Dein eigener Firewall (Update)

Um Euch zu schützen, biete ich Euch jetzt das Kochrezept für einen eigenen Firewall für Euer Heimnetzwerk an. Bezahlbare Hardware! Open-Source-Software! Ein bisschen Heimarbeit! Mit Basis-Anti-Virenschutz, eigenem Webfilter für Blocklisten, Basis Intrusionprotection/detection und ausreichend Reportfunktionen, um das eigene Netzwerk umfangreich zu überwachen.

Steam-Nutzern sagt ZOTAC sicher etwas. Das ist der Anbieter, der für den Games-Anbieter Steam Hardware produziert. Ein System zum Zocken von aktuellen Spielen, aber linuxbasiert. Aus diesem Grund habe ich mir Hardwareoptionen dieses Anbieters angeschaut. Unter anderem die ZOTAC ZBOX CI321 nano. Ein Celeronprozessor mit zwei Kernen, passive Kühlung, dazu 4 GB Arbeitsspeicher und eine 64GB SSD Festplatte bestellt. Anschlussmöglichkeiten natürlich USB, Sound, Antenne für WiFi (wobei wir die Antenne/WiFi nicht nutzen werden/können) und das Beste: Zwei LAN-Anschlüsse.

a001

Für unseren Firewall werden wir einen LAN-Anschluss als Zugangspunkt zum Internet (WAN) und den anderen Anschluss für das Heimnetzwerk (LAN) nutzen. Stromsparend mit unter 20 Watt auch bei Höchstleistung. Klein und unauffällig auch an die Wand montierbar. Die Hardware ist bei mir für gerundet 208 € eingetroffen. Arbeitsspeicher rein, Festplatte rein. Fertig! Hier hatte ich einen Test dazu gefunden.

Als Linux-Gateway mit Firewall nutzen wir die Community-Version ClearOS 6.6. Ob 32bit- oder 64bit-Version müsst Ihr selbst entscheiden! Die Installations-ISO laden wir uns herunter. Wir nutzen in diesem Fall die 6er Version. Diese Version wird noch bis September 2017 unterstützt. Sie ist älter, aber dafür gefestigter. Die neue 7er Version aus 2015 sollte noch ein Jahr reifen. Für uns verspielte Kinder die beste Entscheidung, da wir dann im September 2017 den Firewall neu installieren können. :)

Für die Installation bereitete ich zwei Installationsmedien vor. Einmal eine CD/DVD und einmal einen USB-Stick. Ich habe dann beides benötigt. Da mir immer irgendwas passiert, kann ich dann gleich alle Wege aufzeigen, die zum Ziel führen. Zusätzlich verbinden wir die Hardware am WAN-Anschluss mit dem Internetrouter unseres Providers. Die Installation mit einem optischen Datenträger läuft in der Regel einfach durch.

b001

Egal ob mit optischem Datenträger oder USB, beim Booten vom Installationsmedium wählen wir die erste Option zur Installation.

b002

Tests überspringen wir gepflegt.

b003

Der Installer läuft dann an.

b004

Und es kann losgehen.

b005

Wir wählen die Sprache des Systems aus.

b006

Dann die Sprache des Tastaturlayouts.

b007

Wir lassen den Installer das vorgefertigte Hardwarelayout installieren.

b008

Jetzt warten wir auf deren Einrichtung.

b009

Wir vergeben einen Rechnernamen für den Firewall. Das ändern wir aber später wieder.

b010

Die Zeiteinstellungen nicht vergessen.

b011

Ein megasicheres Passwort vergeben wir erst nach der Fertigstellung des Systems, da wir uns noch ab und zu einloggen müssen. Wäre doch doof immer Euer 128stelliges Passwort nehmen zu müssen. ;)

b012

Hier lassen wir den Installer die gesamte Festplatte übernehmen und akzeptieren das vorgefertigte Layout. Solltet Ihr unten auf dem Bildschirm das System verschlüsseln wollen, vergesst nicht, dass das Entschlüsselungspasswort nach jedem Reboot eingegeben werden muss. Es ist in der Regel unwahrscheinlich, dass Ihr eine Tastatur und einen Bildschirm am Firewall angeschlossen habt. Ich verzichte darauf.

b013

Dann lassen wir die Änderungen anlegen.

b014

Und …

b015

… warten …

b016

… auf die Fertigstellung.

b017

Jetzt legt das System los und prüft die Softwarepakete.

b018

Dauert nicht lange. Sollte wie bei mir das optische Laufwerk sterben (pffff), startet Ihr eine USB-Stick-Installation. Das läuft bis zu dem Punkt an dem die Abhängigkeiten geprüft werden. Das System merkt dann an, dass es keine Daten findet. Das liegt daran, dass man ClearOS nicht richtig per USB-Stick installieren kann und ein optisches Medium nutzen muss. (Nur bei 6er Version getestet) Aber im Zuge dieses Hinweises kann man die Installation der Software auch per Internet starten. Dann fragt ClearOS einen FTP oder HTTP-Pfad ab. (Hausaufgabe: Googelt Euch einen Pfad :) ) Es stehen verschiedene Server zur Verfügung. Man muss einige Ausprobieren bis ClearOS anfängt mit Download und Installation. Nicht jeder Server ist online. Dann geht es wie hier weiter.

b019

Dann installiert …

b020

… sich das …

b021

… System …

b022

… völlig …

b023

… selbständig. Eine Erfahrung: Wenn es länger als 2 Stunden dauert ist Euer Zielsystem hardwareseitig so richtiger Müll. Sollte alles keine 30 Minuten dauern. Internetinstallation aber abhängig von Eurer DSL-Geschwindigkeit.

b024

Dann Neustart!

b025

Booten anschauen.

b026

Staunen!

b027

Und geschafft. Das System ist drauf. Merkt Euch die IP-Adresse. Der Aufruf geht nur über https und mit der Portangabe :81 hinter der IP, die das System von Eurem Router erhalten hat. Ihr benötigt diese IP aber eigentlich gar nicht mehr, da sich das gleich wieder ändert … Mit Klick auf Network Console könnt Ihr gleich einige Voreinstellungen definieren.

b028

Hier loggt Ihr Euch dann ein!

b029

Wichtig ist jetzt der Network Mode. DNS lassen wir so. Euer Router wird ja richtige Einstellungen haben. Und wir gucken uns noch die IP-Einstellungen an. Jeweils überall mit Klick auf Edit oder Add.

b032

Wir wählen den Gateway-Mode. ClearOS bietet aber noch mehr. Ihr könntet auch einen richtigen Server aufsetzen. Machen wir hier aber nicht. Werdet Ihr aber noch kennenlernen.

b033

Die externen IP-Adresseinstellungen sind einfach. Eure Adresse erhaltet Ihr per DHCP, der Host hat den vordefinierten Namen und die Rolle bleibt External. DNS auf automatisch.

b034

Die Interne LAN-Schnittstelle definieren wir anders. Die Rolle wird LAN, Ihr vergebt eine statische IP-Adresse und aktiviert den DHCP-Server. Damit wäre Euer internes Netzwerk funktionsfähig. Die Feineinstellungen kommen gleich noch.

b035

Das war es schon im zweiten Schritt. Ausloggen bitte!

b036

Ihr klemmt jetzt einen Rechner an den internen LAN-Anschluss und ruft über die im Bild hier drüber bei Euch angegebene IP-Adresse + https + Port 81 die Weboberfläche auf. Da Ihr das interne LAN konfiguriert habt, ruft Ihr die Weboberfläche nun über dieses Netz auf. Der Firewall ist jetzt nämlich nur noch so konfigurierbar.

Ob nun mit CD/DVD oder USB/Internet, nach erfolgreicher Installation erfolgt die Ersteinrichtung. Dazu gehören Netzwerkeinstellungen, Systemname etc.! Alles kein Hexenzeugs. Wichtig ist nur, dass der LAN-Anschluss für das interne Netz DHCP macht und anderen Rechnern eine IP zuweisen wird. Es geht natürlich auch anders, aber warum schwerer machen als nötig. Ihr wollt ja gleich loslegen!

d001

Da Ihr nur per https zugreifen könnt, müsst Ihr ein bissel was …

Vielleicht interessiert Dich noch:   Die Trutzbox - Erste Schritte

d002

… bestätigen.

d003

Anschließend werdet Ihr wieder geführt! Total einfach!

d004

Hier nochmal den Gateway Mode bestätigen. Grundsätzlich könnt Ihr mit ClearOS aber auch völlig andere Service umsetzen. Webserver, Datenserver, Datenbankserver, E-Mailserver etc.! ClearOS ist ein richtig schöner Buddel- und Baukasten für große Jungs und die wenigen Mädels unter uns. Ich würde aber davon absehen auf einem Firewall einen Datenspeicher anzulegen oder so etwas in der Art. Dann lieber ein zweites Gerät anschaffen und die Funktion hinter dem Firewall umsetzen. Der niedrige Stromverbrauch und die niedrigen Hardwarekosten machen es möglich.

d005

Falls Ihr nochmal die IP-Adresseinstellungen bearbeiten wollt, könnt Ihr das hier tun.

d006

Den DNS lasst Ihr noch so.

d007

Das System testet auch die DNS-Funktionsfähigkeit. Ihr könnt also auch probieren bspw. andere DNS-Server einzutragen. Beispielsweise den DNS-Server vom CCC (213.73.91.35) oder aus Dänemark was Zensurfreies (89.233.43.71). Die IPs könnt Ihr aber später noch aus dem Waffenschrank holen.

d008

Jetzt müsst Ihr Euch entscheiden! Communityversion oder Geld ausgeben? Bleibt als Privatperson mal bei der Community-Version. Für kommerzielle Nutzer bietet sich natürlich ein größerer Baukasten an!

d009

Nächster Punkt in der geführten Installation ist das Nachinstallieren von wichtigen System-Updates!

d010

An dieser Installation kommt Ihr nicht vorbei!!!

d011

Sollte aber zügig gehen! Je nach Internetspeed! :)

d012

Dann geht es weiter!

d013

Euer System müsst Ihr jetzt noch registrieren! Keine Angst! Die Jungs wollen nur einen Systemnamen und eine E-Mail-Adresse. Ich habe seit Jahren NIE eine E-Mail erhalten. Müsst nur die Haken rausnehmen …

d014

d015

Das Kundenkonto kann aus der Installationsoberfläche heraus erstellt werden. Haken nicht vergessen bzw. Mailing List deaktivieren, falls man keine Infos möchte!

d016

Dann auf Register System klicken!

d018

Fertig!

d019

Dann gebt Ihr Eurem internen Netzwerk noch eine lokale Domain.

d021

Den Hostnamen und Internet Hostnamen passt Ihr dann noch an so ein Format an. Sonst meckert das System später. Für den Heimgebrauch ist das natürlich nicht so wirklich sensationell, wenn Ihr normale Anwender seid. Muss also nicht zwingend sinnvoll sein.

d022

Als nächsten Schritt könnte man gleich den Marktplatz aufrufen, um Komponenten zu installieren. Machen wir aber jetzt nicht!!! Wir wählen Skip App Install Wizard und machen weiter.

d023

Jetzt kommen die Feineinstellungen im Netzwerk.

d024

Beim eingehenden Traffic ist der Webzugang über Port 81 voreingestellt. Wer mehr Ideen hat? Bitte!

d025

Nun kommt der DHCP-Server. Die externe Schnittstelle ist selbst Empfänger. Das lassen wir so.

d026

Die interne Schnittstelle, die als DHCP-Server arbeitet, muss aber nochmal überarbeitet werden. Wichtig: Eure Firewall-Hardware hat nur einen LAN-Anschluss für das interne Netz. Wenn Ihr also noch ein WLAN betreibt, müsst Ihr die interne LAN mit dem WLAN-Router verbinden. Das heisst, Ihr benötigt praktisch nur eine einzige Adresse, die über DHCP verteilt wird. Nutzt Ihr kein WLAN, sondern alles ist kabelbasiert, schliesst Ihr den Firewall gezielt an Euren Switch an. Dann benötigt Ihr natürlich so viele IP-Adressen wie Ihr Geräte per Kabel angeschlossen habt. Einen zusätzlichen WLAN-Router würde ich dann einfach auch an den Switch anschliessen, falls noch mobile Geräte ins Netzwerk müssen. DNS-Server definiert Ihr dann wie Ihr wollt.

d027

Bei den DNS-Server-Einstellungen entsprechend.

d028

Wenn Ihr kein SSH benötigt, dann …

d029

… deaktiviert es einfach an der rechten Seite! Grund: Einen Dienst den Ihr nicht benutzt, der muss auch nicht laufen!!! Dann können Andere diesen Dienst auch nicht nutzen! Und solltet Ihr mit SSH nichts praktisches anfangen können, ist es so oder so nicht wichtig für Euch! :)

d030

Die IP-Settings brauchen wir jetzt wirklich nicht mehr anzufassen. Wichtig ist nur, dass Ihr Eure IP-Struktur bereits vor der Installation zurechtgelegt habt und jetzt nicht ins Schwimmen kommt.

 

Beispielsweise:

Intern

Gateway/Firewall mit DHCP-Server: 10.1.1.254

Scanner/Kopierer/Drucker: 10.1.1.245 bis 10.1.1.250 (vergebt Ihr statisch an Euren Druckern)

Computer, auch mobile Geräte: 10.1.1.200 – 10.1.1.240 (per DHCP verteilt)

SmartTVs: 10.1.1.150 – 10.1.1.160 (10 Fernseher sollten reichen? Auch manuell an den Geräten! Alternativ per DHCP!)

Smart-Home-Geräte: 10.1.1.100 – 10.1.1.140 (Für die völlig Wahnsinnigen unter Euch!)

Server: 10.1.1.50 – 10.1.1.60 (Falls Ihr zuhause E-Mailserver, Netzwerkspeicher, eigenen Webserver etc. nutzt.)

Dann habt Ihr Ordnung! :)

Externe WAN-Schnittstelle: 10.1.0.254 (, falls Euer ISP-Router ein 10.1.0.0-Netz anbietet. Alternativ WAN-Schnittstelle per DHCP!)

 

Weiter im Text:

d031

Der Punkt Configuration-Backup ist später wichtig!!! Wie der Name schon sagt, könnt Ihr eine Sicherung der Konfiguration vornehmen. Bietet sich an immer genau dann durchzuführen, bevor man etwas ändert! ;)

d032

Software-Updates sollten immer aktiviert sein. Das System lädt sie automatisch runter und installiert sie entsprechend. Ich habe nie Probleme damit gehabt. Völlig automatisch! Wir klicken hier auf Update All und …

d033

… lassen das System arbeiten. Wir können parallel aber weiterhin arbeiten.

d034

Jetzt ändern wir das Installationspasswort. Wir geben jetzt unser völlig sicheres Passwort ein! :)

Jetzt lassen wir das System eine Nacht laufen. Es soll sich aktualisieren. So können wir zur Not später auf Fehler reagieren. Es bleibt ja trotzdem nur ein Stück Hardware mit einem Stück Software drauf.

Ist die Nacht vorbei, starten wir den Marktplatz auf unserem System:

f001

Oben rechts den Knopf für den Marktplatz klicken.

f002

Anschließend sehen wir alle installierbaren Module. Die Ansicht könnte variieren.

f003

Hier klickt Ihr ein Modul an und markiert es so! Bsp.: NTP-Server!

f004

Anschließend oben rechts auf Install/Upgrade Selected Apps klicken.

f005

Dann auf Download and Install! Dann macht das System, was das System machen soll!

 

Installieren könntet Ihr:

Antimaleware File Scanner – Zwar habt Ihr keinen Webserver bzw. Datenserver installiert, aber eine Infektion des Betriebssystems und des Internetcaches kann man ja trotzdem überprüfen.

Bandwidth Viewer – Zur Kontrolle wie die Geschwindigkeit so ist …

Disk Usage Report – Festplattenkontrolle auf Speicherbelegung.

Filter und Proxy Report – Internetüberwachung.

Intrusion Detection / Intrusion Prevention System – Mit vordefinierten und definierbaren Signaturen/Einstellungen.

Log Viewer – Logdateien durchsuchen.

Network Report – Viele Infos über das Netzwerk.

Process Viewer – Falls er mal hängt, guckt Ihr nach was da so Ressourcen frisst.

Resource Report – Infos zum System.

Web Proxy – Sinnvoll zur Internetnutzung. Aber nicht zu viel Speicher für den Cache geben. Maximal 3 GB!

Vielleicht interessiert Dich noch:   Trutzbox - Der Test

Content Filter Engine – Ganz wichtig zum Sperren von Webseiten.

Schaut Euch um und installiert was Euch interessiert! :) Ich wette, Ihr müsst die Installation anschließend erneuern, weil das Rumspielen so viel Spass macht! :)

Es ist jedoch wichtig, dass Ihr noch Euer Passwort von der Registratur des Firewalls kennt. Ihr benötigt es zum Deinstallieren unnötiger Funktionen. Also der Module, die Ihr nur ausprobieren wollt.

 

Das System benötigt dann eine Weile, um alle installierten Module/Funktionen einzurichten. Wir lassen das Teil jetzt einfach mal wieder eine Nacht in Ruhe und loggen uns aus!

Am nächsten Morgen schließen wir den Firewall-Rechner endgültig als Firewall hinter unseren Providerrouter an. Vom Providerrouter wird das Netzwerkkabel direkt in unseren definierten WAN-Anschluss gesteckt. Der Firewall sollte nun eine IP etc. bekommen, wenn er nicht seine Alte behält. Jetzt kommt die Sache mit der Entscheidung wie das interne Netzwerk aussehen soll. Haben wir das ganze Haus verkabelt, schließen wir den LAN-Anschluss des Firewalls einfach an unseren Haus-Switch an und verbinden alle Systeme kabelbasiert. Wollen wir eher WLAN haben, schließen wir unseren Firewall mit seiner internen Schnittstelle an einen WLAN-Router unserer Wahl. Von dort managen wir dann unser WLAN. Der ClearOS-Firewall kann nicht als WLAN-Router arbeiten. Falls das jemand mit Klick&Play hinbekommt, bitte Meldung an mich. :)

a002

Das war es! Jetzt surfen wir alle und loggen uns nach einem weiteren Tag erstmals auf unserem aktiven Firewall ein. Mittlerweile sollten Updates eingespielt und alle Module aktiviert worden sein und bereits arbeiten.

j001

Für uns als Admins ist jetzt die Reportfunktion interessant:

j002

Hier haben wir ausreichend Übersicht über alles was im Netzwerk geschieht.

Eigentlich könntet Ihr jetzt die Füße bereits hochlegen.

 

Weitere Modifikationen:

Wenn Ihr jetzt noch die Blockliste von kowabit.de in den Webfilter übernehmen wollt, so könnt Ihr in diesem Bereich jede der URLs einzeln eintragen. :)

h001

Ihr klickt im Menü auf Content Filter und mittig auf Configure Policy.

h002

Im nächsten Screen sucht Ihr Euch Banned Sites.

h003

Dann seht Ihr die gesperrten Webseiten. Bei Euch dürfte noch keine da sein.

h004

Ihr klickt oben rechts auf Add und gebt im nächsten Bildschirm die zu sperrende Domain ein und klickt wieder Add. Die zu sperrende Seite seht Ihr dann wieder unter Banned Sites. Hier könnt Ihr sie auch gleich wieder löschen. Sobald Ihr da tausende von Webseiten eingetragen habt, müsst Ihr aber auch die Suchfunktion nutzen.

Unter dem Content Filter könnt Ihr aber noch mehr sperren.

h006

Beispielsweise könntet Ihr Dateiendungen vom Netzwerkverkehr ausschließen. Ihr könntet EXE-Sperren! Dann können keine exe-Dateien runtergeladen werden, solltet Ihr noch Windows nutzen. Einfacher geht es nicht.

h007

Unter den General Settings im Content Filter können grundlegende Funktionen definiert werden. Aber Vorsicht! Wenn Ihr bspw. Block Downloads aktiviert, kann niemand mehr etwas herunterladen! :)

Falls Euch das zu müßig ist alle URLs per Hand einzugeben, klickt Ihr im linken Menü auf System und dann Configuration Backup und erstellt ein Backup mit Eurer Konfiguration mit Klick auf Backup Now.

j003

Den letzten Backupstand laden wir mit Klick auf Download auf unseren lokalen PC! Achtet auf die Sortierung sollten sich bereits mehr als 10 Backups dort befinden!

Die Configuration-Backup-Funktion ermöglicht nämlich einen Eingriff in die Systemdateien. Dann arbeitet Ihr Euch bis zu dem Ordner …\Euer-Backup.tar\etc\dansguardian-av\lists\ vor und öffnet die Datei bannedsitelist.

j004

Hier kopiert Ihr ganz unten die ganze Liste rein. Speichern nicht vergessen!

j005

Dann kopiert Ihr das Ergebnis zurück in die Backup-Datei. Also die bannedsitelist-Datei. Über die Backup-Funktion in der Weboberfläche ladet Ihr Euer manipuliertes Konfigurationsergebnis auf den Firewall hoch. Fertig!

In Zukunft blockt Euer Firewall umfassend Webseiten. Die HOST-Liebhaber unter Euch müssen somit nicht mehr am eigenen System rumspielen. Und das Beste: Ihr habt Zeit gespart! Das ist doch mal was!

Alternativ schaut Ihr nach 24 Stunden auf den Firewall und sucht Euch die 500 am häufigsten besuchten Webseiten. Das wäre der Filter und Proxy Report mit Klick auf Top Sites und Full Report! Sollten Euch Trackinganbieter oder Werbeanbieter auffallen, so füllt Euren Webfilter einfach manuell. Dann habt Ihr einen Webfilter angepasst an Euer Surfverhalten. Das schont natürlich Ressourcen, weil das System nicht tausende URLs durcharbeiten muss.

j006

Auch Adblocker erübrigen sich dadurch auf dem lokalen Rechner so gut wie. Der Firewall knackt den ganzen Müll einfach weg. Solltet Ihr mal eine der Domains freischalten wollen/müssen, so sucht Ihr sie einfach über das Suchfeld im Webfilter Banned Sites und entfernt sie einfach. Aufschreiben aber nicht vergessen!

Das war es schon! Der Firewall ist einsatzbereit. Ein gewisser Grundschutz ist hergestellt worden und mit knappen 208 € ist die Sache auch noch ganz angenehm finanzierbar. Bei zwei Jahren Garantie und Dauerbetrieb in dieser Zeit kostet Euch das Gerät in der Anschaffung, was den Einkaufspreis betrifft, nur ca. 8,67 € im Monat. Mir ist es das wert! :) Wer Geld ausgeben will, kann im Marktplatz auch professionellen Service einkaufen. Bspw. einen zusätzlichen Virenscanner von Kaspersky oder prof. Intrusiondetectionsysteme. Ich verzichte hier darauf. Es geht mir um einen Basisschutz für Privatanwender! Solltet Ihr als Privatperson Geld ausgeben wollen, versucht, inklusive der 8,67 € für die Hardware, auf zwei Jahre gerechnet nicht mehr Geld auszugeben als 20 € pro Monat. Nicht übertreiben! Firmen etc. oder Selbständige sollten anders kalkulieren!

So macht Internet doch wieder Spaß! :)

 

Update:

Einen kleinen Zusatz zum Modul ibVPN findet Ihr hier, wenn Ihr der Vorratsdatenspeicherung entgehen wollt.

 

 

Hinweis: Der Autor ist für die Nennung der Firmen bzw. Produkte nicht vergütet worden. Es handelt sich schlicht um die Vorstellung einer Software und eines speziellen Hardwaretyps den der Autor sich aufgrund eines gestorbenen Hardwarefirewalls anschaffen musste und den Vorfall zur Erstellung eines Blogbeitrages nutzen wollte. Der Autor hat somit wie immer seine eigene Zeit und 208 € selbst investiert. Ein externes optisches Gerät ist bei der Erstellung dieses Beitrages gestorben. Danke!

Hinweis 2: Es ist jetzt schon spät und ich bin müde! Wer Fehler findet, bitte schreiben! :)

42 Kommentare Dein eigener Firewall (Update)

  1. Oilinga

    Finde die Anleitung mega interessant und wäre daran interessiert sowas umzusetzen. Mich nervt schon lang die 500´er Begrenzung der Block Websites in meiner FB 7490. Trotz mehrfacher Anläufe beim AVM Support haben die keinen Bock drauf das mal aufzubohren.
    Freue würde ich mich, wenn mal jemand ein Bild zeichnen oder Mini Anleitung beisteuern könnte, wie Infratsruktur und Verkabelung auschauen würde, wenn man so wie ich, privater Telekom VDSL Kunde mit derzeit einer FB7490 und einem dahinter befindlichen WLAN und LAN Netzwerk bedienen müsste.
    Meine Vorstellung: Einsatz eines älteren, von der Telekom gelieferten Speedportrouter W721V, als DSL Modem verwenden und daran die hier beschriebene Firewall Lösung und von dort ausgehend meine FB7490 anstöpseln die dann Telefonie und internes LAN und WLAN handelt?
    Gern möchte ich das mögliche Szenario abgeklärt haben, ob realisierbar, bevor ich eine Zotac Box kaufe ;-)
    Würde mich auf ein Feedback überaus freuen.

    1. Klemens Kowalski

      Diese Firewallhardware muss zwischen Modem/Router und WLAN Router geschaltet werden. Das war es eigentlich schon. Ich habe noch wegen zweier kabelgebundener Geräte einen 20EuroSwitch mit USB Stromversorgung am internen FirewallLanAnschluss angeschlossen. Sonst schreib mir mal ausführlicher ne eMail.

  2. Michael

    Hallo Herr Kowalski,
    die ClearOS Community Version verwendet einen anderen Software Release Level als die Professional Version:
    ClearOS 6 Community -> Beta Code
    ClearOS 6 Professional -> Quality Tested Code
    Das die Firewall Beta Code verwendet, beunruhigt mich.
    Ich würde gerne Ihre Meinung dazu hören.

    Vielen Dank
    Michael

    1. Klemens Kowalski

      Hm. Ich sehe das in diesem Fall nicht als Problem. Bei 7er vielleicht. Aber die 6.x ist seit Jahren erprobt. Ich habe noch Systeme die laufen seit 3 Jahren durch ohne auch nur einmal gezuckt zu haben.

      1. Sasunu

        Auf die Gefahr hin, mich zu wiederholen:
        THREATLEVEL!

        Der gemeine Privatnutzer wäre mit dem Klammerbeutel gepudert, für eine Firewall-Distribution Geld aus dem Fenster zu werfen. Dem ist mit der Community-Edition *jeder* Distri mehr als geholfen, weil er weder besonders angriffswürdig ist, noch downtime Geld kostet.

        Wer strafbare Absichten verfolgt (oder umsetzt) hat natürlich einen anderen Schutzbedarf.

        Dito jede Unternehmung, die ihren Umsatz aus Wissen generiert oder schutzwürdige (schutzverpflichtende! BDSG!) Daten im LAN vorhält.

        Letztere werden natürlich eher Geld ausgeben. Wie sinn- bzw. nutzvoll das ist ist dabei eine andere Frage (siehe aktuelle Cisco- und Juniper-Lücken).

        Aber im Sinne des Versicherungsgedankens (“Aber Herr Strafverfolger, wir haben doch den Industriestandard erfüllt!”) macht es für Firmen (und deren Verantwortliche) durchaus Sinn.

  3. Andy

    Eine tolle und leicht verständliche Anleitung. Klasse!

    Ich suche schon lange eine Firewall-SW-Lösung, um endlich mal das Surfverhalten meiner Kiddies unter Kontrolle zu bekommen. Ich betreibe bereits länger u. a. einen Owncloud-Sever zu hause auf einem HP Microserver. Alles komplett virtualisiert unter ESXi. Zwei Fragen habe ich zu der Lösung hier:

    1. ist es sinnvoll (seitens Performance wie auch sicherheitstechnisch), auch die Firewall virtualisiert zu betreiben?
    2. gibt es bei ClearOS nur eine zentrale Bann-Liste oder kann ich auch netzwerkbasiert Bann-Listen anlegen und Gruppen zuordnen?

    1. Klemens Kowalski

      Ich halte nichts von Virtualisierung von Firewalls. :)

      Zentrale Liste. Habe aber die Userfunktion bisher nicht genutzt und getestet.

      1. Sasunu

        Hey Kowa,
        jetzt mal ernsthaft:
        Klar ist die Virtualisierung die “Billiglösung”, aber warum, genau, “Ich halte nichts von”?
        Gefühl oder Argumente?
        Jetzt mal unabhängig von den persönlichen Threat-Levels: Ich lernte sehr gerne noch von Dir (insbesondere, *weil* ich SOHOs, KMBs die Virtualisierung durchaus empfehle)! Was, genau, macht die Virtualisierung also in Deinen Augen “unempfehlenswert”?

        Vielen Dank!

      2. Klemens Kowalski

        Es verfehlt das Ansinnen des Blogs. Welcher normale sterbliche Nutzer virtualisiert sich seinen Firewall zuhause? Willst Du ihn lokal auf Deinem Inet-PC laufen lassen? Oder wirklich eine Instanz auf einem Extra-Rechner? Dann gleich als Hardwarefirewall.

    2. Sasunu

      @Andy,

      1) Nur eine Frage Deines Threatlevels. Für homeuser, Familien, Normalos eine gängige und (sauber implementiert!! (eigener VSwitch für red)) sichere Variante – für bin Ladens oder heutige RAFs oder andere Angriffsziele finanzstarker Angreifer ist eine dedizierte Firewall sicher besser*

      Gruss, Sasunu

      P.S. Hab mal einen Blick auf IPFire, lohnt sich wirklich.

      * BTW: Wenn Du ein Gerät derart mit Funktionen auf-/überlädst, wie Kowa das hier macht (oder meine Empfehlung IPFire bei Nutzung der entsprechenden Module) ist die Virtualisierung nur noch ein minimales Extra-Risiko: Jedes Element/Modul, dass ein Netzwerk-Paket verarbeitet ist ein zusätzliches Einfallstor für Exploits. Siehe die geile eMail-Security-Lösung Fireeye :D

      Die dedizierte Firewall eines Gefährdeten wäre deshalb auch besser eine reine Firewall im Bridge-mode ohne eigene IP (nur über Console zu administrieren).

      1. Sasunu

        @Kowa
        Ja, da Du nicht schriebst “Deine eigene UTM” sondern “DeinE eigenE Firewall”*
        Eine als UTM ausgebildete Firewall ist ein eigenes Sicherheitsrisiko, s.o.
        Bist Du also ein leichtsinniger Filou, oder was verdient man so als V-Mann ;)

        *Firewall, die …

      2. Sasunu

        Ergänzung/Korrektur:
        (eigener VSwitch für red) muss heissen (eigener VSwitch für red, besser eigener VSwitch auf dediziertem(!) Netzwerkanschluss für red).
        Aber das ist schon wieder Threatlevel. Der eigene VSwitch für einen geshareten Port schützt auch schon vor einer Reihe von denkbaren Exploits – ist also das Minimum, das man gratis einrichten kann (und als sec-aware Admin auch einrichtete).

  4. Marcy W

    Siehst du eine Möglichkeit, dass System mit mehreren alternativen Konfigurationen zu versorgen? Und das beim Booten erkannt wird, welche Konfiguration die passende ist (z.B. durch temporäres bekommen einer IP vom DHCP-Server)?

    Gruß

    1. Klemens Kowalski

      Hm. Nicht bei einem solchen Fertigbaukastenprinzip … wobei ich davon ausgehe, dass Du mit Konfiguration unterschiedliche Systemeinstellungen meinst und nicht nur IPs/DNS/DHCP etc.?!?!

    1. F.R.

      Wenn Sie sicher gehen wollen, müssen Sie sich root-Zugriff zur relaxbox verschaffen und dann “von Innen” anschauen.
      Es wird von Herstellern immer sehr viel versprochen, gehalten wird davon aber oft nur wenig.

      Meine letzte Erfahrung war mit den inkompetenten Pfuschern von http://www.eblocker.com – auch so ein Kickstarter.
      Ich habe aber nur 10$ verbrannt, das kann man sich leisten.
      eblocker macht ähnliche Angaben, die Firma hat aber von Netzwerktechnik nicht die leiseste Ahnung: Sie haben “duplicate IPs” im LAN produziert und dann die Stirn gehabt, das den Kunden und AVM(!!) als Bug der Fritz!Box zu verkaufen!
      Heute routen sie immerhin nicht mehr (im LAN!!), sondern machen SNAT (dafür haben sie auch 10 Tage(!!) gebraucht, nachdem ich ihnen den Fehler analysiert und beschrieben hatte).
      Und auch heute gibt es noch keinen transparenten Proxy und somit werden ausschliesslich Anfragen auf Port 80/tcp über das Tor-Netzwerk geroutet. Noch besser kann man gar nicht sagen “Ich habe etwas zu verbergen.”

      Wer das liest also Finger weg von eblocker! Und andere Produkte ansehen, analysieren. Nie blind vertrauen.
      Denn eblocker ist wirklich nur das letzte Beispiel, selbst nahmhafte Hersteller pfuschen bis sonstwohin. Deswegen sollten Sicherheitsgeräte nicht “in gutem Glauben” gekauft werden.

      Was aber ohne weitere Prüfung gegen die relaxbox spricht:
      – Verstoss gegen TMG (Impressumspflicht)
      – keine Datenschutzerklärung(!! obwohl sie VPN-/Proxy-Server betreiben!)
      – “Hacker”technologie (laut Webseite “konfigurationslos”, d.h. sie müssen ARP-Flooding/-Poisoning verwenden um sich als MAC-Adresse des Routers auszugeben. Das kann aber durchaus Probleme im LAN verursachen).
      – ClamAV ist als AV-Lösung eher ein Feigenblatt. Falls man AV nicht eh für Schlangenöl hält ist ClamAV jedenfalls eine der ungenügenderen Lösungen.

      1. K.L.

        Da kann ich F.R. nur recht geben. Dieser eBlocker ist wirklich nur ein Blender. Das Ding macht nur Probleme im Netz. Und das einzige was laut Hersteller kann, ist über eine Blacklist Tracker blockieren. Und das kann heue sowieso schon jeder DSL-Router.
        Ich kann noch ergänzen, dass die eBlocker Web-Seite einen Tracker von eTracker eingebunden hat. Und wer ist Gesellschafter von eTracker? Der Geschäftsführer von eBlocker! Ist das nicht unglaublich?

      2. Sasunu

        @K.L.
        Wenn Du sowieso einen RaspBerry hast: Schau Dir mal
        http://pi-hole.net/ – ich habe zwar nur meine hosts Datei damit erstellt, das liest sich aber recht nett (+ gratis).

    2. K.L.

      Die Relax Box ist nur ein Router, der sich über VPN mit einem VPN-Gatewy im Internet verbindet. Das Einzige was man damit erreicht, ist, dass der angesteuerte Web-Server eine andere, als die eigene IP-Adresse sieht (ähnliche Auswirkung wie Tor). Nachteil davon ist, dass der VPN Betreiber alle nicht-verschlüsselten Verbindungen tracken kann. Da ist Tor oder JonDoNym sicherer.

      Die IP-Adresse verschleiern schützt nicht vor Internet Überwachung. Diese wird nicht nur von Geheimdiensten durchgeführt, sondern vor allem durch die vielen Firmen, deren Tracker in Web-Seiten einprogrammiert sind. Davor kann weder Tor noch VPNs wie die RelaxBox schützen.
      Die TrutzBox kann das allerdings.

  5. Christian

    @Tobias
    Hast Du Beispiele für die klassische Varianten? Ich suche immer noch entsprechende Gerätschaften (für Heizung, Licht, Jalousien, Bewässerung, (Video-)Überwachung etc) für unser Heim – und zwar möglichst OHNE Anbindung an irgendwelche Hersteller bzw. OHNE Online/Cloud-Zwang.

    1. Tobias

      Tatsächlich hätte ich da durchaus ein paar Ideen…

      Eine gewisse Herstellerbindung (was die Logikkomponenten angeht) wirst du allerdings nicht vermeiden können. Und ist auch fast alles nicht unbedingt dafür gedacht, vom Endbenutzer selber aufgesetzt/verändert zu werden.

      Bin mir aber nicht unbedingt sicher, ob das hier das passende Forum dafür ist, da das doch alles ziemlich schnell stark individualisiert ist.
      Meine angegebene eMail-Adresse ist valide, vielleicht kann der Herr Kowabit ( ;-) ) da eventuell einen Austausch arrangieren. Meine Erlaubnis dazu hat er hiermit.

      1. Tobias

        Ist angekommen! War nur erst im mit einem Projekt im Ausland beschäftigt und dann im Urlaub. Mail geht heute raus. :)

  6. Tobias

    SmartHome ist nicht nur für Wahnsinnige etwas.
    Also das “klassische”, überwiegend verdrahtete, SmartHome, nicht dieses Neumodische “wir-haben-eine-App-und-schieben-alles-in-die-Cloud”….
    Will es nicht mehr missen und ich sehe auch keine Angriffspunkte – bin da aber gerne für eine Diskussion offen. :)

      1. Tobias

        Hab übrigens ganz vergessen, mich für diese Anleitung zu bedanken.
        Spiele schon eine ganze Weile mit der Überlegung zuhause eine Firewall aufzusetzten, aber da das nicht unbedingt mein Fachgebiet ist (SmartHome dagegen ganz eindeutig) hab ich das bisher nie ungesetzt.
        Das ist jetzt definitiv anders…. ;-)

  7. Thomas Bauer

    Ich kann das aus Platzgründen leider nicht realisieren. Ein solches Gerät incl. Router Funktionen, DSL Modem und WLAN Point würde ich suchen. Dann würde ich meine FritzBox 7490 verkaufen und alles über ein Gerät steuern. Gibts da was in der Richtung?

      1. Anonymous

        Das hilft mir jetzt echt weiter. Im Grunde bräuchte Ich einen WLAN Router 50.000+ mit mehr CPU Power, RAM und einer Festplatte und ein passendes Betriebssystem. Verstehe nicht warum es sowas nicht gibt. Wieso soll ich mir zig Geräte hinstellen? Genial wäre natürlich wenn da gleich noch ein NAS integriert wäre.

      2. Thomas Bauer

        Das hilft mir jetzt echt weiter. Im Grunde bräuchte Ich einen WLAN Router 50.000+ mit mehr CPU Power, RAM und einer Festplatte und ein passendes Betriebssystem. Verstehe nicht warum es sowas nicht gibt. Wieso soll ich mir zig Geräte hinstellen? Genial wäre natürlich wenn da gleich noch ein NAS integriert wäre.

      3. Sasunu

        @Thomas Bauer:
        Das Gerät, das Kowa vorgestellt hat mit seiner Software (+SMB) + ein VDSL-Modem.
        Oder vorgefertigt http://www.ipfire.org mit zig Erweiterungen (alles gratis).
        Dann hast Du genau Deinen leistungsstarken WLAN-Router (kannst sogar noch ne VM drin laufen lassen!) mit NAS.
        Das DSL-Modem ist eben extra, die ziehen zuviel Saft für einen USB-Stick.

  8. Sasunu

    tl;dr ;)

    Aber die Hardware ist cool für eine semiprofessionelle, ‘fertige’, gehärtete(!) OS-Firewall-Distribution mit
    – Firewall mit schönen graphischen Konfig-Interface
    – transparentem WebProxy mit AV und Contentscanner
    – VPN
    – QoS und Trafficshaping (per DPI, nicht per fixer Port-Regeln)
    – P2P-Block (per DPI)

    – und der Super-Vorteil gegenüber Deinem: Du kannst IPFire als nativen WLAN-Accesspoint betreiben (da müssest Du bitte mal schauen, ob die Wireless-Hardware erkannt wird), mit WLAN im eigenen (“blauen”) Netzwerksegment (kann natürlich komplett zu “grün” geöffnet werden für’s einfache Heimnetz).

    Schau mal auf http://www.ipfire.org/features

    Gruss,
    Sasunu

    1. Sasunu

      Nachtrag: “64GB SSD Festplatte”
      Das erscheint mir, *insbesondere* für eine Firewall/SecurityProxy (heavy logging!) eine sehr schlechte Wahl zu sein.
      Sowohl, weil es die Performance/Zugriffsgeschwindigkeit schlicht nicht braucht (== Geld rausgeworfen), als auch weil die häufigen Schreibzugriffe* die Platte schnell altern lassen werden.
      Da tut es jede alte/gebrauchte Notebookfestplatte für umsonst. Falls es die HW hergibt sogar im RAID (sonst am USB-Port ;)), sonst einfach mit täglichem Config-Backup ‘off site’ (off machine) zur Ausfallsicherheit.

      * insbesondere, wenn Du auch noch einen (Web-)Cache einrichtest

      1. Tobias

        > SSD scheint mir eine sehr schlechte Wahl zu sein.
        SSDs sind deutlich besser als ihr Ruf, bisher hat es noch kein Dauer/Stresstest geschafft, eine SSD zu überaltern solange es sie noch im Handel gab. Und eine solche Belastung erreicht eine Firewall niemals, besonders da nur relativ kleine Datenmengen geschrieben werden. Man kann also getrost von einer Lebensdauer von 5+ Jahren ausgehen.

        > gebrauchte Notebookfestplatte
        Bei einer solchen hätte ich Bedenken ob der Lebensdauer. Denn auch Notebookfestplatten sind nur begrenzt robust gegenüber Vibrationen, Stößen und Lageänderungen um Betrieb. Und das müssen Notebookfestplatten praktisch tagtäglich mehrfach über sich ergehen lassen. Habe schon deutlich mehr Notebookfestplatten entsorgen müssen als SSDs…

        > heavy logging!
        In unserer Firma (150 Angestellte, VPN Zugänge, Exchange, ein von außen erreichbarer Cluster etc.) laufen am Tag durchschnittlich 400MB an Logdaten auf. Viel interessanter ist allerdings, das es durchaus zu absoluten Spitzenwerten kommen kann, wo die Performance einer SSD durchaus relevant ist.
        Kannst dir also ausrechnen, wie groß das Datenvolumen bei einem 3-5 Personenhaushalt ist.

    2. F.R.

      Auch meiner Meinung nach ist IPFire eine der besseren Lösungen der Community-Edition-Firewalls. Jedenfalls einer Endian oder IPCop vorzuziehen.
      Mein Tipp ist: Wer Ahnung hat, sollte den Kowabit-Weg gehen und seinen Securitygateway von Hand bauen. Einsteiger tun sich sicher mit einer fertigen Firewall-Distribution leichter.

Kommentare sind geschlossen.