Tavani Fabian
Firewall Migration von FortiGate auf pfSense
Durchführung: 13.03.2017 bis 13.04.2017
Ausgangslage
Die BERNINA hat in den schweizweiten Shops bisher auf die Firewalls des Herstellers Fortinet gesetzt.
Die Firewalls sind im ganzen Shop für die Effizienz gegen Angreifer und Eindringlinge,
sowie für eine verschlüsselte Anbindung an der Hauptfiliale in Steckborn zuständig.
Die Anbindung dient den Mitarbeitern, welche Dienste von der BERNINA beziehen.
Die Zeit ist gekommen, die alten Firewalls abzulösen.
Aus diesem Grund, entstand mein Pilotprojekt «Firewall Migration von FortiGate auf pfSense».
Warum keine Fortinet Firewall mehr?
Die Fortinet-Serie hat in den letzten Jahren in der BERNINA mehre Probleme verursacht.
Nebst dem, bringen diese Firewalls hohe Einkaufskosten und auch weitere Kosten für zusätzliche Erweiterungen,
wie z.B. das blockieren von unangemessenen Webseiten mit sich.
Was ist die pfSense?
Die pfSense ist eine Open Source Firewall. Momentan geraten sogenannte «Open Source» Firewalls in den Vordergrund.
Als «Open Source» wird eine Software bezeichnet, dessen Quelltext öffentlich bekannt ist und eingesehen werden kann.
Nach einigen Recherchen, ist die BERNINA auf die Open Source Firewall pfSense gestossen, welche kostenlos zur Verfügung steht.
Es muss nur die Hardware gekauft werden. Dadurch ist die pfSense ein günstiges und ideales Pilotprojekt.
Auftrag
Der IPA-Auftrag lautet, die pfSense-Firewall mit der alten Firewall zu vergleichen und die Entscheidungspunkte,
welche für das Pilotprojekt sprechen zu schildern. Es folgt eine Analyse der derzeitigen FortiGate40c-Firewall im Shop Wil und deren Konfiguration.
Diese wird auf der pfSense-Firewall übernommen und im Vorhinein angepasst und verbessert,
um den Austausch und den dazu gebundenen Netzwerkunterbruch im BERNINA-Shop in Wil möglichst kurz zu halten.
Zusätzlich wird die pfSense-Firewall wie im Vorhinein, an die Hauptfiliale in Steckborn angebunden,
um die Dienste und Service der Hauptfiliale in Steckborn anbieten zu können.
Welche Dienste und Services?
Der Shop muss die vereinbarten Services wie gewohnt wieder einwandfrei nutzen können. Darunter zählen:
- Internetzugang
- Kreditkartensystem/Kasse muss wieder Online sein
- Verschlüsselte Anbindung (VPN-Tunnel Wil-Steckborn) für...
...den Remote Zugriff auf unsere Server
...Zugriff auf den internen E-Mail Server der BERNINA
...die Überwachung des Zustands der Firewall
...das Scan-to-Mail welches sie benötigen
- den neuen Webfilter, welcher unangemessene Seiten blockiert
Nicht direkt ein Bedürfnis des Shops, jedoch wichtig zu erwähnen, ist der Zugriff auf die Firewall,
welcher nur durch die IT-Abteilung der BERNINA stattfindet.
Ergebnis
Der Austausch der Firewall wurde erfolgreich durchgeführt. Alle Dienste und Services sind funktionsfähig.
Die verschlüsselte Anbindung (VPN) an den BERNINA-Hauptsitz in Steckborn ist erfolgreich aufgebaut worden.
Im Falle eines Roll-Outs, wurde eine Installationsanleitung für das BERNINA IT-Team erstellt.
Diese soll den Mitarbeitern helfen die pfSense einfacher und schneller in den Shops integrieren zu können.
Eine einfache Benutzeranleitung wurde für die Shop Mitarbeiter erstellt, um beim möglichen Ausfall der pfSense,
die alte Firewall (FortiGate40) ohne Unklarheiten austauschen zu können.
Ausblick
Zukünftig gib es viele Möglichkeiten die pfSense zu erweitern,
wie z.B. die Internetbelastung zwischen der verschlüsselten Anbindung
und dem Internet auszugleichen oder ein Packet installieren,
welches die Auslastungsstatistik grafisch darstellt.
Das Pilotprojekt war ein voller Erfolg und wird weiterverfolgt.
Die BERNINA hat den Austausch der alten Firewalls schweizweit in allen Shops geplant
und ist zuversichtlich, dass dieser genau so reibungslos verläuft wie das Pilotprojekt.