Eine sichere Firewall ohne Lizenzkosten

Thomas Niedermeier, Senior Solution Engineer OPNsense und Christoph Mitasch, IT-Administrator bei der Thomas-Krenn AG, sprechen im Interview über die Vorteile, den Schutz der 2026 auslaufenden Sophos UTM Firewalls in OPNsense zu integrieren.

Herr Niedermeier und Herr Mitasch, warum ist die Migration von Sophos UTM zu OPNsense sinnvoll?

Mitasch: Hinter der Open Source Software steht eine sehr große Community. Zudem bekommt man aktuelle Softwarekomponenten, ein schnelles und modernes Webinterface – und hat keinerlei Lizenzkosten.

Niedermeier: Man ist an keinen Hauptlieferanten gebunden. Die gängige aktuelle 64-Bit-Hardware ist technisch mit OPNsense kompatibel, ganz gleich ob AMD oder Intel.

Was sind grundsätzlich die Vorteile von OPNsense?

Niedermeier: OPNsense ist quelloffen und frei verfügbar; gemeinsam mit Deciso, der Firma hinter OPNsense, arbeiten weltweit Nutzer daran, das Produkt weiterzuentwickeln. Wir von Thomas-Krenn testen die neuen Versionen und geben per Forum oder Bug-Reports Feedback.

Mitasch: Neben der Open-Source-Variante, der OPNsense Community Edition, stellt ein professionelles Team der Firma Deciso mit der stabilen und relativ günstigen Business Edition eine Version für den Einsatz in Unternehmen zur Verfügung.

Wie gelingt ein möglichst ausfallsicherer Firewall-Betrieb?

Mitasch: Der CARP-Mechanismus macht die IP-Adressen hochverfügbar, ähnlich wie VRRP, das ist eine sehr ausgereifte, schnelle Technologie. Schaltet man von der einen auf die andere Seite um, geht in der Praxis normalerweise nur ein Ping verloren. Gleichzeitig werden die Firewall-States und die Konfiguration auch synchronisiert.

Niedermeier: Man kann zwei Firewalls miteinander verbinden und damit einen High Availability Cluster machen. Falls die aktive Firewall ein Problem hat oder ausfällt, übernimmt automatisch die zweite Firewall und somit hat man einen (nahezu) störungsfreien Betrieb.

Können NGFW-Features ergänzt werden?

Niedermeier: OPNsense hat ein einzigartiges Plug-in-System, man kann bequem über die Oberfläche Softwarekomponenten nachinstallieren und somit Funktionen nachrüsten.

Mitasch: Die Next Generation Firewall Features lassen sich bei OPNsense über zusätzliche Plug-ins wie zum Beispiel Suricata abbilden, ebenso kann man mit URL-Listen arbeiten – oder kommerziell die NGFW-Lösung von Zenarmor dazukaufen.

Wie läuft die Migration dieser Firewall-Lösung ab?

Mitasch: Eine Firewall-Migration ist ein aufwendigeres Projekt, das nicht in ein paar Tagen erledigt ist, da darf man auch nicht zu viele Automatismen erwarten. Aber man kann das auch zum Anlass nehmen, seine Firewall-Regeln zu überarbeiten und auf den aktuellen Stand zu bringen. In der Regel verbessert man durch die Migration die Qualität der Firewall-Regeln.

Niedermeier: Bevor man ein neues Produkt einsetzt, schaut man sich an, wie das Unternehmen von Seiten seiner Firewall-Regeln her aufgebaut ist und wo man von der Struktur her etwas logisch verbessern könnte. Es gibt dazu leider kein Migrationswerkzeug von einem Klick, man muss das ganze Prozedere durchgehen. Da Sophos UTM 2026 abläuft, bieten wir an, den Umstieg bereits jetzt zu planen, um reibungslos weiterarbeiten zu können.

Welche Möglichkeiten zur Unterstützung gibt es dabei?

Niedermeier: Interessierte Unternehmen können direkt auf uns zukommen. Wir bieten sowohl Unterstützung bezüglich der Hardware-Auswahl als auch bei der Firewall-Migration. Wir haben dazu mehrere Partner an Bord und bieten passende Lösungen für alle, die die Firewall-Migration planen.