Sie müssen kein ICT Security Spezialist sein um dieser Tage zu wissen, dass Ihre mit dem Internet verbundenen Geräte nicht gerade für ihre herausragende Sicherheit bekannt sind. Durchsuchen Sie das Netz mal nach Home Router Vulnerabilities und sie werden mehr als genug Daten dazu finden:

• The Hacker News
• Threat Post
• Security Evaluators
• ReadWrite

Diese Liste könnte ich jetzt schier endlos weiterführen und ich sehe nicht, wie sich das in Zukunft verbessern wird. Ihr Internet Service Provider (Kabel, xDSL, EDGE/G3/LTE) will Ihnen Netzwerkzugang und Funktionalität (WLAN, IPVOICE) geben und das alles in einem kleinen Gerät verpacken, dass dann oft auch noch gratis ist. Damit soll ein möglichst konkurrenzfähiges Angebot geschaffen werden. Denken Sie mal über die kleine Kiste in ihrem Wohnzimmer nach: Hat es da wohl Platz für die Sicherheit? Und ich meine echte Sicherheit. Raten Sie mal. Wenn Sie sich um Ihre digitalen Inhalte im Haushalt sorgen, dann sollten Sie ihre interne Infrastruktur gleich nach dem Erhalt des Routers Ihres Providers absichern. Eine Open-Source Firewall auf einem alten PC würde eigentlich genügen, aber die Mehrheit von uns haben es mit einer Installation im Wohnzimmer zu tun. Oder irgendwo, wo wir keine grossen und lauten Computer herumstehen haben wollen. Zudem ist der Stromverbrauch einer solchen Anlage nicht zu unterschätzen.

Das Dedicated Home Firewall Project

Beginnen wir also mit dem Bau einer personal firewall appliance. Um dieses Gerät in unserem Sicherheitskonzept funktional betreiben zu können, muss es folgende Punkte erfüllen:

• Leise – Keine Ventilatoren oder sonstige Lärmemissionen
• Klein – Das Gerät muss überall verstaut werden können
• Stromeffizient – An einem heissen Sommertag soll das Gerät nicht überhitzen und einschmelzen
• Verbunden – Das Gerät soll zwischen zwei und vier Netzwerkschnittstellen haben

Das ist so in etwa das Gerät eines Internet Providers. Unseres hat aber einen kleinen Unterschied: Es kostet mehr. Sicherheit wird immer etwas teurer sein. Dennoch setzen wir uns eine Limite von 200 CHF oder Dollar.

Implementieren wir also folgendes Netzwerkdesign:

Ich habe da ein nettes custom made Gerät gefunden, dass all diese Anforderungen erfüllt. Es wird von einer kleinen Schweizer Firma namens PC Engines hergestellt. PC Engines hat mehrere Modelle im Angebot, die auf eine Vielzahl von Projekten passen. Für unser Projekt kommt aber ein Gerät namens APU in Frage. APU hat die Grösse einer kleinen Pralinenschachtel und passt so ziemlich in jede Ecke. Die Technologie im Innern:

• CPU: AMD G series T40E, 1 GHz dual Bobcat core mit 64 bit Support, 32K data + 32K instruction + 512K L2 cache pro core
• DRAM: 2 oder 4 GB DDR3-1066 DRAM
• Storage: Boot von SD card (via USB), externe USB oder m-SATA SSD. 1 SATA + power connector
• 12V DC, zwischen 6 und 12W, je nach CPU load
• Verbindung: 3 Gigabit Ethernet channels (Realtek RTL8111E)
• I/O: DB9 serial port, 2 USB extern + 2 intern, drei LEDs vorne, Knopf
• Expansion: 2 miniPCI express (einer mit SIM socket), LPC bus, GPIO header, I2C bus, COM2 (3.3V RXD / TXD)
• Grösse: 6 × 6 inch (152.4 × 152.4 mm)
• Kühlung: Conductive Cooling von CPU und South Bridge in das Gehäuse mit 3mm Aluminium Hitzeleiter (im Lieferumfang inbegriffen).

Eine detailliertere Dokumentation ist hier zu finden.

Diese Spezifikation ist recht erstaunlich. Wir können die selbe Hardware für eine Vielzahl anderer interessanter Projekte einsetzen: Im Bereiche der Automatisierung des Eigenheims, NMS, Netzwerkanalyse und noch viel mehr. Wir aber bleiben bei unserem Firewallprojekt, dass alle Features für ein Heimnetzwerk bietet und sogar für ein kleines bis mittelgrosses Unternehmen passen würde. Die benötigten Komponenten:

4GB RAM Appliance

Optionale Teile

Alternative 2GB RAM Appliance

Die Hardware Appliance ist eigentlich ein ganz normaler x64 PC ohne Grafikkarte. Daher können sie eine Vielzahl Betriebssystem darauf installieren. Unter anderem Linux, FreeBSD, OpenBSD. Aber das Betriebssystem muss den Konsolenoutput direkt auf den Serial Port leiten.

Firewall Software

In Punkto Firewall Software empfehle ich eine auf FreeBSD basierende open source Firewall Distribution namens OPNsense. Die Features und die Architektur können auf OPNsenses Website eingesehen werden. Meine Meinung, weshalb OPNSense die beste Lösung ist:

• Basiert auf FreeBSD, daher sehr effizient für solche Hardwarelösungen
• Firewall basiert auf OpenBSD Packet Filter, daher einer der besten Sicherheitsmodelle
• BSD-artige Lizenz
• Die Mission des Projekts an sich
• Schönes und sauberes User Interface
• Starke Features
• Einfach einzurichten

Vorbereitung der Appliance

Sobald wir die Hardware haben, können wir mit dem Bau beginnen. Ich kann die Anleitungen auf PCEngine.ch wärmstens empfehlen.

Für das Setup benötigen wir:

• USB Stick oder SD Card mit mindestens 1GB Speicher
• Serial Terminal Programm
• Null Modem Serial Cable mit DB9 Connector
• PC/Laptop mit Serial Port oder USB-zu-Serial Konverter

Vorbereitung der Installationsmedien

Die folgenden Schritte habe ich in Linux gemacht. Sie können aber Ihr bevorzugtes Betriebssystem verwenden.

• Beschaffung der OPNsense Installationsbinaries:

wget http://sourceforge.net/projects/opnsense/files/15.1.7/OPNsense-15.1.7-serial-amd64.img.bz2
wget http://sourceforge.net/projects/opnsense/files/15.1.7/OPNsense-15.1.7-checksums-amd64.sha256

• Verifikation der Integrität der Binaries unter anderem in Hinblick auf den NSA-Skandal

root@blacknovo:~/Downloads# cat OPNsense-15.1.7-checksums-amd64.sha256
SHA256 (OPNsense-15.1.7-cdrom-amd64.iso.bz2) = e46bb9acd010977d24d862bbe0a85ebfbdcc42dd633851056ad52402bec4b119
SHA256 (OPNsense-15.1.7-serial-amd64.img.bz2) = 869e985fc21d083e2530a81e96eb274caf753b4b9db33d04bda86d4e427a240a
SHA256 (OPNsense-15.1.7-vga-amd64.img.bz2) = b9c71b431cf2ffa399da6a7b11f50d971f7c1747512e794bb7e930dde6d5daeb

root@blacknovo:~/Downloads# sha256sum OPNsense-15.1.7-serial-amd64.img.bz2
869e985fc21d083e2530a81e96eb274caf753b4b9db33d04bda86d4e427a240a  OPNsense-15.1.7-serial-amd64.img.bz2

• Entpacken der komprimierten Binary

root@blacknovo:~/Downloads# bunzip2 OPNsense-15.1.7-serial-amd64.img.bz2

• Einsetzen des Installationsspeichers (SD Card oder USB Stick). Auszug aus dmesg:

...
[1777015.998438] sd 6:0:0:0: [sdb] 1984000 512-byte logical blocks: (1.01 GB/968 MiB)
[1777016.007803]  sdb: sdb1
[1777016.425180] FAT-fs (sdb1): utf8 is not a recommended IO charset for FAT filesystems, filesystem will be case sensitive!
[1777016.429920] FAT-fs (sdb1): Volume was not properly unmounted. Some data may be corrupt. Please run fsck.
...

• fdisk -l-Verifikation, dass der Speicher erkannt wird

Disk /dev/sdb: 1015 MB, 1015808000 bytes
255 heads, 63 sectors/track, 123 cylinders, total 1984000 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000

   Device Boot      Start         End      Blocks   Id  System
/dev/sdb1   *           2     1983999      991999    b  W95 FAT32

• Schreiben des Images auf den Installationsspeicher. Achtung: Verifizieren Sie den Installationsspeicher zweimal. Ich habe Sie gewarnt.

root@blacknovo:~/Downloads#  dd if=./OPNsense-15.1.7-serial-amd64.img of=/dev/sdb bs=16K
39069+0 records in
39069+0 records out
640106496 bytes (640 MB) copied, 86.1828 s, 7.4 MB/s

• Überprüfung mit fdisk -l:

Disk /dev/sdb: 1015 MB, 1015808000 bytes
255 heads, 63 sectors/track, 123 cylinders, total 1984000 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x90909090

   Device Boot      Start         End      Blocks   Id  System
/dev/sdb4   *           0       49999       25000   a5  FreeBSD

• Sicherstellung, dass auf dem Installationsspeicher eine FreeBSD-Partition vorhanden ist.

Konfiguration des Terminal Console Environments

Bei der Konfiguration des Terminal Console Environment benötigen Sie einen PC oder einen Laptop mit Serial Port oder einem USB to Serial adapter. Starten Sie Ihr Terminal Console Programm und setzen sie den Modus 115200,8,N,1 will heissen: 115200 baud, 8 bit, parity None, stop-bit 1. Ich benutze Minicom in einer privilegierten Linux Terminal Session. Meine Konfigurationsschritte:

• Tippen Sie minicom -s um in den Setupmodus zu gelangen
• Wählen Sie das Serial Port Setup aus
• Geben Sie e ein
• Geben sie e für 115200 baud ein, lassen Sie den Rest auf den Standardeinstellungen

   +-----------------+---------[Comm Parameters]----------+----------------+
    | A -    Serial De|                                    |                |
    | B - Lockfile Loc|     Current: 115200 8N1            |                |
    | C -   Callin Pro| Speed            Parity      Data  |                |
    | D -  Callout Pro| A: <next>        L: None     S: 5  |                |
    | E -    Bps/Par/B| B: <prev>        M: Even     T: 6  |                |
    | F - Hardware Flo| C:   9600        N: Odd      U: 7  |                |
    | G - Software Flo| D:  38400        O: Mark     V: 8  |                |
    |                 | E: 115200        P: Space          |                |
    |    Change which |                                    |                |
    +-----------------| Stopbits                           |----------------+
            | Screen a| W: 1             Q: 8-N-1          |
            | Save set| X: 2             R: 7-E-1          |
            | Save set|                                    |
            | Exit    |                                    |
            | Exit fro| Choice, or <Enter> to exit?        |
            +---------+------------------------------------+

• Drücken Sie Enter
• Wählen Sie das Gerät aus und tippen Sie e
• Wenn Sie einen USB-Konverter verwenden, dann wäre das Gerät /dev/ttyUSB0 oder /dev/ttyUSB1. Überprüfen Sie das mit dmesg wenn Sie unsicher sind. Wählen Sie sonst das seriell angeschlossene Gerät, wahrscheinlich /dev/ttyS0 oder /dev/ttyS1

    +-----------------------------------------------------------------------+
    | A -    Serial Device      : /dev/ttyUSB0                              |
    | B - Lockfile Location     : /var/lock                                 |
    | C -   Callin Program      :                                           |
    | D -  Callout Program      :                                           |
    | E -    Bps/Par/Bits       : 115200 8N1                                |
    | F - Hardware Flow Control : Yes                                       |
    | G - Software Flow Control : No                                        |
    |                                                                       |
    |    Change which setting?                                              |
    +-----------------------------------------------------------------------+

• Bestätigen Sie mit Enter
• Verlassen Sie das Submenu mit Enter
• Speichern Sie das Setup als Default (dfl)
• Wählen Sie Exit

Sie sollten unten im Terminalfenster folgende Zeile sehen.

[CTRL-A Z for help |115200 8N1 | NOR | Minicom 2.6.1  | VT102 |      Offline ]

Installation von OPNsense

Starten Sie nun das APU Board.

• Verbinden Sie den APU Serial Port mit Ihrem PC oder Laptop über das Null-Modem-Kabel
• Setzen Sie die OPNsense-Installation ins APU Board ein. Das ist der USB Stick oder die SD Card.
• Schliessen Sie den Strom an den Board Connector an.
• Stecken sie den Wandstecker in die Steckdose ein.

Nun sollten Sie folgenden BIOS POST sehen:

PC Engines APU BIOS build date: Apr  5 2014
Reading data from file [bootorder]
SeaBIOS (version ?-20140405_120742-frink)
SeaBIOS (version ?-20140405_120742-frink)
Found coreboot cbmem console @ df150400
Found mainboard PC Engines APU
Relocating init from 0x000e8e71 to 0xdf1065e0 (size 39259)
Found CBFS header at 0xfffffb90
found file "bootorder" in cbmem
CPU Mhz=1001
Found 27 PCI devices (max PCI bus is 05)
Copying PIR from 0xdf160400 to 0x000f27a0
Copying MPTABLE from 0xdf161400/df161410 to 0x000f25b0 with length 1ec
Copying ACPI RSDP from 0xdf162400 to 0x000f2590
Copying SMBIOS entry point from 0xdf16d800 to 0x000f2570
Using pmtimer, ioport 0x808
Scan for VGA option rom
EHCI init on dev 00:12.2 (regs=0xf7f08420)
Found 1 lpt ports
Found 2 serial ports
AHCI controller at 11.0, iobase f7f08000, irq 11
EHCI init on dev 00:13.2 (regs=0xf7f08520)
EHCI init on dev 00:16.2 (regs=0xf7f08620)
Searching bootorder for: /pci@i0cf8/*@11/drive@0/disk@0
AHCI/0: registering: "AHCI/0: SATA SSD ATA-10 Hard-Disk (15272 MiBytes)"
Searching bootorder for: /rom@img/setup
Searching bootorder for: /rom@img/memtest
OHCI init on dev 00:12.0 (regs=0xf7f04000)
OHCI init on dev 00:13.0 (regs=0xf7f05000)
OHCI init on dev 00:14.5 (regs=0xf7f06000)
OHCI init on dev 00:16.0 (regs=0xf7f07000)
Searching bootorder for: /pci@i0cf8/usb@16,2/storage@1/*@0/*@0,0
Searching bootorder for: /pci@i0cf8/usb@16,2/usb-*@1
USB MSC vendor='Multiple' product='Card  Reader' rev='1.00' type=0 removable=1
USB MSC blksize=512 sectors=1984000
All threads complete.
Scan for option roms
Running option rom at c000:0003

iPXE (http://ipxe.org) 00:00.0 C000 PCI2.10 PnP PMMpmm call arg1=1
pmm call arg1=0
+DF0E94B0pmm call arg1=1
pmm call arg1=0
+DF0494B0 C000

Searching bootorder for: /rom@genroms/pxeboot.rom

Build date: Apr  5 2014
System memory size: 4592 MB

Press F12 for boot menu.

• Wird der Installationsspeicher erkannt, sehen sie folgenden FreeBSD Welcome Screen:

  ______               ____   _____ _____
 |  ____|             |  _ \ / ____|  __ \
 | |___ _ __ ___  ___ | |_) | (___ | |  | |
 |  ___| '__/ _ \/ _ \|  _ < \___ \| |  | |
 | |   | | |  __/  __/| |_) |____) | |__| |
 | |   | | |    |    ||     |      |      |
 |_|   |_|  \___|\___||____/|_____/|_____/    ```                        `
                                             s` `.....---.......--.```   -/
 +------------Welcome to FreeBSD-----------+ +o   .--`         /y:`      +.
 |                                         |  yo`:.            :o      `+-
 |  1. Boot Multi User [Enter]             |   y/               -/`   -o/
 |  2. Boot [S]ingle User                  |  .-                  ::/sy+:.
 |  3. [Esc]ape to loader prompt           |  /                     `--  /
 |  4. Reboot                              | `:                          :`
 |                                         | `:                          :`
 |  Options:                               |  /                          /
 |  5. [K]ernel: kernel (1 of 2)           |  .-                        -.
 |  6. Configure Boot [O]ptions...         |   --                      -.
 |                                         |    `:`                  `:`
 |                                         |      .--             `--.
 |                                         |         .---.....----.
 +-----------------------------------------+

• Nach einigen Sekunden wird das System das Installationsmenü anzeigen:

/boot/kernel/kernel text=0x11ae738 data=0x6d65b0+0x215440 syms=[0x8+0x1720b0+0x
Booting...
KDB: debugger backends: ddb
KDB: current backend: ddb
Copyright (c) 1992-2014 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
        The Regents of the University of California. All rights reserved.
FreeBSD is a registered trademark of The FreeBSD Foundation.
FreeBSD 10.1-RELEASE-p6 #0 5aa5ada(master): Thu Feb 26 16:26:03 CET 2015
    root@sensey64:/usr/obj/usr/src/sys/SMP amd64
FreeBSD clang version 3.4.1 (tags/RELEASE_34/dot1-final 208032) 20140512
....

• Es folgt das ASCII-Installationsmenü:

Waiting for backend...


                   =========== Configure Console ===========
                   |                                       |
                   | Your selected environment uses the    |
                   | following console settings, shown in  |
                   | parentheses. Select any that you wish |
                   | to change.                            |
                   |                                       |
                   | < Accept these Settings >             |
                   | < Change Video Font (default) >       |
                   | < Change Screenmap (default) >        |
                   | < Change Keymap (default) >           |
                   =========================================

• Akzeptieren Sie die Default Settings

                       < Quick/Easy Install >


                  ============== Are you SURE? ==============
                  |                                         |
                  | Easy Install will automatically install |
                  | without asking any questions.           |
                  |                                         |
                  | WARNING: This will erase all contents   |
                  | in your first hard disk! This action is |
                  | irreversible. Do you really want to     |
                  | continue?                               |
                  |                                         |
                  | If you wish to have more control on     |
                  | your setup, choose Custom Installation  |
                  | from the Main Menu.                     |
                  |                                         |
                  |           < OK >  < Cancel >            |
                  ===========================================

• Wählen Sie OK. Die Installation wird vollzogen und das LED nahe der mSATA-Karte wird blinken, da Daten geschrieben werden
• Nach der Installation sehen Sie:

                   ================= Reboot ================
                   |                                       |
                   | This machine is about to be shut down.|
                   | After the machine has reached its     |
                   | shutdown state, you may remove the CD |
                   | from the CD-ROM drive tray and press  |
                   | Enter to reboot from the HDD.         |
                   |                                       |
                   | < Reboot >  < Return to Select Task > |
                   =========================================

• Wählen Sie reboot und entfernen Sie den Installationsspeicher
• Es folgt eine Mitteilung:

After the reboot is complete, open a web browser and
enter https://192.168.1.1 (or the LAN IP Address) in the
location bar.

You might need to acknowledge the HTTPS certificate if
your browser reports it as untrusted. This is normal
as a self-signed certificate is used by default.

*DEFAULT Username*: root
*DEFAULT Password*: opnsense

Rebooting in 5 seconds. CTRL-C to abort.

• Nach dem Neustart sehen Sie das initiale Konfigurationsmenü:

F1  FreeBSD

F6 PXE
Boot:  F1

...
...
...

Loading configuration...done.

Default interfaces not found -- Running interface assignment option.

Valid interfaces are:

re0    00:0d:b9:37:12:bc   (up) RealTek 8168/8111 B/C/CP/D/DP/E/F/G PCIe Gigabit Ethernet
re1    00:0d:b9:37:12:bd   (up) RealTek 8168/8111 B/C/CP/D/DP/E/F/G PCIe Gigabit Ethernet
re2    00:0d:b9:37:12:be   (up) RealTek 8168/8111 B/C/CP/D/DP/E/F/G PCIe Gigabit Ethernet

Do you want to set up VLANs first?

If you are not going to use VLANs, or only for optional interfaces, you should
say no here and use the webConfigurator to configure VLANs later, if required.

Do you want to set up VLANs now [y|n]?

• Geben Sie n ein, da sie kein VLAN konfigurieren müssen (ausser, natürlich, Sie müssen) und fahren Sie fort
• Wählen Sie (type) re2 als WAN-Interface. Das wäre nahe dem USB Hub

If you do not know the names of your interfaces, you may choose to use
auto-detection. In that case, disconnect all interfaces now before
hitting 'a' to initiate auto detection.

Enter the WAN interface name or 'a' for auto-detection: re2

• Wählen Sie (type) re0 als LAN-Interface (nahe dem Serial Console Port)

Enter the LAN interface name or 'a' for auto-detection
NOTE: this enables full Firewalling/NAT mode.
(or nothing if finished): re0

• Wählen Sie (type) re1 als OPT1-Interface für Ihre WLAN AP

Enter the Optional 1 interface name or 'a' for auto-detection
(or nothing if finished): re1

• Beenden Sie das Network Interface Setup indem Sie hier nichts eingeben

Enter the Optional 2 interface name or 'a' for auto-detection
(or nothing if finished):

The interfaces will be assigned as follows:

WAN  -> re2
LAN  -> re0
OPT1 -> re1

• Bestätigen Sie mit y

Do you want to proceed [y|n]? y

Writing configuration...done.
Updating configuration...done.
Cleaning backup cache...done.
Setting up extended sysctls...done.
Setting timezone...done.
Configuring loopback interface...done.
Starting syslog...done.
Starting Secure Shell Services...done.
Setting up polling defaults...done.
Setting up interfaces microcode...done.
Configuring loopback interface...done.
Creating wireless clone interfaces...done.
Configuring LAGG interfaces...done.
Configuring VLAN interfaces...done.
Configuring QinQ interfaces...done.
Configuring WAN interface...done.
Configuring LAN interface...done.
Syncing OpenVPN settings...done.
Configuring firewall......done.
Starting PFLOG...done.
Setting up gateway monitors...done.
Synchronizing user settings...done.
Starting webConfigurator...done.
Configuring CRON...done.
Starting DNS forwarder...done.
Starting NTP time client...done.
Starting DHCP service...done.
Starting DHCPv6 service...done.
Configuring firewall......done.
Generating RRD graphs...done.
Starting syslog...done.
Starting CRON... done.

*** Welcome to OPNsense 15.1.7-78bdb9aef (amd64) on OPNsense ***

 WAN (re2)       -> v4/DHCP4: 192.168.169.155/24
 LAN (re0)       -> v4: 192.168.1.1/24
 OPT1 (re1)      ->

FreeBSD/amd64 (OPNsense.localdomain) (ttyu0)

login:

• Benutzen Sie die Standard-Logindaten: root/opnsense

login: root
Password:
FreeBSD 10.1-RELEASE-p6 (SMP) #0 5aa5ada(master): Thu Feb 26 16:26:03 CET 2015

Welcome to FreeBSD!

Release Notes, Errata: https://www.FreeBSD.org/releases/
Security Advisories:   https://www.FreeBSD.org/security/
FreeBSD Handbook:      https://www.FreeBSD.org/handbook/
FreeBSD FAQ:           https://www.FreeBSD.org/faq/
Questions List: https://lists.FreeBSD.org/mailman/listinfo/freebsd-questions/
FreeBSD Forums:        https://forums.FreeBSD.org/

Documents installed with the system are in the /usr/local/share/doc/freebsd/
directory, or can be installed later with:  pkg install en-freebsd-doc
For other languages, replace "en" with a language code like de or fr.

Show the version of FreeBSD installed:  freebsd-version ; uname -a
Please include that output and any error messages when posting questions.
Introduction to manual pages:  man man
FreeBSD directory layout:      man hier

Edit /etc/motd to change this login announcement.
 0) Logout                             7) Ping host
 1) Assign Interfaces                  8) Shell
 2) Set interface(s) IP address        9) pfTop
 3) Reset the root password           10) Filter Logs
 4) Reset to factory defaults         11) Restart web interface
 5) Reboot system                     12) Upgrade from console
 6) Halt system                       13) Restore a configuration

Enter an option:

• Konfigurieren Sie das WLAN Access Network bevor Sie auf das Web Admin Interface zugreifen. Geben Sie 2 ein und drücken Sie Enter.

Available interfaces:

1 - WAN (re2 - dhcp, dhcp6)
2 - LAN (re0 - static)
3 - OPT1 (re1 - static)

Enter the number of the interface you wish to configure:

• Wählen Sie OPT1 mit 3. Der Rest ist selbsterklärend. Sehen Sie dazu auch nachfolgenden Code:

Enter the new OPT1 IPv4 address.  Press <ENTER> for none:
> 192.168.168.254

Subnet masks are entered as bit counts (as in CIDR notation) in OPNsense.
e.g. 255.255.255.0 = 24
     255.255.0.0   = 16
     255.0.0.0     = 8

Enter the new OPT1 IPv4 subnet bit count (1 to 31):
> 24

For a WAN, enter the new OPT1 IPv4 upstream gateway address.
For a LAN, press <ENTER> for none:
>

Enter the new OPT1 IPv6 address.  Press <ENTER> for none:
>

Do you want to enable the DHCP server on OPT1? (y/n) n

Do you want to revert to HTTP as the webConfigurator protocol? (y/n) n

Please wait while the changes are saved to OPT1...
 Reloading filter...
 DHCPD...

The IPv4 OPT1 address has been set to 192.168.168.254/24

Press <ENTER> to continue.

Reboot the appliance

• Neustart mit 5, bestätigen Sie mit y

OPNsense will reboot.
This may take a minute, depending on your hardware.

Do you want to proceed [y|n]? y

OPNsense is rebooting now.

*** FINAL System shutdown message from root@OPNsense.localdomain ***

System going down IMMEDIATELY

Endlich! Die Installation der APU Appliance ist fertig.

Das WebAdmin GUI

Warten Sie, bis die Appliance neu gestartet ist und greifen Sie auf das Web Admin GUI auf https://192.168.1.1 zu.

Geben Sie die Standard-Logindaten ein.

Ohne Konfiguration wird Ihre Appliance DHCP Leases ans LAN vergeben, DNS Requests beantworten und outgoing IP-Kommunkation vom LAN zum WAN auf allen IP-Protokollen erlauben. Daher werden Sie beim ersten Login mit dem OPNsense Setup Wizard begrüsst. Hier der Ablauf:

In unserem Design müssen wir Block RFC1918 Private Networks deaktivieren, sonst ist die Kommunikation mit unserem Router oder Modem wie auch dem WLAN AP unmöglich.

Raten Sie mal? Genau! Ändern Sie das Passwort.

Aktualisieren Sie die Konfiguration, damit sie aktiv wird.

Sie müssen vielleicht die Seite aktualisieren oder sich neu einloggen. Das ist der beste Zeitpunkt um Ihnen das schöne und und saubere Dashboard OPNsenses zu zeigen.

Das Dashboard kann vollständig angezeigt werden mit Widgets, die Aspekte der Firewall Appliance anzeigen. Klicken sie einfach auf add widget und wählen Sie die Daten aus, die Sie sehen möchten. Darunter sind Interfacestatistiken, Logs, Diskstatus, Status der Services und mehr.

Ich werde nicht erklären, wie OPNsense konfiguriert wird, da dieser Vorgang sehr intuitiv und zudem “gut dokumentiert”: http:/wiki.opnsense.org ist. Die Features OPNsenses beinhalten sehr mächtige Features, die Unternehmensfirewalls konkurrenzieren. Da wäre CARP Cluster Support, DNS Resolver und damit ein kompletter DNS Server, IPv6-Support (DHCPv6 Server/RA), Captive Portal ähnlich denen, die Sie in einem Hotel oder einem Café antreffen, Load Balancer, VPN Server und noch mehr. All die Features zu beschreiben würde zu lange dauern und wäre nicht Teil dieses Artikels.

Basic Firewall Appliance Konfiguration

Um das Projekt abzuschliessen muss noch die Minimalkonfiguration unseres Designs vorgenommen werden. Daher müssen wir den Zugang zum Internet im Haus – also das LAN – konfigurieren, genau wie auch den WLAN Access Point (OPT1).

• Stellen Sie sicher, dass die NAT-Regeln active sind, damit die interne IP-Adresse gegenüber dem WAN maskiert wird
• Stellen Sie sicher, dass die IP-Zugangsregeln vorhanden sind und erlauben Sie die Kommunikation nach Ihren Bedürfnissen

1. Klicken Sie auf Firewall, dann NAT und wählen Sie den Outbound Tab.
2. Stellen Sie sicher, dass Automatic Outbound NAT Rule Generation ausgewählt ist. Sie können das natürlich auch manuell tun
3. Klicken Sie auf Regeln und wählen Sie den LAN-Tab.
4. Die Standardeinstellungen hier sind ausreichend für unsere Konfiguration, aber Sie können sie natürlich nach Ihren Wünschen anpassen
5. Konfigurieren wir das OPT1-Interface per Klick auf den OPT1-Tab.
6. Klicken Sie auf den +-Button um eine Regel hinzuzufügen.
   • Erinnern Sie sich daran: Per default ist alles blockiert. Also keine Regel, kein Zugriff.

• Relevant für eine neue Regel ist:
  • Protocol: any
  • Source: OPT1 net
  • Destination: any

• Speichern Sie mit dem orangen Save-Button und Apply Changes.

Updates und Upgrade

Zum Abschluss dieses Projekts, bevor es produktiv wird, überprüfen Sie, ob Updates vorhanden sind. Klicken Sie System, dann Updates.

Klicken Sie auf Upgrade.

Starten Sie das Gerät falls nötig neu und Sie sind fertig.

Gedanken zum Schluss

Die Konfiguration unserer Appliance ist nur basic, also einfach und Sie müssen Ihre Firewall Policy selbst finalisieren und anpassen. Diese Firewall kann aber ganz auf Ihre Bedürfnisse angepasst werden. Sie können es auf dynamische DNS konfigurieren und es für Remote Access mit IPSEC oder openVPN oder die Appliance mit einem WLAN mPCI Slot aufmotzen (Sie haben zwei davon).

Für den Fall, dass sie Konsolenspieler sind, lassen Sie die Konsole an den Provider-Router angeschlossen. Doppeltes NAT ist nicht wirklich lustig, wenn Sie mit Freunden online spielen. Glauben Sie mir. Sie werden doppeltes NAT bereuen.

Sollten Sie sich um ihre Speicherstände und Daten von Videospielen Sorgen machen, denken Sie um: Die relevanten Daten sind bereits in der Cloud. Microsoft, Sony, Nintendo und mehr setzen längst auf Onlinespeicher. Aber eine Diskussion darüber ist hier echt fehl am Platze. Videogames machen Spass und wir können die uns angebotenen Spiele spielen, oder halt eben auch nicht.

OPNsense ist ein relativ neues Projekt und wird in den kommenden Monaten ausreifen. Das bedeutet natürlich, dass da und dort noch ein paar Bugs einen Fix brauchen. Trotzdem sehe ich keine bedeutenden Risiken in der täglichen Nutzung: Die zugrundeliegende Software ist solid und hat mit m0n0wall eine zwölfjährige Geschichte.

Und nun: Nehmen Sie das Setup in diesem Artikel und machen Sie es besser!

Über den Autor

Andrea Covello ist seit den 1990er Jahren im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen traditionell im Engineering, wobei er als Spezialist im Bereich Windows-Sicherheit, Firewalling und Virtualisierung gilt.

Links

• http://en.wikipedia.org/wiki/Common_Address_Redundancy_Protocol
• http://m0n0.ch/wall
• http://opnsense.org
• http://pcengines.ch
• http://readwrite.com/2013/04/16/beware-the-wireless-router-security-threat
• http://thehackernews.com/2014/12/router-vulnerability-puts-12-million.html
• http://www.amazon.de/Trendnet-TU-S9-USB-Seriell-Konverter-wei%C3%9F/dp/B0007T27H8/ref=sr_1_7?ie=UTF8&qid=1426864646&sr=8-7
• http://www.openbsd.org/faq/pf/
• http://www.pcengines.ch/ac12veur2.htm
• http://www.pcengines.ch/apu1d.htm
• http://www.pcengines.ch/apu1d4.htm
• http://www.pcengines.ch/apucool.htm
• http://www.pcengines.ch/case1d2bluu.htm
• http://www.pcengines.ch/db9cab1.htm
• http://www.pcengines.ch/msata16d.htm
• http://www.pcengines.ch/pdf/apu1.pdf
• https://opnsense.org/about/features
• https://securityevaluators.com/knowledge/case_studies/routers/soho_router_hacks.php
• https://threatpost.com/12-million-home-routers-vulnerable-to-takeover/109970
• https://wiki.opnsense.org/index.php/Develop:Architecture#Architecture
• https://www.scip.ch/labs/images/dedicated_home_firewall_network_schematics_1200.png