Blog

Dein eigener Firewall (Update)

Um Euch zu schützen, biete ich Euch jetzt das Kochrezept für einen eigenen Firewall für Euer Heimnetzwerk an. Bezahlbare Hardware! Open-Source-Software! Ein bisschen Heimarbeit! Mit Basis-Anti-Virenschutz, eigenem Webfilter für Blocklisten, Basis Intrusionprotection/detection und ausreichend Reportfunktionen, um das eigene Netzwerk umfangreich zu überwachen.

Steam-Nutzern sagt ZOTAC sicher etwas. Das ist der Anbieter, der für den Games-Anbieter Steam Hardware produziert. Ein System zum Zocken von aktuellen Spielen, aber linuxbasiert. Aus diesem Grund habe ich mir Hardwareoptionen dieses Anbieters angeschaut. Unter anderem die ZOTAC ZBOX CI321 nano. Ein Celeronprozessor mit zwei Kernen, passive Kühlung, dazu 4 GB Arbeitsspeicher und eine 64GB SSD Festplatte bestellt. Anschlussmöglichkeiten natürlich USB, Sound, Antenne für WiFi (wobei wir die Antenne/WiFi nicht nutzen werden/können) und das Beste: Zwei LAN-Anschlüsse.

a001

Für unseren Firewall werden wir einen LAN-Anschluss als Zugangspunkt zum Internet (WAN) und den anderen Anschluss für das Heimnetzwerk (LAN) nutzen. Stromsparend mit unter 20 Watt auch bei Höchstleistung. Klein und unauffällig auch an die Wand montierbar. Die Hardware ist bei mir für gerundet 208 € eingetroffen. Arbeitsspeicher rein, Festplatte rein. Fertig! Hier hatte ich einen Test dazu gefunden.

Als Linux-Gateway mit Firewall nutzen wir die Community-Version ClearOS 6.6. Ob 32bit- oder 64bit-Version müsst Ihr selbst entscheiden! Die Installations-ISO laden wir uns herunter. Wir nutzen in diesem Fall die 6er Version. Diese Version wird noch bis September 2017 unterstützt. Sie ist älter, aber dafür gefestigter. Die neue 7er Version aus 2015 sollte noch ein Jahr reifen. Für uns verspielte Kinder die beste Entscheidung, da wir dann im September 2017 den Firewall neu installieren können. 🙂

Für die Installation bereitete ich zwei Installationsmedien vor. Einmal eine CD/DVD und einmal einen USB-Stick. Ich habe dann beides benötigt. Da mir immer irgendwas passiert, kann ich dann gleich alle Wege aufzeigen, die zum Ziel führen. Zusätzlich verbinden wir die Hardware am WAN-Anschluss mit dem Internetrouter unseres Providers. Die Installation mit einem optischen Datenträger läuft in der Regel einfach durch.

b001

Egal ob mit optischem Datenträger oder USB, beim Booten vom Installationsmedium wählen wir die erste Option zur Installation.

b002

Tests überspringen wir gepflegt.

b003

Der Installer läuft dann an.

b004

Und es kann losgehen.

b005

Wir wählen die Sprache des Systems aus.

b006

Dann die Sprache des Tastaturlayouts.

b007

Wir lassen den Installer das vorgefertigte Hardwarelayout installieren.

b008

Jetzt warten wir auf deren Einrichtung.

b009

Wir vergeben einen Rechnernamen für den Firewall. Das ändern wir aber später wieder.

b010

Die Zeiteinstellungen nicht vergessen.

b011

Ein megasicheres Passwort vergeben wir erst nach der Fertigstellung des Systems, da wir uns noch ab und zu einloggen müssen. Wäre doch doof immer Euer 128stelliges Passwort nehmen zu müssen. 😉

b012

Hier lassen wir den Installer die gesamte Festplatte übernehmen und akzeptieren das vorgefertigte Layout. Solltet Ihr unten auf dem Bildschirm das System verschlüsseln wollen, vergesst nicht, dass das Entschlüsselungspasswort nach jedem Reboot eingegeben werden muss. Es ist in der Regel unwahrscheinlich, dass Ihr eine Tastatur und einen Bildschirm am Firewall angeschlossen habt. Ich verzichte darauf.

b013

Dann lassen wir die Änderungen anlegen.

b014

Und …

b015

… warten …

b016

… auf die Fertigstellung.

b017

Jetzt legt das System los und prüft die Softwarepakete.

b018

Dauert nicht lange. Sollte wie bei mir das optische Laufwerk sterben (pffff), startet Ihr eine USB-Stick-Installation. Das läuft bis zu dem Punkt an dem die Abhängigkeiten geprüft werden. Das System merkt dann an, dass es keine Daten findet. Das liegt daran, dass man ClearOS nicht richtig per USB-Stick installieren kann und ein optisches Medium nutzen muss. (Nur bei 6er Version getestet) Aber im Zuge dieses Hinweises kann man die Installation der Software auch per Internet starten. Dann fragt ClearOS einen FTP oder HTTP-Pfad ab. (Hausaufgabe: Googelt Euch einen Pfad 🙂 ) Es stehen verschiedene Server zur Verfügung. Man muss einige Ausprobieren bis ClearOS anfängt mit Download und Installation. Nicht jeder Server ist online. Dann geht es wie hier weiter.

b019

Dann installiert …

b020

… sich das …

b021

… System …

b022

… völlig …

b023

… selbständig. Eine Erfahrung: Wenn es länger als 2 Stunden dauert ist Euer Zielsystem hardwareseitig so richtiger Müll. Sollte alles keine 30 Minuten dauern. Internetinstallation aber abhängig von Eurer DSL-Geschwindigkeit.

b024

Dann Neustart!

b025

Booten anschauen.

b026

Staunen!

b027

Und geschafft. Das System ist drauf. Merkt Euch die IP-Adresse. Der Aufruf geht nur über https und mit der Portangabe :81 hinter der IP, die das System von Eurem Router erhalten hat. Ihr benötigt diese IP aber eigentlich gar nicht mehr, da sich das gleich wieder ändert … Mit Klick auf Network Console könnt Ihr gleich einige Voreinstellungen definieren.

b028

Hier loggt Ihr Euch dann ein!

b029

Wichtig ist jetzt der Network Mode. DNS lassen wir so. Euer Router wird ja richtige Einstellungen haben. Und wir gucken uns noch die IP-Einstellungen an. Jeweils überall mit Klick auf Edit oder Add.

b032

Wir wählen den Gateway-Mode. ClearOS bietet aber noch mehr. Ihr könntet auch einen richtigen Server aufsetzen. Machen wir hier aber nicht. Werdet Ihr aber noch kennenlernen.

b033

Die externen IP-Adresseinstellungen sind einfach. Eure Adresse erhaltet Ihr per DHCP, der Host hat den vordefinierten Namen und die Rolle bleibt External. DNS auf automatisch.

b034

Die Interne LAN-Schnittstelle definieren wir anders. Die Rolle wird LAN, Ihr vergebt eine statische IP-Adresse und aktiviert den DHCP-Server. Damit wäre Euer internes Netzwerk funktionsfähig. Die Feineinstellungen kommen gleich noch.

b035

Das war es schon im zweiten Schritt. Ausloggen bitte!

b036

Ihr klemmt jetzt einen Rechner an den internen LAN-Anschluss und ruft über die im Bild hier drüber bei Euch angegebene IP-Adresse + https + Port 81 die Weboberfläche auf. Da Ihr das interne LAN konfiguriert habt, ruft Ihr die Weboberfläche nun über dieses Netz auf. Der Firewall ist jetzt nämlich nur noch so konfigurierbar.

Ob nun mit CD/DVD oder USB/Internet, nach erfolgreicher Installation erfolgt die Ersteinrichtung. Dazu gehören Netzwerkeinstellungen, Systemname etc.! Alles kein Hexenzeugs. Wichtig ist nur, dass der LAN-Anschluss für das interne Netz DHCP macht und anderen Rechnern eine IP zuweisen wird. Es geht natürlich auch anders, aber warum schwerer machen als nötig. Ihr wollt ja gleich loslegen!

d001

Da Ihr nur per https zugreifen könnt, müsst Ihr ein bissel was …

d002

… bestätigen.

d003

Anschließend werdet Ihr wieder geführt! Total einfach!

d004

Hier nochmal den Gateway Mode bestätigen. Grundsätzlich könnt Ihr mit ClearOS aber auch völlig andere Service umsetzen. Webserver, Datenserver, Datenbankserver, E-Mailserver etc.! ClearOS ist ein richtig schöner Buddel- und Baukasten für große Jungs und die wenigen Mädels unter uns. Ich würde aber davon absehen auf einem Firewall einen Datenspeicher anzulegen oder so etwas in der Art. Dann lieber ein zweites Gerät anschaffen und die Funktion hinter dem Firewall umsetzen. Der niedrige Stromverbrauch und die niedrigen Hardwarekosten machen es möglich.

d005

Falls Ihr nochmal die IP-Adresseinstellungen bearbeiten wollt, könnt Ihr das hier tun.

d006

Den DNS lasst Ihr noch so.

d007

Das System testet auch die DNS-Funktionsfähigkeit. Ihr könnt also auch probieren bspw. andere DNS-Server einzutragen. Beispielsweise den DNS-Server vom CCC (213.73.91.35) oder aus Dänemark was Zensurfreies (89.233.43.71). Die IPs könnt Ihr aber später noch aus dem Waffenschrank holen.

d008

Jetzt müsst Ihr Euch entscheiden! Communityversion oder Geld ausgeben? Bleibt als Privatperson mal bei der Community-Version. Für kommerzielle Nutzer bietet sich natürlich ein größerer Baukasten an!

d009

Nächster Punkt in der geführten Installation ist das Nachinstallieren von wichtigen System-Updates!

d010

An dieser Installation kommt Ihr nicht vorbei!!!

d011

Sollte aber zügig gehen! Je nach Internetspeed! 🙂

d012

Dann geht es weiter!

d013

Euer System müsst Ihr jetzt noch registrieren! Keine Angst! Die Jungs wollen nur einen Systemnamen und eine E-Mail-Adresse. Ich habe seit Jahren NIE eine E-Mail erhalten. Müsst nur die Haken rausnehmen …

d014

d015

Das Kundenkonto kann aus der Installationsoberfläche heraus erstellt werden. Haken nicht vergessen bzw. Mailing List deaktivieren, falls man keine Infos möchte!

d016

Dann auf Register System klicken!

d018

Fertig!

d019

Dann gebt Ihr Eurem internen Netzwerk noch eine lokale Domain.

d021

Den Hostnamen und Internet Hostnamen passt Ihr dann noch an so ein Format an. Sonst meckert das System später. Für den Heimgebrauch ist das natürlich nicht so wirklich sensationell, wenn Ihr normale Anwender seid. Muss also nicht zwingend sinnvoll sein.

d022

Als nächsten Schritt könnte man gleich den Marktplatz aufrufen, um Komponenten zu installieren. Machen wir aber jetzt nicht!!! Wir wählen Skip App Install Wizard und machen weiter.

d023

Jetzt kommen die Feineinstellungen im Netzwerk.

d024

Beim eingehenden Traffic ist der Webzugang über Port 81 voreingestellt. Wer mehr Ideen hat? Bitte!

d025

Nun kommt der DHCP-Server. Die externe Schnittstelle ist selbst Empfänger. Das lassen wir so.

d026

Die interne Schnittstelle, die als DHCP-Server arbeitet, muss aber nochmal überarbeitet werden. Wichtig: Eure Firewall-Hardware hat nur einen LAN-Anschluss für das interne Netz. Wenn Ihr also noch ein WLAN betreibt, müsst Ihr die interne LAN mit dem WLAN-Router verbinden. Das heisst, Ihr benötigt praktisch nur eine einzige Adresse, die über DHCP verteilt wird. Nutzt Ihr kein WLAN, sondern alles ist kabelbasiert, schliesst Ihr den Firewall gezielt an Euren Switch an. Dann benötigt Ihr natürlich so viele IP-Adressen wie Ihr Geräte per Kabel angeschlossen habt. Einen zusätzlichen WLAN-Router würde ich dann einfach auch an den Switch anschliessen, falls noch mobile Geräte ins Netzwerk müssen. DNS-Server definiert Ihr dann wie Ihr wollt.

d027

Bei den DNS-Server-Einstellungen entsprechend.

d028

Wenn Ihr kein SSH benötigt, dann …

d029

… deaktiviert es einfach an der rechten Seite! Grund: Einen Dienst den Ihr nicht benutzt, der muss auch nicht laufen!!! Dann können Andere diesen Dienst auch nicht nutzen! Und solltet Ihr mit SSH nichts praktisches anfangen können, ist es so oder so nicht wichtig für Euch! 🙂

d030

Die IP-Settings brauchen wir jetzt wirklich nicht mehr anzufassen. Wichtig ist nur, dass Ihr Eure IP-Struktur bereits vor der Installation zurechtgelegt habt und jetzt nicht ins Schwimmen kommt.

 

Beispielsweise:

Intern

Gateway/Firewall mit DHCP-Server: 10.1.1.254

Scanner/Kopierer/Drucker: 10.1.1.245 bis 10.1.1.250 (vergebt Ihr statisch an Euren Druckern)

Computer, auch mobile Geräte: 10.1.1.200 – 10.1.1.240 (per DHCP verteilt)

SmartTVs: 10.1.1.150 – 10.1.1.160 (10 Fernseher sollten reichen? Auch manuell an den Geräten! Alternativ per DHCP!)

Smart-Home-Geräte: 10.1.1.100 – 10.1.1.140 (Für die völlig Wahnsinnigen unter Euch!)

Server: 10.1.1.50 – 10.1.1.60 (Falls Ihr zuhause E-Mailserver, Netzwerkspeicher, eigenen Webserver etc. nutzt.)

Dann habt Ihr Ordnung! 🙂

Externe WAN-Schnittstelle: 10.1.0.254 (, falls Euer ISP-Router ein 10.1.0.0-Netz anbietet. Alternativ WAN-Schnittstelle per DHCP!)

 

Weiter im Text:

d031

Der Punkt Configuration-Backup ist später wichtig!!! Wie der Name schon sagt, könnt Ihr eine Sicherung der Konfiguration vornehmen. Bietet sich an immer genau dann durchzuführen, bevor man etwas ändert! 😉

d032

Software-Updates sollten immer aktiviert sein. Das System lädt sie automatisch runter und installiert sie entsprechend. Ich habe nie Probleme damit gehabt. Völlig automatisch! Wir klicken hier auf Update All und …

d033

… lassen das System arbeiten. Wir können parallel aber weiterhin arbeiten.

d034

Jetzt ändern wir das Installationspasswort. Wir geben jetzt unser völlig sicheres Passwort ein! 🙂

Jetzt lassen wir das System eine Nacht laufen. Es soll sich aktualisieren. So können wir zur Not später auf Fehler reagieren. Es bleibt ja trotzdem nur ein Stück Hardware mit einem Stück Software drauf.

Ist die Nacht vorbei, starten wir den Marktplatz auf unserem System:

f001

Oben rechts den Knopf für den Marktplatz klicken.

f002

Anschließend sehen wir alle installierbaren Module. Die Ansicht könnte variieren.

f003

Hier klickt Ihr ein Modul an und markiert es so! Bsp.: NTP-Server!

f004

Anschließend oben rechts auf Install/Upgrade Selected Apps klicken.

f005

Dann auf Download and Install! Dann macht das System, was das System machen soll!

 

Installieren könntet Ihr:

Antimaleware File Scanner – Zwar habt Ihr keinen Webserver bzw. Datenserver installiert, aber eine Infektion des Betriebssystems und des Internetcaches kann man ja trotzdem überprüfen.

Bandwidth Viewer – Zur Kontrolle wie die Geschwindigkeit so ist …

Disk Usage Report – Festplattenkontrolle auf Speicherbelegung.

Filter und Proxy Report – Internetüberwachung.

Intrusion Detection / Intrusion Prevention System – Mit vordefinierten und definierbaren Signaturen/Einstellungen.

Log Viewer – Logdateien durchsuchen.

Network Report – Viele Infos über das Netzwerk.

Process Viewer – Falls er mal hängt, guckt Ihr nach was da so Ressourcen frisst.

Resource Report – Infos zum System.

Web Proxy – Sinnvoll zur Internetnutzung. Aber nicht zu viel Speicher für den Cache geben. Maximal 3 GB!

Content Filter Engine – Ganz wichtig zum Sperren von Webseiten.

Schaut Euch um und installiert was Euch interessiert! 🙂 Ich wette, Ihr müsst die Installation anschließend erneuern, weil das Rumspielen so viel Spass macht! 🙂

Es ist jedoch wichtig, dass Ihr noch Euer Passwort von der Registratur des Firewalls kennt. Ihr benötigt es zum Deinstallieren unnötiger Funktionen. Also der Module, die Ihr nur ausprobieren wollt.

 

Das System benötigt dann eine Weile, um alle installierten Module/Funktionen einzurichten. Wir lassen das Teil jetzt einfach mal wieder eine Nacht in Ruhe und loggen uns aus!

Am nächsten Morgen schließen wir den Firewall-Rechner endgültig als Firewall hinter unseren Providerrouter an. Vom Providerrouter wird das Netzwerkkabel direkt in unseren definierten WAN-Anschluss gesteckt. Der Firewall sollte nun eine IP etc. bekommen, wenn er nicht seine Alte behält. Jetzt kommt die Sache mit der Entscheidung wie das interne Netzwerk aussehen soll. Haben wir das ganze Haus verkabelt, schließen wir den LAN-Anschluss des Firewalls einfach an unseren Haus-Switch an und verbinden alle Systeme kabelbasiert. Wollen wir eher WLAN haben, schließen wir unseren Firewall mit seiner internen Schnittstelle an einen WLAN-Router unserer Wahl. Von dort managen wir dann unser WLAN. Der ClearOS-Firewall kann nicht als WLAN-Router arbeiten. Falls das jemand mit Klick&Play hinbekommt, bitte Meldung an mich. 🙂

a002

Das war es! Jetzt surfen wir alle und loggen uns nach einem weiteren Tag erstmals auf unserem aktiven Firewall ein. Mittlerweile sollten Updates eingespielt und alle Module aktiviert worden sein und bereits arbeiten.

j001

Für uns als Admins ist jetzt die Reportfunktion interessant:

j002

Hier haben wir ausreichend Übersicht über alles was im Netzwerk geschieht.

Eigentlich könntet Ihr jetzt die Füße bereits hochlegen.

 

Weitere Modifikationen:

Wenn Ihr jetzt noch die Blockliste von kowabit.de in den Webfilter übernehmen wollt, so könnt Ihr in diesem Bereich jede der URLs einzeln eintragen. 🙂

h001

Ihr klickt im Menü auf Content Filter und mittig auf Configure Policy.

h002

Im nächsten Screen sucht Ihr Euch Banned Sites.

h003

Dann seht Ihr die gesperrten Webseiten. Bei Euch dürfte noch keine da sein.

h004

Ihr klickt oben rechts auf Add und gebt im nächsten Bildschirm die zu sperrende Domain ein und klickt wieder Add. Die zu sperrende Seite seht Ihr dann wieder unter Banned Sites. Hier könnt Ihr sie auch gleich wieder löschen. Sobald Ihr da tausende von Webseiten eingetragen habt, müsst Ihr aber auch die Suchfunktion nutzen.

Unter dem Content Filter könnt Ihr aber noch mehr sperren.

h006

Beispielsweise könntet Ihr Dateiendungen vom Netzwerkverkehr ausschließen. Ihr könntet EXE-Sperren! Dann können keine exe-Dateien runtergeladen werden, solltet Ihr noch Windows nutzen. Einfacher geht es nicht.

h007

Unter den General Settings im Content Filter können grundlegende Funktionen definiert werden. Aber Vorsicht! Wenn Ihr bspw. Block Downloads aktiviert, kann niemand mehr etwas herunterladen! 🙂

Falls Euch das zu müßig ist alle URLs per Hand einzugeben, klickt Ihr im linken Menü auf System und dann Configuration Backup und erstellt ein Backup mit Eurer Konfiguration mit Klick auf Backup Now.

j003

Den letzten Backupstand laden wir mit Klick auf Download auf unseren lokalen PC! Achtet auf die Sortierung sollten sich bereits mehr als 10 Backups dort befinden!

Die Configuration-Backup-Funktion ermöglicht nämlich einen Eingriff in die Systemdateien. Dann arbeitet Ihr Euch bis zu dem Ordner …\Euer-Backup.tar\etc\dansguardian-av\lists\ vor und öffnet die Datei bannedsitelist.

j004

Hier kopiert Ihr ganz unten die ganze Liste rein. Speichern nicht vergessen!

j005

Dann kopiert Ihr das Ergebnis zurück in die Backup-Datei. Also die bannedsitelist-Datei. Über die Backup-Funktion in der Weboberfläche ladet Ihr Euer manipuliertes Konfigurationsergebnis auf den Firewall hoch. Fertig!

In Zukunft blockt Euer Firewall umfassend Webseiten. Die HOST-Liebhaber unter Euch müssen somit nicht mehr am eigenen System rumspielen. Und das Beste: Ihr habt Zeit gespart! Das ist doch mal was!

Alternativ schaut Ihr nach 24 Stunden auf den Firewall und sucht Euch die 500 am häufigsten besuchten Webseiten. Das wäre der Filter und Proxy Report mit Klick auf Top Sites und Full Report! Sollten Euch Trackinganbieter oder Werbeanbieter auffallen, so füllt Euren Webfilter einfach manuell. Dann habt Ihr einen Webfilter angepasst an Euer Surfverhalten. Das schont natürlich Ressourcen, weil das System nicht tausende URLs durcharbeiten muss.

j006

Auch Adblocker erübrigen sich dadurch auf dem lokalen Rechner so gut wie. Der Firewall knackt den ganzen Müll einfach weg. Solltet Ihr mal eine der Domains freischalten wollen/müssen, so sucht Ihr sie einfach über das Suchfeld im Webfilter Banned Sites und entfernt sie einfach. Aufschreiben aber nicht vergessen!

Das war es schon! Der Firewall ist einsatzbereit. Ein gewisser Grundschutz ist hergestellt worden und mit knappen 208 € ist die Sache auch noch ganz angenehm finanzierbar. Bei zwei Jahren Garantie und Dauerbetrieb in dieser Zeit kostet Euch das Gerät in der Anschaffung, was den Einkaufspreis betrifft, nur ca. 8,67 € im Monat. Mir ist es das wert! 🙂 Wer Geld ausgeben will, kann im Marktplatz auch professionellen Service einkaufen. Bspw. einen zusätzlichen Virenscanner von Kaspersky oder prof. Intrusiondetectionsysteme. Ich verzichte hier darauf. Es geht mir um einen Basisschutz für Privatanwender! Solltet Ihr als Privatperson Geld ausgeben wollen, versucht, inklusive der 8,67 € für die Hardware, auf zwei Jahre gerechnet nicht mehr Geld auszugeben als 20 € pro Monat. Nicht übertreiben! Firmen etc. oder Selbständige sollten anders kalkulieren!

So macht Internet doch wieder Spaß! 🙂

 

Update:

Einen kleinen Zusatz zum Modul ibVPN findet Ihr hier, wenn Ihr der Vorratsdatenspeicherung entgehen wollt.

 

 

Hinweis: Der Autor ist für die Nennung der Firmen bzw. Produkte nicht vergütet worden. Es handelt sich schlicht um die Vorstellung einer Software und eines speziellen Hardwaretyps den der Autor sich aufgrund eines gestorbenen Hardwarefirewalls anschaffen musste und den Vorfall zur Erstellung eines Blogbeitrages nutzen wollte. Der Autor hat somit wie immer seine eigene Zeit und 208 € selbst investiert. Ein externes optisches Gerät ist bei der Erstellung dieses Beitrages gestorben. Danke!

Hinweis 2: Es ist jetzt schon spät und ich bin müde! Wer Fehler findet, bitte schreiben! 🙂

Tagged , , , , , ,