Zum Hauptinhalt springen

Wie installiert man Plugins auf OPNsense?

Veröffentlicht am:
.
10 Minuten Lesezeit
.
Für die Englische Version

OPNsense ist ein neues auf FreeBSD basierendes Firewall- und Routing-System. Es begann als ein Fork von pfSense® CE. Seine Geschichte begann offiziell im Januar 2015 mit der Veröffentlichung der Release-Ankündigung für die erste OPNsense Version, die 15.1, auf der offiziellen Website.

OPNsense verfügt über eine webbasierte Benutzeroberfläche und ist mit der x86-64-Plattform kompatibel. Es verfügt über Lastenausgleich, virtuelle private Netzwerk- und Traffic-Shaping-Funktionen, und weitere können über Plugins hinzugefügt werden.

Weitere Informationen über OPNsense finden Sie im Artikel Beste Open-Source-Firewalls, der von Zenarmor verfasst wurde.

In diesem Leitfaden werden wir die verfügbaren Plugins für OPNsense und deren Installation auf Ihrer Firewall zur Verbesserung ihrer Funktionen behandeln. Wir werden die besten OPNsense-Plugins zur Sicherung Ihres Netzwerks vorstellen. Schließlich wird es eine Liste von Punkten geben, die bei der Nutzung von Plugins für eine sichere Verwaltung zu beachten sind.

Was sind OPNsense-Plugins?

OPNsense® umfasst viele Funktionen im Basissystem. In einigen Fällen kann jedoch zusätzliche Software erforderlich sein, die entweder nur als Binärpaket (ohne Benutzeroberfläche) oder als Plugin bereitgestellt wird. Plugins sind Softwarepakete, die direkt über die Benutzeroberfläche installiert werden können und häufig Setup-Optionen enthalten, die für den Endbenutzer zugänglich sind.

Die OPNsense-Community ist einladend und hilfsbereit. Ein ansprechender Aspekt der OPNSense-Community ist die große Anzahl an Community-Plugins, die in relativ kurzer Zeit erstellt wurden. Zum Zeitpunkt des Schreibens hatte OPNsense über 70 verschiedene von der Community beigesteuerte Plugins. Diese Plugins helfen Ihnen, die Funktionalität Ihrer OPNsense-Firewall zu erweitern.

Während einige der Plugins vom OPNsense-Team gewartet und unterstützt werden, werden viele von der Community unterstützt. Aufgrund der Tatsache, dass OPNsense® ein gemeinschaftsgetriebenes Projekt ist, kann die Verfügbarkeit von Unterstützung für diese Plugins variieren. Es gibt auch einige Drittanbieter-Plugins, die unter einer kostenpflichtigen Lizenz verfügbar sind. Sunny Valley Networks und Deciso sind zwei Anbieter dieser Drittanbieter-Plugins. OPNsense-Plugins sind immer für alle über die Web-GUI verfügbar, sobald sie upstreamed werden. Das Projekt pflegt das Plugin-Repository. Wenn Plugins von ihrem Wartenden nicht auf dem neuesten Stand gehalten werden, werden sie irgendwann entfernt.

Die folgenden Vorteile bietet die OPNsense-Plugin-Unterstützung:

  • Ermöglichen Sie sowohl Community- als auch Drittentwicklern, die Firewall-Funktionen zu erweitern.

  • Die Größe der Anwendung kann reduziert werden, indem nicht verwendete Funktionen nicht geladen werden.

  • Neue Funktionen können leicht hinzugefügt werden

  • Aufgrund inkompatibler Softwarelizenzen, wie z.B. kommerzieller Pakete, wird der Quellcode vom OPNsense selbst, das Open-Source ist, getrennt.

OPNsense-Plugins können die folgenden Funktionen ausführen:

  • Weitere Server-Software und deren entsprechende grafische Benutzeroberflächen hinzufügen (GUIs).

  • Entwickeln Sie neue Authentifizierungsmethoden zur Verwendung in anderen Teilsystemen.

  • Ändern Sie das Menü, die Zugriffskontrolllisten und das gesamte Erscheinungsbild. (themes)

  • Erhöhen Sie die Anzahl der Arbeitsaufgaben, die den Backend-Diensten zugewiesen sind.

  • Passen Sie die Start-, Stopp- und Frühskripte an.

  • Andere Arten von Geräten und Schnittstellen können zur Firewall hinzugefügt werden.

  • Zusätzliche Pakete einfügen, die automatisch aktualisiert werden.

  • Zusätzliche Themen für die Weboberfläche

  • Persistente Änderungen an /boot/loader.conf

Eine Liste der derzeit verfügbaren Plugins finden Sie unten:

Plugin-Kategorie/ Plugin-NameBeschreibung
benchmarks/iperfVerbindungsgeschwindigkeitstester
databases/redisRedis DB
devel/debugDebugging-Tools
devel/grid_exampleEine Beispiel-Framework-Anwendung
devel/helloworldEine Beispiel-Framework-Anwendung
dns/bindBIND-Domain-Name-Service
dns/dnscrypt-proxyFlexibler DNS-Proxy, der DNSCrypt und DoH unterstützt
dns/dyndnsDynamischer DNS-Support
dns/rfc2136RFC-2136-Support
emulators/qemu-guest-agentQEMU-Gast-Agent für OPNsense
ftp/tftpTFTP-Server
mail/postfixSMTP-Mail-Relay
mail/rspamdSchützen Sie Ihr Netzwerk vor Spam
misc/theme-cicadaThe cicada theme - dark grey
misc/theme-rebellionA suitably dark theme
misc/theme-tukanThe tukan theme - blue/white
misc/theme-vicunaThe vicuna theme - dark anthrazit
net/chronyChrony time synchronisation
net/firewallFirewall API supplemental package
net/freeradiusRADIUS Authentication, Authorization and Accounting Server
net/frrThe FRRouting Protocol Suite
net/ftp-proxyControl ftp-proxy processes
net/google-cloud-sdkGoogle Cloud SDK
net/haproxyReliable, high performance TCP/HTTP load balancer
net/igmp-proxyIGMP-Proxy Service
net/mdns-repeaterProxy multicast DNS between networks
net/ntopngTraffic Analysis and Flow Collection
net/radsecproxyRADIUS proxy provides both RADIUS UDP and TCP/TLS (RadSec) transport
net/realtek-reRealtek re(4) vendor driver
net/relaydRelayd Load Balancer
net/shadowsocksSecure socks5 proxy
net/siproxdSiproxd is a proxy daemon for the SIP protocol
net/sslhsslh configuration front-end
net/taygaTayga NAT64
net/udpbroadcastrelayControl ubpbroadcastrelay processes
net/upnpUniversal Plug and Play Service
net/vnstatvnStat is a console-based network traffic monitor
net/wolWake on LAN Service
net/zerotierVirtual Networks That Just Work
net-mgmt/collectdCollect system and application performance metrics periodically
net-mgmt/lldpdLLDP allows you to know exactly on which port is a server
net-mgmt/net-snmpNet-SNMP is a daemon for the SNMP protocol
net-mgmt/netdataReal-time performance monitoring
net-mgmt/nrpeExecute nagios plugins
net-mgmt/telegrafAgent for collecting metrics and data
net-mgmt/zabbix-agentZabbix monitoring agent
net-mgmt/zabbix5-proxyZabbix monitoring proxy
net-mgmt/zabbix6-agentZabbix monitoring agent
net-mgmt/zabbix6-proxyZabbix monitoring proxy
net-mgmt/zabbix7-agentZabbix monitoring agent
net-mgmt/zabbix7-proxyZabbix monitoring proxy
net-mgmt/zabbix64-agentZabbix monitoring agent
net-mgmt/zabbix64-proxyZabbix monitoring proxy
security/acme-clientACME Client
security/clamavAntivirus engine for detecting malicious threats
security/etpro-telemetryET Pro Telemetry Edition
security/intrusion-detection-content-et-openIDS Proofpoint ET open ruleset complementary subset for ET Pro Telemetry edition
security/intrusion-detection-content-et-proIDS Proofpoint ET Pro ruleset (needs a valid subscription)
security/intrusion-detection-content-pt-openIDS PT Research ruleset (only for non-commercial use)
security/intrusion-detection-content-snort-vrtIDS Snort VRT ruleset (needs registration or subscription)
security/maltrailMalicious traffic detection system
security/openconnectOpenConnect Client
security/softetherCross-platform Multi-protocol VPN Program (development only)
security/stunnelStunnel TLS proxy
security/tincTinc VPN
security/torThe Onion Router
security/wazuh-agentAgent for the open source security platform Wazuh
sysutils/apcupsdAPCUPSD - APC UPS daemon
sysutils/api-backupProvide the functionality to download the config.xml
sysutils/apuledPC Engine APU LED control (development only)
sysutils/dmidecodeDisplay hardware information on the dashboard
sysutils/git-backupTrack config changes using git
sysutils/hw-probeCollect hardware diagnostics
sysutils/lcdproc-sdeclcdLCDProc for SDEC LCD devices
sysutils/mail-backupSend configuration file backup by e-mail
sysutils/munin-nodeMunin monitoring agent
sysutils/nextcloud-backupTrack config changes using NextCloud
sysutils/node_exporterPrometheus exporter for machine metrics
sysutils/nutNetwork UPS Tools
sysutils/puppet-agentManage Puppet Agent
sysutils/smartSMART tools
sysutils/virtualboxVirtualBox guest additions
sysutils/vmwareVMware tools
sysutils/xenXen guest utilities
vendor/sunnyvalleyVendor repository for Sensei (Next Generation Firewall Extensions)
www/c-icapc-icap connects the web proxy with a virus scanner
www/cacheWebserver cache
www/nginxNginx HTTP server and reverse proxy
www/web-proxy-ssoKerberos authentication module

Tabelle 1. Derzeit verfügbare Plugins auf OPNsense

Verwaltung der Plugins auf OPNsense

Auf der OPNsense-Seite „Plugins“ können Sie die folgenden Aufgaben ausführen, die im Folgenden erläutert werden:

  • Verfügbare Plugins anzeigen
  • Nach einem Plugin suchen
  • Details eines Plugins anzeigen
  • Ein Plugin installieren/entfernen

Verfügbare Plugins anzeigen

Um die verfügbaren Plugins auf Ihrer OPNsense-Firewall anzuzeigen, können Sie die folgenden Schritte ausführen:

  1. Klicken Sie im OPNsense-Web-UI auf das Dropdown-Menü System.

  2. Klicken Sie auf die Firmware.

  3. Klicken Sie auf die Plugins.

  4. Sie können nach unten scrollen, um alle Plugins anzuzeigen.

    Anzeigen von Plugins, indem man zu Systeme → Firmware → Plugins im OPNsense UI navigiert

    Abbildung 1. Anzeigen von Plugins durch Navigieren zu SystemeFirmwarePlugins im OPNsense-Benutzerinterface.

Alle verfügbaren OPNsense-Plugins mit den folgenden Details werden auf der Seite Plugins angezeigt:

  • Name: Name des Plugins, wie zum Beispiel os-sunnyvalley.
tipp

Installierte Plugins sind mit (installiert) am Ende des Plugin-Namens gekennzeichnet. Sie werden auch in Fettschrift aufgeführt.

  • Version: Versionsnummer des Plugins, wie 1.2_1.

  • Größe: Größe des Pakets in Bytes. KBytes oder MBytes, wie 652 B.

  • Repository: Repository des Plugins, wie OPNsense oder SunnyValley. Alle Community-Plugins werden aus dem OPNsense-Repository veröffentlicht.

  • Kommentar: Beschreibung des Plugins, wie zum Beispiel Vendor repository for Sensei (Next-Generation Firewall Extensions) in unserem Beispiel.

Auf der Seite Plugins gibt es 3 Arten von Aktionsschaltflächen für jedes Plugin:

  1. Info: Schwarzer runder Knopf mit i-Symbol wird verwendet, um die Informationsdetails des Plugins anzuzeigen.

  2. Installieren: Quadratknopf mit dem +-Symbol wird verwendet, um ein Plugin zu installieren.

  3. Entfernen: Quadratknopf mit einem Mülleimer-Symbol wird verwendet, um ein Plugin zu deinstallieren.

    Aktionsschaltflächen für Plugins auf OPNsense

    Abbildung 2. Aktionsschaltflächen für Plugins auf OPNsense

    Sie können die Details eines Plugins für weitere Informationen anzeigen, indem Sie auf die Schaltfläche Info am Ende der Plugin-Reihe klicken.

    Anzeigen der Plugin-Informationen für os-sunnyvalley auf OPNsense

    Abbildung 3. Anzeigen der Plugin-Informationen von os-sunnyvalley auf OPNsense

So suchen Sie nach einem Plugin

Sie können ganz einfach nach einem Plugin suchen, indem Sie in die Suchleiste in der Spalte Name auf der Plugins-Seite eingeben. Sie können die folgenden Schritte ausführen:

  1. Navigieren Sie zu SystemFirmwarePlugins im OPNsense-Web-UI.

  2. Geben Sie den Plugin-Namen in die Suchleiste in der Spalte Name ein, zum Beispiel sunnyvalley. Während Sie tippen, wird die Plugin-Liste automatisch aktualisiert.

    Nach einem Plugin auf OPNsense suchen

    Abbildung 4. Suche nach einem Plugin auf OPNsense

So suchen Sie nach einem Plugin in der CLI

Sie können ganz einfach nach einem Plugin in der OPNsense CLI suchen, indem Sie den folgenden Befehl ausführen:

pkg info | grep $plugin-name

Zum Beispiel, um das os-sunnyvalley-Plugin in der CLI zu suchen, führen Sie den folgenden Befehl aus:

pkg info | grep sunnyvalley

So installieren Sie ein Plugin

Es ist sehr einfach, ein Plugin auf der OPNsense-Firewall zu installieren. Sie können verfügbare Plugins ganz einfach und schnell installieren, indem Sie diese Anweisungen befolgen:

  1. Stellen Sie sicher, dass Ihr OPNsense-System auf dem neuesten Stand ist. Bitte beziehen Sie sich auf den Artikel Wie man OPNsense aktualisiert, geschrieben von Sunny Valley Networks, für weitere Informationen.

  2. Navigieren Sie im OPNsense-Web-UI zu SystemFirmwarePlugins.

  3. Suchen Sie nach dem Plugin, das Sie installieren möchten, zum Beispiel os-rspamd.

    Plugin auf OPNsense installieren

    Abbildung 5. Installation des Plugins auf OPNsense

  4. Klicken Sie auf die Schaltfläche Install. Sie werden zur Seite Updates weitergeleitet und das Plugin wird installiert.

  5. Nachdem das Plugin erfolgreich installiert wurde, sollten Sie eine Ausgabe sehen, die der Abbildung unten ähnlich ist.

    Ausgabe der Plugin-Installation auf der Updates-Seite von OPNsense

    Abbildung 6. Ausgabe der Plugin-Installation auf der Updates-Seite von OPNsense

  6. Klicken Sie auf die Registerkarte Plugins, um die installierten Plugins anzuzeigen. Sie sollten das Plugin, das Sie bereits hinzugefügt haben, als installiert sehen, wie in der Abbildung unten.

    Anzeigen installierter Plugins auf OPNsense

    Abbildung 7. Anzeigen installierter Plugins auf OPNsense

So installieren Sie ein Plugin über die CLI

Sie können ein Plugin auf der OPNsense-CLI ganz einfach installieren, indem Sie den folgenden Befehl als Root ausführen:

pkg install $plugin-name

Zum Beispiel, um das os-rspamd-Plugin über die CLI zu installieren, führen Sie den folgenden Befehl aus:

pkg install os-rspamd

So entfernen Sie ein Plugin

Sie können ein Plugin ganz einfach von Ihrer OPNsense-Firewall deinstallieren, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu SystemFirmwarePlugins im OPNsense-Web-UI.

  2. Suchen Sie nach dem Plugin, das Sie deinstallieren möchten, zum Beispiel os-dyndns.

  3. Klicken Sie auf die Schaltfläche Remove mit dem Mülleimer-Symbol neben dem Plugin. Dies öffnet ein Bestätigungsdialogfeld.

    Bestätigung der Plugin-Entfernung

    Abbildung 8. Bestätigung der Plugin-Entfernung

  4. Klicken Sie auf OK, um die Deinstallation des Plugins zu bestätigen. Dies wird Sie zur Update-Seite weiterleiten und das Paket entfernen. Nachdem Sie das Plugin erfolgreich entfernt haben, sollten Sie eine Ausgabe sehen, die der folgenden ähnelt.

    os-dyndns -Plugin entfernt

    Abbildung 9. *os-dyndns Plugin entfernt*

So entfernen Sie ein Plugin über die CLI

Sie können ein Plugin auf OPNsense CLI ganz einfach installieren, indem Sie den folgenden Befehl als Root ausführen:

pkg delete $plugin-name

Zum Beispiel, um das os-dyndns-Plugin über die CLI zu entfernen, führen Sie den folgenden Befehl aus:

pkg delete os-dyndns

Beste OPNsense-Plugins

In diesem Abschnitt werden wir die besten OPNsense-Plugins vorstellen, die in der Community am weitesten verbreitet sind. Sie sind äußerst vorteilhaft und bieten hervorragende Netzwerksicherheitslösungen, um Ihre wertvollen Vermögenswerte vor Cyber-Bedrohungen zu schützen. Wir wählen Plugins mit unterschiedlichen Fähigkeiten, die sich nicht überschneiden, um Sie über mehrere Angriffsflächen hinweg zu schützen. Die besten OPNsense-Plugins sind wie folgt:

  1. Zenarmor
  2. CrowdSec
  3. NGINX
  4. Rspamd
  5. Freeradius

1. Zenarmor

Zenarmor ist eine eigenständige Sofort-Firewall, die fast überall installiert werden kann. Es bietet hochmoderne, fortschrittliche Firewall-Funktionen für Open-Source-Firewalls, die derzeit in Produkten wie OPNsense und pfSense® Software nicht verfügbar sind. Zenarmor bietet unter anderem Application Control, Netzwerk-Analysen und TLS-Inspektion, um Ihre OPNsense-Firewall zu verbessern.

Zenarmor, das auf einer cloudbasierten Web-Kategorisierung von über 300 Millionen Websites in mehr als 60 Kategorien basiert, ermöglicht es Administratoren, benutzerdefinierte Online-Filterprofile und Regeln zu erstellen.

SVN Cloud ist eine massive Datenbank, die Millionen von Suchanfragen pro Tag bedient und Reputations- und Sicherheitsinformationen zu über 300 Millionen Websites enthält, wobei regelmäßig weitere hinzugefügt werden. Zenarmor kann dank SVN Cloud in Echtzeit auf Malware-Bedrohungen und Virusausbrüche reagieren.

Seit 2017 gab es Tausende von Zenarmor-Installationen in Haushalten, kleinen Unternehmen und einigen Unternehmensnetzwerken auf der ganzen Welt. Es spielt keine Rolle, wer Sie sind, ob IT-Manager eines Unternehmensnetzwerks oder Elternteil, der Cyber-Hygiene im Heimnetzwerk benötigt, um die Kinder zu schützen. Geben Sie Zenarmor eine Chance, indem Sie die Plugins os-sunnyvalley und os-sensei jeweils kostenlos installieren.

Best Practice

Das Zenarmor NGFW-Plugin ermöglicht es Ihnen, Ihre Firewall in Sekundenschnelle auf eine Next-Generation-Firewall aufzurüsten. NG Firewalls ermöglichen es Ihnen, modernen Cyberangriffen zu begegnen, die jeden Tag raffinierter werden.

Einige der Funktionen sind Layer-7-Anwendungs-/Benutzer-erkennendes Blockieren, granulare Filterrichtlinien, kommerzielles Webfiltering mit cloudbasierter KI-gestützter Bedrohungsintelligenz, elterliche Kontrollen und die besten Netzwerk-Analysen und -Berichte der Branche.

Zenarmor Free Edition ist kostenlos für alle OPNsense-Nutzer verfügbar.

Starten Sie noch heute kostenlos mit Zenarmor

2. CrowdSec

CrowdSec ist ein kostenloses, Open-Source-Programm, das verwendet werden kann, um gewalttätige Personen zu identifizieren und daran zu hindern, auf Ihre Systeme zuzugreifen. Das System ist benutzerfreundlich und einfach zugänglich, bietet jedoch dennoch robuste Sicherheitsmaßnahmen. Die folgenden Aufgaben können durch die Nutzung des CrowdSec-Plugins auf Ihrer OPNsense-Firewall erledigt werden:

  • Implementieren Sie LAPI auf dem OPNsense-Server, um zusätzliche Agenten und Bouncer zu unterstützen.
  • Überprüfen Sie die Protokolle eines Agenten, der auf OPNsense für potenzielle Angriffe bereitgestellt wurde.
  • Verhindern Sie, dass Eindringlinge auf das gesamte Netzwerk zugreifen, indem Sie einen einzigen Firewall-Wächter einsetzen.
  • Listen Sie die Hub-Module (Parser, Szenarien usw.) und Entscheidungen in der OPNsense-Web-UI auf.

Die Installation eines CrowdSec-Agenten/LAPI-Knotens und eines Firewall-Bouncers wird durch das CrowdSec-Plugin erleichtert. Der OPNsense-Server wird sofort gesichert, indem sie auf der Seite "Einstellungen" aktiviert werden. Durch den Erhalt einer umfangreichen Liste von IP-Adressen, die mit aktiven Angreifern in Verbindung stehen, werden diese Adressen umgehend auf Firewall-Ebene blockiert. Zusätzlich werden die Protokolle des SSH-Dienstes und der OPNsense-Administratoroberfläche überprüft, um potenzielle Brute-Force-Angriffe zu identifizieren. Im Falle eines solchen Vorfalls wird ein sofortiges Verbot verhängt und die CrowdSec Central API benachrichtigt, die das Datum, das Szenario und die IP-Adresse des Angreifers enthält.

Zusätzliche Angriffsmuster können auf dem OPNsense-Server und seinen Modulen sowie auf jedem anderen Agenten, der mit demselben LAPI-Knoten verbunden ist, erkannt werden. Alternative Abhilfestrategien, wie die Implementierung eines Captcha-Tests zur Identifizierung und Verhinderung von Skimming-Versuchen, können umgesetzt werden.

Das CrowdSec-Modul ist in seiner grundlegendsten Konfiguration ausschließlich auf einem einzelnen Server betriebsbereit und gewährleistet den Schutz der auf dem OPNsense-System gehosteten Dienste. Zusätzlich beschränkt es die Sperrung bösartiger IP-Adressen, die von der CrowdSec-Community kuratiert werden. Es ist jedoch möglich, CrowdSec mit mehreren Servern zu konfigurieren, um sicherzustellen, dass mehrere Agenten an einen einzigen lokalen API-Server berichten. Der lokale API-Server kann auf der OPNsense-Maschine ausgeführt werden; jedoch, wenn das Netzwerk ein erhebliches Datenvolumen verarbeitet und die Hardware-Ressourcen begrenzt sind, kann es sinnvoll sein, die Belastung der OPNsense-Firewall zu verringern, indem der lokale API-Server auf eine alternative Maschine übertragen wird.

3. NGINX

NGINX ist ein leistungsstarker Edge-Webserver mit dem kleinsten Speicherbedarf und den wesentlichen Funktionen zum Aufbau einer effizienten und modernen Webinfrastruktur.

Ein HTTP-Server, HTTP- und Mail-Reverse-Proxy, Lastverteilung, Caching, Anforderungsdrosselung, SSL-Offloading, Kompression, Verbindungs-Multiplexing und -Wiederverwendung sowie HTTP-Medien-Streaming sind alles Funktionen von NGINX. Wenn Sie einen schnellen und sicheren Webdienst oder eine WAF benötigen, können Sie das os-nginx-Plugin ganz einfach auf Ihrem OPNsense-System installieren.

4. Rspamd

Zum Schutz vor Spam enthält OPNsense auch das 'rspamd'-Plugin. Rspamd ist ein Spam-Filter, der schnell, modular und leichtgewichtig ist. Es ist darauf ausgelegt, große Mengen an E-Mails zu verarbeiten und kann leicht mit benutzerdefinierten lua-Filtern erweitert werden.

Es bewertet die Kommunikation mithilfe einer Vielzahl von Regeln, einschließlich statistischer Analysen, regulärer Ausdrücke und spezialisierter Dienste wie URL-Sperrlisten. Jede Nachricht wird untersucht und ein Spam-Score wird zugewiesen.

Basierend auf dem Spam-Score und den Einstellungen des Benutzers schlägt Rspamd eine Aktion für den MTA vor, die mit der Nachricht durchgeführt werden soll, wie z.B. Weiterleiten, Ablehnen oder Hinzufügen eines Headers. Es kann Hunderte von Nachrichten pro Sekunde verarbeiten und verfügt über eine Fülle nützlicher Funktionen.

5. Freeradius

Der weltweit am häufigsten verwendete RADIUS-Server ist FreeRADIUS. Es enthält einen RADIUS-Server, eine PAM-Bibliothek, eine Client-Bibliothek, die unter der BSD-Lizenz lizenziert ist, und ein Apache-Modul. Der Server ist schnell, funktionsreich, modular und skalierbar.

Es dient als Grundlage für eine Vielzahl von kommerziellen Angeboten. Es erfüllt die AAA-Anforderungen vieler Fortune-500-Unternehmen und Tier-1-ISPs. Es wird auch häufig für Enterprise-Wi-Fi und IEEE 802.1X-Netzwerksicherheit verwendet, insbesondere in akademischen Einrichtungen wie eduroam.

Durch die Installation des os-freeradius-Plugins auf Ihrer OPNsense-Firewall haben Sie einen Authentifizierungs-, Autorisierungs- und Abrechnungsserver in Ihrem Netzwerk.

Dinge, die Sie bei der Verwendung eines Plugins beachten sollten

Sie sollten die folgenden Tipps berücksichtigen, wenn Sie ein Plugin auswählen und verwenden, um Ihre Firewall sicher und effizient zu halten.

  • Installieren Sie keine unnötigen Plugins: Jeder Dienst auf Ihrem System birgt sein eigenes Sicherheitsrisiko. Um die Angriffsfläche zu verringern, entfernen Sie die Plugins vollständig, wenn Sie sie nicht verwenden. Wenn Sie eines davon später benötigen, können Sie das Plugin jederzeit problemlos neu installieren.

  • Halten Sie Ihr System auf dem neuesten Stand: Software-Updates bieten nicht nur neue Funktionen, sondern schließen auch Sicherheitslücken und beheben die Fehler. Daher sollten Sie Ihre Firewall immer auf dem neuesten Stand halten. Wenn Sie Ihre Firewall nicht aktualisieren, wenn die neuen Updates von OPNsense veröffentlicht werden, setzen Sie sich potenziellen Frustrationen und Sicherheitsverletzungen aus.

  • Vermeiden Sie ähnliche Plugins: Plugins, die sich in ihren Funktionen überschneiden, verschwenden Ihre Systemressourcen wie Festplatte, CPU, Speicher und Bandbreite und können potenziell zusätzliche Sicherheitsrisiken darstellen.

  • Lesen Sie die Dokumentation: Bevor Sie ein Plugin installieren, sollten Sie verstehen, was es tun kann und welche Auswirkungen es auf Ihr Netzwerk haben könnte. Wenn Sie das nicht tun, könnten Sie sich in großen Schwierigkeiten wiederfinden, indem Sie Dienstunterbrechungen in Ihrem Unternehmen verursachen.

Letztes Update am von Zenarmor