Sicherheit
OPNsense Firewall (FAQ)
- freie Firewall-Distribution unter FreeBSD-Lizenz, Fork von pfSense
- wird von der niederländischen „Deciso B.V.“ als Sponsor und Co-Entwickler unterstützt
- kostenfreie Community-Edition und Business-Edition mit Support
- lauffähig auf PC, VM oder Router-Hardware mit 2 oder mehr Netzwerkkarten
- WAN: PPoE oder DHCP / stat. IP
- Anmeldung mit lokalen Usern (auch mit integriertem TOTP), LDAP/AD, RADIUS, Voucher
- DHCP pro Interface (Option: "unbekannte Clients ignorieren")
- Firewall pro Interface mit Live-Ansicht
- Redundanz (Master/Slave) möglich - NG-Firewall Erweiterung mit PlugIn ZenAmor (zumindest die kostenlose Version immer installieren!)
(Application Control, Webseiten nach Kategorien blocken, Cloud Reputation und Threat Intelligence, TLS-Inspection, detailliertes Reporting und Grafiken, AD-Anbindung, Secure-User-not-IP, optional zentrales Management) - IDS/IPS, Router, VLAN, Proxy, Antivirus, Captive Portal (alle Anmeldearten), Geoblocking...
- VPN:
- Open VPN (Pre-shared keys, Certificate-Based Authentication, Username/Password Authentication, TOTP MFA)
- IPSec IKEv1 / IKEv2 (VPN-Verbindung OPNsense <-> Lancom Router)
- Wireguard
- PlugIns: Tinc, Cisco OpenConnect - Zwei-Faktor-Authentisierung (TOTP) voll integriert (für Login, VPN, Captive Portal), Token wird vor / nach dem Kennwort eingegeben
- komfortable Zertifikatsverwaltung per GUI
Installation:
- OS: FreeBSD/amd64
- BIOS-Mode
- Initial-PW: installer / opnsense (ruft Installation auf) und root / opnsense (Shell+GUI)
- Default IP: 192.168.1.1
Firewall:
- separate Firewall pro Interface (Paketfilter pf von FreeBSD)
- Regeln immer im eingehenden Interface erstellen
(Traffic vom WEB -> WEB-Interface, Traffic zum WEB -> LAN-Interface) - wird jeweils von oben nach unten abgearbeitet (speziell oder schnell abzuarbeitende - allgemein - drop)
- BLOCKIEREN - ohne Reaktion, für WAN
- ABLEHNEN - informiert Sender, für friendly Interfaces
- Regeln möglichst simpel halten und im Kommentarfeld beschreiben
- Ports und Geräte gruppieren (Aliase)
- zeitbasierte Regeln sind möglich (Freigabe WLAN, Freigabe E-Mail...)
- Anti-Spoofing blockt gefälschte IPs
- OPNsense blockt von Haus aus IP-Adressen an einen Interface, die einem anderen Interface zugeordnet sind
- falls mehrere Netze hinter einem Interface: Regel LAN - IN - Blocke - Quelle= NICHT(!) "Alle-LAN-Netze"(Alias) - GeoIP blocking nach Herkunftsland mit kostenlosem Plugin (Registrierung) für jede einzelne Regel möglich (VPN, WEB, Mail..)
- letzte Regel in jedem Interface sollte Deny-All-Regel mit temp. Protokollierung zur Fehlersuche sein
- >1000 Regeln ist groß und beeinflusst den Durchsatz
- Protokollierung von Regeln temporär(!) an, dauerhaft nur sparsam einsetzen (Durchsatz und Schreibzugriffe)
- Liveansicht zum Test nutzen (nur wenn Protokollierung AN)
- Regeln überprüfen: (Firewall -> Diagnose -> Sitzungen) Alter des letzen Zugriffs, Traffic?
- Bsp: Internetzugang frei (ggf. für Gruppe von IPs)
- Firewall -> Aliase: Name: _WEB_Zugang, Typ: Ports, Inhalt: 53, 853 (DNS), 80, 443 (HTTP/S)
- Firewall -> Aliase: Name: _Internet_PCs, Typ: Hosts, Inhalt: 10.12.0.66, 10.12.0.67 (IP der Hosts)
- Firewall -> Regeln -> WAN (Name: Internetzugang): Allow - IN - LAN - IPv4 - TCP/UDP / Ziel: _Internet_PCs (Alias), Zielports: _WEB_Zugang (Alias)
- Firewall -> Regeln -> WAN (Name: Drop-All): Blocke - IN - LAN - IPv4 - any / Ziel: any (ganz unten!)
Schnittstellen:
- jeder Port bekommt per Default ein eigenes IP-Netzwerk
- mehrere Ports als "Swich" verbinden:
- vorher separates Management-Interface mit IP einrichten!
- "Switch"-Schnittstellen zuweisen und aktivieren (ohne IP)
- Schnittstellen -> Andere Typen -> Brücke: neue Bridge mit allen gewünschten Interfaces erstellen (alle ohne IP)
- Schnittstellen zuweisen: bridge0 für "LAN" zuweisen
- Schnittstelle LAN: IP zuweisen
siehe (1) Kapitel 7
- Bridge über zwei Ports ohne IP und Routing-Funktion ("Switch mit Filterfunktion")
- Bridge als Schnittstelle (ohne IP) erstellen, Regeln greifen nun auf der Bridge und nicht auch den beteiligten Interfaces
- arbeitet wie eine "normale" bidirektionale Firewall, aber unsichtbar (IP v4-/v6-Adressen, Ports, Traffic Shaping Bandbreitenregulierung)
- Richtung mittels Quell-/Zieladressen definieren
- abgelehnte Pakete erscheinen als vom Ziel abgelehnt
- kein Proxy
- leitet Mulicast einfach durch
- kein PING oder Trace auf die Firewall möglich
- beherrscht standardmäßig IPsec, OpenVPN, Wireguard
- IPSec IKEv1 / IKEv2
(VPN-Verbindung OPNsense <-> Lancom Router) - OpenVPN mit OPNsense bietet Zertifikat/Key/User + OTP -Authentifizierung (MFA)
- andere Verfahren (Tinc, Cisco OpenConnect) über PlugIn
Links:
- Plugins: https://techcorner.max-it.de/wiki/OPNsense_-_Plugin-Liste
- Business-Service und Plugins: https://shop.opnsense.com/product-categorie/software_and_licenses/
- Roadmap: https://opnsense.org/about/road-map/
- SIP hinter OPNsense: https://www.tuxoche.de/2024/03/12/aufruestung-im-netz-voip-und-opnsense/
- (1) Buch: Der OPNsense-Praktiker, Enterprise-Firewalls mit Open Source von Markus Stubbig
Wireguard VPN (FAQ)
- GNU GPLv2 Open Source
- modern, stabil, einfach konfigurierbar, roamingfähig, schlank und schnell (höhere Übertragungsgeschwindigkeit, geringere Latenz)
- schneller als IPSec oder OpenVPN (aber nicht 2FA-fähig)
- schlanker Code und geringe Komplexität
- energieeffizient, kaum Daten im Leerlauf, geeignet für Mobilgeräte
- kostenloser Client für alle gängigen OS (Windows (läuft nur mit Adminrechten!), Android, macOS, embedded Devices, OpenBSD, FreeBSD, NetBSD)
- seit 2020 im Linuxkernel integriert
- ähnlich wie OpenVPN ist die Konfiguration über alle Plattformen hinweg identisch
- Roamingfähig, keine Verbindungsabbrüche bei Netzwechsel
- robust gegen kurze Verbindungsausfälle
- Port: UDP, Default: UDP 51820, frei änderbar - muß manuell in Firewalls frei gegeben werden (MTU: 1420), problemlos über NAT
- jede Verbindung hat eigene Public- und Private Key (einfache Textstrings) und funktioniert ähnlich wie SSH-Keys
Die Schlüsselpaare lassen sich meist komfortabel im Gerät erstellen, es geht aber auch offline (siehe unten).
Damit lassen sich VPN-Verbindungen für Endgeräte konfigurieren, ohne diese in den Händen zu halten. - jeder Public Key wird mit Liste erlaubter Netze verknüpft (Wildcard 0.0.0.0/0 bedeutet: alle Netze gehen durch Tunnel)
- In Versandrichtung verhält sich die Liste wie eine Routing Tabelle.
- In Empfangsrichtung dient die Liste als Access Control List. - Clients bekommen (meist) statische IPs, Firewallregeln pro Endgerät möglich (DHCP-Pool nur über Scripts)
- eine Verbindung lässt sich auf mehreren Endgeräte nutzen, diese bekommen aber die gleiche IP und gleiche AccessRights (also nicht gleichzeitig)
- nur eine Seite muß eine feste IP und einen von außen erreichbaren UDP-Port besitzen
- Server erstellt (je nach Gerät) einfache Textdatei .conf oder QR-Code, der einfach am Client eingebunden wird
- Wireguard-Router: Dreytek Vigor, MikroTik, AVM Fritzbox, GL.iNet, pfSense, OPNSense, OpenWRT
Der Wireguard-Router als Verbindungs-Empfänger muß eine feste IP haben und der verwendete UDP-Port muss beim Router ankommen.
Wird der WG-Router nach dem Standardgateway installiert, sind im Gateway-Router folgende Einstellungen erforderlich:
- Portforwarding: UDP-Port (51820) zum WG-Router (LAN-IP)
- Routing-Tabelle: WG-Transfernetz (192.168.200.0/24) zum WG-Router (LAN-IP), Maskierung aus
- Firewall: UDP-Zielport (51820) frei geben
- Firewall: Verbindungsquelle Wireguard-Router (LAN-IP) Internet erlauben
- Firewall: Verbindungsziel WG-Transfernetz (192.168.200.0/24) erlauben
(Bintec: "vollständige IP v4-Filterung" deaktivieren ->siehe Bintec)
Wireguard-Client (Windows, Android)
- exportiert 'wireguard-export.zip' (die enthält für jede Verbindung eine '[verbindung].conf'
- importiert wahlweise einzelne 'verbindung.conf' oder 'wirguard-export.zip' mit allen Verbindungen
- vorhandene Verbindungen bleiben bei einem weiteren Import erhalten
Wireguard-Client (Ubuntu)
- GUI: Wireguird
- GUI: https://snapcraft.io/install/wireguard-gui/ubuntu#install
Anleitung: https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wireguard-660620.html
MikroTik: siehe MikroTik Wireguard-Artikel
GL.iNet LTE: siehe GL.iNet Wireguard mit OpenVPN
Public Key und Private Key können auch unabhängig vom jeweiligen Gerät konfiguriert werden,
um eine .conf Datei für ein beliebiges Endgerät zu erstellen.
umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key
wg genkey | tee peer1_private.key | wg pubkey > peer1_public.key
Weitere VPN Client (Peer) Schlüssel generiert man dann nur noch mit wg genkey | tee peer2_private.key | wg pubkey > peer2_public.key usw.
Beispiel der .conf Datei für den Peer1:
[Interface]
# Name = wireguard-server2.example
Address = 192.168.200.3/32
PrivateKey = OMjSCv6e/iXECZwq0ZVL5Ywf/KzZvdsGpYKv1512345=
# DNS = 172.16.7.254[Peer]
# Name = Client-peer1
PublicKey = cA+mynt84tVH1gPaUN66E8K0nfzvpsQMohrEbz54321=
Endpoint = router.myfritz.de:51820
AllowedIPs = 192.168.200.0/24, 192.168.188.0/24
# PersistentkeepAlive = 25
- Die importierte Verbindung heisst wie die .conf-Datei.
- #Name - Comment-Feld, nur informativ
- Address = Client: Client Adresse (192.168.200.3/32), Server: ganzes Subnetz (192.168.200.0/24), auch mehrere Subnets möglich
- PrivateKey = der jeweils eigene private.key, im Endgerät wird dann der Public-Key angezeigt
- ListenPort = UDP Port, auf den der Server hört
- Table = ggf. Routing Table
- PublicKey = gegenüberliegender public.key
- AllowedIPs = die Adressen die der Wireguard Server in den Tunnel routet. Wireguard nennt dies "Cryptokey Routing" was bewirkt das der Wireguard Server und Client das Routing für die jeweils remoten IP Netze automatisch in die Routing Tabelle übernimmt.
AllowedIPs = 0.0.0.0/0 bewirkt, dass der gesamte Traffic durch den Tunnel geht. - Endpoint = [öffentl.Serveradresse]:Port (nur beim Client, Port nicht vergessen!)
- PersistentkeepAlive = hält die Verbiundung offen, nur bei Clients hinter NAT
Site-to-Site VPN-Verbindung
- beide Seiten routen im Wireguard in das jeweils gegenüberliegende LAN mit einem Eintrag "AllowedIPs"
- ist der Wireguard-Router nicht das Standardgateway, muß das Standardgateway (oder der PC) ein Routing zum Zielnetz besitzen
Wireguard Server komfortabel unter Linux: -> Wireguard Easy
• WG-Server und Simple Use WEB-UI
• list, create, edit, delete, enable & disable Clients, Statistik (QR-Code oder Config-File)
• erfordert Docker
Wireguard Online Config Generator:
- Tool erstellt komplette .conf-Datei: https://www.wireguardconfig.com/
- Tool erstellt Schlüsselpaare: https://wg.orz.tools/
OPNsense: OpenVPN (FAQ)
- Standardmodul der OPNsense, VPN auf Basis von Pre-shared keys, Zertifikaten und/oder Username/Password, bei Bedarf mit TOTP-MFA
- OpenVPN läuft auch auf Router-OS OpenWRT und allen gängigen OS
- Hinweis: Windows erlaubt per Default kein PING aus entfernten Subentzen
- Hinweis: für TOTP ist eine genaue Zeit wichtig (Zeitserver!)
- ab FW 23.7 neues Konzept "Instanz" (oben), "Legacy Server" (unten) ist depretched
Instanz-Konzept (ab FW 24)
OpenVPN Clientverbindung mit Username - Passwort - Zertifikat - Key - TOTP erstellen
1. Zertifizierungsstelle einrichten
- OPNsense: System -Sicherheit -> Aussteller
- Vorgehen: Erstelle interne CA
- Beschreibung: OpenVPN-CA
- Herausgeber: selbstsigniert
- Lebenszeit: lange
- Allgemeine Angaben ausfüllen
- Common-Name nicht vergessen
(keine dt. Umlaute verwenden!)
2. Serverzertifikat erstellen
- OPNsense: System -Sicherheit -> Zertifikate
- Vorgehen: Erstelle internes Zertifikat
- Beschreibung: OpenVPN-Server
- Typ: Serverzertifikat
- CA/Herausgeber: OpenVPN-CA (von oben)
- Lifetime: lange
- Common-Name nicht vergessen
(keine dt. Umlaute verwenden!)
3. TOTP-Server einrichten (nur wenn OTP gewünscht)
- OPNsense: System -> Zugang -> Server
- Beschreibung: TOTP-Server
- Typ: Lokal (oder LDAP) + Zeitbasiertes Einmalpasswort
- Umgekehrte Tokensortierung: anhaken (ich finde TOTP nach Passwort sinnvoller)
4. User einrichten
- OPNsense: System -> Zugang -> Benutzer
- Benutzername + Passwort festlegen
- Ankreuzen: Benutzerzertifikat erstellen
- nur bei OTP: Ankreuzen: OTP Seed erstellen
• OTP QR-Code nach Erstellen auf 2FA-Gerät übertragen - Speichern -> es öffnet sich der Assistent für ein neues Zertifikat
- Vorgehen: Erstelle ein neues internes Zertifikat
- Beschreibung: Username
- Typ= Client Zertifikat
- CA/Herausgebeber: OpenVPN-CA (von oben)
- Common-Name nicht vergessen
(keine dt. Umlaute verwenden!)
5. VPN Static Key erstellen
- OPNsense: VPN -> OpenVPN -> Instances -> Static Keys
- Beschreibung: OpenVPN_key
- Modus: auth
- Generate new
6. VPN Server erstellen (mehrere Server mit eigenen Ports oder lokalen Zielbereichen möglich)
- OPNsense: VPN -> OpenVPN -> Instances
- Rolle: Server
- Name= OpenVPN-Server
- Protocol: UDP
- Port (Default=1194) ggf. ändern
- Typ: TUN
- Server (IPv4): 10.10.0.0/24 (Bsp) - VPN Transfernetz
Die OPNsense bekommt die erste Adresse (hier: 10.10.0.1). - Netzstruktur: Subnet
- Zertifikat: OpenVPN-Server
- Client-Zertifikate prüfen: erforderlich
- Zertifikatstiefe= EINS (Client+Server)
- TLS static key: OpenVPN_key (von oben)
- Authenifizierung: Local Database (oder bei TOTP: TOTP-Database)
- Zeit bis Neubestimmung: - (bei TOTP= 0)
- Auth Token Lifetime: - (bei TOTP= 0)
- Lokales Netzwerk: - (192.168.10.0/16 - kommagetrennte Liste der lokal ereichbaren Netze oder Netzbereiche)
- ntferntes Netzwerk: -
- Einstellungen: Nichts ausgewählt
- Redirect Gateway: local
7. Schnittstelle anlegen
- OPNsense:Schnittstellen -> Zuweisungen
- Assign new interface: OpenVPN-Server
- Schnittstelle aktivieren
8. Firewallregeln
- OPNsense: Firewall -> Regeln -> WAN
• Neue Regel: IN / Allow / Schnittstelle: WAN / TCP: IPv4 / Protokoll= TCP/UDP / Ziel = WAN address / Ziel Port= 1194 (OpenVPN)
(Erlaube: WAN -> Firewall) - OPNsense: Firewall -> Regeln -> LAN
• Neue Regel: IN / Allow / Schnittstelle: LAN / TCP: IPv4 / Protokoll= any / Ziel = any
(Erlaube: Firewall -> LAN) - OPNsense: Firewall -> Regeln -> OpenVPNServer
• Neue Regel: IN / Allow / Schnittstelle: OpenVPNServer / TCP: IPv4 / Protokoll= any / Quelle: OpenVPN net / Ziel = any
(Erlaube: OpenVPN) - Liveansicht hilft
9. Client exportieren
- OPNsense: VPN -> OpenVPN -> Clientexport
- Verwendete Konfiguration= gewünschter OpenVPN-Server
- Hostname= DSL-Gateway (IP oder DNS-Name)
- Server-Subject überprüfen: anhaken
- Download: Username.ovpn (enthält VPN-Konfiguration, Key und alle Zertifikate)
10. Client für das gewünschte Betriebssystem einrichten
- OpenVPN-Client laden und installieren
https://openvpn.net/client/ - Download (Export) als Profil importieren
Verbindung herstellen mit Username und Passwort, +ggf. TOTP
Lagecy - Konzept (depretched)
OpenVPN Clientverbindung mit Username/Passwort erstellen
1. Zertifizierungsstelle einrichten
- OPNsense: System -Sicherheit -> Aussteller
- CA erstellen
- Vorgehen: Erstelle interne CA
- Beschreibung= OpenVPN-CA
- Key-Länge= 4096 Bits
- Hashalgorithmus= SHA512
- Lebenszeit= lange
2. Serverzertifikat erstellen
- OPNsense: System -Sicherheit -> Zertifikate
- Vorgehen: Erstelle internes Zertifikat
- Beschreibung: OpenVPN-Server
- Zertifizierungsstelle/Herausgeber: OpenVPN-CA (von oben)
- Typ: Serverzertifikat
- RSA 4096 Bits, SHA512
3. User einrichten (in lokale Datenbank)
- OPNsense: System -> Zugang -> Benutzer
- Name + Passwort festlegen
- Ankreuzen: Benutzerzertifikat erstellen
- Speichern -> es öffnet sich der Assistent für ein neues Zertifikat
- Vorgehen: Erstelle ein neues internes Zertifikat
- Herausgebeber: OpenVPN-CA (von oben)
- Typ= Client Zertifikat
- RSA 4096 Bits, SHA512
4. VPN Server erstellen (mehrere Server mit eigenen Ports oder lokalen Zielbereichen möglich)
- OPNsense: VPN -> OpenVPN -> Servers
- Server hinzufügen
- Name= OpenVPN-Server
- Servermodus= SSL/TLS + Benutzerauthentisierung
- Backend-Authentifizierung= Lokale Datenbank (oder TOTP)
- Schnittstelle= WAN
- UDP-Port (Default=1194) ggf. ändern
- Peer-Zertifizierungsstelle= OpenVPN-CA
- Serverzertifikate= OpenVPN-Server
- DH Parameterlänge= 4096 Bit
- Verschlüsselungsalgorithmus= AES-256-CBC
- Auth.Digestalgorithmus= SHA512
- Zertifikatstiefe= EINS
- IPv4 Tunnelnetzwerk= 10.10.0.0/24 - VPN Transfernetz
Die OPNsense bekommt die erste Adresse (hier: 10.10.0.1). - Lokales IPv4-Netzwerk= 192.168.10.0/16 - kommagetrennte Liste der lokal ereichbaren Netze oder Netzbereiche
- Fernes IPv4-Netzwerk= bei Site-to-Site VPN
- Komrimierung= Legacy - Disabled LZO
5. Firewallregeln
- OPNsense: Firewall -> Regeln -> WAN
- Neue Regel: IN / Allow / WAN-Schnittstelle / Protokoll= UDP / Ziel = Diese Firewall (OpenVPN Netzwerk) / Zielport = OpenVPN
(Erlaube: VPN zu Firewall) - OPNsense: Firewall -> Regeln -> OpenVPN
- Neue Regel: IN / Allow / OpenVPN-Schnittstelle / Protokoll= ANY / Quelle = Netzwerk (10.10.0.0/24 - VPN-Netz wie oben)
(Erlaube: VPN zu LAN) - Bei Bedarf kann ein Zeitplan für die Firewallregel den Zugang zeitlich einschränken.
6. Client exportieren
- OPNsense: VPN -> OpenVPN -> Clientexport
- Verwendete Konfiguration= OpenVPN-Server
- Hostname= DSL-Gateway
- ggf. Speichern des Kennwortes deaktivieren
- Download: Username.ovpn (enthält Konfiguration und alle Zertifikate)
7. Client für das gewünschte Betriebssystem einrichten
- Client laden und installieren
https://openvpn.net/client/ - Download als Profil importieren
Verbindung herstellen mit Username und Passwort
OpenVPN Clientverbindung mit Username+Passwort+TOTP erstellen
- Zertifizierungsstelle einrichten
wie oben - Serverzertifikat erstellen
wie oben - User einrichten (in lokale Datenbank)
wie oben, außerdem:
• Ankreuzen: OTP Seed erstellen
• OTP QR-Code anzeigen auf 2FA-Gerät übertragen
3a) OPNsense: System -> Zugang -> Server
Server hinzufügen, Name= TOTP-Lokal
Typ= Lokal + Zeitbasiertes Einmalpasswort - VPN Server erstellen
wie oben, aber:
Backend-Authentifizierung= TOTP-Lokal (von 3a)
Zeit bis zur Neubestimmung (Renegotiate time)= 0 - bis 7. wie oben
Verbindung herstellen mit Username und Passwort+TOTP
(Reihenfolge Passwort + TOTP wird in 3a festgelegt)
Links:
Problemlösung:
OPNsense Firewall und VPN-Gateway
- Freie Firewall-Distribution unter FreeBSD-Lizenz, niederländischer Hauptentwickler
- kostenlose Version und Business-Edition mit Support verfügbar
- Hardware frei skalierbar für kleine Außenstellen, rauhe Industrieumgebung bis Multiport- HiSpeed-Router, mit SFP+ Modul oder LTE
- inclusive Open-VPN, kostenlose VPN-Client für alle OS (keine VPN Lizenzkosten)
- Zwei-Faktor-Authentisierung (TOTP) für Open-VPN voll integriert
- Anmeldung mit lokalen Usern oder ActiveDirectory Domänen-Usern
- leistungsfähige Multiport Firewall
- Next-Generation Firewall zubuchbar (Application Control, Cloud Reputation…)
- gemeinsam nutzbar mit bestehender Infrastruktur (parallel zu IPsec oder Wireguard)
- Telefoniefunktionen, SIP oder DSL-Modem sind nicht integriert und erfordern separate Hardware
- verschlüsselte Verbindung in das eigene Heim- oder Firmennetz über das Internet
- Vernetzung von Firmen oder Standorten untereinander über das Internet
- sichere Anbindung von eigenen Cloud-Standorten
- verschlüsselte Nutzung unsicherer Netzwerke wie öffentliche WLAN über einen "sicheren" eigenen(!) Endpunkt
Diese Anbieter bieten eine (VPN-)verschlüsselte Verbindung zu ihren Standorten, um diesen als Einwahlpunkt ins Internet zu nutzen.
Was diese Anbieter nicht bieten können ist eine sichere Verbindung, denn man holt sich bewußt als Tunnelende der Verschlüsselung einen fremden VPN-Anbieter.
Die Lösung macht keinen Sinn zur "sicheren" Einwahl ins Internet oder gar zum eigenen Mailprovider.
Das Internet ist nützlich.
Das Internet ist unzuverlässig und unsicher.
Es ist sinnvoll, das Internet zu nutzen.
Es ist gefährlich, sich vom Internet abhängig zu machen.
Diese Trends sehe ich mit Sorge:
- Windows 11: Internetverbindung und MS-Konto wird auch in der Pro-Version Pflicht (siehe hier)
- MS Office 2021, Microsoft 365 und Office 365 erlauben Autosave nur noch in der Cloud. Eine lokale Sicherung ist nicht mehr vorgesehen (siehe hier)
- geschäftskritische Software wird vermietet, die Lizenz muß online aktiviert werden (ohne Internet keine Funktion) und kann jederzeit online deaktiviert werden
Überlegen Sie die Folgen, wenn das 2FA-Gerät nicht mehr verfügbar wäre, und schaffen Sie Redundanz.
Das Versprechen, Cloud Computing sei genau das richtige, um alle IT-Probleme in den Unternehmen ein für alle Mal zu lösen, ist vor ein paar Jahren in den großen Marketing-Abteilungen entstanden.
Dabei spielen Sicherheitsfragen, Verfügbarkeit der eigenen Daten und nicht zuletzt die oft nicht verfügbare Bandbreite eine große Rolle.
Sicher ist die Cloud meist redundant ausgelegt und hat riesigen Rechenpower, aber meine ich das mit Sicherheit?
„Software as a Service“ made in USA wurde 2019 per Präsidentenerlass über Nacht einfach abgeschaltet.
Ich teile die Meinung: So wenig IT outsourcen wie möglich!
.... mehrDazu gehören Intrusion Prevention, SSL und SSH Inspection, Deep-Packet-Inspection, Reputations-basierte Malware-Abwehr oder Applikations-Awareness.
IT-Konzept, Backup-Konzept, Sicherheitskonzept
|
-
Linux Basics
-
Linux Software für Desktop-Installation
-
Fernwartung, Fernsteuerung, Dateitransfer, Teamviewer Alternativen
-
OPNsense Firewall
-
DELL iDrac, Lifecycle Update
-
Dropbox
-
Datei-Verschlüsselung
-
Tools, Infos, Hilfe
-
Meine Haustechnik
-
Proxmox wichtige Befehle, Pfade und Dateien
-
VoIP / SIP
-
AVM FritzBox
-
Proxmox Backup Server (PBS)
-
Windows Registry
-
Grafik Bearbeitung und Viewer
-
OPNsense Firewall
• OpenVPN mit 2FA
(OpenSource, KRITIS-tauglich)
-
Proxmox Virtualisierung
(Dauerlizenz, KRITIS-tauglich) -
MailStore Certified Technican
-
BARAMUNDI Partner
-
ESET Antivirus Partner
-
LANCOM Professional Technician Firewalls
-
BLUECHIP Partner
-
VMWARE Partner
(Mietlizenz, Online) -
EBERTLANG Partner
-
VEEAM Partner
(Mietlizenz, Online)