Die Festung hinterm Gartenzaun

Die Festung hinterm Gartenzaun

Andrea Covello
von Andrea Covello
Lesezeit: 31 Minuten

Sie müssen kein ICT Security Spezialist sein um dieser Tage zu wissen, dass Ihre mit dem Internet verbundenen Geräte nicht gerade für ihre herausragende Sicherheit bekannt sind. Durchsuchen Sie das Netz mal nach Home Router Vulnerabilities und sie werden mehr als genug Daten dazu finden:

Diese Liste könnte ich jetzt schier endlos weiterführen und ich sehe nicht, wie sich das in Zukunft verbessern wird. Ihr Internet Service Provider (Kabel, xDSL, EDGE/G3/LTE) will Ihnen Netzwerkzugang und Funktionalität (WLAN, IPVOICE) geben und das alles in einem kleinen Gerät verpacken, dass dann oft auch noch gratis ist. Damit soll ein möglichst konkurrenzfähiges Angebot geschaffen werden. Denken Sie mal über die kleine Kiste in ihrem Wohnzimmer nach: Hat es da wohl Platz für die Sicherheit? Und ich meine echte Sicherheit. Raten Sie mal. Wenn Sie sich um Ihre digitalen Inhalte im Haushalt sorgen, dann sollten Sie ihre interne Infrastruktur gleich nach dem Erhalt des Routers Ihres Providers absichern. Eine Open-Source Firewall auf einem alten PC würde eigentlich genügen, aber die Mehrheit von uns haben es mit einer Installation im Wohnzimmer zu tun. Oder irgendwo, wo wir keine grossen und lauten Computer herumstehen haben wollen. Zudem ist der Stromverbrauch einer solchen Anlage nicht zu unterschätzen.

Das Dedicated Home Firewall Project

Beginnen wir also mit dem Bau einer personal firewall appliance. Um dieses Gerät in unserem Sicherheitskonzept funktional betreiben zu können, muss es folgende Punkte erfüllen:

Das ist so in etwa das Gerät eines Internet Providers. Unseres hat aber einen kleinen Unterschied: Es kostet mehr. Sicherheit wird immer etwas teurer sein. Dennoch setzen wir uns eine Limite von 200 CHF oder Dollar.

Implementieren wir also folgendes Netzwerkdesign:

Ein voll funktionsfähiges Heimnetzwerk für 200 USD oder 200 CHF - Zum Vergrössern klicken

Ich habe da ein nettes custom made Gerät gefunden, dass all diese Anforderungen erfüllt. Es wird von einer kleinen Schweizer Firma namens PC Engines hergestellt. PC Engines hat mehrere Modelle im Angebot, die auf eine Vielzahl von Projekten passen. Für unser Projekt kommt aber ein Gerät namens APU in Frage. APU hat die Grösse einer kleinen Pralinenschachtel und passt so ziemlich in jede Ecke. Die Technologie im Innern:

Eine detailliertere Dokumentation ist hier zu finden.

Diese Spezifikation ist recht erstaunlich. Wir können die selbe Hardware für eine Vielzahl anderer interessanter Projekte einsetzen: Im Bereiche der Automatisierung des Eigenheims, NMS, Netzwerkanalyse und noch viel mehr. Wir aber bleiben bei unserem Firewallprojekt, dass alle Features für ein Heimnetzwerk bietet und sogar für ein kleines bis mittelgrosses Unternehmen passen würde. Die benötigten Komponenten:

4GB RAM Appliance

Komponente Verweis CHF USD
Board PCEngines apu1d4 150.00 150.00
Speicher PCEngines msata16d SSD Module 20.00 20.00
Strom PCEngines ac12veur2 AC adapter with euro plug 5.00 5.00
Gehäuse PCEngines case1d2bluu Enclosure 3 LAN USB blue 10.00 10.00

Optionale Teile

Komponente Verweis CHF USD
Null Modem Cable PCEngines db9cab1 Null Modem Cable 2.00 2.00

Alternative 2GB RAM Appliance

Komponente Verweis CHF USD
Board PCEngines apu1d System Board 125.00 127.00

Die Hardware Appliance ist eigentlich ein ganz normaler x64 PC ohne Grafikkarte. Daher können sie eine Vielzahl Betriebssystem darauf installieren. Unter anderem Linux, FreeBSD, OpenBSD. Aber das Betriebssystem muss den Konsolenoutput direkt auf den Serial Port leiten.

Firewall Software

In Punkto Firewall Software empfehle ich eine auf FreeBSD basierende open source Firewall Distribution namens OPNsense. Die Features und die Architektur können auf OPNsenses Website eingesehen werden. Meine Meinung, weshalb OPNSense die beste Lösung ist:

Vorbereitung der Appliance

Sobald wir die Hardware haben, können wir mit dem Bau beginnen. Ich kann die Anleitungen auf PCEngine.ch wärmstens empfehlen.

Das Board im Case - zum Vergrössern klicken

Für das Setup benötigen wir:

Vorbereitung der Installationsmedien

Die folgenden Schritte habe ich in Linux gemacht. Sie können aber Ihr bevorzugtes Betriebssystem verwenden.

wget http://sourceforge.net/projects/opnsense/files/15.1.7/OPNsense-15.1.7-serial-amd64.img.bz2
wget http://sourceforge.net/projects/opnsense/files/15.1.7/OPNsense-15.1.7-checksums-amd64.sha256

 

root@blacknovo:~/Downloads# cat OPNsense-15.1.7-checksums-amd64.sha256
SHA256 (OPNsense-15.1.7-cdrom-amd64.iso.bz2) = e46bb9acd010977d24d862bbe0a85ebfbdcc42dd633851056ad52402bec4b119
SHA256 (OPNsense-15.1.7-serial-amd64.img.bz2) = 869e985fc21d083e2530a81e96eb274caf753b4b9db33d04bda86d4e427a240a
SHA256 (OPNsense-15.1.7-vga-amd64.img.bz2) = b9c71b431cf2ffa399da6a7b11f50d971f7c1747512e794bb7e930dde6d5daeb

root@blacknovo:~/Downloads# sha256sum OPNsense-15.1.7-serial-amd64.img.bz2
869e985fc21d083e2530a81e96eb274caf753b4b9db33d04bda86d4e427a240a  OPNsense-15.1.7-serial-amd64.img.bz2

 

root@blacknovo:~/Downloads# bunzip2 OPNsense-15.1.7-serial-amd64.img.bz2
...
[1777015.998438] sd 6:0:0:0: [sdb] 1984000 512-byte logical blocks: (1.01 GB/968 MiB)
[1777016.007803]  sdb: sdb1
[1777016.425180] FAT-fs (sdb1): utf8 is not a recommended IO charset for FAT filesystems, filesystem will be case sensitive!
[1777016.429920] FAT-fs (sdb1): Volume was not properly unmounted. Some data may be corrupt. Please run fsck.
...

 

Disk /dev/sdb: 1015 MB, 1015808000 bytes
255 heads, 63 sectors/track, 123 cylinders, total 1984000 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000

   Device Boot      Start         End      Blocks   Id  System
/dev/sdb1   *           2     1983999      991999    b  W95 FAT32

 

root@blacknovo:~/Downloads#  dd if=./OPNsense-15.1.7-serial-amd64.img of=/dev/sdb bs=16K
39069+0 records in
39069+0 records out
640106496 bytes (640 MB) copied, 86.1828 s, 7.4 MB/s

 

Disk /dev/sdb: 1015 MB, 1015808000 bytes
255 heads, 63 sectors/track, 123 cylinders, total 1984000 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x90909090

   Device Boot      Start         End      Blocks   Id  System
/dev/sdb4   *           0       49999       25000   a5  FreeBSD

 

Konfiguration des Terminal Console Environments

Bei der Konfiguration des Terminal Console Environment benötigen Sie einen PC oder einen Laptop mit Serial Port oder einem USB to Serial adapter. Starten Sie Ihr Terminal Console Programm und setzen sie den Modus 115200,8,N,1 will heissen: 115200 baud, 8 bit, parity None, stop-bit 1. Ich benutze Minicom in einer privilegierten Linux Terminal Session. Meine Konfigurationsschritte:

   +-----------------+---------[Comm Parameters]----------+----------------+
    | A -    Serial De|                                    |                |
    | B - Lockfile Loc|     Current: 115200 8N1            |                |
    | C -   Callin Pro| Speed            Parity      Data  |                |
    | D -  Callout Pro| A: <next>        L: None     S: 5  |                |
    | E -    Bps/Par/B| B: <prev>        M: Even     T: 6  |                |
    | F - Hardware Flo| C:   9600        N: Odd      U: 7  |                |
    | G - Software Flo| D:  38400        O: Mark     V: 8  |                |
    |                 | E: 115200        P: Space          |                |
    |    Change which |                                    |                |
    +-----------------| Stopbits                           |----------------+
            | Screen a| W: 1             Q: 8-N-1          |
            | Save set| X: 2             R: 7-E-1          |
            | Save set|                                    |
            | Exit    |                                    |
            | Exit fro| Choice, or <Enter> to exit?        |
            +---------+------------------------------------+

 

    +-----------------------------------------------------------------------+
    | A -    Serial Device      : /dev/ttyUSB0                              |
    | B - Lockfile Location     : /var/lock                                 |
    | C -   Callin Program      :                                           |
    | D -  Callout Program      :                                           |
    | E -    Bps/Par/Bits       : 115200 8N1                                |
    | F - Hardware Flow Control : Yes                                       |
    | G - Software Flow Control : No                                        |
    |                                                                       |
    |    Change which setting?                                              |
    +-----------------------------------------------------------------------+

 

Sie sollten unten im Terminalfenster folgende Zeile sehen.

[CTRL-A Z for help |115200 8N1 | NOR | Minicom 2.6.1  | VT102 |      Offline ]

Installation von OPNsense

Starten Sie nun das APU Board.

Nun sollten Sie folgenden BIOS POST sehen:

PC Engines APU BIOS build date: Apr  5 2014
Reading data from file [bootorder]
SeaBIOS (version ?-20140405_120742-frink)
SeaBIOS (version ?-20140405_120742-frink)
Found coreboot cbmem console @ df150400
Found mainboard PC Engines APU
Relocating init from 0x000e8e71 to 0xdf1065e0 (size 39259)
Found CBFS header at 0xfffffb90
found file "bootorder" in cbmem
CPU Mhz=1001
Found 27 PCI devices (max PCI bus is 05)
Copying PIR from 0xdf160400 to 0x000f27a0
Copying MPTABLE from 0xdf161400/df161410 to 0x000f25b0 with length 1ec
Copying ACPI RSDP from 0xdf162400 to 0x000f2590
Copying SMBIOS entry point from 0xdf16d800 to 0x000f2570
Using pmtimer, ioport 0x808
Scan for VGA option rom
EHCI init on dev 00:12.2 (regs=0xf7f08420)
Found 1 lpt ports
Found 2 serial ports
AHCI controller at 11.0, iobase f7f08000, irq 11
EHCI init on dev 00:13.2 (regs=0xf7f08520)
EHCI init on dev 00:16.2 (regs=0xf7f08620)
Searching bootorder for: /pci@i0cf8/*@11/drive@0/disk@0
AHCI/0: registering: "AHCI/0: SATA SSD ATA-10 Hard-Disk (15272 MiBytes)"
Searching bootorder for: /rom@img/setup
Searching bootorder for: /rom@img/memtest
OHCI init on dev 00:12.0 (regs=0xf7f04000)
OHCI init on dev 00:13.0 (regs=0xf7f05000)
OHCI init on dev 00:14.5 (regs=0xf7f06000)
OHCI init on dev 00:16.0 (regs=0xf7f07000)
Searching bootorder for: /pci@i0cf8/usb@16,2/storage@1/*@0/*@0,0
Searching bootorder for: /pci@i0cf8/usb@16,2/usb-*@1
USB MSC vendor='Multiple' product='Card  Reader' rev='1.00' type=0 removable=1
USB MSC blksize=512 sectors=1984000
All threads complete.
Scan for option roms
Running option rom at c000:0003

iPXE (http://ipxe.org) 00:00.0 C000 PCI2.10 PnP PMMpmm call arg1=1
pmm call arg1=0
+DF0E94B0pmm call arg1=1
pmm call arg1=0
+DF0494B0 C000

Searching bootorder for: /rom@genroms/pxeboot.rom

Build date: Apr  5 2014
System memory size: 4592 MB

Press F12 for boot menu.

 

  ______               ____   _____ _____
 |  ____|             |  _ \ / ____|  __ \
 | |___ _ __ ___  ___ | |_) | (___ | |  | |
 |  ___| '__/ _ \/ _ \|  _ < \___ \| |  | |
 | |   | | |  __/  __/| |_) |____) | |__| |
 | |   | | |    |    ||     |      |      |
 |_|   |_|  \___|\___||____/|_____/|_____/    ```                        `
                                             s` `.....---.......--.```   -/
 +------------Welcome to FreeBSD-----------+ +o   .--`         /y:`      +.
 |                                         |  yo`:.            :o      `+-
 |  1. Boot Multi User [Enter]             |   y/               -/`   -o/
 |  2. Boot [S]ingle User                  |  .-                  ::/sy+:.
 |  3. [Esc]ape to loader prompt           |  /                     `--  /
 |  4. Reboot                              | `:                          :`
 |                                         | `:                          :`
 |  Options:                               |  /                          /
 |  5. [K]ernel: kernel (1 of 2)           |  .-                        -.
 |  6. Configure Boot [O]ptions...         |   --                      -.
 |                                         |    `:`                  `:`
 |                                         |      .--             `--.
 |                                         |         .---.....----.
 +-----------------------------------------+

 

/boot/kernel/kernel text=0x11ae738 data=0x6d65b0+0x215440 syms=[0x8+0x1720b0+0x
Booting...
KDB: debugger backends: ddb
KDB: current backend: ddb
Copyright (c) 1992-2014 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
        The Regents of the University of California. All rights reserved.
FreeBSD is a registered trademark of The FreeBSD Foundation.
FreeBSD 10.1-RELEASE-p6 #0 5aa5ada(master): Thu Feb 26 16:26:03 CET 2015
    root@sensey64:/usr/obj/usr/src/sys/SMP amd64
FreeBSD clang version 3.4.1 (tags/RELEASE_34/dot1-final 208032) 20140512
....

 

Waiting for backend...


                   =========== Configure Console ===========
                   |                                       |
                   | Your selected environment uses the    |
                   | following console settings, shown in  |
                   | parentheses. Select any that you wish |
                   | to change.                            |
                   |                                       |
                   | < Accept these Settings >             |
                   | < Change Video Font (default) >       |
                   | < Change Screenmap (default) >        |
                   | < Change Keymap (default) >           |
                   =========================================

 

                       < Quick/Easy Install >


                  ============== Are you SURE? ==============
                  |                                         |
                  | Easy Install will automatically install |
                  | without asking any questions.           |
                  |                                         |
                  | WARNING: This will erase all contents   |
                  | in your first hard disk! This action is |
                  | irreversible. Do you really want to     |
                  | continue?                               |
                  |                                         |
                  | If you wish to have more control on     |
                  | your setup, choose Custom Installation  |
                  | from the Main Menu.                     |
                  |                                         |
                  |           < OK >  < Cancel >            |
                  ===========================================

 

                   ================= Reboot ================
                   |                                       |
                   | This machine is about to be shut down.|
                   | After the machine has reached its     |
                   | shutdown state, you may remove the CD |
                   | from the CD-ROM drive tray and press  |
                   | Enter to reboot from the HDD.         |
                   |                                       |
                   | < Reboot >  < Return to Select Task > |
                   =========================================

 

After the reboot is complete, open a web browser and
enter https://192.168.1.1 (or the LAN IP Address) in the
location bar.

You might need to acknowledge the HTTPS certificate if
your browser reports it as untrusted. This is normal
as a self-signed certificate is used by default.

*DEFAULT Username*: root
*DEFAULT Password*: opnsense

Rebooting in 5 seconds. CTRL-C to abort.

 

F1  FreeBSD

F6 PXE
Boot:  F1

...
...
...

Loading configuration...done.

Default interfaces not found -- Running interface assignment option.

Valid interfaces are:

re0    00:0d:b9:37:12:bc   (up) RealTek 8168/8111 B/C/CP/D/DP/E/F/G PCIe Gigabit Ethernet
re1    00:0d:b9:37:12:bd   (up) RealTek 8168/8111 B/C/CP/D/DP/E/F/G PCIe Gigabit Ethernet
re2    00:0d:b9:37:12:be   (up) RealTek 8168/8111 B/C/CP/D/DP/E/F/G PCIe Gigabit Ethernet

Do you want to set up VLANs first?

If you are not going to use VLANs, or only for optional interfaces, you should
say no here and use the webConfigurator to configure VLANs later, if required.

Do you want to set up VLANs now [y|n]?

 

If you do not know the names of your interfaces, you may choose to use
auto-detection. In that case, disconnect all interfaces now before
hitting 'a' to initiate auto detection.

Enter the WAN interface name or 'a' for auto-detection: re2

 

Enter the LAN interface name or 'a' for auto-detection
NOTE: this enables full Firewalling/NAT mode.
(or nothing if finished): re0

 

Enter the Optional 1 interface name or 'a' for auto-detection
(or nothing if finished): re1

 

Enter the Optional 2 interface name or 'a' for auto-detection
(or nothing if finished):

The interfaces will be assigned as follows:

WAN  -> re2
LAN  -> re0
OPT1 -> re1

 

Do you want to proceed [y|n]? y

Writing configuration...done.
Updating configuration...done.
Cleaning backup cache...done.
Setting up extended sysctls...done.
Setting timezone...done.
Configuring loopback interface...done.
Starting syslog...done.
Starting Secure Shell Services...done.
Setting up polling defaults...done.
Setting up interfaces microcode...done.
Configuring loopback interface...done.
Creating wireless clone interfaces...done.
Configuring LAGG interfaces...done.
Configuring VLAN interfaces...done.
Configuring QinQ interfaces...done.
Configuring WAN interface...done.
Configuring LAN interface...done.
Syncing OpenVPN settings...done.
Configuring firewall......done.
Starting PFLOG...done.
Setting up gateway monitors...done.
Synchronizing user settings...done.
Starting webConfigurator...done.
Configuring CRON...done.
Starting DNS forwarder...done.
Starting NTP time client...done.
Starting DHCP service...done.
Starting DHCPv6 service...done.
Configuring firewall......done.
Generating RRD graphs...done.
Starting syslog...done.
Starting CRON... done.

*** Welcome to OPNsense 15.1.7-78bdb9aef (amd64) on OPNsense ***

 WAN (re2)       -> v4/DHCP4: 192.168.169.155/24
 LAN (re0)       -> v4: 192.168.1.1/24
 OPT1 (re1)      ->

FreeBSD/amd64 (OPNsense.localdomain) (ttyu0)

login:

 

login: root
Password:
FreeBSD 10.1-RELEASE-p6 (SMP) #0 5aa5ada(master): Thu Feb 26 16:26:03 CET 2015

Welcome to FreeBSD!

Release Notes, Errata: https://www.FreeBSD.org/releases/
Security Advisories:   https://www.FreeBSD.org/security/
FreeBSD Handbook:      https://www.FreeBSD.org/handbook/
FreeBSD FAQ:           https://www.FreeBSD.org/faq/
Questions List: https://lists.FreeBSD.org/mailman/listinfo/freebsd-questions/
FreeBSD Forums:        https://forums.FreeBSD.org/

Documents installed with the system are in the /usr/local/share/doc/freebsd/
directory, or can be installed later with:  pkg install en-freebsd-doc
For other languages, replace "en" with a language code like de or fr.

Show the version of FreeBSD installed:  freebsd-version ; uname -a
Please include that output and any error messages when posting questions.
Introduction to manual pages:  man man
FreeBSD directory layout:      man hier

Edit /etc/motd to change this login announcement.
 0) Logout                             7) Ping host
 1) Assign Interfaces                  8) Shell
 2) Set interface(s) IP address        9) pfTop
 3) Reset the root password           10) Filter Logs
 4) Reset to factory defaults         11) Restart web interface
 5) Reboot system                     12) Upgrade from console
 6) Halt system                       13) Restore a configuration

Enter an option:

 

Available interfaces:

1 - WAN (re2 - dhcp, dhcp6)
2 - LAN (re0 - static)
3 - OPT1 (re1 - static)

Enter the number of the interface you wish to configure:

 

Enter the new OPT1 IPv4 address.  Press <ENTER> for none:
> 192.168.168.254

Subnet masks are entered as bit counts (as in CIDR notation) in OPNsense.
e.g. 255.255.255.0 = 24
     255.255.0.0   = 16
     255.0.0.0     = 8

Enter the new OPT1 IPv4 subnet bit count (1 to 31):
> 24

For a WAN, enter the new OPT1 IPv4 upstream gateway address.
For a LAN, press <ENTER> for none:
>

Enter the new OPT1 IPv6 address.  Press <ENTER> for none:
>

Do you want to enable the DHCP server on OPT1? (y/n) n

Do you want to revert to HTTP as the webConfigurator protocol? (y/n) n

Please wait while the changes are saved to OPT1...
 Reloading filter...
 DHCPD...

The IPv4 OPT1 address has been set to 192.168.168.254/24

Press <ENTER> to continue.

Reboot the appliance

 

OPNsense will reboot.
This may take a minute, depending on your hardware.

Do you want to proceed [y|n]? y

OPNsense is rebooting now.

*** FINAL System shutdown message from root@OPNsense.localdomain ***

System going down IMMEDIATELY

Endlich! Die Installation der APU Appliance ist fertig.

Das WebAdmin GUI

Warten Sie, bis die Appliance neu gestartet ist und greifen Sie auf das Web Admin GUI auf https://192.168.1.1 zu.

Geben Sie die Standard-Logindaten ein.

Ohne Konfiguration wird Ihre Appliance DHCP Leases ans LAN vergeben, DNS Requests beantworten und outgoing IP-Kommunkation vom LAN zum WAN auf allen IP-Protokollen erlauben. Daher werden Sie beim ersten Login mit dem OPNsense Setup Wizard begrüsst. Hier der Ablauf:

In unserem Design müssen wir Block RFC1918 Private Networks deaktivieren, sonst ist die Kommunikation mit unserem Router oder Modem wie auch dem WLAN AP unmöglich.

Raten Sie mal? Genau! Ändern Sie das Passwort.

Aktualisieren Sie die Konfiguration, damit sie aktiv wird.

Sie müssen vielleicht die Seite aktualisieren oder sich neu einloggen. Das ist der beste Zeitpunkt um Ihnen das schöne und und saubere Dashboard OPNsenses zu zeigen.

Das Dashboard kann vollständig angezeigt werden mit Widgets, die Aspekte der Firewall Appliance anzeigen. Klicken sie einfach auf add widget und wählen Sie die Daten aus, die Sie sehen möchten. Darunter sind Interfacestatistiken, Logs, Diskstatus, Status der Services und mehr.

Ich werde nicht erklären, wie OPNsense konfiguriert wird, da dieser Vorgang sehr intuitiv und zudem “gut dokumentiert”: http:/wiki.opnsense.org ist. Die Features OPNsenses beinhalten sehr mächtige Features, die Unternehmensfirewalls konkurrenzieren. Da wäre CARP Cluster Support, DNS Resolver und damit ein kompletter DNS Server, IPv6-Support (DHCPv6 Server/RA), Captive Portal ähnlich denen, die Sie in einem Hotel oder einem Café antreffen, Load Balancer, VPN Server und noch mehr. All die Features zu beschreiben würde zu lange dauern und wäre nicht Teil dieses Artikels.

Basic Firewall Appliance Konfiguration

Um das Projekt abzuschliessen muss noch die Minimalkonfiguration unseres Designs vorgenommen werden. Daher müssen wir den Zugang zum Internet im Haus – also das LAN – konfigurieren, genau wie auch den WLAN Access Point (OPT1).

  1. Klicken Sie auf Firewall, dann NAT und wählen Sie den Outbound Tab.
  2. Stellen Sie sicher, dass Automatic Outbound NAT Rule Generation ausgewählt ist. Sie können das natürlich auch manuell tun
  3. Klicken Sie auf Regeln und wählen Sie den LAN-Tab.
  4. Die Standardeinstellungen hier sind ausreichend für unsere Konfiguration, aber Sie können sie natürlich nach Ihren Wünschen anpassen
  5. Konfigurieren wir das OPT1-Interface per Klick auf den OPT1-Tab.
  6. Klicken Sie auf den +-Button um eine Regel hinzuzufügen.
    • Erinnern Sie sich daran: Per default ist alles blockiert. Also keine Regel, kein Zugriff.

Updates und Upgrade

Zum Abschluss dieses Projekts, bevor es produktiv wird, überprüfen Sie, ob Updates vorhanden sind. Klicken Sie System, dann Updates.

Klicken Sie auf Upgrade.

Starten Sie das Gerät falls nötig neu und Sie sind fertig.

Gedanken zum Schluss

Die Konfiguration unserer Appliance ist nur basic, also einfach und Sie müssen Ihre Firewall Policy selbst finalisieren und anpassen. Diese Firewall kann aber ganz auf Ihre Bedürfnisse angepasst werden. Sie können es auf dynamische DNS konfigurieren und es für Remote Access mit IPSEC oder openVPN oder die Appliance mit einem WLAN mPCI Slot aufmotzen (Sie haben zwei davon).

Für den Fall, dass sie Konsolenspieler sind, lassen Sie die Konsole an den Provider-Router angeschlossen. Doppeltes NAT ist nicht wirklich lustig, wenn Sie mit Freunden online spielen. Glauben Sie mir. Sie werden doppeltes NAT bereuen.

Sollten Sie sich um ihre Speicherstände und Daten von Videospielen Sorgen machen, denken Sie um: Die relevanten Daten sind bereits in der Cloud. Microsoft, Sony, Nintendo und mehr setzen längst auf Onlinespeicher. Aber eine Diskussion darüber ist hier echt fehl am Platze. Videogames machen Spass und wir können die uns angebotenen Spiele spielen, oder halt eben auch nicht.

OPNsense ist ein relativ neues Projekt und wird in den kommenden Monaten ausreifen. Das bedeutet natürlich, dass da und dort noch ein paar Bugs einen Fix brauchen. Trotzdem sehe ich keine bedeutenden Risiken in der täglichen Nutzung: Die zugrundeliegende Software ist solid und hat mit m0n0wall eine zwölfjährige Geschichte.

Und nun: Nehmen Sie das Setup in diesem Artikel und machen Sie es besser!

Über den Autor

Andrea Covello

Andrea Covello ist seit den 1990er Jahren im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen traditionell im Engineering, wobei er als Spezialist im Bereich Windows-Sicherheit, Firewalling und Virtualisierung gilt.

Links

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Cyber Threat Intelligence

Cyber Threat Intelligence

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv