Seminarkatalog

In diesem dreitägigen Intensivkurs tauchen wir tief in die Open-Source Firewall OPNsense ein. Dabei wurde der Kurs speziell entwickelt, um Ihnen sowohl die Grundlagen als auch fortgeschrittene Funktionen näher zu bringen. Egal, ob Sie Einsteiger in den Bereich Firewall sind oder erfahrener Administrator einer anderen Firewall Lösung – dieser Kurs vermittelt Ihnen das Wissen, um OPNsense in verschiedenen Netzwerkumgebungen effizient einzusetzen, zu sichern und zu optimieren. Am Ende des Kurses werden Sie in der Lage sein, OPNsense als leistungsstarkes Werkzeug für Ihre individuellen Anforderungen zu nutzen – sei es in kleineren Netzwerken, mittleren Unternehmensumgebungen oder in großen vielschichtigen Behördennetzen.

Grundlagen von OPNsense

Einführung in OPNsense

• Historie, Architektur und Vorteile von OPNsense gegenüber anderen Firewall-Lösungen, wie z.B. pfSense.
• (Community-)Support, Dokumentation und Erweiterungsmöglichkeiten.

Installation von OPNsense

• Schritt-für-Schritt-Installation (UEFI-/BIOS-Modus, Partitionierung, USB-Installer).
• Virtualisierung von OPNsense inklusive PCI-Passthrough von Netzwerk-Karten.

Grundlegendes Handling

• Unterschiede zwischen CLI (SSH/Serial Console) und WebGUI.
• Best Practices zur Absicherung der WebGUI (z. B. Multi-Faktor-Authentifizierung, IP-Beschränkungen).
• Backup-Strategien: Erstellen und Wiederherstellen von Konfigurations-Snapshots.

Grundlegende Netzwerkkonfiguration

• Einrichtung von WAN-/LAN-/OPT-Interfaces.
• Zuweisung von Netzwerksegmenten (VLAN-Konfiguration).
• IPv6-Grundlagen und duales Stack-Setup.

Härtung der Installation

• Sicherheitsrichtlinien (z. B. SSH-Härtung, HTTPS-Erzwingung).
• Regelmäßige Updates und Management von Plug-ins.

Erweiterte Netzwerkkonfiguration

Erweiterte Interface- und Routing-Konfigurationen

• Nutzung von virtuellen Switchen.
• VLAN-Trunking und L3-VLAN-Routing mit Hardware-Unterstützung.
• Umgang mit MTU/MSS-Optimierung und Hardware-Offloading-Optionen.

Multi-WAN und Failover

• Einrichtung von Multi-WAN-Umgebungen.
• Lastverteilung und Failover-Szenarien (z. B. CARP, Virtual IPs).
• Umgang mit dynamischen DNS für Failover.

Traffic-Shaping und QoS

• Bandbreitenmanagement und Priorisierung.
• Konfiguration von Queues für Anwendungen wie VoIP.
• Monitoring und Analyse des Netzwerkverkehrs.

Transparentes Bridging und Firewalling

• Einrichtung einer transparenten Firewall für spezifische Szenarien (HTTP-Proxy etc.).
• Bridge-Filterung
• Troubleshooting von Bridging-Konflikten.

Erweiterte Sicherheitskonfigurationen

Firewall-Rulesets für Fortgeschrittene

• Granulare Zugriffskontrollen.
• Geoblocking und Zeitpläne für Regeln.
• Anwendungsbasierte Filterung.

VPN-Implementierungen

• Erweiterte Konfiguration von IPsec, OpenVPN und WireGuard.
• Road-Warrior-Setups mit MFA und dynamischen DNS.
• Site-to-Site-VPN-Szenarien.

Web Proxy und SSL-Interception

• Outbound-Proxy mit Content-Filterung und Blacklists.
• Einrichten der SSL/TLS-Interception und Vertrauensstellung von CA-Zertifikaten.
• Datenschutzaspekte bei der SSL-Interception.

Intrusion Detection/Prevention

• Konfiguration von Suricata (IDS/IPS).
• Signaturbasierte Erkennung und Regeloptimierung.
• Automatische Blockierung und Whitelist-Management (Guardian-Mode).

Erweiterte Funktionen und Dienste

DNS-Dienste und Hidden Master DNS

• Einrichtung des DNS-Proxys (Unbound).
• Blacklist-Filterung (z. B. Pi-hole-ähnliche Funktionalität).
• Hidden Master DNS-Konfiguration für interne Netzwerke.

Inbound Proxy mit HAProxy

• Einführung in HAProxy und typische Einsatzszenarien, wie Freigaben von verschiedenen Web-Diensten.
• Konfiguration für HTTPS-Termination und Backend-Load-Balancing.
• Verbindung mit Let’s Encrypt-Zertifikaten.

Monitoring und Reporting

• Einführung in das Dashboard und zusäztliche Plugins.
• Analyse von Traffic-Flows und Logging (Syslog, Insight).
• Anbindung von OPNsense an zentrale Logging-Server (Überblick).
• Einbinden von OPNsense in zentrale Monitoring-Lösungen (Überblick).

High Availability (HA)

• Einrichtung einer Master-Slave-Konfiguration.
• Automatische Synchronisation von Regeln und VPN-Setups.
• Troubleshooting von HA-Szenarien.

Praxisworkshop und Troubleshooting

Praxisworkshop

• Aufbau eines vollständigen Netzwerks mit VLANs, VPNs und Proxy-Funktionalität.
• Simulation von Szenarien (z. B. Failover, Angriffserkennung).
• Absicherung und Optimierung der Konfiguration.

Troubleshooting und Optimierung

• Diagnosetools wie Packet Capture, Netflow und IPsec-Debugging.
• Lösen von häufigen Fehlern bei Firewall- und Proxy-Konfigurationen.
• Performance-Optimierung für spezifische Anwendungsfälle.

Abschluss und Ausblick

• Diskussion aktueller und zukünftiger Entwicklungen (z. B. Unterstützung neuer Protokolle, Verbesserungen im Suricata-Modul).
• Fragen und Antworten.

• Administratoren
• IT-Security Mitarbeiter
• Umsteiger auf OPNsense
• Firewall-Administratoren

09:00 bis 16:00 Uhr ( 3 Tage)

D