OPNsense Intensivkurs

KursinhalteGrundlagen von OPNsense

1. Einführung in OPNsense
   • Historie, Architektur und Vorteile von OPNsense gegenüber anderen Firewall-Lösungen, wie z.B. pfSense.
   • (Community-)Support, Dokumentation und Erweiterungsmöglichkeiten.
2. Installation von OPNsense
   • Schritt-für-Schritt-Installation (UEFI-/BIOS-Modus, Partitionierung, USB-Installer).
   • Virtualisierung von OPNsense inklusive PCI-Passthrough von Netzwerk-Karten.
3. Grundlegendes Handling
   • Unterschiede zwischen CLI (SSH/Serial Console) und WebGUI.
   • Best Practices zur Absicherung der WebGUI (z. B. Multi-Faktor-Authentifizierung, IP-Beschränkungen).
   • Backup-Strategien: Erstellen und Wiederherstellen von Konfigurations-Snapshots.
4. Grundlegende Netzwerkkonfiguration
   • Einrichtung von WAN-/LAN-/OPT-Interfaces.
   • Zuweisung von Netzwerksegmenten (VLAN-Konfiguration).
   • IPv6-Grundlagen und duales Stack-Setup.
5. Härtung der Installation
   • Sicherheitsrichtlinien (z. B. SSH-Härtung, HTTPS-Erzwingung).
   • Regelmäßige Updates und Management von Plug-ins.

Erweiterte Netzwerkkonfiguration

1. Erweiterte Interface- und Routing-Konfigurationen
   • Nutzung von virtuellen Switchen.
   • VLAN-Trunking und L3-VLAN-Routing mit Hardware-Unterstützung.
   • Umgang mit MTU/MSS-Optimierung und Hardware-Offloading-Optionen.
2. Multi-WAN und Failover
   • Einrichtung von Multi-WAN-Umgebungen.
   • Lastverteilung und Failover-Szenarien (z. B. CARP, Virtual IPs).
   • Umgang mit dynamischen DNS für Failover.
3. Traffic-Shaping und QoS
   • Bandbreitenmanagement und Priorisierung.
   • Konfiguration von Queues für Anwendungen wie VoIP.
   • Monitoring und Analyse des Netzwerkverkehrs.
4. Transparentes Bridging und Firewalling
   • Einrichtung einer transparenten Firewall für spezifische Szenarien (HTTP-Proxy etc.).
   • Bridge-Filterung
   • Troubleshooting von Bridging-Konflikten.

Erweiterte Sicherheitskonfigurationen

1. Firewall-Rulesets für Fortgeschrittene
   • Granulare Zugriffskontrollen.
   • Geoblocking und Zeitpläne für Regeln.
   • Anwendungsbasierte Filterung.
2. VPN-Implementierungen
   • Erweiterte Konfiguration von IPsec, OpenVPN und WireGuard.
   • Road-Warrior-Setups mit MFA und dynamischen DNS.
   • Site-to-Site-VPN-Szenarien.
3. Web Proxy und SSL-Interception
   • Outbound-Proxy mit Content-Filterung und Blacklists.
   • Einrichten der SSL/TLS-Interception und Vertrauensstellung von CA-Zertifikaten.
   • Datenschutzaspekte bei der SSL-Interception.
4. Intrusion Detection/Prevention
   • Konfiguration von Suricata (IDS/IPS).
   • Signaturbasierte Erkennung und Regeloptimierung.
   • Automatische Blockierung und Whitelist-Management (Guardian-Mode).

Erweiterte Funktionen und Dienste

1. DNS-Dienste und Hidden Master DNS
   • Einrichtung des DNS-Proxys (Unbound).
   • Blacklist-Filterung (z. B. Pi-hole-ähnliche Funktionalität).
   • Hidden Master DNS-Konfiguration für interne Netzwerke.
2. Inbound Proxy mit HAProxy
   • Einführung in HAProxy und typische Einsatzszenarien, wie Freigaben von verschiedenen Web-Diensten.
   • Konfiguration für HTTPS-Termination und Backend-Load-Balancing.
   • Verbindung mit Let’s Encrypt-Zertifikaten.
3. Monitoring und Reporting
   • Einführung in das Dashboard und zusäztliche Plugins.
   • Analyse von Traffic-Flows und Logging (Syslog, Insight).
   • Anbindung von OPNsense an zentrale Logging-Server (Überblick).
   • Einbinden von OPNsense in zentrale Monitoring-Lösungen (Überblick).
4. High Availability (HA)
   • Einrichtung einer Master-Slave-Konfiguration.
   • Automatische Synchronisation von Regeln und VPN-Setups.
   • Troubleshooting von HA-Szenarien.

Praxisworkshop und Troubleshooting

1. Praxisworkshop
   • Aufbau eines vollständigen Netzwerks mit VLANs, VPNs und Proxy-Funktionalität.
   • Simulation von Szenarien (z. B. Failover, Angriffserkennung).
   • Absicherung und Optimierung der Konfiguration.
2. Troubleshooting und Optimierung
   • Diagnosetools wie Packet Capture, Netflow und IPsec-Debugging.
   • Lösen von häufigen Fehlern bei Firewall- und Proxy-Konfigurationen.
   • Performance-Optimierung für spezifische Anwendungsfälle.
3. Abschluss und Ausblick
   • Diskussion aktueller und zukünftiger Entwicklungen (z. B. Unterstützung neuer Protokolle, Verbesserungen im Suricata-Modul).
   • Fragen und Antworten.

• Gute Netzwerkkenntnisse
• Sicherer Umgang mit der *nix Shell (Linux / BSD / Unix etc.)
• Grundkenntnisse im Umgang mit Linux oder BSD oder anderen UNIX-Derivaten

Zielgruppe

• Administratoren
• IT-Security Mitarbeiter
• Umsteiger auf OPNsense
• Firewall-Administratoren