ schnell auf Lösungsvorschläge der Community zurückgreifen.
Bei pfSense handelt es sich um eine stateful Firewall, bei der das Regelwerk im Gegensatz zu einer stateless Firewall stark vereinfacht ist. Regeln müssen nur für ausgehenden Datenverkehr erstellt werden. Die Antwort kommt trotzdem zum Sender zurück, da die Firewall dynamisch und zeitbegrenzt die Antwort erlaubt.
Bei einer stateless Firewall müssen sowohl ausgehende als auch eingehende Regeln definiert werden. Dies wirkt sich insofern negativ auf die Sicherheit aus, da die Gegenstelle ebenfalls jederzeit mit dem Rechner im LAN kommunizieren kann und darf.
Die Software lief sowohl auf unserer Hardware als auch unter VMware in meinen Tests problemlos. Nach der einfachen Installation steht diese über ein Webinterface zur Verfügung.
Die Anzahl der Features ist reichlich und ich möchte nur einige davon aufführen:
- Firewall
- NAT
- Proxy Server mit ACL
- Routing
- Load Balancing
- High Availability
- Captive Portal
- VPN
- u.v.m.
Um die volle Featureliste einzusehen, besuchen Sie bitte die Webseite von pfSense.
Interessant gestaltet sich auch das „Captive Portal“ mit dem Zugriffsbeschränkung für z.B. WLAN möglich ist. Mittels sog. Voucher kann man Gästen in seinem Netz für den Zeitraum von X Minuten Internetzugang gewähren. Nach Ablauf des Vouchers wird die Verbindung getrennt. So braucht man das WLAN Passwort nicht an Gäste weitergeben. Auch feste Zugänge mit Benutzernamen und Passwort können angelegt werden.
Hierbei kann natürlich auch festgelegt werden, dass Gäste nur ins Internet, jedoch nicht auf das LAN zugreifen dürfen. Die Rechte dafür lassen sich individuell einstellen.