:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/94/bc947fab2750cf67a80c9861a0fc7ec6/0118008324.jpeg "Seit dem Dezember-2023-Patchday gibt es ein Problem mit ICS-Dateien und Outlook; jetzt kommt endlich der Patch. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/7e/127ed288ed400b6001762c506429ab17/0118038698.jpeg "Die Bekämpfung von Bestätigungsbetrug bei Finanztransaktionen erfordert den Übergang von veralteten, papierbasierten Verfahren hin zu einem integrierten technologischen Ansatz. (Bild: meeboonstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/cd/31cda64794e57178563d6220178f5833/0117705366.jpeg "Wer täglich mehr als 5.000 Mails versenden will, kommt ab sofort um die Implementierung neuer Verfahren gegen Spam und Phishing nicht herum. (Bild: frei lizenziert, geralt / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/ee/3b/ee3b647f1547624b404339c71fbc7f8f/0118037983.jpeg "Auch wenn Ladesäulen mitunter recht futuristisch wirken: Die verbaute Security wird dem modernen Look nicht unbedingt gerecht. (Bild: Dr. Wilhelm Greiner)")
:quality(80)/p7i.vogel.de/wcms/7b/69/7b6994c4f26dc5077fa985d8092bbbc7/0118038240.jpeg "Die OWASP Machine Learning Security Top Ten analysiert die häufigsten Schwachstellen im Zusammenhang mit ML. (Bild: Aghavni - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/04/5e04a741d1efccd38b6297dba18b54dc/0117352053.jpeg "Continuum von Edgeless Systems sorgt beim Einsatz von KI-Diensten für den Schutz sensibler Daten. (Bild: Edgeless Systems)")
:quality(80)/p7i.vogel.de/wcms/5d/92/5d923b1250ffeeda6d93887bbef003e7/0117906448.jpeg "Damit Mitarbeiter nicht der Risikofaktor Nummer eins für KMU sind, müssen sie umfangreich geschult sein. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/7a/f17a79abfbf000f5ad34bfc92686aa4d/0117931419.jpeg "Lacework hat seine Enterprise-Funktionen ausgebaut und sorgt dafür, dass Sicherheitsexperten die nötigen Informationen schnell und verständlich aufbereitet erhalten. (Bild: Screenshot / Lacework)")
:quality(80)/p7i.vogel.de/wcms/85/b2/85b2d933e941860b1db2fddf8b3f6a6c/0118005341.jpeg "Microsoft blockiert Anwendungen in Windows 11 24H2. (Bild: deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/2f/a12f9615db0fcc73a1cc52c499add940/0117729006.jpeg "Durch das jüngste Update zählt Wind River Studio Developer nunmehr fünf Module, die unabhängig voneinander bereitgestellt werden können. (Bild: Wind River)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/04/4c04eddbad878ef9eb3ef187a961d82c/0117769262.jpeg "Je höher man die Hürde legt, desto schwieriger wird der Identitätsdiebstahl. (Bild: elenabsl - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/96/98/96982ab9f4a44baa89b969394ccd3bf9/0118028885.jpeg "Unternehmen müssen sich zusammenschließen, um gemeinsam eine möglichst resiliente Infrastruktur aufzubauen, fordert Dominik Bredel, Practice Leader Security & Resiliency Germany bei Kyndryl Deutschland. (Bild: REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/01/be011999d4574029c4de0e2244a3c7a1/0117904124.jpeg "Unternehmen sollten interne IT-Sicherheit beliebter und verständlicher machen; das Sicherheitsbewusstsein der Mitarbeiter entscheidet letztendlich über die wahre Stärke der IT-Abwehr. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/05/870581eaf29e310a4752460578581c42/0117933089.jpeg "Patchwork funktioniert für Familien. In der IT-Sicherheit „reicht Flicken nicht aus“, so das Motto der Eset-NIS2-Kampagne. (Bild: dimbar76 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5047d54802f097069c426fec52a7c5/0116955909.jpeg "Ein Large Language Model (LLM ist ein mit riesigen Textmengen trainiertes, generatives Sprachmodell mit künstlicher Intelligenz. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/3d/a6/3da608aeebe82e525855b876087b22bd/0116955923.jpeg "Project Zero ist ein Google-Team von Sicherheitsexperten, das auf der Suche ist, nach Zero-Day-Schwachstellen in Hard- und Software. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/66/446693e667237b7ae6352a9d7dc55d6e/0116955905.jpeg "Die Zero Day Initiative (ZDI) ist das weltweit größtes, herstellerunabhängig agierendes Bug-Bounty-Programm mit dem Ziel des Ankaufs und der verantwortungsbewusste Offenlegung von Zero-Day-Schwachstellen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kostenlose Firewalls unter Linux 7 Open-Source-Firewalls auf Basis von Linux
Eine gut konfigurierte Firewall braucht jedes Netzwerk. Open-Source-Firewalls haben den Vorteil, dass Sie kostenlos sind und es nachprüfbar keine Hintertüren gibt. Der Code ist bekannt und wird meist regelmäßig gepflegt. Es kostet zwar in der Regel etwas mehr Arbeit um sie zu installieren und zu konfigurieren, aber es lohnt sich manchmal doch einen Blick auf diese Technologie zu werfen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Open-Source-Firewalls werden auf vorhandener Hardware installiert und mit dem Internet verbunden. Dadurch lassen sich die Firewalls schnell zum Einsatz bringen, ohne die Sicherheit des Netzwerks in Gefahr zu bringen. Im Gegenteil, häufig bietet Open-Source-Firewalls auch für weniger erfahrene Administratoren einen großen Vorteil, da sie meistens einfacher und schneller eingerichtet werden können.
Natürlich haben Open-Source-Firewalls nicht immer den gleichen Funktionsumfang wie kommerzielle Firewalls. Das ist oft aber auch nicht notwendig. Wer Support benötigt, muss beim Einsatz von Open-Source-Firewalls auf das Internet setzen. Wer hier auf Nummer sicher gehen will, dass er immer Support erhält, muss auf einen kommerziellen Anbieter setzen. Spezieller Support ist nur bei Lösungen möglich, die kostenpflichtig sind. Wer auf eine Open-Source-Firewall setzt, muss sich im Klaren sein, dass er diese selbst verwalten und Probleme selbst lösen muss, natürlich mit Hilfe von Foren im Internet.
:quality(80)/images.vogel.de/vogelonline/bdb/1707900/1707918/original.jpg "Im Assistenten wird jede Netzwerkkarte auf Basis der Farbe das dazugehörige Netzwerk festgelegt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1707900/1707919/original.jpg "Über das Webinterface lassen sich in IPCop Einstellungen vornehmen und Informationen abrufen. Der Systemstatus zeigt zum Beispiel den Zustand der Serverdienste an, sowie die Ausnutzung der Hardware.")
:quality(80)/images.vogel.de/vogelonline/bdb/1707900/1707920/original.jpg "Der Datenverkehr lässt sich in IPCop über Protokolle nachvollziehen. Hier sehen Administratoren die IP-Adressen, sowie den Quell- und Zielport der Netzwerkzugriffe.")
:quality(80)/images.vogel.de/vogelonline/bdb/1707900/1707921/original.jpg "Administratoren können über das Webinterface von IPCop weitere Regeln hinzufügen und so die Firewall erweitern. Dazu ist kein Linux-Wissen notwendig, aber etwas Know How im Bereich Netzwerkdatenverkehr.")
Wir stellen in diesem Beitrag auch Open-Source-Firewalls wie IPCop oder Smoothwall Express vor, die schon länger nicht mehr weiterentwickelt werden. Diese Firewalls eignen sich für den Einsatz in Test- und Entwicklungsumgebungen, aber nicht unbedingt für den Einsatz in produktiven Netzwerken. Da diese aber zu einer vollständigen Liste gehören, weil sie seit Jahren auf dem Markt sind, haben wir auch diese Firewalls erwähnt. M0n0wall wird seit Jahren nicht mehr weiterentwickelt, ist aber eine der bekanntesten Open Source-Datenbanken im letzten Jahrzehnt.
Das muss eine Open-Source-Firewall können
Natürlich müssen Open-Source-Firewalls für einen ausreichenden Schutz sorgen, genauso wie kommerzielle Firewalls. Der Schutz, den eine Firewall bieten muss, wird auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem „IT-Grundschutz“ beschrieben. Es muss einen Paketfilter zum externen Netzwerk, also in den meisten Fällen das Internet, geben. Zusätzlich muss es einen Paketfilter in das interne Netzwerk geben. Auch ein Application Layer Gateway (ALG) muss es in der Firewall geben. Hier werden die Ports verwaltet, die von Anwendungen für den Zugriff in das Internet genutzt werden. Das ALG steuert die dynamische Freigabe dieser Ports, damit Protokolle wie SMTP, FTP und andere einfacher und sicherer freigeschaltet werden können.
Eine weitere Sicherheits-Funktion die eine Firewall bieten sollte ist „Stateful Packet Inspection“ (SPI). Bei dieser Sicherheitsfunktion werden Datenpakete die durch die Firewall geschickt werden, einer bereits bestehenden Sitzung zugeordnet. Bei der Analyse der Pakete, werden die Daten der aktuellen Sitzung mit einbezogen. Dazu werden die Eigenschaften von ausgehenden Paketen gespeichert und mit eingehenden Paketen verglichen. Dadurch erkennt die Firewall zum Beispiel Pakete, die zu einer Sitzung gehören und lässt diese zu, während andere blockiert werden, die einen Angriff darstellen können. SPI-Firewalls stellen eine wichtige Sicherheitsfunktion in Firewalls dar, die vor allem von weniger geübten Administratoren einfacher eingerichtet werden können, als Paketfilter.
:quality(80)/images.vogel.de/vogelonline/bdb/1703900/1703907/original.jpg "Wie man mit OpenVPN und OPNsense eine Firewall und Remote-Einwahl für KMU schnell und einfach realisiert, zeigen wir im Artikel und der zugehörigen Bildergalerie. (gemeinfrei)")
Open Source Firewall und VPN für KMU
Home Office mit OpenVPN und OPNsense
Voraussetzungen für den Betrieb einer Open-Source-Firewall
Wer eine Open-Source-Firewall betreibt, benötigt einen Computer, auf den die Firewall-Software installiert wird. Der Computer muss über mindestens zwei Netzwerkadapter verfügen, zwischen denen der Datenverkehr durch die Firewall gesteuert wird. Soll es auch eine DMZ geben, ist natürlich ein dritter Adapter notwendig. Der Computer sollte über eine einigermaßen moderne CPU verfügen und über genügend Arbeitsspeicher, um die Anfragen aus dem Netzwerk oder dem Internet zu gewährleisten.
OPNsense - Firewall mit VPN-Funktionen
OPNsense ist ein Fork von pfSense und eine Weiterentwicklung von m0n0wall. Die Open-Source-Firewall verfügt über viele Funktionen, die ansonsten kostenpflichtigen Firewalls vorbehalten sind. Beispiele dafür sind IPSec, VPN, 2FA, QoS, IDPS, Netflow, Proxy, Webfilter und weitere Dienste, die sich einbinden lassen. Auch ein DHCP- und DNS-Server ist verfügbar, genauso wie die Möglichkeit zum Aufbau eines VPN mit OpenVPN. Als Basisbetriebssystem wird FreeBSD 11.x verwendet, genauer gesagt die gehärtete Variante (HardenedBSD). Für die Sicherung der Datenpakete wird auf den Paketfilter „pf“ gesetzt. Die Firewall ist also ideal dafür geeignet, um in kleinen Unternehmen Home-Office-Funktionen bereitzustellen, damit sich Anwender von zu Hause einwählen können.
:quality(80)/images.vogel.de/vogelonline/bdb/1564000/1564034/original.jpg "Ein großer Vorteil der Open Source Firewall OPNsense ist, dass beim Einsatz keinerlei Lizenzkosten entstehen. (gemeinfrei)")
Open Source für die optimale IT-Sicherheit
OPNsense als professionelle Open Source Firewall
Pfsense - Firewall auf FreeBSD-Basis
Pfsense basiert ebenfalls auf FreeBSD. OPNSense wurde auf Basis von Pfsense entwickelt. Die Firewall ist, wie OPNSense in wenigen Minuten einsatzbereit. Auch Pfsense setzt auf den Paketfilter „pf“. Die Verwaltung erfolgt über eine Weboberfläche. Die Firewall steht auch als Appliance mit dazu passender Hardware zur Verfügung.
IPCop Firewall - Firewall mit Proxy-Funktion
Die IPCop Firewall zeichnet sich durch eine einfache Installation und Verwaltung aus. Die Open-Source-Firewall ist bereits älter. Die Firewall wird nicht mehr aktiv weiterentwickelt, sie bietet aber immer noch einen Grundschutz für kleine Netzwerke. Allerdings ist der Einsatz nur zu empfehlen, wenn keine Zeit bleibt eine modernere Firewall einzurichten. IPCop stellt nach der Installation auf einen Proxyserver auf Squid-Basis parallel zu den Firewall-Funktionen bereit. Die Oberfläche erlaubt die Konfiguration aller notwendigen Einstellungen. Administratoren mit Linux-Wissen können aber auch auf die Shell zugreifen.
IPFire - Firewall, Proxy und VPN
IPFire kann als Firewall genutzt werden, aber auch als Proxy und VPN-Gateway. Dazu kommt ein Intrusion Detection System (IDS). Das System ist in wenigen Minuten einsatzbereit.
:quality(80)/images.vogel.de/vogelonline/bdb/1644900/1644931/original.jpg "Mit iptables-Regeln für Netfilter lassen sich unter Linux komplexe Firewall-Umgebungen erstellen. (Ronstik - stock.adobe.com)")
Linux-Firewall verstehen
IPTables für die Paketfilterung nutzen
Smoothwall Express
Bei Smoothwall Express handelt es sich ebenfalls um eine Open-Source-Firewall die, wie IPCop schon sehr alt ist und aktuell nicht mehr weiterentwickelt wird. Der Einsatz ist noch möglich, allerdings für den produktiven Betrieb weniger zu empfehlen. Für Test- und Entwicklungsumgebungen, oder für den temporären Einsatz kann es noch sinnvoll sein, auf die Firewall zu setzen.
Ufw - Uncomplicated Firewall in Ubuntu
In Linux lassen sich mit dem Paketfilter „iptables“ Firewalls betreiben. Ubuntu bietet mit UFW eine Erweiterung, die dabei hilft die Regeln einfacher zur konfigurieren. Dabei steht auch eine grafische Oberfläche zur Verfügung. Die Installation erfolgt in Ubuntu mit „sudo apt-get install ufw gufw“.
ConfigServer Security & Firewall (csf)
Bei ConfigServer Security & Firewall (csf) handelt es sich um eine SPI-Firewall für Linux, die ebenfalls schnell einsatzbereit ist.
:quality(80)/images.vogel.de/vogelonline/bdb/1383800/1383865/original.jpg "Wer besonders sicher arbeiten oder das Netzwerk überwachen will, greift zu speziellen, hochsicheren Linux-Distributionen. (rimom - stock.adobe.com)")
Qubes OS, Tails, Whonix und Co.
Hochsichere Linux-Distributionen im Überblick
(ID:46600497)
:quality(80)/p7i.vogel.de/wcms/30/a8/30a860f0393ebb1fc7f5dda095d600ec/0113166566.jpeg "Die beliebte Open-Source-Firewall OPNsense eignet sich sowohl für den Einsatz in großen Netzwerken, als auch bei KMUs. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/a9/dda9ad34fe9be0ea4c66cbf7cbbb5840/0101683214.jpeg "Es müssen nicht immer kommerzielle Tools sein, wenn es um die Netzwerk-Überwachung geht. (Bild: © bofotolux - stock.adobe.com)")