OPNsense-Firewall als TLS-Inspektor einrichten

Firewall-Distributionen wie OPNsense können verschlüsselten Webverkehr analysieren und so das LAN vor Trojanern und anderer Malware schützen. Eine Anleitung.

Lesezeit: 13 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 13 Beiträge
, Michael Vogt

(Bild: Michael Vogt)

Von
  • Markus Stubbig
Inhaltsverzeichnis
Mehr zu Open Source und Firewall

Wer Webdownloads auf Malware prüfen möchte, muss die HTTPS-Verschlüsselung aufbrechen. Diese TLS-Inspektion ist technisch zwar nicht trivial, aber zum Glück bringen moderne Firewall-Distributionen die dafür nötigen Funktionen bereits mit.

Wir zeigen am Beispiel von OPNsense, wie man einen Web-Proxy mit TLS-Inspektion einrichtet. Dabei gehen wir davon aus, dass OPNsense bereits installiert und für den Betrieb als Dualstack-Router eingerichtet ist. Sichern Sie diesen Zustand über System/Konfigurationen/Sicherungen auf Ihren PC. Das macht den Neuanfang leichter, falls Sie im Folgenden an irgendeiner Stelle versehentlich falsch abbiegen.

Das Modem hängt an einer der Netzwerkschnittstellen der Firewall und stellt die Internetverbindung her; alternativ kommt sie von einem vorgelagerten Router wie etwa einer Fritzbox. Die zweite Firewall-Schnittstelle führt über einen Switch ins LAN und versorgt die dortigen Clients mit dem Internetzugang, gegebenenfalls auch drahtlos über WLAN-Access-Points.