:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Tipps & Tricks zu OPNsense – Teil 3: Updates & Monitoring OPNsense aktualisieren und überwachen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Um ein Netzwerk maximal vor Cyberattacken aus dem Internet zu schützen, sollte die Firewall möglichst mit dem aktuellen Softwarestand ausgestattet sein. Dazu kommt die Überwachung des Datenverkehrs. Dadurch behalten Unternehmen den Überblick zu ihrer Firewall und dem darüber laufenden Datenverkehr.
Damit die Open-Source-Firewall OPNsensedas Netzwerk möglichst optimal schützen kann, ist es sinnvoll regelmäßig nach Updates zu suchen und diese zu installieren. Das lässt sich bequem über die Weboberfläche durchführen, auch über VPN-Verbindungen. Vor der Aktualisierung sollten Admins aber berücksichtigen, dass es immer mal wieder passieren kann, dass ein Update schiefgeht. Daher ist es sinnvoll die Aktualisierung möglichst nicht remote durchzuführen, da bei Problemen sonst keine Verbindung mehr möglich ist.
:quality(80)/p7i.vogel.de/wcms/a6/e8/a6e8cf94d19ffa43f9a8404ae16af856/0113549781.jpeg "Vor Aktualisierungen von OPNsense sollte die Konfiguration der Firewall gesichert werden.")
:quality(80)/p7i.vogel.de/wcms/fc/e9/fce9fa3cd966f9fb548347269d254ca3/0113549789.jpeg "Im Dashboard von OPNsense sind die wichtigsten Informationen zu finden und hier lassen sich auch Aktualisierungen starten.")
:quality(80)/p7i.vogel.de/wcms/e3/83/e3833a539d3dd43ef4f7ebf739dba564/0113549782.jpeg "Anzeigen des aktuellen Datenverkehrs zu dem Zustand der Schnittstellen in OPNsense.")
:quality(80)/p7i.vogel.de/wcms/9a/ba/9aba67d8735d2c84b0efbf898b642892/0113549783.jpeg "Bei vorhandenen Aktualisierungen zeigt die Weboberfläche eine Information zu den Neuerungen an.")
Vor Aktualisierung von OPNsense besser die Konfiguration sichern
Außerdem kann es sinnvoll sein vor Aktualisierungen in der Weboberfläche zunächst die aktuellen Einstellungen zu sichern. Das lässt sich über "System -> Konfigurationen -> Sicherungen" mit der Schaltfläche "Konfigurationen herunterladen" erledigen. Geht etwas bei der Aktualisierung schief, lassen sich nach der Wiederherstellung oder Neuinstallation der Firewall alle Regeln und Einstellungen wieder mit "Konfiguration wiederherstellen" aus dieser Sicherung wiederherstellen.
Version von OPNsense überprüfen und aktualisieren
Zur Überwachung von OPNsense gehört auch die regelmäßige Übeprüfung des Dashboards in der Weboberfläche. Hierüber ist auch die aktuell installierte Version zu sehen und es lässt sich auch gleich ein Update starten. Bei "Lobby -> Dashboard" zeigt OPNsense bei "Versionen" die installierte Version des Betriebssystems an, die Version der Firewall-Software und auch die Version von OpenSSL.
Zusätzlich sind an dieser Stelle die Auslastung von CPU und Arbeitsspeicher zu erkennen und die aktuelle Laufzeit der Firewall seit dem letzten Start. Auf der rechten Seite zeigt die Weboberfläche alle Dienste der Firewall an und auch ob diese gestartet sind. Wenn ein Dienst Probleme macht, lässt er sich an dieser Stelle auch gleich neu starten. Kommt ein weiteres Gateway zum Einsatz, zeigt die Weboberfläche an dieser Stelle auch hier den Status der Verbindung an.
Zusätzlich sind hier die letzten Firewall-Aktionen zu erkennen und der Status der Verbindungen. In der Mitte des Fensters zeigt die Firewall darüber hinaus den aktuellen ein- und ausgehenden Datenverkehr an. Ein Blick in diesem Bereich gibt daher einen recht schnellen Überblick zum Zustand der Internetverbindungen.
Firewall auf Updates überprüfen
Im Bereich "Aktualisierungen" auf der linken Seite lässt sich mit "Klicken um nach Aktualisierungen zu suchen" überprüfen, ob Updates vorhanden sind. Wenn die Firewall das bereits überprüft hat und Updates vorhanden sind, lassen sich diese mit "Hier klicken, um ausstehende Aktualisierungen anzuzeigen" installieren. Es ist an dieser Stelle aber auch möglich direkt in den Menüpunkt "System -> Firmware" zu wechseln. Mit "Auf Aktualisierungen prüfen" wechselt die Ansicht zur Registerkarte "Aktualisierungen" und sucht im Repository nach Updates.
Sind welche zu finden, zeigt die Weboberfläche diese an und auch, was diese bewirken. Die Aktualisierung startet aber nicht automatisch. Im Fenster sind zunächst die installierte Version sowie die neue Version zu sehen. Mit der Schaltfläche "Aktualiseren" beginnt der Vorgang erst. Neben der Schaltfläche zeigt die Firewall außerdem an, welche Komponenten aktualisiert werden, und ob ein Neustart der Firewall notwendig ist.
Vor der Aktualisierung ist noch die Bestätigung des Neustarts notwendig, danach beginnt die Software mit dem Update. Sobald dieses abgeschlossen ist, startet die Firewall neu. In den meisten Fällen bleibt die Weboberfläche offen und verbindet sich nach dem erfolgreichen Neustart wieder. Bei einer erneuten Suche, sollte die Firewall anzeigen, dass die Software aktuell ist. Wenn nicht, sollte eine weitere Aktualisierung erfolgen, bis Betriebssystem, Firewall und die aktualiserbaren Dienste auf dem aktuellen Stand sind.
OPNsense mit Monit überwachen
Über den Bereich "Dienste" steht in der Weboberfläche von OPNsense der Dienst "Monit" zur Verfügung. Dieser kann die Firewall überwachen und bei Notwendigkeit Administratoren per E-Mail benachrichtigen. Dazu muss bei "Dienste -> Monit -> Einstellungen" der Dienst zunächst aktiviert werden. Auf dem gleichen Fenster erfolgt die Konfiguration der Abendeadresse und des entsprechenden E-Mail-Servers.
Bei "Diensteinstellungen" wird eingestellt, welche Überprüfungen Monit auf der Datenbank und den Datenbankserver durchführen soll. Bei "Alarmeinstellungen" lassen sich wiederum Alarme definieren, und damit verbundene Empfänger-Adressen. Diese erhalten eine E-Mail, wenn ein Alarm eintritt über die E-Mail-Adresse, die im Fenster definiert ist.
Monit anpassen, Tests optimieren und Protokolldateien überprüfen
Bei "Dienstüberprüfungseinstellungen" lassen sich für die konfigurierten Tests Grenzwerte definieren. Jeder Test hat einen Namen, eine Bedingung und eine Aktion. Neben dem Erstellen von Alarmen, die OPNsense per E-Mail verschickt, lassen sich auch andere Aktionen in Monit definieren. Beispiele dafür sind Neustarts, Start und Stop von verschiedenen Diensten.
Über den Menüpunkt "Status" zeigt Monit aktuelle Warnungen direkt in der Weboberfläche an. Bei Protokolldatei zeigt Monit ebenfalls Informationen an. Hier ist zu sehen, ob OPNsense E-Mails senden kann, oder ob es Probleme mit dem Senden von E-Mails gibt.
Über diese Artikelserie
OPNsense gehört zu den bekanntesten, beliebtesten und besten Open-Source-Firewalls. Im Rahmen dieser Serie geben wir Tipps & Tricks zu den Themen Installation, IP-Filterlisten, Updates und Überwachung, sowie VPN-Nutzung.
(ID:49666873)
:quality(80)/p7i.vogel.de/wcms/30/a8/30a860f0393ebb1fc7f5dda095d600ec/0113166566.jpeg "Die beliebte Open-Source-Firewall OPNsense eignet sich sowohl für den Einsatz in großen Netzwerken, als auch bei KMUs. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/e6/d1e69c54075f247a1bf53183530aa5ac/0113626978.jpeg "OPNsense ermöglicht mit OpenVPN oder Wireguard-VPN den Aufbau sicherer, verschlüsselter Verbindungen. (Bild: Funtap - stock.adobe.com)")