EDNT IT

EDNT GmbH
Werner-von-Siemens-Str. 7
D-64625 Bensheim

Tel:  +49 (0)6251 / 86143-0
Fax:  +49 (0)6251 / 86143-79
E-Mail: 

N: 52º 31' 12" O: 13º 24' 18"
View on Google Maps

MO – DO: 08:00 – 17:00 Uhr
FR: 08:00 – 15:00 Uhr
SA, SO, Feiertag: geschlossen

Kursinhalt

Grundlagen von OPNsense v2.1

A Basis

A1. Einführung in OPNsense

  • Historie, Architektur und Vorteile von OPNsense gegenüber anderen Firewall-Lösungen, wie zB pfSense, Sophos

  • (Community-)Support, Dokumentation und Erweiterungsmöglichkeiten

  • Betrieb der OPNsense, VM, Verwendung der richtigen Hardware, LTE, 5G

  • Deciso Software Editions, Funktionen der Business Edition

  • Vergleich: Business Edition vs. Community Edition im produktiven Einsatz

     

A2. Installation von OPNsense

  • Schritt-für-Schritt-Installation (UEFI-/BIOS-Modus, Partitionierung, USB-Installer)

  • Dashboard konfiguration

  • Virtualisierung von OPNsense inklusive PCI-Passthrough von Netzwerk-Karten

A3. Grundlegendes Handling

  • Unterschiede zwischen CLI (SSH/Serial Console) und WebGUI

  • Best Practices zur Absicherung der WebGUI (z B Multi-Faktor-Authentifizierung, IP-Beschränkungen)

  • Backup-Strategien: Erstellen und Wiederherstellen von Konfigurations-Snapshots

     

A4. Benutzer- & Authentifizierungsdienste

  • Zwei-Faktor-Authentifizierung im Detail (TOTP, Duo, Hardware-Token)

  • Integration mit LDAP / Active Directory

  • User-Tracking & Audit-Logging

     

A5. Grundlegende Netzwerkkonfiguration

  • Einrichtung von WAN-/LAN-/OPT-Interfaces

  • Zuweisung von Netzwerksegmenten (VLAN-Konfiguration)

  • IPv6-Grundlagen und duales Stack-Setup

  • Aliase / GeoIP

A6. Härtung der Installation

  • Sicherheitsrichtlinien (z B SSH-Härtung, HTTPS-Erzwingung)

  • Regelmäßige Updates und Management von Plug-ins

  • Management Interface

B. Erweiterte Netzwerkkonfiguration

B1. Erweiterte Interface- und Routing-Konfigurationen

  • Nutzung von virtuellen Switchen

  • VLAN-Trunking und L3-VLAN-Routing mit Hardware-Unterstützung

  • VXLAN

  • Umgang mit MTU/MSS-Optimierung und Hardware-Offloading-Optionen

B2. Multi-WAN und Failover

  • Einrichtung von Multi-WAN-Umgebungen

  • Lastverteilung und Failover-Szenarien (z B CARP, Virtual IPs)

  • Umgang mit dynamischen DNS für Failover

B3. Traffic-Shaping und QoS

  • Bandbreitenmanagement und Priorisierung

  • Konfiguration von Queues für Anwendungen wie VoIP

  • Monitoring und Analyse des Netzwerkverkehrs

B4. Transparentes Bridging und Firewalling

  • Einrichtung einer transparenten Firewall für spezifische Szenarien (HTTP-Proxy etc)

  • Bridge-Filterung

  • Troubleshooting von Bridging-Konflikten

B5. Policy-Based Routing und erweiterte Routing-Szenarien

 

C. Erweiterte Sicherheitskonfigurationen

C1. Firewall-Rulesets für Fortgeschrittene

  • Regeln und deren Reihenfolge

  • Granulare Zugriffskontrollen

  • Geoblocking und Zeitpläne für Regeln

  • Anwendungsbasierte Filterung

  • Floating Regeln

  • NAT Regeln

C2. VPN-Implementierungen

  • Erweiterte Konfiguration von IPsec, OpenVPN und WireGuard

  • Road-Warrior-Setups mit MFA und dynamischen DNS

  • Site-to-Site-VPN-Szenarien

C3. Web Proxy und SSL-Interception

  • Outbound-Proxy mit Content-Filterung und Blacklists

  • Einrichten der SSL/TLS-Interception und Vertrauensstellung von CA-Zertifikaten

  • Datenschutzaspekte bei der SSL-Interception

C4. Intrusion Detection/Prevention

  • Konfiguration von Suricata (IDS/IPS)

  • Signaturbasierte Erkennung und Regeloptimierung

  • Automatische Blockierung und Whitelist-Management (Guardian-Mode)

D. Erweiterte Funktionen und Dienste

D1. DNS-Dienste und Hidden Master DNS

  • Einrichtung des DNS-Proxys (Unbound)

  • Blacklist-Filterung (z B Pi-hole-ähnliche Funktionalität)

  • Hidden Master DNS-Konfiguration für interne Netzwerke

D2. Inbound Proxy mit HAProxy

  • Einführung in HAProxy und typische Einsatzszenarien, wie Freigaben von verschiedenen Web- Diensten

  • Konfiguration für HTTPS-Termination und Backend-Load-Balancing

  • Verbindung mit Let's Encrypt-Zertifikaten

D3. Monitoring und Reporting

  • Einführung in das Dashboard und zusäztliche Plugins

  • Analyse von Traffic-Flows und Logging (Syslog, Insight)

  • Anbindung von OPNsense an zentrale Logging-Server (Überblick)

  • Einbinden von OPNsense in zentrale Monitoring-Lösungen (Überblick)

  • E-Mail/SMS/Teams/Slack-Benachrichtigungen

D4. High Availability (HA)

  • Einrichtung einer Master-Slave-Konfiguration

  • Automatische Synchronisation von Regeln und VPN-Setups

  • Troubleshooting von HA-Szenarien

E. Automatisierung & Spezialthemen für Fortgeschrittene

  • OPNcentral oder Umgang mit mehreren Firewalls in einer Organisation.
  • API
  • Skripte
  • Config Management
  • Ansible
  • Interessante Plugins Enterprise / Security-Lab
  • SDWAN

F. Spezielle Anwendungen

  • Captive Portal
  • BGP FRR Router
  • Zero Trust, Microsegmentation mit OPNsense-Regeln, Kombination mit Identity-Providern.
  • Lizenz- & Update Strategien in Enterprise-Umgebungen

G. Praxisworkshop und Troubleshooting

G1. Praxisworkshop

  • Aufbau eines vollständigen Netzwerks mit VLANs, VPNs und Proxy-Funktionalität

  • Aufbau eines HA -Clusters

  • Simulation von Szenarien (z B Failover, Angriffserkennung)

  • Absicherung und Optimierung der Konfiguration

  • Cluster Recovery, Hardwaretausch, Wiederherstellung aus Backup

G2. Troubleshooting, Migration und Optimierung

  • Diagnosetools wie Packet Capture, Netflow und IPsec-Debugging

  • Lösen von häufigen Fehlern bei Firewall- und Proxy-Konfigurationen

  • Tuning für 1G/10G/40G-Umgebungen, Hardwareanforderungen, Einfluss von Offloading und Suricata im Inline-Mode.

  • Performance-Optimierung für spezifische Anwendungsfälle

  • Migration von pfsense oder Sophos auf OPNsense

3. Abschluss und Ausblick

  • Diskussion aktueller und zukünftiger Entwicklungen (z B Unterstützung neuer Protokolle, Verbesserungen im Suricata-Modul)

  • Fragen und Antworten