Firewalls Hochverfügbar
In besonders wichtigen Umgebungen setzt man Produkte ein, für einen möglichst unterbrechungsfreien Betrieb. Aus dem Open Source Umfeld gibt es dafür verlässliche Lösungen.
Mit OpenWrt kommt man in solchen Umgebungen nicht weit. Es ist zwar möglich auch OpenWrt in einem sogenannten HA (High Availability) Setup laufen zu lassen, jedoch sind dazu einige manuelle Eingriffe erforderlich.
Besser geeignet für unterbrechungsfreien Betrieb sind OPNsense oder pfSense. Beide basieren auf FreeBSD und nutzen als Paketfilter pf. Ihr Funktionsumfang ist außerordentlich, bei absolut überschaubaren Kosten. Während kommerzielle Produkte meistens eine Art Blackbox darstellen, die mit einem Abo erst zum Leben erweckt werden kann, sind Open Source Lösungen wesentlich transparenter und auch besser integrierbar.
Die Investition ist geringer, bei größerem Funktionsumfang.
Bekannte Werkzeuge
Zur Veranschaulischung: OPNsense sowie pfSense bieten beide das allseits bekannte tcpdump. Damit ist es möglich einfache aber auch komplexere Netzwerk-Probleme zu diagnostizieren. Bei Fortigate zum Beispiel setzt man auf proprietäre Kommandozeilen, die aufwändig in der Handhabung sind. So ähnlich verhält es sich mit weiteren Werkzeugen wie mtr, nmap oder dig. Unter Unix / Linux sind dies Tools, die jedem Admin bekannt sein dürften und deren Parameter in die Hirnrinde eingebrannt scheinen. Auf geschlossenen Systemen muss man komplexe und wenig intuitive Kommandozeilenparameter auswendig lernen, die wieder obsolet sind, wechselt man den Hersteller.
Verfügbarkeit
Für einen Betrieb mit maximaler Verfügbarkeit kommen zwei Geräte zum Einsatz. Fällt das Hauptgerät aus, übernimmt das Standby System ohne Unterbrechung. So wird auch im Falle eines Hardwaredefekts dafür gesorgt, dass Dienste erreichbar sind und Mitarbeiter ihrer Tätigkeit nachgehen können.
Für die ganz besonders wichtigen Szenarien lassen sich über BGP IP Adressen an mehreren Standorten verfügbar machen und Firewall Redundanz im jeweiligen Rechenzentrum / Büro installieren.
Support
Bei Sophos & Co. bezahlt man unterschiedlich viel Geld für die Hardware, aber auch für die Software sowie den Support. Erst mit ziemlich großem finanziellem Aufwand erhält man ein vollständiges Feature Set. Dies ist in der Open Source Welt anders. Man hat ohne einen Cent in die Hand nehmen zu müssen, Zugriff auf alle Funktionen. Immer wieder höre ich Argumente wie
Bei Open Source wäre der Support nicht so gut.
Das ist eine absolute Fehleinschätzung. Das Gegenteil ist der Fall. Bei Blackbox Systemen wartet man schon mal gerne etwas länger auf eine Antwort des Supports. Bei Open Source ist neben der sehr aktiven Community auch die Option für einen exzellenten Support vorhanden. Der kann nicht nur von dem offiziellen Vertrieb kommen:
Unabhängige Dienstleister wie ich bieten umfangreiche Erfahrung im Umgang mit den Produkten und können auch anspruchsvollere Herausforderungen meistern.
Libcom.de Firewalls
Da Netzwerke und Open Source mein Kerngebiet darstellen kann ich auf eine lange Erfahrungs-Historie zurück blicken, die etwa so aussieht:
- Bintec
- Fli4l
- Fritzbox
- shorewall
- IPtables (manuell)
- OpenWrt
- Endian Firewall
- pfSense
- Sophos SG / XG
- Fortigate
- OPNsense
- nftables (manuell)
Besonders sensible sowie wichtige Umgebungen sollten dementsprechenden Support und Beratung genießen. Dabei biete ich neben meiner Verlässlichkeit auch meine Diskretion an.
Ich stehe zur Ihrer Verfügung.