OPNsense-Firewall als TLS-Inspektor einrichten

Firewall-Distributionen wie OPNsense können verschlüsselten Webverkehr analysieren und so das LAN vor Trojanern und anderer Malware schützen. Eine Anleitung.

Artikel verschenken

14

(Bild: Michael Vogt)

25.01.2023, 08:30 Uhr

Lesezeit: 13 Min.

c't Magazin

Von

Markus Stubbig

OPNsense-Firewall als TLS-Inspektor einrichten
CA-Zertifikat erstellen
TLS inspizieren
Schutz erweitern
Mehr erkennen

Artikel in c't 4/2023 lesen

Wer Webdownloads auf Malware prüfen möchte, muss die HTTPS-Verschlüsselung aufbrechen. Diese TLS-Inspektion ist technisch zwar nicht trivial, aber zum Glück bringen moderne Firewall-Distributionen die dafür nötigen Funktionen bereits mit.

Wir zeigen am Beispiel von OPNsense, wie man einen Web-Proxy mit TLS-Inspektion einrichtet. Dabei gehen wir davon aus, dass OPNsense bereits installiert und für den Betrieb als Dualstack-Router eingerichtet ist. Sichern Sie diesen Zustand über System/Konfigurationen/Sicherungen auf Ihren PC. Das macht den Neuanfang leichter, falls Sie im Folgenden an irgendeiner Stelle versehentlich falsch abbiegen.

Das Modem hängt an einer der Netzwerkschnittstellen der Firewall und stellt die Internetverbindung her; alternativ kommt sie von einem vorgelagerten Router wie etwa einer Fritzbox. Die zweite Firewall-Schnittstelle führt über einen Switch ins LAN und versorgt die dortigen Clients mit dem Internetzugang, gegebenenfalls auch drahtlos über WLAN-Access-Points.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

, !!!Aufmacher: Bild von einem Wohnzimmer oder anderem Raum, an dem Blumentöpfe und andere Bilddetails mit Labels beschriftet sind

Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann

Fotos sind mit dem Smartphone schnell gemacht. Eine lokale KI verschlagwortet sie anhand des Inhalts – direkt auf dem NAS ohne leistungsfähige Grafikkarte.

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Wir zeigen, welche Smart-Home-Lösung sich für wen lohnt: Amazons Echo Hub für 200 Euro oder die kostenlose Smart-Home-Software Home Assistant.

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Da ihre Vorgängerin nur in geringen Stückzahlen erhältlich war, sind viele Fotografen gespannt auf die neue Edelkompakte Fujifilm X100VI.

Virtualisierungsoftware: Alternativen zu VMware

VMware ist vielen Bereichen nicht mehr das Maß der Dinge. Wir sehen uns die spannendsten Alternativen an, von denen viele sogar kostenlos oder Open Source sind.

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

Mobilprozessoren rechnen dank KI-Beschleunigern, Hybrid-Kernen und Chiplet-Aufbau immer schneller und effizienter. Wir helfen, den passenden Chip zu finden.

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann

Fotos sind mit dem Smartphone schnell gemacht. Eine lokale KI verschlagwortet sie anhand des Inhalts – direkt auf dem NAS ohne leistungsfähige Grafikkarte.

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Wir zeigen, welche Smart-Home-Lösung sich für wen lohnt: Amazons Echo Hub für 200 Euro oder die kostenlose Smart-Home-Software Home Assistant.

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Da ihre Vorgängerin nur in geringen Stückzahlen erhältlich war, sind viele Fotografen gespannt auf die neue Edelkompakte Fujifilm X100VI.

Virtualisierungsoftware: Alternativen zu VMware

VMware ist vielen Bereichen nicht mehr das Maß der Dinge. Wir sehen uns die spannendsten Alternativen an, von denen viele sogar kostenlos oder Open Source sind.

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

Mobilprozessoren rechnen dank KI-Beschleunigern, Hybrid-Kernen und Chiplet-Aufbau immer schneller und effizienter. Wir helfen, den passenden Chip zu finden.

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

OPNsense-Firewall als TLS-Inspektor einrichten

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Virtualisierungsoftware: Alternativen zu VMware

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Virtualisierungsoftware: Alternativen zu VMware

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.