Es dürfte schon ein paar wenige Jahre her sein, da saßen Sebastian (Grüße) und ich zusammen und er fragte mich, wie meine Meinung zu Open Source-Firewalls denn sei. Meine damalige wie auch aktuelle Antwort ist die Folgende:
"Nix, closed source und security by obscurity ist das einzig Wahre!"
Spaß bei Seite. Meine Meinung bzw. Antwort ist weit komplexer als das man zunächst vielleicht meinen sollte.
Zunächst gilt es zu klären, was man genau unter einer Open Source-Firewall versteht. Die Frage bezog sich auf entsprechende Firewall-Distributionen wie pfSense und OPNsense. Es geht also nicht alleine um die Paketfilter von Linux und BSD, sondern schon etwas mehr. Mit der Distribution alleine ist es allerdings noch nicht getan, denn diese gibt es teils als Community- und Kommerzielle-Ausgaben. Die Unterschiede liegen dann mitunter darin welchen Support man erhält, wie die Qualität der Updates ist, ob die jeweilige Distribution nur auf hersteller-eigener Hardware supportet wird, usw. Hinzu kommt, aus Sicht eines IT-Dienstleister, ob es eine zentrale Verwaltung und Monitoring gibt, ob es die Lizenz überhaupt zulässt das man die Software vertreiben darf, Vor-ab-Austausch bei Defekten und vieles mehr gibt.
Oft reden wir ja auch gar nicht mehr über eine einzelne Firewall, da die Distributionen weit mehr an Funktionen bieten. Jenseits von Firewall, Routing, VPN und IDS/IPS kommen dann ggf. noch Web- und Mailfilter, Proxy und mehr dazu. Dann ist man bereits im Bereich vom UTM angelangt.
Ein wenig schmeichelhaftes Kommentar das wir von jemand anders mal an den Kopf geworfen wurde ist: “Du bist doch ein Securepoint-Fanboy”. Das liest sich jetzt erstmal nicht weiter tragisch, allerdings machen der Kontext und der Ton die Musik und dieser war leider nicht positiv. Das nur am Rande, aber hat nicht jeder seine Favoriten und kann begründen warum dies oder das gut findet?!
Ja, ich finde die Securpoint UTM gut und verwende diese gerne, aber nicht ausschließlich! Dabei geht es nicht alleine um die UTM an sich, sondern das gesamte Paket und vor allem im Rahmen bei “as a Service”. Um Securepoint soll es hier allerdings auch nicht gehen. Zurück zum Thema.
Wer den Blog quer liest stellt fest, das ich schon sehr lange mit verschiedenen Firewalls zu tun habe. Mein Einstieg war seinerzeit IPCop und m0n0wall. Aus ersterem ging unter anderem Endian UTM und IPFire hervor, aus letzterem pfSense und OPNsense. Grundsätzlich habe ich nichts gegen irgendeine Firewall(-Distribution) oder UTM. Mein Standpunkt ist der, das es für jede Anforderung eine passende Lösung (unabhängig von Hersteller/Anbieter) gibt. Jeder kann einsetzen was für denjenigen bzw. die jeweiligen Umgebung passt. Wichtig ist, das man mit der jeweiligen Lösung klar kommt, einen guten Service wie auch Support erhält und alles gut konfiguriert ist. Selbstredend sollte der Hersteller bzw. Anbieter vertrauenswürdig und zuverlässig sein.
So, jetzt habe ich wieder einmal viel erzählt. Welche Firewalls bzw. UTMs setzt ihr so ein? Was gefällt auch an der jeweiligen Lösung und was gefällt euch nicht? Lasst mir gerne ein Kommentar da.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Ich nutze Sophos in der Home Edition, aus der Ratio heraus, dass die interessanten Features bei pfsense kosten, bzw man Plugins benötigt bei welchem man darauf vertrauen muss dass diese auch in Zukunft gratis bleiben.
Firewalls, ob Open Source oder nicht, sind wartungsintensiv und betreuungsbedürftig. Für mich ist der Faktor Open Source deshalb kein wesentliches Bewertungskriterium. Eher ist es Service und Support und genau da sind die Open Source Lösungen bei mir wieder raus.
Selbst bin ich auch Securepoint Partner geworden gerade weil man dort recht fix an umfangreiche Dokus und auch Support kommt. Das war das wesentliche Kriterium bei der Auswahl. Ja, bieten Watchguard oder Sophos auch, aber eben eine Spur abgehobener.
Wenn wir mal ehrlich sind, Open Source Firewalls sind für Bastler und IT-Freaks und weniger für Firmen, Systemhäuser und andere IT-Verantwortliche.
Nehmen wir doch mal die Kosten einer kleinen Black Dwarf Pro als Service jeden Monat und dann setze das mal ins Verhältnis zu Stundenlöhnen im IT-Bereich. Wenn ich drei Stunden Mehraufwand durch Open Source im Jahr habe wegen Updates, Support oder sonst etwas, habe ich die Black Dwarf wieder raus.