Wie verwaltet man Benutzer und Authentifizierung auf OPNsense?

Veröffentlicht am: 31 Dezember 2024

.

20 Minuten Lesezeit

.

Für die Englische Version

OPNsense ist eine kostenlose und Open-Source-Firewall- und Router-Software, die Ihr Netzwerk sichern und verwalten kann. Die Verwaltung von Benutzern und Authentifizierung ist ein kritischer Bestandteil des Betriebs einer OPNsense-Firewall. Dies umfasst sowohl die Erstellung und Verwaltung von Benutzerkonten als auch die Konfiguration von Authentifizierungsmechanismen.

Die Benutzerverwaltung und Authentifizierung in OPNsense sind entscheidend für die Gewährleistung der Integrität, Vertraulichkeit und Verfügbarkeit von Netzwerkressourcen und Firewall-Einstellungen. Es ist eine wesentliche Komponente der Netzwerksicherheit, da es Unternehmen ermöglicht, den Zugriff auf wichtige Systeme zu verwalten und sicherzustellen, dass nur autorisierte Personen Netzwerkkonfigurationen ändern dürfen. Organisationen verbessern ihre gesamte Netzwerksicherheitslage und schützen sich vor möglichen Angriffen, indem sie starke Identitäts- und Zugriffsmanagement-(IAM)-Verfahren und effektive Authentifizierungstechniken einsetzen.

In diesem Artikel werden wir Ihnen Informationen über das Benutzermanagement und die Authentifizierungstypen in OPNsense bereitstellen und einen umfassenden Leitfaden zur Implementierung präsentieren. Die folgenden Themen werden behandelt:

• Zugriff / Benutzerverwaltung

• Zugriff auf die OPNsense-Weboberfläche

• Authentifizierung

• Benutzerverwaltung

• Hinzufügen eines neuen Benutzers

• Benutzerberechtigungen festlegen

• Aktivierung der Zwei-Faktor-Authentifizierung (Optional)

• Verwaltung bestehender Benutzer

• Erstellen von Benutzergruppen

• Autorisierung

• LDAP/Active Directory-Integration (Optional)

• Einrichtung des Captive Portals (Optional)

• Aktivierung der lokalen Zertifizierungsstelle (Optional)

• Konfigurieren von Authentifizierungsservern (Radius)

• Passwort-Richtlinie (Optional)

• Authentifizierungsdienste

• Testen der Benutzerauthentifizierung

Lassen Sie uns nun unseren Artikel beginnen, indem wir das Thema Benutzerverwaltung ansprechen, das unsere erste Überschrift ist.

1. Zugriff / Benutzerverwaltung

OPNsense bietet robuste Zugriffs- und Benutzerverwaltungsfunktionen, die es Administratoren ermöglichen, ihre Netzwerkumgebung effektiv zu steuern und zu sichern. Durch die intuitive Web-Oberfläche können Administratoren Benutzerkonten erstellen und verwalten, Berechtigungen zuweisen und den Zugriff auf verschiedene Netzwerkressourcen steuern. Benutzerauthentifizierungsmethoden wie lokale Datenbanken, LDAP und RADIUS bieten Flexibilität bei der Integration in bestehende Authentifizierungssysteme. Zusätzlich ermöglicht die rollenbasierte Zugriffskontrolle (RBAC) eine feinkörnige Berechtigungsvergabe, die sicherstellt, dass Benutzer nur die notwendigen Zugriffsrechte für ihre spezifischen Aufgaben haben, während die allgemeine Netzwerksicherheit gewahrt bleibt.

Zunächst wollen wir das Thema des Zugriffs auf die Webschnittstelle ansprechen, um Benutzerkonten verwalten zu können.

1.1 Zugriff auf die OPNsense-Weboberfläche

Um auf die OPNsense-Weboberfläche zuzugreifen und mit der Benutzerverwaltung zu beginnen, können Sie die folgenden Schritte ausführen:

1. Mit dem Netzwerk verbinden: Stellen Sie sicher, dass Ihr Computer oder Gerät mit demselben Netzwerk wie die OPNsense-Firewall verbunden ist.

2. Öffnen Sie einen Webbrowser: Starten Sie Ihren bevorzugten Webbrowser (e.g., Chrome, Firefox, Safari).

3. Geben Sie die IP-Adresse ein: Geben Sie in die Adresszeile des Webbrowsers die IP-Adresse der OPNsense-Firewall ein. Dies ist typischerweise die LAN-IP-Adresse der OPNsense-Firewall.

4. Zugriff auf die Web-Oberfläche: Drücken Sie die Eingabetaste oder die Rücktaste, um auf die OPNsense-Weboberfläche zuzugreifen. Sie sollten jetzt die Anmeldeseite sehen.

5. Geben Sie die Anmeldedaten ein: Geben Sie den Benutzernamen und das Passwort für ein autorisiertes Benutzerkonto ein. Der Benutzername ist standardmäßig "root", und das Passwort ist das, das Sie während des Installationsvorgangs ausgewählt haben, oder das Standardpasswort "OPNsense" auf der OPNsense-Firewall.

   Abbildung 1. OPNsense-Dashboard

Sie können nun mit der Verwaltung Ihrer Benutzer fortfahren.

2. Authentifizierung

Die Authentifizierung ist ein entscheidender Aspekt von OPNsense, der einen sicheren Zugang zu Netzwerkressourcen gewährleistet. Dies beinhaltet die Überprüfung der Identität der Benutzer, die sich einloggen möchten, um unbefugten Zugriff zu verhindern. Sobald wir die Authentifizierung verstanden haben, können wir uns dem Thema Benutzerverwaltung zuwenden, das das Erstellen, Konfigurieren und Steuern von Benutzerkonten und deren Berechtigungen im System umfasst.

2.1 Benutzerverwaltung

Um zum Abschnitt Benutzerverwaltung in OPNsense zu navigieren und Benutzer hinzuzufügen, zu bearbeiten oder zu löschen, können Sie die folgenden Schritte ausführen:

1. Öffnen Sie die Web-Oberfläche: Öffnen Sie die OPNsense-Web-Oberfläche, indem Sie die IP-Adresse der Firewall in die Adresszeile Ihres Webbrowsers eingeben.

2. Anmelden: Geben Sie den Benutzernamen und das Passwort für ein autorisiertes Benutzerkonto ein, um sich in die Weboberfläche einzuloggen.

3. Navigieren Sie zu Benutzerverwaltung: Nach dem Einloggen navigieren Sie zum Abschnitt Benutzerverwaltung der Weboberfläche. Dies ist normalerweise unter System → Zugriff → Benutzer zu finden.

4. Benutzer hinzufügen: Um einen neuen Benutzer hinzuzufügen, klicken Sie auf das "+"-Zeichen in der unteren rechten Ecke des Formulars.

5. Benutzer bearbeiten: Um einen bestehenden Benutzer zu bearbeiten, klicken Sie auf das "Bearbeiten"-Symbol (einen Stift) neben dem Namen des Benutzers.

6. Benutzer löschen: Um einen Benutzer zu löschen, klicken Sie auf das "Löschen"-Symbol (ein Mülleimer) neben dem Benutzernamen.

7. Benutzerprivilegien festlegen: Im Abschnitt zur Benutzerverwaltung können Sie die Privilegien und den Zugriff jedes Benutzers auf verschiedene Teile der GUI festlegen.

   Abbildung 2. OPNsense-System: Zugriff: Benutzer

Lassen Sie uns fortfahren, indem wir einen neuen Benutzer zu unserer Firewall hinzufügen.

2.2 Hinzufügen eines neuen Benutzers

Das Hinzufügen eines neuen Benutzers zu Ihrer OPNsense-Firewall ermöglicht es Ihnen, einzelnen Personen mit bestimmten Berechtigungen Zugriff auf Ihre Netzwerkverwaltungsoberfläche zu gewähren. Dieser Leitfaden beschreibt die Schritte zur Erstellung eines neuen Benutzerkontos.

Sie können die Schritte zur Erstellung eines neuen Benutzers befolgen.

Schritt 1: Melden Sie sich an der OPNsense-Weboberfläche an

Melden Sie sich mit Ihren administrativen Anmeldeinformationen an der OPNsense-Weboberfläche an. Dies ist der Ausgangspunkt für die Verwaltung von Benutzern und anderen Einstellungen.

Schritt 2: Navigieren Sie zum Abschnitt "Benutzerverwaltung"

Finden und greifen Sie auf den Abschnitt "Benutzermanager" in der Weboberfläche zu. Hier können Sie Benutzerkonten und deren Einstellungen verwalten.

Schritt 3: Klicken Sie auf "Hinzufügen", um einen neuen Benutzer zu erstellen

Um einen neuen Benutzer zu erstellen, klicken Sie auf die Schaltfläche "Hinzufügen". Dies initiiert den Prozess zum Hinzufügen eines Benutzerkontos.

Schritt 4: Geben Sie die Benutzerdaten ein

Geben Sie nun die folgenden Details für den neuen Benutzer ein:

• Benutzername: Wählen Sie einen einzigartigen Benutzernamen für den Benutzer. In diesem Fall verwenden wir "alex."

• Passwort: Geben Sie ein sicheres Passwort für den Benutzer ein. Stellen Sie sicher, dass es den besten Praktiken für Passwörter folgt.

• Vollständiger Name: Geben Sie den vollständigen Namen des Benutzers an. Zum Beispiel: "Aleksandros."

• E-Mail: Geben Sie die E-Mail-Adresse des Benutzers ein, wie zum Beispiel "[email protected]."

• Kommentar: Optional können Sie einen Kommentar hinzufügen, um zusätzliche Informationen über den Benutzer bereitzustellen.

• Bevorzugte Zielseite: Dies bestimmt, wohin der Benutzer nach dem Einloggen weitergeleitet wird. "Standard" bezieht sich normalerweise auf das Dashboard.

• Sprache: Stellen Sie die Sprachpräferenz für die Benutzeroberfläche ein.

• Login-Shell: Dies ist der Befehlsinterpreter, den der Benutzer beim Einloggen verwenden wird. "/sbin/nologin" beschränkt den Shell-Zugriff.

  In OPNsense bestimmt die Login-Shell den Befehlsinterpreter, der verwendet wird, wenn ein Benutzer sich im System anmeldet. Hier sind einige gängige Login-Shell-Typen, auf die Sie stoßen könnten:

  1. /bin/sh: Die Bourne-Shell ist ein einfacher und grundlegender Befehlsinterpreter, der eine standardisierte Befehlsmenge für die Interaktion mit dem System bereitstellt. Es ist eine leichte Shell mit begrenzten Funktionen im Vergleich zu moderneren Shells.

  2. /bin/csh: Die C-Shell ist bekannt für ihre C-ähnliche Syntax und zusätzliche interaktive Funktionen. Es bietet Befehlszeilenbearbeitung, Verlauf und andere Annehmlichkeiten.

  3. /bin/tcsh: Dies ist eine verbesserte Version der C-Shell, die Verbesserungen wie besseres Befehlszeilen-Editing und fortschrittlichere Skriptfähigkeiten bietet.

  4. /sbin/nologin: Dies ist keine traditionelle Shell, sondern eine Möglichkeit, den Benutzerzugang zu beschränken. Wenn ein Benutzer auf "/sbin/nologin" gesetzt ist, kann er sich nicht am System anmelden. Dies ist nützlich für Systemkonten oder Konten, die keinen interaktiven Shell-Zugriff haben sollten.

• Ablaufdatum: Lassen Sie dies leer, wenn das Benutzerkonto nicht ablaufen soll.

• Gruppenmitgliedschaften: Geben Sie an, ob der Benutzer Mitglied zusätzlicher Gruppen sein soll. Für den Moment wählen Sie "Kein Mitglied in zusätzlichen Gruppen."

• Zertifikat: Wenn Sie kein Benutzerzertifikat erstellen, können Sie dies leer lassen.

• OTP-Seed: Wenn Sie die OTP (Einmalpasswort)-Authentifizierung verwenden, wird ein geheimer Seed generiert. Sie können dies leer lassen, wenn Sie OTP nicht verwenden.

• Autorisierte Schlüssel: Wenn Sie SSH-Schlüssel zur Authentifizierung verwenden, können Sie sie hier einfügen.

Schritt 5: Klicken Sie auf "Speichern", um einen neuen Benutzer zu erstellen

Abbildung 3. Benutzer zu OPNsense hinzufügen

Der Benutzer "alex" mit den angegebenen Details wurde nun in OPNsense erstellt.

Abbildung 4. Neuer Benutzer wird erstellt

2.3 Festlegen von Benutzerberechtigungen

Die Zuweisung geeigneter Benutzergruppen in OPNsense ist entscheidend für die Festlegung von Zugriffsrechten und -privilegien. Benutzergruppen ermöglichen es Administratoren, gemeinsame Zugriffseinstellungen gleichzeitig auf mehrere Benutzer anzuwenden, was den Verwaltungsprozess vereinfacht. So setzen Sie Benutzerberechtigungen:

Erstellen Sie Benutzergruppen (falls noch nicht geschehen): Bevor Sie Benutzerberechtigungen festlegen, erstellen Sie Benutzergruppen in OPNsense, die verschiedene Zugriffslevels oder Rollen innerhalb des Netzwerks repräsentieren. Zum Beispiel können Sie Gruppen wie "Administratoren," "Bediener" und "Gäste" haben, jede mit unterschiedlichen Berechtigungen.

2.3.1 Erstellen von Benutzergruppen

Abbildung 15. Erstellen von Benutzergruppen in OPNsense

Hier ist der Schritt-für-Schritt-Prozess zur Erstellung einer neuen Gruppe in OPNsense mit nummerierten Schritten und relevanten Screenshots. Wir haben eine neue Gruppe namens "Operators" erstellt.

1. Navigieren Sie zu System → Zugriff → Gruppen: Melden Sie sich mit Ihren Administrationsdaten in der OPNsense-Weboberfläche an. Gehen Sie im Hauptmenü zu "System", wählen Sie dann "Zugriff" und schließlich "Gruppen".

   Abbildung 5. Hinzufügen eines Benutzers zu einer Gruppe in OPNsense

2. Klicken Sie auf die Schaltfläche +, um eine neue Gruppe zu erstellen: Suchen Sie im Abschnitt Gruppen nach der Schaltfläche "+" oder der Option "Hinzufügen". Dieser Button ermöglicht es Ihnen, den Prozess zur Erstellung einer neuen Gruppe zu starten.

   Abbildung 6. Erstellen einer neuen Gruppe in OPNsense

3. Geben Sie Gruppendetails ein: Ein Formular wird angezeigt, in das Sie Details zur neuen Gruppe eingeben können.

   1. Name: Geben Sie einen Namen für die Gruppe ein, wie zum Beispiel "Operatoren."

   2. Beschreibung: Optional können Sie eine kurze Beschreibung des Zwecks der Gruppe hinzufügen.Kontext: 2. Beschreibung: Optional können Sie eine kurze Beschreibung des Zwecks der Gruppe hinzufügen.

   Abbildung 7. Erstellen einer neuen Gruppe in OPNsense

4. Benutzer auswählen: Suchen Sie nach einer Option, um Benutzer auszuwählen, die zur Gruppe hinzugefügt werden sollen. Dies könnte das Suchen nach Benutzern und das Ankreuzen von Kästchen neben ihren Namen umfassen.

   Abbildung 8. Benutzer für Gruppe in OPNsense auswählen

5. Gruppe speichern: Nachdem Sie die Benutzer ausgewählt haben, suchen Sie die Schaltfläche "Speichern" oder eine gleichwertige Option, um den Gruppen-Erstellungsprozess abzuschließen.

   className="ideal-image" alt="Erstelle die Gruppe" />

   Abbildung 9. Erstellte Gruppe speichern

2.3.2 Benutzer zu Benutzergruppen zuweisen:

Sie können Benutzer Benutzergruppen zuweisen, um deren Zugriff und Berechtigungen zu steuern. Benutzergruppen können so konfiguriert werden, dass sie spezifische Berechtigungen und Einschränkungen haben. So weisen Sie Benutzer in OPNsense Benutzergruppen zu:

1. Zugriff auf den Benutzer-Manager: Melden Sie sich mit Ihren Administrationsdaten im OPNsense-Webinterface an. Navigieren Sie im Hauptmenü zum Abschnitt "Benutzermanager".

2. Benutzerdetails bearbeiten: Finden und wählen Sie das Benutzerkonto aus, das Sie den Benutzergruppen zuweisen möchten. In diesem Fall wählen Sie den Benutzer "alex" aus, den Sie zuvor erstellt haben. Klicken Sie auf die Option "Bearbeiten", die mit dem Benutzer verknüpft ist.

   Abbildung 10. Benutzerdaten bearbeiten

3. Gruppenmitgliedschaften: Auf der Bearbeitungsseite des Benutzers finden Sie den Abschnitt „Gruppenmitgliedschaften“. Hier verwalten Sie die Gruppenmitgliedschaften des Benutzers.

   Abbildung 11. Gruppenmitgliedschaft

4. Benutzergruppen auswählen: Im Abschnitt "Gruppenmitgliedschaften" sehen Sie eine Liste der verfügbaren Benutzergruppen. Aktivieren Sie die Kästchen neben den entsprechenden Benutzergruppen, die Sie "alex" zuweisen möchten. Wenn Sie den Benutzer mehreren Gruppen zuweisen müssen, halten Sie die STRG-Taste (PC) oder die COMMAND-Taste (Mac) gedrückt, während Sie klicken, um mehrere Gruppen auszuwählen.Wir haben die Gruppenmitgliedschaft des Benutzers Alex von Operatoren zu Administratoren geändert.

   Abbildung 12. Gruppe auswählen

Beachten Sie, dass Sie auch zentrale Authentifizierungsserver wie Radius oder LDAP für die Benutzerauthentifizierung auf OPNsense verwenden können.

2.4 Aktivierung der Zwei-Faktor-Authentifizierung (Optional)

In der sich ständig weiterentwickelnden Landschaft der Cybersicherheit ist der Schutz sensibler Daten und Netzwerkressourcen von größter Bedeutung geworden. Die Zwei-Faktor-Authentifizierung (2FA) erweist sich als entscheidende Lösung zur Stärkung der digitalen Sicherheit. Durch die Anforderung einer zusätzlichen Verifizierungsschicht über das herkömmliche Passwort hinaus schützt 2FA vor unbefugtem Zugriff und potenziellen Sicherheitsverletzungen. Für eine eingehende Untersuchung der Schritte zur Aktivierung von 2FA können Sie auf unseren zuvor verfassten Artikel zu diesem Thema verweisen.

Mit Google Authenticator bietet OPNsense umfassende Unterstützung für die Zwei-Faktor-Authentifizierung (2FA) im gesamten System. Die folgenden OPNsense-Dienste unterstützen 2FA:

• Virtuelles Privates Netzwerk (OpenVPN & IPsec)

• Caching-Proxy

• OPNsense Grafische Benutzeroberfläche

• Captive Portal

Sie können 2FA mit Google Authenticator oder FreeOTP für den GUI- und Captive-Portal-Zugriff in einer OPNsense-Firewall ganz einfach aktivieren.

2.5 Verwaltung bestehender Benutzer

OPNsense bietet eine benutzerfreundliche Benutzerverwaltungsoberfläche, die es Administratoren ermöglicht, bestehende Benutzerkonten basierend auf spezifischen Anforderungen zu bearbeiten oder zu löschen. Befolgen Sie die folgenden Schritte, um bestehende Benutzer zu verwalten:

Die Verwaltung bestehender Benutzer in OPNsense umfasst mehrere Aufgaben, wie das Bearbeiten von Benutzerdetails, das Ändern von Passwörtern, das Ändern von Gruppen zuweisungen und das Löschen von Benutzern. So verwalten Sie bestehende Benutzer in OPNsense:

1. Gehen Sie zu System → Zugriff → Benutzer.

   Abbildung 13. Vorhandene Benutzer in OPNsense bearbeiten

2. Wählen Sie den Benutzer aus, den Sie bearbeiten oder löschen möchten.

3. Wenn Sie den Benutzer bearbeiten möchten, klicken Sie auf die Schaltfläche Bearbeiten.

   Abbildung 14. Vorhandene Benutzer in OPNsense bearbeiten

4. Im Dialogfeld Benutzer bearbeiten können Sie Änderungen am Benutzernamen, Passwort, der E-Mail-Adresse und den Berechtigungen vornehmen.

5. Klicken Sie auf die Schaltfläche "Speichern", um Ihre Änderungen zu speichern.

6. Wenn Sie den Benutzer löschen möchten, klicken Sie auf die Schaltfläche Löschen.

7. Klicken Sie im Bestätigungsdialogfeld auf die Schaltfläche Löschen, um zu bestätigen.

Hier sind einige zusätzliche Details zum Bearbeiten und Löschen vorhandener Benutzer in OPNsense:

• Beim Bearbeiten eines Benutzers können Sie den Benutzernamen, das Passwort, die E-Mail-Adresse und die Berechtigungen ändern. Sie können auch die Gruppenmitgliedschaft des Benutzers ändern.
• Beim Löschen eines Benutzers werden alle Benutzerdaten gelöscht, einschließlich der Konfigurationsdateien des Benutzers, der Firewall-Regeln und der VPN-Einstellungen.
• Wenn Sie einen Benutzer löschen, der Mitglied einer Gruppe ist, wird der Benutzer aus der Gruppe entfernt.
• Obwohl es möglich ist, Benutzer im Abschnitt Benutzerverwaltung der Weboberfläche hinzuzufügen, zu bearbeiten oder zu löschen, ist es nicht möglich, den Standardbenutzer "root" zu löschen.

3. Autorisierung

Autorisierung bezieht sich auf den Prozess, den Zugriff auf bestimmte Ressourcen oder Aktionen basierend auf den Rechten und Berechtigungen eines Benutzers zu gewähren oder zu verweigern. Im Kontext von OPNsense spielt die Autorisierung eine entscheidende Rolle bei der Kontrolle und Verwaltung des Benutzerzugriffs auf verschiedene Funktionen, Dienste und Konfigurationen innerhalb der Firewall.

Der Hauptzweck der Autorisierung in OPNsense besteht darin, Sicherheits- und Zugriffskontrollrichtlinien durchzusetzen. Durch die Implementierung von Autorisierungsmechanismen können Sie sicherstellen, dass nur autorisierte Benutzer den entsprechenden Zugriff auf verschiedene Teile der Benutzeroberfläche und Funktionen der Firewall haben. Dies hilft, unbefugte Personen daran zu hindern, unbeabsichtigte oder potenziell schädliche Änderungen an Ihren Netzwerkeinstellungen und -konfigurationen vorzunehmen.

Nachdem wir die Bedeutung der Autorisierung im OPNsense-Firewall-Ökosystem untersucht haben, ist es unerlässlich zu erkennen, dass die Implementierung robuster Autorisierungsmechanismen untrennbar mit einem effektiven Benutzermanagement verbunden ist. Hier tritt die LDAP (Lightweight Directory Access Protocol)-Integration als leistungsstarkes Werkzeug auf die Bühne. Durch die nahtlose Verbindung von OPNsense mit einem LDAP-Verzeichnis oder einem Active Directory (AD)-Server können Sie nicht nur die Benutzerauthentifizierung optimieren, sondern auch die Bereiche der Autorisierung in Ihrer Netzwerkstruktur erweitern.

3.1 LDAP/Active Directory-Integration (Optional)

Die LDAP/Active Directory-Integration auf OPNsense ermöglicht es Ihnen, die Benutzerauthentifizierung und Zugriffskontrolle zu optimieren, indem Sie Ihre Firewall mit einem LDAP (Lightweight Directory Access Protocol) oder Active Directory-Server integrieren. Diese Integration vereinfacht das Benutzermanagement und verbessert die Sicherheit durch zentrale Authentifizierungs- und Autorisierungsmechanismen.

Durch die Verbindung von OPNsense mit Ihrem LDAP/Active Directory-Server können Sie die folgenden Vorteile erzielen:

• Zentrale Benutzerverwaltung: Synchronisieren Sie Benutzerkonten und Anmeldeinformationen von Ihrem LDAP/Active Directory-Server zu OPNsense, wodurch die Notwendigkeit entfällt, Benutzerkonten separat auf der Firewall zu verwalten.

• Single Sign-On (SSO): Benutzer können sich mit ihren LDAP/Active Directory-Anmeldeinformationen bei OPNsense anmelden, was eine nahtlose Benutzererfahrung fördert, ohne dass eine separate Authentifizierung erforderlich ist.

• Verbesserte Sicherheit: Nutzen Sie die Sicherheitsmaßnahmen, die auf Ihrem LDAP/Active Directory-Server implementiert sind, um konsistente und robuste Authentifizierungspraktiken zu gewährleisten.

• Zugriffskontrolle und Berechtigungen: Weisen Sie spezifische Benutzergruppen und Berechtigungen basierend auf Ihrer LDAP/Active Directory-Struktur zu, um eine feinkörnige Kontrolle darüber zu ermöglichen, wer auf welche Ressourcen auf der Firewall zugreifen kann.

• Reduzierter Verwaltungsaufwand: Änderungen an Benutzerkonten oder Passwörtern werden automatisch übernommen, wodurch der manuelle Aufwand für die Benutzerverwaltung verringert wird.

Um die LDAP-Integration auf OPNsense zu implementieren, folgen Sie den in der offiziellen Dokumentation beschriebenen Schritten oder beziehen Sie sich auf unseren umfassenden Leitfaden. Durch die erfolgreiche Integration von LDAP/Active Directory mit OPNsense werden Sie die Sicherheit verbessern, das Benutzermanagement optimieren und eine effizientere Netzwerkstruktur schaffen.

3.2 Einrichtung des Captive Portals (Optional)

Das Captive Portal ist eine Netzwerksicherheitslösung, die die Kontrolle und Verwaltung des Benutzerzugriffs auf öffentliche und private Netzwerke automatisiert. Captive Portale werden häufig für das Gästemanagement in offenen Netzwerken verwendet, die in Hotels, Krankenhäusern, Flughäfen, Restaurants und Unternehmensnetzwerken zu finden sind. Wenn das Captive Portal aktiviert ist, ist der Zugang zum Internet eingeschränkt, es sei denn, der Benutzer gibt persönliche Informationen wie E-Mail, Name und Sozialversicherungsnummer an oder authentifiziert sich über einen Gutschein über ein webbasiertes Registrierungsformular, das in einem Webbrowser ausgefüllt wird.

Ein Captive Portal in OPNsense ist eine leistungsstarke Funktion, die Netzwerkadministratoren ermöglicht, den Gastzugang zu verwalten und die Benutzerauthentifizierung in ihrem Netzwerk zu steuern. Es dient als Authentifizierungsgateway, das typischerweise in öffentlichen WLAN-Netzwerken oder anderen kontrollierten Umgebungen verwendet wird. Mit einem Captive Portal werden Benutzer, die sich mit dem Netzwerk verbinden, auf eine Anmeldeseite umgeleitet, auf der sie Anmeldeinformationen eingeben oder den Nutzungsbedingungen zustimmen müssen, bevor sie Zugang zum Internet oder zu bestimmten Netzwerkressourcen erhalten. Diese Funktion ermöglicht es Administratoren, die Netzwerksicherheit zu gewährleisten, die Benutzeraktivität zu verfolgen und Zugriffskontrollen effektiv umzusetzen.

Neben seiner Captive-Portal-Funktionalität bietet OPNsense eine benutzerbasierte Filterung, die die Netzwerksicherheit und -kontrolle verbessert. Benutzerbasiertes Filtern ermöglicht es Administratoren, spezifische Internetzugriffsrichtlinien basierend auf einzelnen Benutzerkonten umzusetzen. Diese Funktion ermöglicht es Netzwerkadministratoren, Internetzugriffsrechte, Inhaltsfilterung und Bandbreitenzuweisung an verschiedene Benutzer oder Benutzergruppen anzupassen.

3.3 Aktivierung der lokalen Zertifizierungsstelle (Optional)

Verbessern Sie die Sicherheit Ihrer Netzwerkinfrastruktur, indem Sie eine lokale Zertifizierungsstelle (CA) auf OPNsense einrichten. In diesem Leitfaden werden wir den Prozess zur Aktivierung dieser wichtigen Funktion näher erläutern, um eine robuste Verschlüsselung und Authentifizierung für Ihre Netzwerkkommunikation zu gewährleisten.

Hier sind die Schritt-für-Schritt-Anleitungen zur Aktivierung der lokalen Zertifizierungsstelle auf OPNsense:

1. Melden Sie sich bei der OPNsense-Weboberfläche an: Verwenden Sie Ihre Anmeldeinformationen, um auf die OPNsense-Weboberfläche zuzugreifen.

2. Navigieren Sie zu den Vertrauensstellen: Gehen Sie im linken Menü zu System → Trust → Authorities.

3. Erstellen Sie ein Root-Zertifikat: Klicken Sie auf das "+" (Plus)-Zeichen in der oberen rechten Ecke, um den Prozess zur Erstellung des Root-Zertifikats zu starten.

4. Formular ausfüllen:

Was sind die anderen Methoden?

Lass uns hier ein wenig darauf eingehen.

1. Erstellen eines internen Zertifikats: Diese Option ermöglicht es Ihnen, Ihre eigene private Zertifizierungsstelle (CA) innerhalb Ihres Netzwerks einzurichten.

2. Importieren eines vorhandenen Zertifikats: Mit dieser Option können Sie ein bereits vorhandenes Zertifikat aus einer externen Quelle importieren.

3. Erstellen Sie eine Zertifikatsanforderung: Diese Option erstellt eine Certificate Signing Request (CSR), die Sie einer vertrauenswürdigen externen Zertifizierungsstelle vorlegen können.

4. Signieren einer Zertifikatsanforderung: Dies ermöglicht es Ihnen, die Rolle einer CA zu übernehmen und ein Zertifikat mit dem privaten Schlüssel Ihrer internen CA zu signieren.

Beschreibender Name: Geben Sie einen Namen ein, der Ihnen hilft, das Zertifikat zu identifizieren. (e.g., "Local CA").

Zertifizierungsstelle:

• Wenn keine internen Zertifizierungsstellen definiert wurden, müssen Sie eine hinzufügen, bevor Sie ein internes Zertifikat erstellen.

Typ: Client-Zertifikat

• Wählen Sie den Typ des Zertifikats, das Sie generieren möchten. Der Typ legt Einschränkungen für seine Verwendung fest.

In OPNsense können die folgenden Zertifikatstypen generiert werden:

1. Client-Zertifikat: Ein Zertifikat, das verwendet wird, um einen Client gegenüber einem Server zu authentifizieren. Es wird verwendet, um die Identität des Clients zu überprüfen und eine sichere Verbindung herzustellen.

2. Serverzertifikat: Ein Zertifikat, das verwendet wird, um einen Server gegenüber einem Client zu authentifizieren. Es wird verwendet, um die Identität des Servers zu überprüfen und eine sichere Verbindung herzustellen.

3. Kombiniertes Client/Server-Zertifikat: Ein Zertifikat, das sowohl für die Client- als auch für die Server-Authentifizierung verwendet werden kann. Es wird verwendet, um die Identität sowohl des Clients als auch des Servers zu überprüfen und eine sichere Verbindung herzustellen.

4. Zertifizierungsstelle: Ein Zertifikat, das verwendet wird, um andere Zertifikate zu signieren und eine Vertrauensbeziehung zwischen dem Zertifikatsinhaber und den Entitäten, die auf das Zertifikat vertrauen, herzustellen.

Schlüsseltyp: RSA

• Wählen Sie RSA als Schlüsseltyp.

• RSA: RSA (Rivest-Shamir-Adleman) ist ein weit verbreiteter asymmetrischer Verschlüsselungsalgorithmus. Es basiert auf den mathematischen Eigenschaften von Primzahlen und der Schwierigkeit, große Zahlen zu faktorisieren. Im Kontext von Zertifikaten wird RSA zur Erzeugung von Schlüsselpaaren verwendet, wobei der private Schlüssel geheim gehalten und der öffentliche Schlüssel zur Verschlüsselung und zur Überprüfung digitaler Signaturen verwendet wird.

• Elliptische Kurve: Elliptische Kurven-Kryptographie (ECC) ist eine weitere Art von asymmetrischem Verschlüsselungsalgorithmus, der auf der Mathematik elliptischer Kurven basiert. ECC bietet das gleiche Sicherheitsniveau wie RSA, jedoch mit kleineren Schlüsseln, was es effizienter in Bezug auf Berechnungs- und Speicheranforderungen macht. Es wird häufig in modernen kryptografischen Protokollen und Systemen verwendet.

Schlüssellänge (Bits): 2048

• Wählen Sie die Schlüssellänge. In diesem Fall wählen Sie 2048 Bit.

Digest-Algorithmus: SHA256

• Wählen Sie den Hash-Algorithmus aus. Es wird empfohlen, wann immer möglich, einen stärkeren Algorithmus als SHA1 zu verwenden.

Lebensdauer (Tage): 364

• Geben Sie die Lebensdauer des Zertifikats in Tagen an.

Standort des privaten Schlüssels: Auf dieser Firewall speichern

• Wählen Sie "Auf dieser Firewall speichern", um den privaten Schlüssel auf der aktuellen Firewall zu speichern.

• Wenn das Zertifikat für die Verwendung auf einem anderen Gerät gedacht ist und Sie beabsichtigen, den privaten Schlüssel später herunterzuladen, können Sie die Option "Herunterladen und nicht speichern" wählen.

Distinguished Name-Felder

Im Kontext der Zertifikatserstellung bezieht sich der "Distinguished Name" (DN) auf eine Reihe von Feldern, die Informationen über die Identität der Entität liefern, für die das Zertifikat ausgestellt wird. Diese Felder sind Teil des X.509-Standards zur Definition des Formats von Public-Key-Zertifikaten.

Hier sind die gängigen Distinguished Name-Felder und ihre Erklärungen:

• Ländercode: Geben Sie den Ländercode ein (e.g., AD for Andorra).

• Bundesland oder Provinz: Geben Sie das Bundesland oder die Provinz ein (e.g., Sachsen).

• Stadt: Geben Sie die Stadt ein (e.g., Leipzig).

• Organisation: Geben Sie den Namen der Organisation ein (e.g., My Company Inc).

• E-Mail-Adresse: Geben Sie die E-Mail-Adresse ein (z.B. [email protected]).

• Allgemeiner Name: Geben Sie den allgemeinen Namen ein (e.g., internal-ca).

Alternative Namen:

"Alternative Names" (auch bekannt als Subject Alternative Names oder SANs) Erweiterung in einem Zertifikat ermöglicht es Ihnen, zusätzliche Identifikatoren für die mit dem Zertifikat verbundene Entität anzugeben. Diese alternativen Namen können verschiedene Arten von Identifikatoren umfassen, wie zum Beispiel:

1. DNS-Namen: Dies sind Domainnamen oder vollständig qualifizierte Domainnamen (FQDNs), für die das Zertifikat gültig sein sollte. Zum Beispiel können Sie mehrere Subdomains wie "www.example.com", "mail.example.com" und so weiter einfügen.

2. IP-Adressen: Sie können eine oder mehrere IP-Adressen (IPv4 oder IPv6) angeben, für die das Zertifikat gültig ist. Dies ist besonders nützlich in Szenarien, in denen das Zertifikat mehrere IP-Adressen abdecken muss, die mit einem Server verbunden sind.

3. E-Mail-Adressen: Wenn das Zertifikat für die E-Mail-Verschlüsselung oder -Authentifizierung verwendet wird, können Sie E-Mail-Adressen als alternative Namen einfügen. Dies ermöglicht die Verwendung des Zertifikats zur Sicherung von E-Mail-Kommunikationen.

4. Uniform Resource Identifiers (URIs): URIs, wie Web-URLs, können als alternative Namen eingeschlossen werden. Dies ist relevant, wenn das Zertifikat für Webdienste oder Anwendungen verwendet wird, die spezifische URI-Anforderungen haben.

• Falls erforderlich, können Sie alternative Namen (z.B. DNS-Einträge) für das Zertifikat hinzufügen.

Das Einfügen alternativer Namen in ein Zertifikat ist wertvoll, da es ermöglicht, dass ein einzelnes Zertifikat für mehrere Zwecke oder mehrere Domains gültig ist. Zum Beispiel kann ein Serverzertifikat für einen Webserver alternative Namen für verschiedene Subdomains enthalten, sodass dasselbe Zertifikat für verschiedene Dienste verwendet werden kann, die auf verschiedenen Subdomains einer Domain gehostet werden.

Bei der Konfiguration eines Zertifikats mit alternativen Namen ist es wichtig sicherzustellen, dass alle angegebenen Namen genau und relevant für den beabsichtigten Verwendungszweck des Zertifikats sind. Diese Flexibilität vereinfacht die Zertifikatsverwaltung für Multi-Domain-Umgebungen und Dienste, die mehrere Identifikatoren benötigen, um sicher zu funktionieren.

Sobald Sie alle erforderlichen Felder ausgefüllt haben, überprüfen Sie Ihre Auswahl und klicken Sie auf "Speichern", um das Zertifikat zu erstellen. Dieses Zertifikat kann für verschiedene Zwecke verwendet werden, einschließlich der Client-Authentifizierung und sicherer Kommunikation innerhalb Ihrer Netzwerkumgebung.

Abbildung 16. Aktivierung der lokalen Zertifizierungsstelle auf OPNsense

Abbildung 17. Hinzugefügte lokale Zertifizierungsstelle auf OPNsense

3.4 Konfiguration von Authentifizierungsservern (Radius)

Die Einrichtung von Authentifizierungsservern wie RADIUS auf OPNsense ist ein wesentlicher Prozess, um die Sicherheit zu erhöhen und den Benutzerzugriff effizient zu verwalten. Durch die Konfiguration der RADIUS-Authentifizierung können Administratoren die Benutzerauthentifizierung zentralisieren und eine zusätzliche Schutzschicht bieten. Lassen Sie uns den schrittweisen Prozess zur Konfiguration der RADIUS-Authentifizierung durchgehen, um eine reibungslose und sichere Netzwerkumgebung zu gewährleisten.

Schritt 1: Installieren Sie das FreeRADIUS-Plugin (if not already installed)

Der Zweck der Installation des FreeRADIUS-Plugins auf OPNsense besteht darin, ein robustes Framework für die Benutzerauthentifizierung und Zugriffskontrolle zu schaffen. Durch die Zentralisierung der Authentifizierungsprozesse über FreeRADIUS können Sie sicherstellen, dass die Identitäten der Benutzer überprüft werden, bevor ihnen der Zugang zu Netzwerkressourcen gewährt wird.

1. Melden Sie sich an Ihrer OPNsense-Weboberfläche an.

2. Navigieren Sie zu "System" → "Firmware" → "Plugins".

3. Suchen Sie nach "FreeRADIUS" und installieren Sie das Plugin.

   Abbildung 18. Installieren Sie das FreeRADIUS-Plugin

Schritt 2: RADIUS-Server konfigurieren

Durch die Konfiguration des RADIUS-Servers aktivieren Sie einen zentralen Authentifizierungsmechanismus, der den Netzwerkschutz verstärkt und die Benutzerverwaltung vereinfacht.

Nun wollen wir uns die Schritte zur Konfiguration des RADIUS-Servers auf Ihrer OPNsense-Firewall ansehen.

1. Nach der Installation des FreeRADIUS-Plugins navigieren Sie zu "Dienste" → "FreeRADIUS".

2. Klicken Sie auf die Registerkarte "Server".

3. Klicken Sie auf die Schaltfläche "+", um einen neuen RADIUS-Server hinzuzufügen.

   • Servername: Geben Sie Ihrem Server einen beschreibenden Namen.

   • IP-Adresse: Geben Sie die IP-Adresse Ihres RADIUS-Servers ein.

   • Geheimer Schlüssel: Geben Sie ein gemeinsames Geheimnis ein, das zur Sicherung der Kommunikation zwischen OPNsense und dem RADIUS-Server verwendet wird.

   • Authentifizierungsport: Typischerweise auf 1812 eingestellt.

   • Abrechnungsport: Typischerweise auf 1813 eingestellt.

   • Timeout: Setzen Sie einen angemessenen Timeout-Wert.

   • Wiederholungen: Legen Sie die Anzahl der Wiederholungsversuche für Anfragen fest.

   • Beschreibung: Geben Sie eine kurze Beschreibung der Serverkonfiguration an.

   • Gruppen synchronisieren: Aktivieren, um Gruppen zu synchronisieren, erfordert die oben genannte Option.

   • Gruppen einschränken: Wählen Sie eine Liste von Gruppen aus, die während der Synchronisierung berücksichtigt werden können1.

   • Automatische Benutzererstellung: Wenn Gruppen automatisch synchronisiert werden, bietet dies die Möglichkeit, den Benutzer automatisch zu erstellen, wenn er nicht existiert.

   Abbildung 19. RADIUS-Server konfigurieren

4. Klicken Sie auf "Speichern", um die RADIUS-Server-Konfiguration zu speichern.

   Abbildung 20. Einrichten von Authentifizierungsservern (RADIUS) in OPNsense

Schritt 3: Konfigurieren des FreeRADIUS-Clients

Durch die Konfiguration des FreeRADIUS-Clients auf Ihrer OPNsense-Firewall stellen Sie die notwendige Verbindung zwischen der Firewall und dem RADIUS-Server her, was den Weg für zentrale Authentifizierung und verbesserte Netzwerksicherheit ebnet.

Befolgen Sie die folgenden Schritte, um den FreeRADIUS-Client zu konfigurieren:

1. Bleiben Sie noch im FreeRADIUS-Plugin-Bereich und klicken Sie auf die Registerkarte "Clients".

2. Klicken Sie auf die Schaltfläche "+", um einen neuen Client hinzuzufügen.

   • Client-Name: Geben Sie ihm einen Namen (z.B. OPNsense).
   • IP-Adresse: Geben Sie die IP-Adresse der OPNsense-Firewall ein.
   • Geteiltes Geheimnis: Verwenden Sie dasselbe sichere geteilte Geheimnis, das Sie für den lokalen Server konfiguriert haben.

3. Klicken Sie auf "Speichern", um die Client-Konfiguration zu speichern.

   Abbildung 21. Konfigurieren des FreeRADIUS-Clients

Schritt 4: Authentifizierungsquellen konfigurieren

Durch die Definition von Authentifizierungsquellen legen Sie fest, wo die Firewall nachsehen soll, um die Benutzeranmeldeinformationen zu überprüfen. Diese Flexibilität ermöglicht es Ihnen, verschiedene Authentifizierungsmethoden und -dienste zu integrieren, einschließlich lokaler Benutzerdatenbanken, externer LDAP- oder Active Directory-Server und mehr. Befolgen Sie die folgenden Schritte, um Authentifizierungsquellen auf OPNsense zu konfigurieren:

1. Navigieren Sie zu "System" → "Zugriff" → "Einstellungen > Verwaltung" Tab.

2. Unter "Authentifizierungsserver" können Sie jetzt den lokal konfigurierten RADIUS-Server aus der Dropdown-Liste auswählen.

3. Klicken Sie auf die Schaltfläche Speichern, um die Einstellungen zu aktivieren.

   Abbildung 22. Authentifizierungsquellen konfigurieren

Schritt 5: Testen der RADIUS-Authentifizierung

Testen Sie die Einrichtung, indem Sie versuchen, sich mit einem Benutzer anzumelden, den Sie im Abschnitt FreeRADIUS-Benutzer konfiguriert haben. OPNsense sollte Authentifizierungsanfragen an den lokal laufenden FreeRADIUS-Server senden.

Denken Sie daran, immer die offizielle Dokumentation und die Richtlinien für Ihre spezifische OPNsense-Version zu konsultieren, um die Genauigkeit der Konfiguration sicherzustellen.

Hier sind die Schritte zum Testen der RADIUS-Authentifizierung.

Abbildung 23. Erstellen eines Testbenutzers in FreeRADIUS

• Erstellen Sie einen Testbenutzer in FreeRADIUS (falls noch nicht geschehen):

Das Erstellen eines Testbenutzers in FreeRADIUS auf Ihrer OPNsense-Firewall ermöglicht es Ihnen, die Funktionalität des RADIUS-Servers zu überprüfen und die Benutzeranmeldung zu testen. Befolgen Sie diese Schritte, um einen Testbenutzer zu erstellen:

Im FreeRADIUS-Plugin-Bereich von OPNsense navigieren Sie zum Tab "Benutzer" und erstellen Sie einen Testbenutzer mit einem Benutzernamen und Passwort.

• Versuchen Sie sich anzumelden:
  Verwenden Sie ein Gerät, das sich im Netzwerk befindet, in dem OPNsense verwendet wird, und folgen Sie diesen Schritten:

• Geben Sie den Benutzernamen und das Passwort des Testbenutzers ein, den Sie im Abschnitt FreeRADIUS-Benutzer erstellt haben.

• Klicken Sie auf die Schaltfläche "Anmelden".

• Beobachten Sie das Ergebnis:

• Wenn die Authentifizierung erfolgreich ist, werden Sie in die OPNsense-Oberfläche eingeloggt.

• Wenn die Authentifizierung fehlschlägt, sehen Sie wahrscheinlich eine Fehlermeldung, die darauf hinweist, dass die Anmeldeinformationen falsch sind.

• Überprüfen Sie die RADIUS-Protokolle (Optional):
  Wenn Sie auf Probleme stoßen, sollten Sie die RADIUS-Serverprotokolle überprüfen, um weitere Informationen zu sammeln. Im FreeRADIUS-Plugin-Bereich von OPNsense finden Sie einen Link zu den FreeRADIUS-Protokollen. Suchen Sie nach Einträgen, die mit der Authentifizierung zu tun haben, um das Problem zu diagnostizieren.

Fehlerbehebung:

Wenn Sie sich nicht erfolgreich anmelden können, folgen Sie den nächsten Fehlerbehebungsschritten und überprüfen Sie die folgende Konfiguration erneut. Überprüfen Sie Folgendes:

• Die RADIUS-Server-IP, das gemeinsame Geheimnis und die Ports sind sowohl in den RADIUS-Server-Einstellungen als auch in den OPNsense-Authentifizierungsserver-Einstellungen korrekt konfiguriert.

• Die Anmeldeinformationen des Testbenutzers sind korrekt eingegeben.

• Die Firewall des RADIUS-Servers blockiert keine eingehenden Authentifizierungsanfragen von OPNsense.

3.5 Passwort-Richtlinie (Optional)

Eine gut definierte Passwortpolitik ist von entscheidender Bedeutung für die Aufrechterhaltung der Sicherheit und Integrität von Netzwerkressourcen. Starke Passwortpraktiken dienen als erste Verteidigungslinie gegen unbefugten Zugriff und potenzielle Sicherheitsverletzungen. Durch die Implementierung einer gut durchdachten Passwortverwaltung-Richtlinie können Administratoren verhindern, dass unbefugte Benutzer das System kompromittieren, und eine bessere Kontrolle über den Benutzerzugang erlangen.

Abbildung 24. Passwortrichtlinie auf OPNsense

Um eine Passwort-Richtlinie auf OPNsense festzulegen, befolgen Sie diese Schritte:

1. Greifen Sie auf die OPNsense-Weboberfläche zu und melden Sie sich als Administrator an.

2. Gehen Sie zu System → Zugriff → Server.

3. Klicken Sie auf das 'Bearbeiten'-Symbol (einen Stift) für 'Lokale Datenbank' im Abschnitt 'Server'.

4. In den Einstellungen der 'Lokalen Datenbank' können Sie die Passwort-Richtlinie für lokale Benutzer konfigurieren.

5. Legen Sie die gewünschten Passwort-Richtlinieneinstellungen fest, wie z.B. Anforderungen an die Passwortkomplexität, minimale Passwortlänge und Passwortablauf.

6. Speichern Sie die Änderungen.