Hardware Netgate SG-1100
Mini-Firewall Netgate SG-1100 Netgate SG-1100
auf Basis von FreeBSD und pfSense Nun ist die Installation einer Firewall nicht jedermanns Sache. Der Netzwerk spezialist Netgate packt daher die pfSense-Software auf ein ARM-Barebone und liefert das Netzwerkgerät als schlüs Schutzzwerg selfertige Appliance an den Kunden aus. In Deutschland übernimmt unter ande rem Voleatech den Vertrieb mitsamt Support. Wir sehen uns an, wie sich das knapp 255 Euro teure Gerät sowie die Open-Source-Firewall pfSense in einem kleinen Heim- oder Büronetzwerk schlagen, und prü fen, welche Vorteile sich dabei gegenüber günstigeren Lösun gen bieten. Die Mikro-Firewall SG-1100 läuft auf einer Dual-Core-CPU vom Typ Marvell Armada 3720LP mit zwei jeweils mit 1,2 GHz getakteten Cortex- A53-Kernen. 1 GByte DDR4-RAM und 8 GByte eMMC-Flashspeicher ergänzen das System. An Anschlussmöglichkeiten bietet die Appliance drei Mal Gigabyte- © Netgate Ethernet (WAN, LAN und OPT) sowie je einen USB-Port der Version 2.0 und 3.0. Das Gerät steckt in einem lüfterlosen Gehäuse, das von der Größe her zwei Es muss nicht immer Linux Zu den typischen Anwendungsszena nebeneinander gelegten Zigaretten rien von kleinen und stromsparenden schachteln entspricht. Im Leerlauf zieht oder proprietäre Firmware PCs und Single-Board-Computern wie das System rund 3,5 Watt aus dem Strom dem Raspberry Pi und andere ARM- netz. Die Betriebskosten liegen im Dau sein: Mit dem SG-1100 prä- Früchtchen wie Banana Pi oder Orange Pi erbetrieb und bei 0,30 Euro/kWh daher zählen Netzwerkprojekte. Ob als WLAN- in etwa bei 9 Euro/Jahr. sentiert Netgate einen Open- Access-Point, Router oder Firewall: Die kompakten, lüfterlosen und stromspa Installation Source-Gateway-Router auf renden Rechner bieten inzwischen fast durch die Bank Gigabit-Ethernet, 4 GByte Für die Erstkonfiguration verbinden Sie Basis von FreeBSD und und mehr Arbeitsspeicher und ausrei einen Rechner direkt mit der SG-1100 chend schnelle Prozessoren. und öffnen die URL https://192.168.1.1 in pfSense. Christoph Langner Zu den gebräuchlichsten Open- einem Browserfenster. Die aufgrund des Source-Firewalls für Heimanwender und ungültigen Zertifikats aufschlagende kleine Firmen zählen das auf Fedora auf Warnung dürfen Sie ignorieren. Ein setzende Endian sowie IPFire , das Assistent leitet Sie nun durch die grund README auf Linux From Scratch fußt. Bei beiden legenden Einstellungen. Projekten handelt es sich um Forks von Ein häufiges Einsatzszenario besteht Der Netzwerkspezialist Netgate zeigt mit IPcop , das Ende 2018 nach über darin, die Firewall als Router hinter ei dem SG-1100 eine Firewall-Appliance für 18 Jahren Entwicklungszeit eingestellt nem Kabelmodem oder einem WLAN- Privatanwender und kleine Büros. Unter der wurde. Eine ähnliche Popularität besitzen Router des Internet-Anbieters zu betrei Haube setzt das System mit FreeBSD und allerdings auch die auf FreeBSD basieren ben – darauf gehen wir im Folgenden den Projekte OPNsense und pfSen genauer ein. Dazu geben Sie im zweiten pfSense auf bewährte Open-Source-Software. se , die sich von M0n0wall ableiten. Schritt bei General Information unter Pri
82 www.linux-user.de 01.2020 Netgate SG-1100 Hardware
mary DNS Server entweder die IP des sich die SG-1100 mit zusätzlichen Funk WLAN-Routers oder einen DNS aus dem tionen ausstatten. Dazu steht unter Sys OpenNIC-Projekt , von Google (8.8.8.8) tem | Paketverwaltung ein Paketmanager oder Quad9 (9.9.9.9) ein. bereit. Im Reiter Installierte Pakete listet Im vierten Schritt Configure WAN Inter das System die bereits vorhandenen face stellen Sie dann den SelectedType Module auf und bietet die Möglichkeit, von Static auf DHCP um, sodass die SG- die einzelnen Funktionen zu konfigurie 1100 Ihre eigene IP-Adresse vom Kabel ren oder zu aktualisieren. Im Reiter Ver modem oder dem davorgeschalteten fügbare Pakete stehen über 60 weitere WLAN-Router bezieht. Optional lässt sich Pakete zur Installation bereit. das System auch mit einer statischen IP So bietet pfSense die Möglichkeit, oder direkt via PPPoE oder PPTP als DSL- das System mit Analysefunktionen zum Modem betreiben. Netzwerkverkehr aufzurüsten (band Im Schritt 5 Configure LAN Interface withd), einen Paketsniffer einzurichten lässt sich dann noch die IP-Adresse der Firewall-Appliance im von ihr aufge spannten Netz eingeben. Die IP sollte im Bereich der privaten Netze liegen, also etwa 192.168.1.1 mit einer Subnet Mask von 24. Nach der Eingabe eines Passworts für den Root-Account admin ist die Installation abgeschlossen. Das Dashboard des pfSense-Systems spricht in der Grundkonfiguration Eng lisch, unter System | General Setup | Lo calization lässt sich die Sprache jedoch problemlos umstellen. Mit einem Maus klick auf Save sichern Sie die gerade ge troffene Einstellung und aktivieren sie gleichzeitig. An derselben Stelle unter System | Erweiterte Einstellungen bietet es sich an, auch den integrierten SSH-Server zu aktivieren. Über das Kommando ssh 1 Entsprechend konfiguriert, lässt sich das System bei Bedarf via SSH konfigurieren. Ein admin@SG‑1100‑IP erhalten Sie so direk Menü führt zu den wichtigsten Funktionen. ten Zugang zu den Eingeweiden des Firewall-Systems. Dort landen Sie nicht direkt in der Shell, sondern in einem Menü. Von dort aus geht es dann mit [8]+[Eingabe] in eine Root-Shell 1. Mit [9]+[Eingabe] gibt das System stattdessen über das Kommandozeilenwerkzeug Pftop aktuel le Informationen zu den Geschehnissen im Netzwerk aus 2. Zudem lässt sich das System von der Shell aus neu boo ten, auf die Werkseinstellungen zurück setzen oder auch aktualisieren. Alle Funktionen stehen aber auch über die Weboberfläche zur Verfügung.
Erweiterbar
Im Gegensatz zu dem meisten Router- 2 Über das Terminal stehen zahlreiche Netzwerktools zur Verfügung, über die sich der Systemen von AVM, Linksys und Co. lässt Netzwerkverkehr analysieren lässt (hier: Pftop).
01.2020 www.linux-user.de 83 Hardware Netgate SG-1100
(darkstat) oder einen Netzwerk-Proxy Modul dann mit einem Klick auf Install in (Lightsquid oder squid) ins System zu das Firewall-System einspielen 3. Der integrieren. Im Test muss der Adblocker Paket-Installer lädt anschließend auto pfBlockerNG beweisen, was er zu leisten matisch alle benötigen Komponenten vermag. Die Installation des Diensts be aus dem Netz und kopiert die Program schränkt sich auf einige wenige Maus me ins System. Das dauert auf der nicht klicks: Sie müssen lediglich den entspre gerade rechenstarken Netgate SG-1100 chenden Eintrag herausfiltern und das einige Minuten. Nach Abschluss der Arbeiten trägt sich die neue Funktion als pfBlockerNG in der Kategorie Firewall des Menüs ein. Dort gilt es dann, im Reiter General den Ad blocker und Malware-Filter über die Op tion Enable pfBlockerNG zu aktivieren 4. Zusätzlich sollten Sie die Haken bei den beiden Optionen De-Duplication und CIDR Aggregation setzen sowie die Max Mind Localized Language auf German um stellen. Zu guter Letzt müssen Sie im Ab schnitt Interface/Rules Configuration die Netzwerkgeräte für die Inbound Firewall Rules (in der Regel WAN) und Outbound Firewall Rules (LAN) setzen. Damit leitet pfSense den Datenverkehr durch den Filter; es fehlen allerdings noch Filterlisten. Diese organisiert pfSense im Reiter IPv4 der pfBlockerNG- Konfiguration. Über den grünen Schalter Hinzufügen lässt sich die anfangs leere 3 Der modulare Aufbau von pfSense erlaubt es, das System zu erweitern. Über den Liste befüllen. Beispiele für empfehlens Paketmanager lassen sich über 60 Module nachinstallieren. werte Filterlisten mit aktuellen Daten zeigt die Tabelle IPv4-Malware-Filter. Re levant sind hauptsächlich die Optionen Alias Name, List Description, die Felder Format, State, Quelle und Header/Label im Abschnitt IPv4 Lists sowie darunter List Action und das Aktualisierungsintervall. Mit einem Mausklick auf Speichern übernimmt das System die neu angeleg te Liste. Allerdings aktiviert der Werbe blocker die Filterliste erst nach einer Ak tualisierung. Dazu öffnen Sie den Reiter Update und klicken dort im unteren Be reich der Aktualisierungseinstellungen auf den Schalter Run. Optional wählen Sie noch Reload aus den Force-Optionen aus, wodurch sämt liche Filter neu eingelesen werden. Das System rät explizit davon ab, das Update von Hand anzustoßen, wenn das Ausfüh ren des stündlich aktiven Cronjobs kurz bevorsteht. Im Feld Status sollte die Zeit 4 Der pfBlockerNG blockiert anhand von Filterlisten Anfragen an Webseiten mit bis zum NEXT Scheduled CRON Event da bekannter Malware und befreit Webseiten von aufdringlicher Werbung und Trackern. her mindestens 5 Minuten betragen.
84 www.linux-user.de 01.2020 Netgate SG-1100 Hardware
Werbeblocker keine Anzeigen mehr auf der Webseite erscheinen, oder zumindest weniger. Ähnlich wie Pi-hole erlaubt es auch Zum anderen sollte ein Ping an das Tra pfBlockerNG, Anzeigen aus Webseiten cker-Netzwerk von Yahoo nun von der IP- und Apps herauszufiltern, indem das Sys Adresse 10.10.10.1 beantwortet werden tem die DNS-Anfragen zu bekannten und nicht mehr von Yahoo. Werbenetzwerken und Webtrackern auf Der von uns getestete Werbeblocker das lokale System umleitet. Die Funktion kann in der Praxis nicht voll überzeugen. müssen Sie allerdings erst über die Opti Zwar nimmt die Anzahl von Anzeigen in on Enable DNSBL im Reiter DNSBL unter Webseiten ab, doch diversen Seiten ge Firewall | pfBlockerNG | DNSBL aktivieren. lingt es dennoch, Werbung einzublen Als Nächstes integrieren Sie im Reiter den. Zudem greifen die Anti-Adblocker- DNSBL EasyList die von beliebten Ad Maßnahmen von Seiten wie Spiegel On blocker-Erweiterungen wie Adblock Plus line oder der Süddeutschen Zeitung: Als oder uBlock Origin bekannte EasyList Leser steht man dann vor verschlossenen ins System. Als DNS GROUP Name sowie Türen. Die Easylist-Filter der pfSense- für die Beschreibung tragen Sie hier die Firewall mit einem Anti-Anti-Adblocker EasyList ein. Anschließend setzen Sie zu erweitern, so wie es Browser-Erweite unter EasyList Feeds den State auf ON, rungen wie uBlock Origin machen, ist bei wählen als Feed EasyList w/o Elements pfSense nicht möglich . aus und tragen als Header/Label wieder EasyList ein. Fazit Über den Schalter Hinzufügen ergän zen Sie die Liste um eine weitere Zeile Die Mini-Firewall Netgate SG-1100 und und wiederholen den Vorgang mit dem pfSense bieten sich als Alternative für EasyPrivacy-Feed. Darunter müssen Sie Anwender an, die keinen klassischen noch alle Optionen in der Auswahl der SOHO-Router von AVM oder einen Inter Categories markieren sowie die List net-Provider ans Netzwerk hängen wol Dateien zum Artikel Action auf Unbound und das Aktualisie len. Die angesprochenen Fähigkeiten herunterladen unter rungsintervall auf Once a day umstellen. stellen nur einen Teil des Anwendungs www.linux‑user.de/dl/43798 Damit pfSense die Easylist berücksich spektrums von pfSense dar. So lässt sich tigt, müssen Sie wie beim Malware-Filter das System beispielsweise um einen ein Update des pfBlockerNG vornehmen. VPN-Zugang erweitern, der Netzwerk Die Funktion des Blockers lässt sich verkehr bis ins Detail analysieren oder dann beim Aufruf einer mit Anzeigen über die Module auch Netzwerkdienste Weitere Infos und zugepflasterten Nachrichtenseite oder wie einen Squid-Proxy im Netz einrich interessante Links etwa über einen Ping an einen Web ten, ohne dass man dazu einen zusätz www.linux‑user.de/qr/43798 tracker überprüfen. Zum einen dürften lichen Server installieren muss. (cla) n
IPv4-Malware-Filter Alias Name IPv4 Lists List Description List Action Aktualisierungsintervall WindowsSpy- https://github.com/crazy‑max/ Format: Auto, State: On, Quelle: https:// Deny Both Wöchentlich BlockerIP WindowsSpyBlocker raw.githubusercontent.com/crazy‑max/ WindowsSpyBlocker/master/data/proxifier/ spy/ips.txt, Header/Label: WindowsSpyBlo- ckerIP BinaryDefense https://www.binarydefense.com Format: Auto, State: On, Quelle: Deny Both Once a day https://www.binarydefense.com/banlist.txt, Header/Label: BinaryDefenseIP FireholLevel3 https://iplists.firehol.org/?ipset= Format: Auto, State: On, Quelle: Deny Both Alle 2 Stunden firehol_level3 https://raw.githubusercontent.com/firehol/ blocklist‑ipsets/master/firehol_level3.netset, Header/Label: FireholLevel3
01.2020 www.linux-user.de 85