Es muss nicht immer Linux oder eine proprietäre Firmware sein: Mit dem SG-1100 präsentiert Netgate einen Open-Source-Gateway-Router auf Basis von FreeBSD und pfSense.
Zu den typischen Anwendungsszenarien von kleinen und stromsparenden PCs und Single-Board-Computern wie dem Raspberry Pi und andere ARM-Früchtchen wie Banana Pi oder Orange Pi zählen Netzwerkprojekte. Ob als WLAN-Access-Point, Router oder Firewall: Die kompakten, lüfterlosen und stromsparenden Rechner bieten inzwischen fast durch die Bank Gigabit-Ethernet, 4 Gigabyte und mehr Arbeitsspeicher und ausreichend schnelle Prozessoren.
Zu den gebräuchlichsten Open-Source-Firewall-Systemen für Heimanwender und kleine Unternehmen zählen das auf Fedora aufsetzende Endian [1] sowie IPFire [2], das wiederum auf einem Linux From Scratch fußt. Bei beiden Projekten handelt es sich um Forks der Firewall IPcop [3], die Ende 2018 nach über 18 Jahren Entwicklungszeit eingestellt wurde. Eine ähnliche Popularität besitzen allerdings auch die auf FreeBSD basierenden Projekte OPNsense [4] und pfSense [5], die sich von M0n0wall [6] ableiten.
Netgate SG-1100
Nun ist die Installation einer Firewall nicht jedermanns Sache. Der Netzwerkspezialist Netgate packt daher die pfSense-Software auf ein ARM-Barebone und liefert das Netzwerkgerät als schlüsselfertige Appliance an den Kunden aus. In Deutschland übernimmt unter anderem Voleatech [7] den Vertrieb mitsamt Support. Wir sehen uns an, wie sich das knapp 255 Euro teure Gerät sowie die Open-Source-Firewall pfSense in einem kleinen Heim- oder Büronetzwerk schlagen, und prüfen, welche Vorteile sich gegenüber günstigeren Lösungen bieten.
Die Mikro-Firewall SG-1100 läuft auf einer Dual-Core-CPU vom Typ Marvell Armada 3720LP mit zwei jeweils mit 1,2 GHz getakteten Cortex-A53-Kernen. 1 GByte DDR4-RAM und 8 GByte eMMC-Flashspeicher ergänzen das System. An Anschlussmöglichkeiten bietet die Appliance drei Mal Gigabyte-Ethernet (WAN, LAN und OPT), sowie je einen USB-Port der Version 2.0 und 3.0. Das Gerät steckt in einem lüfterlosen Gehäuse, das von der Größe her zwei nebeneinander gelegten Zigarettenschachteln entspricht. Im Leerlauf zieht das System rund 3,5 Watt aus dem Stromnetz. Die Betriebskosten liegen im Dauerbetrieb und bei 0,30 Euro/kWh daher in etwa bei 9 Euro/Jahr.
Installation
Für die Erstkonfiguration verbinden Sie einen Rechner direkt mit der SG-1100 und öffnen die URL https://192.168.1.1 in einem Browserfenster. Die aufgrund des ungültigen Zertifikats aufschlagende Warnung dürfen Sie ignorieren. Ein Assistent leitet Sie nun durch die grundlegenden Einstellungen.
Ein häufiges Einsatzszenario besteht darin, die Firewall als Router hinter einem Kabelmodem oder einem WLAN-Router des Internet-Anbieters zu betreiben – darauf gehen wir im Folgenden genauer ein. Dazu geben Sie im zweiten Schritt bei General Information unter Primary DNS Server entweder die IP des WLAN-Routers oder einen DNS aus dem OpenNIC-Projekt [8], von Google (8.8.8.8) oder Quad9 (9.9.9.9) ein.
Im vierten Schritt Configure WAN Interface stellen Sie dann den SelectedType von Static auf DHCP um, sodass die SG-1100 Ihre eigene IP-Adresse vom Kabelmodem oder dem davorgeschalteten WLAN-Router bezieht. Optional lässt sich das System auch mit einer statischen IP oder direkt via PPPoE oder PPTP als DSL-Modem betreiben.
Im Schritt 5 Configure LAN Interface lässt sich dann noch die IP-Adresse der Firewall-Appliance im von ihr aufgespannten Netz eingeben. Die IP sollte im Bereich der privaten Netze liegen, also etwa 192.168.1.1 mit einer Subnet Mask von 24. Nach der Eingabe eines Passworts für den Root-Account admin ist die Installation abgeschlossen.
Das Dashboard des pfSense-Systems spricht in der Grundkonfiguration Englisch, unter System | General Setup | Localization lässt sich die Sprache jedoch schnell umstellen. Mit einem Klick auf Save sichern Sie die gerade getroffene Einstellung und aktivieren sie umgehend. An derselben Stelle unter System | Erweiterte Einstellungen bietet es sich an, auch gleich den integrierten SSH-Server zu aktivieren. Über ssh admin@SG-1100-IP erhalten Sie so direkten Zugang zu den Eingeweiden des Firewall-Systems.
Dort landen Sie nicht direkt in der Shell, sondern in einem Menü. Von dort aus geht es dann mit [8]+[Eingabe] in eine Root-Shell (Abbildung 1). Mit [9]+[Eingabe] gibt das System stattdessen über das Kommandozeilenwerkzeug Pftop aktuelle Informationen zu den Geschehnissen im Netzwerk aus (Abbildung 2). Zudem lässt sich das System von der Shell aus neu booten, auf die Werkseinstellungen zurücksetzen oder auch aktualisieren. Alle Funktionen stehen aber auch über die Weboberfläche zur Verfügung.
Abbildung 1: Entsprechend konfiguriert, lässt sich das System bei Bedarf via SSH konfigurieren. Ein Menü führt zu den wichtigsten Funktionen.
Abbildung 2: Über das Terminal stehen zahlreiche Netzwerktools zur Verfügung, über die sich der Netzwerkverkehr analysieren lässt (hier: Pftop).
Erweiterbar
Im Gegensatz zu dem meisten Router-Systemen von AVM, Linksys und Co. lässt sich die SG-1100 mit zusätzlichen Funktionen ausstatten. Dazu steht unter System | Paketverwaltung ein Paketmanager bereit. Im Reiter Installierte Pakete listet das System die bereits vorhandenen Module auf und bietet die Möglichkeit, die einzelnen Funktionen zu konfigurieren oder zu aktualisieren. Im Reiter Verfügbare Pakete stehen über 60 weitere Pakete zur Installation bereit.
So bietet pfSense die Möglichkeit, das System mit Analysefunktionen zum Netzwerkverkehr aufzurüsten (bandwithd), einen Paketsniffer einzurichten (darkstat) oder einen Netzwerk-Proxy (Lightsquid oder squid) ins System zu integrieren. Im Test muss der Adblocker pfBlockerNG beweisen, was er zu leisten vermag. Die Installation des Diensts beschränkt sich auf wenige Klicks: Sie müssen lediglich den entsprechenden Eintrag herausfiltern und das Modul dann mit einem Klick auf Install einspielen (Abbildung 3).
Abbildung 3: Der modulare Aufbau von pfSense erlaubt es, das System zu erweitern. Über den Paketmanager lassen sich über 60 Module nachinstallieren.
Der Paket-Installer lädt dann automatisch alle benötigen Komponenten aus dem Netz und kopiert die Programme ins System. Das dauert auf der nicht gerade rechenstarken SG-1100 einige Minuten. Nach Abschluss der Arbeiten trägt sich die neue Funktion als pfBlockerNG in der Kategorie Firewall des Menüs ein. Dort gilt es dann, im Reiter General den Adblocker und Malware-Filter über die Option Enable pfBlockerNG zu aktivieren (Abbildung 4). Zusätzlich sollten Sie die Haken bei den Optionen De-Duplication und CIDR Aggregation setzen sowie die MaxMind Localized Language auf German umstellen. Zu guter Letzt müssen Sie im Abschnitt Interface/Rules Configuration die Netzwerkgeräte für die Inbound Firewall Rules (in der Regel WAN) und Outbound Firewall Rules (LAN) setzen.
Abbildung 4: Der pfBlockerNG blockiert anhand von Filterlisten Anfragen an Webseiten mit bekannter Malware und befreit Webseiten von aufdringlicher Werbung und Trackern.
Damit leitet pfSense den Datenverkehr durch den Filter; es fehlen allerdings noch Filterlisten. Diese organisiert pfSense im Reiter IPv4 der pfBlockerNG-Konfiguration. Über den grünen Schalter Hinzufügen lässt sich die anfangs leere Liste befüllen. Beispiele für empfehlenswerte Filterlisten mit aktuellen Daten zeigt die Tabelle “IPv4-Malware-Filter”. Relevant sind hauptsächlich die Optionen Alias Name, List Description, die Felder Format, State, Quelle und Header/Label im Abschnitt IPv4 Lists, sowie darunter List Action und das Aktualisierungsintervall.
|
Alias Name |
IPv4 Lists |
List Description |
List Action |
Aktualisierungsintervall |
|---|---|---|---|---|
|
WindowsSpyBlockerIP |
Format: Auto, State: On, Quelle: https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/proxifier/spy/ips.txt, Header/Label: WindowsSpyBlockerIP |
Deny Both |
Wöchentlich |
|
|
BinaryDefense |
Format: Auto, State: On, Quelle: https://www.binarydefense.com/banlist.txt, Header/Label: BinaryDefenseIP |
Deny Both |
Once a day |
|
|
FireholLevel3 |
Format: Auto, State: On, Quelle: https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level3.netset, Header/Label: FireholLevel3 |
Deny Both |
Alle 2 Stunden |
Mit einem Klick auf Speichern übernimmt das System die neu angelegte Liste. Allerdings aktiviert der Werbeblocker die Filterliste erst nach einer Aktualisierung. Dazu öffnen Sie den Reiter Update und klicken auf den Schalter Run im unteren Bereich der Aktualisierungseinstellungen.
Optional wählen Sie noch Reload aus den Force-Optionen aus, wodurch sämtliche Filter neu eingelesen werden. Das System rät davon ab, das Update von Hand anzustoßen, wenn das Ausführen des stündlich aktiven Cronjobs kurz bevorsteht. Im Feld Status sollte die Zeit bis zum NEXT Scheduled CRON Event daher mindestens 5 Minuten betragen.
Werbeblocker
Ähnlich wie Pi-hole [9] erlaubt es auch pfBlockerNG, Anzeigen aus Webseiten und Apps herauszufiltern, indem das System die DNS-Anfragen zu bekannten Werbenetzwerken und Webtrackern auf das lokale System umleitet. Die Funktion müssen Sie allerdings erst über die Option Enable DNSBL im Reiter DNSBL unter Firewall | pfBlockerNG | DNSBL aktivieren.
Danach integrieren Sie im Reiter DNSBL EasyList die von Adblocker-Erweiterungen wie Adblock Plus oder uBlock Origin bekannte EasyList [10] ins System. Als DNS GROUP Name sowie für die Beschreibung tragen Sie hier dann EasyList ein. Anschließend setzen Sie unter EasyList Feeds den State auf ON, wählen als Feed EasyList w/o Elements aus und tragen als Header/Label wieder EasyList ein.
Über den Schalter Hinzufügen ergänzen Sie die Liste um eine weitere Zeile und wiederholen den Vorgang mit dem EasyPrivacy-Feed. Darunter müssen Sie noch alle Optionen in der Auswahl der Categories markieren sowie die List Action auf Unbound und das Aktualisierungsintervall auf Once a day umstellen. Damit pfSense die Easylist berücksichtigt, müssen Sie wie beim Malware-Filter ein Update des pfBlockerNG vornehmen.
Die Funktion des Blockers lässt sich dann beim Aufruf einer mit Anzeigen zugepflasterten Nachrichtenseite oder etwa über einen Ping an einen Webtracker überprüfen. Zum einen dürften keine Anzeigen mehr auf der Webseite erscheinen, oder zumindest weniger. Zum anderen sollte ein Ping an das Tracker-Netzwerk von Yahoo nun von der IP-Adresse 10.10.10.1 beantwortet werden und nicht mehr von Yahoo.
Der von uns getestete Werbeblocker kann in der Praxis nicht voll überzeugen. Zwar nimmt die Anzahl von Anzeigen in Webseiten ab, doch diversen Seiten gelingt es dennoch, Werbung einzublenden. Zudem greifen die Anti-Adblocker-Maßnahmen von Seiten wie Spiegel Online oder der Süddeutschen Zeitung: Als Leser steht man dann vor verschlossenen Türen. Die Easylist-Filter der pfSense-Firewall mit einem Anti-Anti-Adblocker zu erweitern, so wie es Browser-Erweiterungen wie uBlock Origin machen, ist bei pfSense nicht möglich [11].
Fazit
Die Netgate SG-1100 und pfSense bieten sich als Alternative für Anwender an, die keinen klassischen SOHO-Router von AVM oder einen Internet-Provider ans Netzwerk hängen möchten. Die angesprochenen Fähigkeiten stellen nur einen Teil des Anwendungsspektrums von pfSense dar. So lässt sich das System beispielsweise um einen VPN-Zugang erweitern, der Netzwerkverkehr bis ins Detail analysieren oder über die Module auch Netzwerkdienste wie einen Squid-Proxy im Netz einrichten, ohne dass man dazu einen zusätzlichen Server installieren muss.
Infos
- Endian: https://www.endian.com
- IPFire: https://www.ipfire.org
- IPcop: https://sourceforge.net/projects/ipcop
- OPNsense: https://opnsense.org
- pfSense: https://www.pfsense.org
- M0n0wall: https://m0n0.ch/wall/index.php
- Netgate SG-1100: https://www.voleatech.de/de/produkt/sg-1100
- OpenNIC-Projekt: https://www.opennic.org
- Pi-Hole: https://pi-hole.net
- EasyList: https://easylist.to
- “Easylist fest eincodiert”: https://forum.netgate.com/topic/111903/easylist-tutorial
