Eine klassische Firewall arbeitet auf den Schichten 3 und 4 des OSI-Modells — sie filtert nach IP-Adressen und Ports. Moderne Bedrohungen erfordern jedoch Deep Packet Inspection (DPI) auf Anwendungsebene. Zenarmor (ehemals Sensei, entwickelt von Sunny Valley Networks) erweitert OPNsense um genau diese Fähigkeit und macht aus der Open-Source-Firewall eine vollwertige Next-Generation Firewall (NGFW).
Was Zenarmor bietet
Zenarmor ergänzt OPNsense um vier zentrale NGFW-Funktionen:
- Application Control: Erkennung und Steuerung von über 700 Anwendungen und Protokollen
- Web Filtering: Kategoriebasierte URL-Filterung mit über 120 Kategorien
- TLS Inspection: Analyse verschlüsselter Verbindungen (optional)
- Reporting & Analytics: Echtzeit-Dashboard mit Verkehrsanalyse
Im Gegensatz zu kommerziellen NGFW-Appliances von Fortinet, Palo Alto oder Sophos läuft Zenarmor auf Standard-Hardware als Plugin für OPNsense.
Installation
Systemvoraussetzungen
Zenarmor benötigt zusätzliche Ressourcen gegenüber einer Standard-OPNsense-Installation:
| Durchsatz | CPU | RAM | Disk |
|---|---|---|---|
| Bis 100 Mbit/s | 2 Kerne | 4 GB | 60 GB SSD |
| Bis 500 Mbit/s | 4 Kerne | 8 GB | 120 GB SSD |
| Bis 1 Gbit/s | 8 Kerne | 16 GB | 250 GB SSD |
| Bis 10 Gbit/s | 16+ Kerne | 32 GB | 500 GB NVMe |
Die Festplatte muss schnell genug sein, um die Verkehrsdaten in Echtzeit zu speichern. Eine SSD ist Pflicht — HDDs verursachen Engpässe bei der DPI-Analyse.
Plugin installieren
OPNsense Web-GUI:
System > Firmware > Plugins
→ os-zenarmor installierenNach der Installation erscheint im Menü der neue Punkt Zenarmor. Der Ersteinrichtungsassistent führt durch die Konfiguration:
- Datenbank-Backend wählen: SQLite (klein), MongoDB (mittel) oder Elasticsearch (groß)
- Interfaces auswählen: Welche Netzwerk-Interfaces soll Zenarmor überwachen
- Deployment-Modus: Routed, Bridge oder Netmap
- Cloud-Verbindung: Für Threat Intelligence und Kategorie-Updates
Deployment-Modi
| Modus | Beschreibung | Empfehlung |
|---|---|---|
| Routed (L3) | Integration in die OPNsense-Routing-Pipeline | Standard für die meisten Setups |
| Bridge (L2) | Transparenter Bridge-Modus | Wenn OPNsense als Bridge arbeitet |
| Netmap | Kernel-Bypass für maximale Performance | Nur für 10G+ Umgebungen |
Für die meisten Installationen ist der Routed-Modus die richtige Wahl. Er integriert sich nahtlos in die bestehende OPNsense-Konfiguration.
Application Control
Application Control ist das Herzstück einer NGFW. Zenarmor erkennt Anwendungen anhand von DPI-Signaturen — unabhängig vom verwendeten Port.
Anwendungskategorien
Zenarmor gruppiert Anwendungen in Kategorien:
- Business: Microsoft 365, Salesforce, SAP
- Cloud Storage: Dropbox, Google Drive, OneDrive
- Social Media: Facebook, Instagram, TikTok, LinkedIn
- Streaming: Netflix, YouTube, Spotify, Twitch
- Remote Access: TeamViewer, AnyDesk, RDP
- VPN/Proxy: NordVPN, ExpressVPN, Tor
- Gaming: Steam, Epic Games, PlayStation Network
Policies erstellen
Policies werden unter Zenarmor > Policies konfiguriert:
Policy: "Arbeitsplatz-Standard"
├── Ziel: LAN-Interface (192.168.1.0/24)
├── Application Control:
│ ├── Block: Torrent-Clients, VPN-Dienste, Gaming
│ ├── Allow: Microsoft 365, Google Workspace
│ └── Throttle: Streaming (Max 10 Mbit/s)
├── Web Filtering:
│ ├── Block: Malware, Phishing, Adult Content
│ └── Warn: Social Media (User kann bestätigen)
└── Schedule: Mo-Fr 08:00-18:00Policies können zeitgesteuert aktiviert werden — etwa strenge Regeln während der Arbeitszeit und gelockerte Regeln nach Feierabend.
Ausnahmen definieren
Nicht jede Anwendung lässt sich pauschal blockieren. Für bestimmte Hosts oder Benutzergruppen können Ausnahmen definiert werden:
Ausnahme: "IT-Abteilung"
├── Source: 192.168.1.200-192.168.1.210
├── Bypass: VPN-Dienste (für Remote-Zugriff)
└── Bypass: Remote Access Tools (für Support)Web Filtering
Web Filtering ergänzt Application Control um URL-basierte Kategorisierung. Zenarmor bezieht seine Kategorie-Daten aus der Sunny Valley Cloud-Datenbank, die über 500 Millionen URLs umfasst.
Filterkategorien konfigurieren
Die wichtigsten Kategorien für Unternehmen:
| Kategorie | Aktion | Begründung |
|---|---|---|
| Malware & Phishing | Block | Schutz vor Schadsoftware |
| Command & Control | Block | Botnet-Kommunikation unterbinden |
| Newly Registered Domains | Block | Häufig für Phishing genutzt |
| Adult Content | Block | Compliance |
| Gambling | Block | Compliance |
| Social Media | Warn | Produktivität (mit Bestätigung) |
| Streaming | Throttle | Bandbreitenmanagement |
Custom Block- und Allow-Listen
Eigene Listen können als Ergänzung definiert werden:
Custom Blocklist:
- *.example-malware.com
- suspicious-domain.net
Custom Allowlist:
- partner-portal.example.com
- *.company-internal.deTLS Inspection
Über 90 Prozent des Web-Traffics ist heute verschlüsselt. Ohne TLS Inspection sieht die Firewall nur die SNI-Information (Server Name Indication) — den Hostnamen. Der eigentliche Inhalt bleibt verborgen.
Funktionsweise
TLS Inspection arbeitet als Man-in-the-Middle (MitM):
- Client verbindet sich mit Zenarmor (denkt, es ist der Server)
- Zenarmor entschlüsselt den Traffic
- DPI-Analyse des Inhalts
- Zenarmor verschlüsselt erneut und leitet an den Server weiter
Voraussetzungen
- Eigene CA (Certificate Authority): Zenarmor generiert eine CA, deren Zertifikat auf allen Clients installiert werden muss
- Erhöhte CPU-Last: TLS-Entschlüsselung ist rechenintensiv
- Rechtliche Klärung: In vielen Ländern muss TLS Inspection den Mitarbeitern kommuniziert werden
Zenarmor > TLS Inspection > Settings:
├── CA Certificate: Generate New CA
├── Interfaces: LAN
├── Bypass: Banking-Domains, Gesundheitsportale
└── Bypass: Certificate-Pinned ApplicationsAusnahmen für TLS Inspection
Bestimmte Verbindungen sollten von der TLS Inspection ausgenommen werden:
- Banking-Websites: Regulatorische Anforderungen
- Gesundheitsportale: Datenschutz
- Certificate-Pinned Apps: Funktionieren nicht mit MitM (z. B. Windows Update, Apple Services)
- VPN-Verbindungen: Unternehmens-VPN-Traffic
Reporting und Analytics
Zenarmor bietet ein umfangreiches Echtzeit-Dashboard:
Live-Sessions
Unter Zenarmor > Status > Live Sessions werden alle aktiven Verbindungen mit folgenden Informationen angezeigt:
- Quell- und Ziel-IP
- Erkannte Anwendung
- Übertragenes Datenvolumen
- Verbindungsdauer
- Policy-Entscheidung (Allow/Block/Warn)
Reports
Die Reporting-Funktion bietet vorkonfigurierte Berichte:
- Top Applications: Meistgenutzte Anwendungen nach Volumen
- Top Domains: Meistbesuchte Websites
- Blocked Threats: Abgewehrte Bedrohungen
- User Activity: Aktivität pro Client-IP
- Bandwidth Usage: Bandbreitenverbrauch über Zeit
Reports können als PDF exportiert oder per E-Mail automatisch versendet werden (Business Edition).
Free vs Business Edition
| Feature | Free | Business |
|---|---|---|
| Application Control | Ja | Ja |
| Web Filtering | Basis (30 Kategorien) | Voll (120+ Kategorien) |
| TLS Inspection | Nein | Ja |
| Reports | Echtzeit-Dashboard | + Historische Reports, PDF-Export |
| Scheduled Reports | Nein | Ja (E-Mail) |
| Active Directory Integration | Nein | Ja |
| Policy Scheduling | Nein | Ja |
| Support | Community | Kommerzieller Support |
| Cloud Threat Intelligence | Basis | Premium-Feeds |
Für Unternehmen ist die Business Edition empfehlenswert. Sie bietet TLS Inspection, Active Directory Integration und kommerziellen Support. Die Free Edition eignet sich für Heimanwender und kleine Büros, die grundlegende Application Control benötigen.
Performance-Optimierung
Datenbank-Backend
Für Umgebungen mit mehr als 50 Clients sollte Elasticsearch als Backend gewählt werden:
# Elasticsearch-Status prüfen (auf der OPNsense-Shell)
curl -s localhost:9200/_cluster/health?pretty
# Index-Größe prüfen
curl -s localhost:9200/_cat/indices?v | grep zenarmorInterface-Tuning
Zenarmor > Settings > Advanced:
├── Engine Workers: Auto (oder Anzahl CPU-Kerne - 1)
├── Connection Timeout: 3600 Sekunden
├── DNS Caching: Aktiviert
└── Bypass Local Traffic: AktiviertLokalen Traffic (RFC1918 zu RFC1918) von der DPI-Analyse auszunehmen reduziert die CPU-Last erheblich, da internes Routing nicht inspiziert werden muss.
Fazit
Zenarmor verwandelt OPNsense in eine leistungsfähige Next-Generation Firewall. Application Control und Web Filtering bieten Transparenz und Kontrolle über den Netzwerkverkehr, die mit einer klassischen Firewall nicht möglich sind. Die Free Edition ist ein guter Einstieg, für professionelle Umgebungen empfiehlt sich die Business Edition mit TLS Inspection und Active Directory Integration. Wer die Kosten kommerzieller NGFW-Appliances scheut, findet in der Kombination OPNsense + Zenarmor eine kosteneffiziente Alternative auf Standard-Hardware.
Mehr zu diesen Themen:
Weitere Artikel
Backup-Strategie für KMU: Proxmox PBS + TrueNAS als zuverlässiges Backup-Konzept
Backup-Strategie für KMU mit Proxmox PBS und TrueNAS: 3-2-1-Regel umsetzen, PBS als primäres Backup-Target, TrueNAS-Replikation als Offsite-Kopie, Retention Policies und automatisierte Restore-Tests.
OPNsense Suricata Custom Rules: Eigene IDS/IPS-Signaturen schreiben und optimieren
Suricata Custom Rules auf OPNsense: Rule-Syntax, eigene Signaturen für interne Services, Performance-Tuning, Suppress-Lists und EVE-JSON-Logging.
Proxmox Cluster-Netzwerk richtig planen: Corosync, Migration, Storage und Management
Proxmox Cluster-Netzwerk designen: Corosync-Ring, Migration-Network, Storage-Network für Ceph/iSCSI, Management-VLAN, Bonding/LACP und MTU 9000 — mit Beispiel-Topologien.