Wir starten das neue Jahr mit dem Schwerpunkt 'Netzwerke sicher betreiben'. Während die Netzwerkgrenzen zusehends verschwimmen, gehen Angreifer immer gezielter ... (mehr)

2FA und Captive Portal

OPNSense verfügt über eine integrierte Zweifaktor-Authentifizierung nach dem TOTP-Standard gemäß RFC 6238 und kann damit grundsätzlich mit allen TOTP-Token wie beispielsweise dem Google Authenticator zusammenarbeiten. Die Zweifaktor-Authentifizierung kann etwa dazu genutzt werden, um die Anmeldung an der Web-GUI von OPNSense oder den Remotezugriff über VPN abzusichern.

Mit dem Captive Portal ziehen Administratoren eine zusätzliche Authentifizierungsebene ein, zum Beispiel für Gäste-netzwerke. Benutzer müssen sich dann mit einem Benutzernamen und Passwort am Captive Portal im Webbrowser anmelden, um Zugriff beispielsweise über das WLAN zu erhalten. OPNSense hat ein vollständiges Voucher-System an Bord. Dieses erlaubt die Erstellung von Vouchers mit einer Laufzeit von vier Stunden bis zu zwei Wochen und einer Gültigkeit von bis zu drei Monaten.

Bild 1: OPNSense verfügt über eine ausgereifte Softwareverwaltung. Neben der Firmware für die Firewall werden hier auch die Plug-ins administriert.

Mehr Flexibilität mit VLANs

Die Hauptaufgabe von Firewalls ist es, Netzwerke voneinander zu trennen beziehungsweise die Kommunikation zwischen diesen Netzwerken mit Hilfe eines Regelwerks genau zu steuern. Ein Dogma bei der Firewallkonfiguration lautet deshalb, dass für jedes angeschlossene Netzwerk auch eine physische Schnittstelle (Ethernet-Port) vorhanden sein sollte. Da die Anzahl der Netzwerkports an einer Firewall aber endlich ist und manchmal eben doch mehr Netze als Schnittstellen vorhanden sind, behilft sich der Admin mit virtuellen LANs. VLANs sind zwar nicht so sicher wie eine echte galvanische Trennung, aber die ist eben nicht immer erforderlich.

OPNSense bietet VLAN-Support nach dem 802.1Q-Standard (Tagged VLAN). Damit lassen sich bis zu 4096 virtuelle LANs auf einem OPNSense-System betreiben. Die Firewall kümmert sich um das Routing zwischen den Netzen und kann diese mit Hilfe des Paketfilters auch wirkungsvoll voneinander abschotten. Auf diese Weise lassen sich beispielsweise leicht unterschiedliche Netzwerkzonen – zum Beispiel für Server, Clients oder Peripheriegeräte – innerhalb des Netzwerks einrichten. Die Konfiguration von VLANs erfolgt auf OPNSense entweder über die Web-GUI oder auf der Konsole.

Fans der Kommandozeile sollten aber sehr vorsichtig zu Werke gehen, denn bei der Konfiguration auf der Konsole wird eine eventuell bereits vorhandene Schnittstellenkonfiguration gelöscht. Wählen Sie in der Konsole nach dem Login aus dem Textmenü "1) Assign Interfaces" und beantworten Sie die Frage "Do you want to configure VLANs now?" mit "Y(es)". Nachdem Sie Ihre VLANs angelegt haben, weisen Sie diesen über die Menüauswahl "2) Set Interface IP Adress" dann entsprechende IP-Adressen zu.

Wesentlich komfortabler geht das aber natürlich über die Web-GUI. Sie finden die VLAN-Konfiguration im Menü "Schnittstellen / andere Typen / VLAN". Über die Schaltfläche "Hinzufügen" wählen Sie zunächst die übergeordnete (physische) Schnittstelle aus und vergeben anschließend einen VLAN-Tag (numerischer Wert von 1 bis 4096) sowie einen möglichst sprechenden Namen für das neue VLAN, etwa "ServerVLAN". Sobald Sie in dem Menü alle VLANs erfolgreich angelegt haben, müssen Sie diese unter "Netzwerk / Zuweisungen" noch aktivieren. Wählen Sie dort aus dem Dropdown-Feld das gewünschte VLAN aus und fügen Sie es mit einem Klick auf das Pluszeichen Ihrer Schnittstellenkonfiguration hinzu.

Leider übernimmt OPNSense dabei nicht den Namen, den Sie beim Anlegen des VLANs ins Beschreibungsfeld eingegeben haben. Die VLANs tauchen in der Schnittstellenkonfiguration deshalb zunächst unter den Begriffen "[OPT1]", "[OPT2]" et cetera auf. Das ändern Sie, indem Sie die neue Schnittstelle anklicken und das Häkchen bei "Schnittstelle aktivieren" setzen. Geben Sie dann in das Beschreibungsfeld wieder den ursprünglich gewählten Namen, etwa "ServerVLAN", ein und konfigurieren Sie eine IP-Adresse für das neue Interface. Ab sofort können Sie in der Firewallkonfiguration Regeln für die neuen virtuellen LANs definieren.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021