Eine Netzwerk-Firewall – egal welcher Herkunft – ist nur so gut wie der Fachmann, der davor sitzt und sie „firmenindividuell“ konfiguriert.
So eine Firewall kann je nach interner Subnetz-Bildung und eigener unternehmerischer Qualität nicht nur in der Anschaffung, sondern auch bezüglich der jährlichen Kosten ganz schön ins Geld gehen. Dennoch: ganz alleine macht weder eine kommerzielle Sophos alles richtig, noch eine Fortigate oder eine Cisco. Hersteller-gebundene Hardware-Appliances bieten dem externen Betreuer zur Konfiguration und Wartung eine öffentlich erreichbare Plattform beim Hersteller, um alle Firewalls, die bei Kunden aufgestellt wurden, zentral verwalten zu können.
Aus eigener Erfahrung habe ich gelernt, dass auf die Firewalls in der Ferne jedoch nur dann ein Auge geworfen wird, wenn der Kunde sich dazu meldet, Wartungsvertrag hin oder her. Zentralisierte Wolken sind immer ein lohnendes Angriffsziel, wie auch die mittlerweile auf Internet-Plattformen veröffentlichten Zutrittskontrollen für Fenster, Türen und Toren zu Firmengebäuden. Und beim Angreifer reden wir nicht vom pickeligen, antisozialen Bleichgesicht im Hinterzimmer sowohl seiner Eltern als auch ihrer Vorstellung – wir reden von Staaten, die hochqualifiziertes Fachpersonal zahlen, um anderen die Suppe zu versalzen: dagegen gibt es kein „Atom-Abkommen“, keine Weltpolizei und keine Großmacht. Wer weiß also, wer Ihren Netzwerk-Verkehr jetzt schon mitliest, anstelle des Betreuers und wer nächtlich in Ihrer Firma ein und aus geht, neben den Mitarbeitern mit RFID-Chip am Schlüsselbund?
Ebenso aus eigener, langjähriger Erfahrung weiß ich, dass Gespräche mit den an jeder Ecke im Dutzend lauernden Verkäufern sehr lange und sehr häufig stattfinden und immer eine bunte Welt voller Möglichkeiten hinterlassen. Gespräche mit den immer rarer werdenden, kompetenten und engagierten Technikern werden im Vergleich dazu ebenso kurz gehalten wie deren Zeitspanne zur individuellen Implementation und sinnvollen Konfiguration auch des teuersten Equipments. Psychologen erklären das mit einem Schichten-Modell: man versteht sich einfach besser unter seinesgleichen, ob das nun gemeinsamer, guturaler Gesang oder das Gespräch mit dem steten Anklang lauer Lüftchen wedelnder Geldscheine ist. Beste Zeiten für Hacker und andere Fachleute, schlechte Voraussetzungen für Bahnhöfe und Flugplätze, außerdem eine einschneidendere Zäsur als der nächste Corona-Virus in der Entwicklung der Menscheit.
Die freien Firewall-Lösungen stehen den Lösungen des „IT-Channels“ in den vielzähligen Schutzfunktionen sowohl auf dem Netzwerk- als auch auf dem Appliance-Level in nichts nach, im Gegenteil. Eine Klickibunti-Administrierbarkeit wurde dabei in den vergangenen zwei Jahrzehnten parallel zu jener in den mehrere tausend Euro pro Jahr teuren Lösungen ebenso ausgebaut wie eine modulare Erweiterbarkeit. Aus ihrer Natur heraus legen OpenSource-Lösungen ihren Fokus nicht darauf, den Benutzer möglichst in ein proprietäres Korsett zu schnüren: den Kampf mit abgelaufenen Lizenzen oder inkompatiblen VPN-Verbindungen überlassen sie den kommerziellen Lösungen. Frei denkende Programmierer konzentrieren sich auf „KI“, wo sie vom Benutzer gebraucht wird. Wieso „KI“ gerade bei uns in Deutschland gerne mit „Kommerziellem Interesse“ falsch interpretiert wird, muss an unserer Historie liegen.
Quellen u.a.:
- https://www.youtube.com/watch?v=4p1lw4FEfok
- https://www.klehr.de/michael/netzwerkinfrastruktur-mit-opnsense-sophos-utm-ersatz
- https://administrator.de/forum/pfsense-vs-opnsense-513508.html
- weitere unter: https://www.youtube.com/user/ThomasKrenn/videos
- CompTIA Network+ Course (17/155 bis inkl. 17/161) – https://www.udemy.com/course/computer-netzwerke-network/learn/lecture/6700792