Von Sophos auf Opnsense umsteigen

Hallo zusammen,

nachdem der Betrieb einer Sophos ja relativ teuer ist, bin ich am Überlegen auf Opensense umzusteigen.

Kann ich die Sophos einfach durch eine Opensense ersetzen und alle Regeln wie auf der Sophos erstellen? Die Sophos spricht ja bisher auch nicht mit dem Linuxmusterserver und arbeitet unabhängig.

Oder muss ich wie hier (OpnSense nachträglich installieren) beschrieben vorgehen? Was macht denn das Skript /usr/sbin/linuxmuster-opnsense-reset? Schreibt das nur mal die Linuxmuster Standardregeln auf der Firewall?

Und wenn das nicht klappt, kann ich dann einfach wieder die Sophos in Betrieb nehmen?

Bin noch etwas unsicher und freue mich auf Ratschläge.

Gruß
Veit

Hallo Veit,

Kann ich die Sophos einfach durch eine Opensense ersetzen und alle
Regeln wie auf der Sophos erstellen? Die Sophos spricht ja bisher auch
nicht mit dem Linuxmusterserver und arbeitet unabhängig.

… so würde ich das nciht sagen.
Die Firewall ist nicht „unabhängig“ vom Server.
Nur läuft das bei der lmn>=7 anfders als früher bei der lmn<7
Früher wurde die Firewall vom Server aus ferngesteuert: es wurden vom
server aus Firewallregeln gesetzt um gewisse Dinge zu erreichen.
Jetzt wird die Firewall an den Server gebunden und fragt bei ihm nach
(besser: schaut in das AD).

Was du also, außer den Firewallregeln, noch machen mußt, ist die
Anbindung an den AD.
Wie das geht, das steht hier:

(single-signon einrichten).

Ob das alles ist oder ob da noch mehr sein muss, kann ich nciht sicher
sagen.

LG

Holger

Hallo Veit,

wir haben erfolgreich den Wechsel von Sophos zu OPNsense in einer unserer betreuten Schulen vollzogen. Mit einer Sophos erhofften wir uns verschiedene Vorteile, die sich letztendlich auch mit OPNsense realisieren ließen. Generell raten wir mittlerweile eigentlich immer von einer Sophos ab. Es gibt zwar einige Anwendungsfälle, in denen eine Sophos praktisch sein kann, jedoch ist dies wirklich selten. Bisher gab es grundsätzlich keine Probleme, jedoch ist es wichtig, alle Einstellungen vorab zu dokumentieren und OPNsense entsprechend wieder einzurichten.

Einige Aspekte gestalteten sich jedoch auf der Sophos einfacher als in der OPNsense. Ein Beispiel hierfür ist der Umgang mit dem Proxy. Auf der Sophos war es problemlos möglich, mehrere Instanzen des Webproxys für verschiedene Netzwerke zu starten. Zum Beispiel konnten wir einen transparenten Proxy für das Lehrer-WLAN mit sehr wenigen Einschränkungen einrichten, einen transparenten Proxy mit Filterung für das Schüler-WLAN und normale Linbo-Netze mit einem Proxy inklusive Filtern und Single Sign-On. Leider gestaltet sich diese Konfiguration auf OPNsense nicht so einfach.

Grüße,
Kevin

Hallo Kevin,

das ist Äpfel mit Birnen vergleichen.

Welche Vorteile habt ihr euch erhofft? Und welche sind nicht eingetreten?

Da würde mich auch mal interessieren warum. Ihr als Dienstleister solltet vielleicht wissen was die unterschiede sind und warum die nicht vergleichbar sind.

Das sehe ich als jemanden, der OpnSense sehr schätzt und diese auch in die LMN gebracht hat, leider ganz anders. Wenn ich ohne Expertise darauf schaue, könnten jedoch schnell Vergleiche gezogen werden. Dann könnte ich aber genauso gut anfangen, OpnSense mit einer FritzBox zu vergleichen. Auch das geht nicht!

Das war lange einer von vielen Punkten und das ist auch bis heute so wenn ich mit Proxys arbeite. Proxys sind nicht mehr „state of the art“. Das muss ich hier aber hoffentlich nicht erklären.

Wie sichert ihr die Webdienste der Schulen ab?
Wie handhabt ihr Verbindungen von außerhalb der Schule in die Schule?
Wie sichert ihr die Verbindungen der Netze ab?
Wie stellt ihr sicher, dass die Endpoints (PCs) von außen geschützt werden und keine Malware via SSL durch die Firewall an den Client gelangt?
Wie stellt ihr sicher, dass keine Malware aus der Schule austritt?
Wie handhabt ihr die verschiedenen Autorisierungen in den verschiedenen Netzen (BYOD, Schüler-LAN…)?
Wie stellt ihr sicher, dass nicht von jedem Netz in jedes Netz gedruckt werden kann?
Wie handhabt ihr mDNS über die Netze?
Wie routet ihr die Netze und stellt dabei gleichzeitig die Performance sicher?
Wie analysiert ihr den Traffic, vor allem wenn mal etwas nicht in Ordnung ist (daten vielleicht abfließen)?
Wie Handhabt ihr das ganze für Geräte welche die Schule verlassen und wieder kommen (Lehrergeräte… )?

Sollte das alles egal sein, "weil es ja nur eine Schule ", dann würde ich vielleicht doch nochmal die FritzBox genauer anschauen. Falls nicht, würde ich mich intensiver mit IT-Sicherheit und dem Markt auseinandersetzen. Hier sprechen wir noch lange nicht von dem, was Firmen, Behörden etc. tun müssen und sollten. Wir bedienen beide Bereiche und versuchen alles, was mit vertretbarem Aufwand für Schulen machbar ist, zu implementieren, auch wenn das Budget es oft nahezu nicht zulässt

Viele Grüße, Maurice

Vielleicht noch zur Klarstellung: Auch wir verwenden OpnSense und sind von dem Produkt überzeugt. Allerdings nutzen wir auch andere Anbieter wie zum Beispiel Sophos, R&S Lancom, Palo Alto, etc.

Es muss gemeinsam mit der Schule/Träger abgewogen werden, was sinnvoll ist. Aber ich würde im Leben nicht pauschalisieren und ist für mich zu kurz gegriffen.

VG, Maurice

Hallo Maurice,

ich bin der Meinung, dass ein Vergleich zwischen OPNsense und Sophos durchaus sinnvoll ist, jedoch immer im Kontext des jeweiligen Anwendungsfalls und insbesondere im Gesamtbild eines umfassenden Gesamtkonzepts betrachtet werden sollte. Aber wenn ich zwischen einer OPNsense und Sophos wählen soll habe ich ja keine Wahl als diese miteinander zu vergleichen.

Sophos punktet mit vorgefertigten Implementierungen vieler Funktionen und einem meiner Meinung nach intuitiveren WebUI im Vergleich zu OPNsense, wo man sich häufig mit Dritterweiterungen behelfen muss. Allerdings fallen für sämtliche Funktionen bei Sophos regelmäßige Lizenzgebühren an, die nicht unerheblich sind. Bei der Entscheidung zwischen den beiden Optionen ist es wichtig, den zusätzlichen Aufwand und mögliche Anpassungen gegen die Lizenzkosten natühlich abzuwägen.

Die Lizenzgebühren bewegen sich in der Regel im Bereich von mehreren Tausend Euro pro Jahr, abhängig vom Modell und den gewünschten Funktionen.

Ein weiterer bedeutsamer Aspekt für uns ist, dass die Sophos Firewall eine proprietäre Lösung darstellt. Mir ist bewusst, dass in manchen Situationen eine proprietäre Lösung besser und effizienter sein kann, und es ergibt oft Sinn, diese zu verwenden. Dennoch empfinde ich es als problematisch, mit einer Open-Source-Schullösung zu werben und dann eine Sophos einzusetzen (sozusagen „Wasser predigen und Wein saufen“).

Jeder bereitgestellte Webdienst wird über eine Nginx-Erweiterung zur Verfügung gestellt. Darüber hinaus kann Nginx App Protect verwendet werden, um Layer-7-Angriffe zu blockieren.

Von außen sind im Grunde nur Webdienste erreichbar, wie beispielsweise Nextcloud, über die auch auf alle Home-Verzeichnisse zugegriffen werden kann, sowie Moodle und andere Webdienste.

In jedem Netzwerk fungiert die OPNsense stets als Gateway. Folglich führt kein Weg an der OPNsense vorbei, wenn Dienste in anderen Netzen erreicht werden sollen. Daher müssen alle entsprechenden Freigaben in der OPNsense vorgenommen werden. Zudem setzen wir in den jeweiligen Netzen auf Layer-2 Isolierung. Hierbei kommt es aber stark auf die Funktionen der eingesetzten Netzwerkhardware und den verfügbaren Funktionen an.

Zum einen kann der Webtraffic sowohl mit ClamAV als auch mit einem anderen Virenscanner überprüft werden. Ein weiteres bedeutendes Tool ist Snort, das zu den weit verbreitetsten und leistungsstärksten IDS/IPS-Systemen zählt.

Es ist ebenfalls wichtig zu beachten, dass wir die Option haben, die Systeme regelmäßig mittels Linbo zu synchronisieren.

Für Windows besteht auch die Möglichkeit zusätzlich, auf den integrierten Windows Defender zu setzen.

Ich empfinde eine gewisse Abneigung gegenüber Druckern. Das einzige, was noch schlimmer ist, nennt sich Faxgerät. :slight_smile: Aber wie es nun mal in der IT-Steinzeit ist, möchte jeder die Möglichkeit haben zu drucken.

Gelöst werden kann dieses Dilemma jedoch über einen zentralen Druckserver und entsprechende Freigaben.

Es gibt eine Erweiterung, die dies problemlos ermöglicht. Ein kleines Detail stört mich jedoch an dieser Erweiterung ich habe nicht viele Einstellungsmöglichkeiten.

Wie oben beschrieben routen wir alles über die OPNsense und stellen die jeweilige Priorisierung mittels QoS sicher.

Im Wesentlichen folgt hier dasselbe Vorgehen wie zuvor beschrieben: Isolierung und Filterung. Es ist jedoch wichtig zu beachten, dass es sich bei diesen Geräten nicht um schuleigene, sondern um private Geräte handelt, die auch von anderen Standorten aus ins Internet zugreifen können, wo wir keinen Einfluss haben. Daher muss ich stets davon ausgehen, dass diese Geräte potenziell infiziert sein können. Entsprechend haben diese Netzwerke eingeschränkte Zugriffsmöglichkeiten auf interne Dienste, außer natürlich auf solche, die auch aus dem Internet erreichbar sind, wie beispielsweise die Nextcloud, über die dann auf entsprechende Laufwerke zugegriffen werden kann. Die Layer-2-Isolierung ist hier quasi Pflicht. Dabei müssen natürlich zu Zeiten von Eshare, Chromecast und Airplay weiterhin bestimmte Möglichkeiten ermöglicht werden. Die Authentifizierung erfolgt mittels Captive Portal.

Grundsätzlich gestaltet sich die Umsetzung von Sicherheits- und Datenschutzmaßnahmen in einer Schule deutlich herausfordernder als in einem Unternehmen. Im Unternehmensumfeld gibt es nicht mehrere tausend Schüler, die ihre eigenen Geräte verwenden möchten, und Lehrer, die am liebsten alles dürfen wollen. Zudem mangelt es in Unternehmen oft nicht so sehr an Willensbereitschaft und der einsicht wie wichtig IT Sicherheit ist. :slight_smile:

Grüße,
Kevin

hab mir erlaubt den titel zu korrigieren, sonst findet den Thread ja niemand…

Hallo Kevin,

mein Meinungsbild hat sich durch die Antwort nur bestärkt. Die wesentlichen unterschiede sind einfach nicht klar.

In der LMN 7 ist die Firewall zu einer Option geworden und kein fester Bestandteil mehr. Dies liegt hauptsächlich daran, dass viele Schulträger bereits ein Firewallsystem besitzen. Die Schnittstellen sind universeller geworden, und es können nun auch andere Systeme wie Sophos verwendet werden. Trotzdem haben wir uns als Entwickler offiziell für OPNsense entschieden. Diese Entscheidung wurde dokumentiert und in das Setup aufgenommen. Anfangs fehlten die Proxy SSO-Funktionalitäten, und ich hatte Kontakt zu den Entwicklern aufgenommen, da es für uns essentiell wichtig war, zumindest wieder eine Internetsperre anbieten zu können. Das wurde umgesetzt und funktioniert grundlegend, auch wenn es noch deutlich verbessert werden könnte.

Der Vorwurf „Wasser predigen und Wein saufen“ ist schon fast peinlich. Wir schauen dass wir soviel OSS wie möglich einsetzen und was vom Verein kommt ist auch alles OSS. Es wird aber immer Software geben wie Betriebssysteme, Netzwerketechnik oder MDM-Systeme die proprietär sind aber angebunden werden können oder müssen. Da sollte ein gutes maß gefunden werden um nicht die Nutzerakzeptant darunter leiden zu lassen wo es keine OSS alternativen gibt.

Übrigens verendet auch die OpnSense aus diesem Grund Zenarmor. Damit kann die Opnsense überhaupt erst DPI und wird damit zu einer „NGFW“. Die Preise dafür sind online einsehbar Plans and Pricing - Zenarmor und ich bin mir sicher ihr habt nicht eine Schule die das bezahlen will. Richtig?

Kann oder wird? Wie gut funktioniert das in der Praxis? Wir haben da nicht die besten Erfahrungen gemacht was die Sicherheit anbelangt.

Naja nur weil es als Layer 2 durch die OpnSenese geht ist da noch lange nichts abgesichert. Deshalb würde mich schon interessieren wie ihr das macht. Mehrere Proxys? DPI? SSL?

Richtig aber auch das ist nur so gut wie die Datenquellen dafür.

Leider (und ich meine das wirklich ernst mit dem ‚leider‘) haben wir keine guten Erfahrungen gemacht, wenn die OpnSense 10G-Routen übernehmen muss. Auf der gleichen Hardware wie die Sophos SG haben wir nicht einmal die Hälfte des Durchsatzes erreicht, und zudem kam es oft zu Paketverlusten. Mit Sophos XGS war es nochmal deutlich schneller bei gleicher Hardware, übrigens.

Bei kleineren Umgebungen mag das nicht direkt auffallen, aber bei größeren schon, besonders dann, wenn Funktionen auf der Firewall genutzt werden, die auch einen Effekt auf die IT-Sicherheit haben, wie zum Beispiel DPI.

Das sehe ich ähnlich, aber es liegt schlicht am Budget. Oft werden danach auch die Dienstleister ausgewählt, nicht nach Qualität und Erfahrung, sondern nach dem Preis.

Daher sollte die Schule gut beraten sein und sorgfältig abwägen, wofür sie sich entscheidet. Wenn das Verständnis und das Budget für die IT nicht vorhanden sind, wird es sicherlich schwierig, auch wenn wir versuchen, mit LMN ein effizientes System zur Verfügung zu stellen. Mit den Ressourcen, die uns dafür zur Verfügung stehen, würde ich behaupten, haben wir eine sehr gute Lösung und müssen uns vor keiner anderen Schulserversoftware verstecken. Im Gegenteil.

VG; Maurice