2021 wurde mit pfSense 2.5 das bedeutendste Update der beliebten Firewall seit Jahren veröffentlicht. In diesem Blogbeitrag haben wir die wichtigsten Fragen zu pfSense und dem 2.5 Release zusammengefasst.
pfSense ist eine Firewall, die auf dem Gratis-Betriebssystem FreeBSD basiert und gemäss Hersteller über «alle wichtigen Eigenschaften der teuersten Firewall-Lösungen» verfügt. Unternehmen auf der ganzen Welt verlassen sich auf pfSense-Software, um zuverlässigen und vollwertigen Firewall-Schutz in der Cloud zu erhalten. Auch im Xelon HQ könnt ihr eure IT-Infrastruktur mit pfSense schützen. pfSense Community Edition ist die teilweise offene Version, während pfSense Plus (früherer Name pfSense Factory Edition) zu einem Closed-Source-Modell übergegangen ist.
Was kann pfSense?
pfSense wird auf einem physischen Computer oder einer virtuellen Maschine (VM) installiert, um eine dedizierte Firewall oder einen Router für ein Netzwerk zu bilden. Die Installation ist schnell und schmerzlos. User können in kurzer Zeit eine eigene Demo in einer virtuellen Umgebung – wie beispielsweise im Xelon HQ – einrichten. Die Firewall kann über eine webbasierte Schnittstelle konfiguriert und aktualisiert werden. Wie ihr die Software letztendlich konfiguriert, hängt jedoch weitgehend von euren Anforderungen ab. Gemäss der Developer-Plattform GitHub erfreut sich pfSense so grosser Popularität, weil die Firewall dank eines Paketsystems in der Lage ist, die gleiche Funktionalität – oder mehr – wie gängige kommerzielle Firewalls zu bieten.
Wie entstand pfSense?
Die Geschichte von pfSense begann 2004 als Abspaltung des m0n0wall-Projekts. Laut den Entwicklern war das Projekt nicht als Konkurrenzprodukt gedacht. Das Ziel des m0n0wall-Projekts war gewesen, ein komplettes, eingebettetes Firewall-Softwarepaket zu schaffen, das in Verbindung mit einem eingebetteten PC alle wichtigen Funktionen kommerzieller Firewall-Boxen zu einem Bruchteil des Preises bietet. Mit Threema-Gründer Manuel Kasper war übrigens ein bedeutender Schweizer Entwickler am m0n0wall-Projekt beteiligt.
Die erste Veröffentlichung erfolgte 2006. Seither hat pfSense laut GitHub «jede namhafte kommerzielle Firewall in zahlreichen Organisationen auf der ganzen Welt erfolgreich ersetzt». 2014 wurde das konkurrierende Open-Source-Firewall- und Routing-Software-Projekt OPNsense von pfSense abgezweigt. Sowohl pfSense als auch OPNsense werden laufend weiterentwickelt, während das ursprüngliche m0n0wall-Projekt 2015 eingestellt wurde. 2021 kam schliesslich die neuste Version 2.5, was das grösste Update der Software seit 2017 ist. Im Xelon HQ ist nun auch die neueste pfSense-Version verfügbar.
Was verändert sich mit dem Update auf Version 2.5?
Die neueste Version ist klarer, in die Open-Source-Ausgabe pfSense Community Edition und das kostenpflichtige pfSense Plus, unterteilt als vorherige Versionen. Sowohl die Community Edition als auch die Plus-Version erhalten mit dem Update auf die Version 2.5 ein grösseres Upgrade der Betriebssystemversion, OpenSSL-Upgrades sowie Verbesserungen in den Bereichen Virtual Private Network (VPN) und Security. Während die Version 2.4.5 noch auf FreeBSD 11.3 lief, basiert die Version 2.5 auf FreeBSD 12.2. Mit dem Upgrade sollen über 500 Bugs gefixt worden sein. Ein neues Feature, das vor allem für IT-Dienstleister und SaaS-Provider spannend sein könnte, betrifft die Protokolle in pfSense: Es gibt neu eine Protokollrotationslösung.
In den Release Notes von pfSense werden alle Änderungen aufgelistet.
Was muss man beim Update auf Version 2.5 beachten?
Die pfSense-Software kann ohne grossen Aufwand von einer älteren Versionen auf 2.5 aktualisiert werden.
Aufgrund der grossen Unterschiede zwischen pfSense 2.5 und älteren Versionen können während des Updates Warnungen und Fehlermeldungen (insbesondere von PHP- und Paket-Updates) auftreten. Diese Fehler werden hauptsächlich während des Upgrade-Prozesses angezeigt, können aber auch nach Abschluss des Updates in einem Absturzbericht erscheinen. In fast allen Fällen sind diese Fehler ein harmloser Nebeneffekt der Änderungen zwischen FreeBSD 11.2 und 12.x und zwischen PHP 7.2 und PHP 7.4. Die häufigsten Probleme im Zusammenhang mit Updates sind hardwarespezifische Regressionen von einer FreeBSD-Version zur anderen.
Ist vor dem pfSense-Update ein Backup notwendig?
Ja, vor sämtlichen Software- oder System-Updates sollte man in jedem Fall ein Backup erstellen! Mit der richtigen Backup-Lösung können zeit- und kostenintensive Datenverluste vermieden werden.
Im Xelon HQ habt ihr zudem die Möglichkeit, Snapshots von VMs zu erstellen. Wir empfehlen, vor sämtlichen Updates oder Upgrades einen Snapshot zu erstellen. Im Fehlerfall könnt ihr den Snapshot, (und somit den vorherigen Stand) mittels Mausklick wiederherstellen. Wichtig ist, dass nach einem erfolgreichen Update der Snapshot manuell gelöscht wird.
Welche Software für das Sichern von Daten verwendet werden soll, hängt von drei Faktoren ab:
- Aufbewahrungszeit: Wie lange sollen die Backups abrufbar und die verlorenen Daten wieder herstellbar sein?
- Verwaltung: Ist technisches Know-how vorhanden? Wie viel Zeit kann für Backups aufgewendet werden? Wurden allfällige Lizenzkosten budgetiert?
- Geräte: Je nachdem, ob es sich um physische Server, virtuelle Maschinen oder eine Cloud-Infrastruktur handelt, bieten sich andere Backup-Lösungen an.
In diesem Blogbeitrag gibt es Backup-Tipps.
Michael Dudli