• Abstract and Figures
• Public Full-text

Hardware Netgate SG-1100 Mini-Firewall Netgate SG-1100 Netgate SG-1100 auf Basis von FreeBSD und pfSense Nun ist die Installation einer Firewall nicht jedermanns Sache. Der Netzwerk­ spezialist Netgate packt daher die pf Sense­Software auf ein ARM­Barebone und liefert das Netzwerkgerät als schlüs­ Schutzzwerg selfertige Appliance an den Kunden aus. In Deutschland übernimmt unter ande­ rem Voleatech den Vertrieb mitsamt Support. Wir sehen uns an, wie sich das knapp 255 Euro teure Gerät sowie die Open­Source­Firewall pfSense in einem kleinen Heim­ oder Büronetzwerk schlagen, und prü­ fen, welche Vorteile sich dabei gegenüber günstigeren Lösun­ gen bieten. Die Mikro­Firewall SG­1100 läuft auf einer Dual­Core­CPU vom Typ Marvell Armada 3720LP mit zwei jeweils mit 1,2 GHz getakteten Cortex­ A53­Kernen. 1 GByte DDR4­RAM und 8 GByte eMMC­Flashspeicher ergänzen das System. An Anschlussmöglichkeiten bietet die Appliance drei Mal Gigabyte­ © Netgate Ethernet (WAN, LAN und OPT) sowie je einen USB­Port der Version 2.0 und 3.0. Das Gerät steckt in einem lüfterlosen Gehäuse, das von der Größe her zwei Es muss nicht immer Linux Zu den typischen Anwendungsszena­ neben einander gelegten Zigaretten­ rien von kleinen und stromsparenden schachteln entspricht. Im Leerlauf zieht oder proprietäre Firmware PCs und Single­Board­Computern wie das System rund 3,5 Watt aus dem Strom­ dem Raspberry Pi und andere ARM­ netz. Die Betriebskosten liegen im Dau­ sein: Mit dem SG-1100 prä- Früchtchen wie Banana Pi oder Orange Pi erbetrieb und bei 0,30 Euro/ kWh daher zählen Netzwerkprojekte. Ob als WLAN­ in etwa bei 9 Euro/ Jahr. sentiert Netgate einen Open- Access­Point, Router oder Fire wall: Die kompakten, lüfterlosen und stromspa­ Installation Source-Gateway-Router auf renden Rechner bieten inzwischen fast durch die Bank Gigabit­Ethernet, 4 GByte Für die Erstkonfiguration verbinden Sie Basis von FreeBSD und und mehr Arbeitsspeicher und ausrei­ einen Rechner direkt mit der SG­1100 chend schnelle Prozessoren. und öffnen die URL https:// 192. 168. 1. 1 in pfSense. Christoph Langner Zu den gebräuchlichsten Open­ einem Browserfenster. Die aufgrund des Source­Firewalls für Heimanwender und ungültigen Zertifikats aufschlagende kleine Firmen zählen das auf Fedora auf­ Warnung dürfen Sie ignorieren. Ein setzende Endian sowie IPFire , das Assistent leitet Sie nun durch die grund­ README auf Linux From Scratch fußt. Bei beiden legenden Einstellungen. Projekten handelt es sich um Forks von Ein häufiges Einsatzszenario besteht Der Netzwerkspezialist Netgate zeigt mit IPcop , das Ende 2018 nach über darin, die Firewall als Router hinter ei­ dem SG-1100 eine Firewall-Appliance für 18 Jahren Entwicklungszeit eingestellt nem Kabelmodem oder einem WLAN­ Privatanwender und kleine Büros. Unter der wurde. Eine ähnliche Popularität besitzen Router des Internet­Anbieters zu betrei­ Haube setzt das System mit FreeBSD und allerdings auch die auf FreeBSD basieren­ ben – darauf gehen wir im Folgenden den Projekte OPNsense und pfSen­ genauer ein. Dazu geben Sie im zweiten pfSense auf bewährte Open-Source-Software. se , die sich von M0n0wall ableiten. Schritt bei General Information unter Pri- 82 www.linux-user.de 01.2020 Netgate SG-1100 Hardware mary DNS Server entweder die IP des sich die SG­1100 mit zusätzlichen Funk­ WLAN­Routers oder einen DNS aus dem tionen ausstatten. Dazu steht unter Sys- OpenNIC­Projekt , von Google (8.8.8.8) tem | Paketverwaltung ein Paketmanager oder Quad9 (9.9.9.9) ein. bereit. Im Reiter Installierte Pakete listet Im vierten Schritt Configure WAN Inter- das System die bereits vorhandenen face stellen Sie dann den SelectedType Module auf und bietet die Möglichkeit, von Static auf DHCP um, sodass die SG­ die einzelnen Funktionen zu konfigurie­ 1100 Ihre eigene IP­Adresse vom Kabel­ ren oder zu aktualisieren. Im Reiter Ver- modem oder dem davorgeschalteten fügbare Pakete stehen über 60 weitere WLAN­Router bezieht. Optional lässt sich Pakete zur Installation bereit. das System auch mit einer statischen IP So bietet pfSense die Möglichkeit, oder direkt via PPPoE oder PPTP als DSL­ das System mit Analysefunktionen zum Modem betreiben. Netzwerkverkehr aufzurüsten (band- Im Schritt 5 Configure LAN Interface withd), einen Paketsniffer einzurichten lässt sich dann noch die IP­Adresse der Firewall­Appliance im von ihr aufge­ spannten Netz eingeben. Die IP sollte im Bereich der privaten Netze liegen, also etwa 192.168.1.1 mit einer Subnet Mask von 24. Nach der Eingabe eines Passworts für den Root­Account admin ist die Installation abgeschlossen. Das Dashboard des pfSense­Systems spricht in der Grundkonfiguration Eng­ lisch, unter System | General Setup | Lo- calization lässt sich die Sprache jedoch problemlos umstellen. Mit einem Maus­ klick auf Save sichern Sie die gerade ge­ troffene Einstellung und aktivieren sie gleichzeitig. An derselben Stelle unter System | Erweiterte Einstellungen bietet es sich an, auch den integrierten SSH-Server zu aktivieren. Über das Kommando ssh 1 Entsprechend konfiguriert, lässt sich das System bei Bedarf via SSH konfigurieren. Ein admin@SG‑1100‑IP erhalten Sie so direk­ Menü führt zu den wichtigsten Funktionen. ten Zugang zu den Eingeweiden des Firewall­Systems. Dort landen Sie nicht direkt in der Shell, sondern in einem Menü. Von dort aus geht es dann mit [8]+[Eingabe] in eine Root­Shell 1. Mit [9]+[Eingabe] gibt das System stattdessen über das Kommandozeilenwerkzeug Pftop aktuel­ le Informationen zu den Geschehnissen im Netzwerk aus 2. Zudem lässt sich das System von der Shell aus neu boo­ ten, auf die Werkseinstellungen zurück­ setzen oder auch aktualisieren. Alle Funktionen stehen aber auch über die Weboberfläche zur Verfügung. Erweiterbar Im Gegensatz zu dem meisten Router­ 2 Über das Terminal stehen zahlreiche Netzwerktools zur Verfügung, über die sich der Systemen von AVM, Linksys und Co. lässt Netzwerkverkehr analysieren lässt (hier: Pftop). 01.2020 www.linux-user.de 83 Hardware Netgate SG-1100 (darkstat) oder einen Netzwerk­Proxy Modul dann mit einem Klick auf Install in (Lightsquid oder squid) ins System zu das Firewall­System einspielen 3. Der integrieren. Im Test muss der Adblocker Paket­Installer lädt anschließend auto­ pfBlockerNG beweisen, was er zu leisten matisch alle benötigen Komponenten vermag. Die Installation des Diensts be­ aus dem Netz und kopiert die Program­ schränkt sich auf einige wenige Maus­ me ins System. Das dauert auf der nicht klicks: Sie müssen lediglich den entspre­ gerade rechenstarken Netgate SG­1100 chenden Eintrag herausfiltern und das einige Minuten. Nach Abschluss der Arbeiten trägt sich die neue Funktion als pfBlockerNG in der Kategorie Firewall des Menüs ein. Dort gilt es dann, im Reiter General den Ad­ blocker und Malware­Filter über die Op­ tion Enable pfBlockerNG zu aktivieren 4. Zusätzlich sollten Sie die Haken bei den beiden Optionen De-Duplication und CIDR Aggregation setzen sowie die Max- Mind Localized Language auf German um­ stellen. Zu guter Letzt müssen Sie im Ab­ schnitt Interface/Rules Configuration die Netzwerkgeräte für die Inbound Firewall Rules (in der Regel WAN) und Outbound Firewall Rules (LAN) setzen. Damit leitet pfSense den Datenverkehr durch den Filter; es fehlen allerdings noch Filterlisten. Diese organisiert pfSense im Reiter IPv4 der pfBlockerNG­ Konfiguration. Über den grünen Schalter Hinzufügen lässt sich die anfangs leere 3 Der modulare Aufbau von pfSense erlaubt es, das System zu erweitern. Über den Liste befüllen. Beispiele für empfehlens­ Paketmanager lassen sich über 60 Module nachinstallieren. werte Filterlisten mit aktuellen Daten zeigt die Tabelle IPv4­Malware­Filter. Re­ levant sind hauptsächlich die Optionen Alias Name, List Description, die Felder Format, State, Quelle und Header/Label im Abschnitt IPv4 Lists sowie darunter List Action und das Aktualisierungsintervall. Mit einem Mausklick auf Speichern übernimmt das System die neu angeleg­ te Liste. Allerdings aktiviert der Werbe­ blocker die Filterliste erst nach einer Ak­ tualisierung. Dazu öffnen Sie den Reiter Update und klicken dort im unteren Be­ reich der Aktualisierungseinstellungen auf den Schalter Run. Optional wählen Sie noch Reload aus den Force-Optionen aus, wodurch sämt­ liche Filter neu eingelesen werden. Das System rät explizit davon ab, das Update von Hand anzustoßen, wenn das Ausfüh­ ren des stündlich aktiven Cronjobs kurz bevorsteht. Im Feld Status sollte die Zeit 4 Der pfBlockerNG blockiert anhand von Filterlisten Anfragen an Webseiten mit bis zum NEXT Scheduled CRON Event da­ bekannter Malware und befreit Webseiten von aufdringlicher Werbung und Trackern. her mindestens 5 Minuten betragen. 84 www.linux-user.de 01.2020 Netgate SG-1100 Hardware Werbeblocker keine Anzeigen mehr auf der Webseite erscheinen, oder zumindest weniger. Ähnlich wie Pi­hole erlaubt es auch Zum anderen sollte ein Ping an das Tra­ pfBlockerNG, Anzeigen aus Webseiten cker­Netzwerk von Yahoo nun von der IP­ und Apps herauszufiltern, indem das Sys­ Adresse 10.10.10.1 beantwortet werden tem die DNS­Anfragen zu bekannten und nicht mehr von Yahoo. Werbenetzwerken und Webtrackern auf Der von uns getestete Werbeblocker das lokale System umleitet. Die Funktion kann in der Praxis nicht voll überzeugen. müssen Sie allerdings erst über die Opti­ Zwar nimmt die Anzahl von Anzeigen in on Enable DNSBL im Reiter DNSBL unter Webseiten ab, doch diversen Seiten ge­ Firewall | pfBlockerNG | DNSBL aktivieren. lingt es dennoch, Werbung einzublen­ Als Nächstes integrieren Sie im Reiter den. Zudem greifen die Anti­Adblocker­

Load more

  4

Copy Link