pfSense Firewall

In diesem Artikel möchte ich die Open Source Firewall-Applikation pfSense vorstellen.

pfSense basiert auf einer UNIX Umgebung namens FreeBSD. FreeBSD gilt als sehr sicher und stabil und ist auch im professionalen sicherheitskritischen Umfeld zu finden.

 

Persönlich finde ich das diese Firewall Distribution nahezu alle grundlegenden Funktionen eines Unternehmens erfüllen kann sowie viele weitere Zusatzfunktionen. Grosser Vorteil von pfSense ist die kostenlose Verfügbarkeit sowie die Möglichkeit der Installation auf allen gängigen Hardware unterbauten inkl. Virtualisierungen wie VMware.

 

Neben der riesigen Community, bieten die Hersteller von pfSense auch eine kostepflichtige SLA für 24h/7/365 oder Stundenbasis an inkl. rund um die Uhr Hotline.

 

pfSense ist eine sogenannte "stateful Firewall", welche ein stark vereinfachtes Firewall Regelwerk erlauben, als Gegenteil dient die "stateless Firewall". Stateful bedeutet das die Firewall bei ausgehendem Traffic auch automatisch eine begrenzte Zeit den ankommenden Antwortverkehr dafür freigibt. Daher müssen wir uns als Administrator nur um die ausgehenden Regeln kümmern und erhöht die Sicherheit durch nicht dauerhaft geöffnete Firewall Regeln.

 

Nachfolgend einige Features von pfSense:

  • Firewall (stateful)
  • NAT
  • Routing
  • Load Balancing
  • High Availability
  • Captive Portal (Wireless Gästeportal)
  • VPN (IPsec, PPTP und OpenVPN)
  • Proxy Server mit ACL, Anti-Virus und SSL Encryption
  • Paket Manager für zahlreiche Erweiterungen
  • Self-Signed CA

 

Die Installation von pfSense ist extrem einfach.

 

Was wird benötigt:

- APU, APU2 oder APU3 mit installierter mSata SSD oder SATA HDD/SSD, SD Karten/USB Sticks sind als Harddisk nicht empfehlenswert!

- USB Stick mit mindestens 4GB Speicherplatz

- pfSense .iso Datei wie unten beschrieben-> Download

- Windows Rechner

- Win32 Disk Imager -> Download

- Putty -> Download

- Serieller Anschluss oder USB zu Seriell Wandler inkl. Nullmodem Kabel

 

Geht auf www.pfsense.org und lädt die aktuelle Version von pfSense als Mem Stick Installation und AMD64 Version herunter.

Mit dem Programm Win32 Disk Imager wird die heruntergeladene .iso Datei auf den USB Stick geschrieben.

Dazu die .iso Datei auswählen, den Laufwerksbuchstaben des USB Sticks im Dropdown Menü wählen und auf "Write" klicken.

Nun den USB Stick an der APU anschliessen, ebenso ein Netzwerkkabel für den Internetzugang und zusätzlich mittels Putty den Seriellen Port öffnen. Der genau verwendete Port ist im Geräte Manager in der Systemsteuerung ersichtlich.

Meine Serielle Schnittstelle hat den COM3 Port bekommen:

Mittels Putty und dem vorher ausfindig gemachten COM Port, auf die APU verbinden.

Wichtig ist die korrekte Baud Rate von 115200 Baud, welche unter "Speed" eingetragen werden muss.

Wer möchte kann die Verbindung mit einem Namen abspeichern und muss so nicht jedesmal den COM Port einfügen.

Ist der COM Port via Putty geöffnet, es sollte keine Fehlermeldung kommen und nur ein schwarzer leerer Bildschirm, dann kann das Netzteil der APU eingesteckt werden.

 

Nun startet das BIOS und man kann mittels der Taste F10 die Boot Optionen einblenden.

Dort sollte dann der vorher erstellte USB Stick ersichtlich sein.

Bei mir ist das die Position 1, daher muss ich die Taste 1 drücken.

Nun startet die Installation und ein Auswahlfenster sollte erscheinen.

Für Anfänger würde ich die oberste Auswahl "Easy Install" empfehlen, es ist ein grundsätzliches OK Drücken Verfahren und man kann nichts falsch machen. (Wenn ja, dann bis fast ans Ende dieser Anleitung scrollen)

 

Möchte man bei der Installation manuelle Konfigurationen machen, wählt man "Custom Install", welches ich hier vorstelle.


Ich wähle also "Custom Install" aus und klicke ENTER.

Als erstes wähle ich wo pfSense installiert werden soll. 

Oben meine mSata SSD, unten mein USB Stick.

Logischerweise installiere ich es auf der mSata SSD.

Möchte ich die gewählte Harddisk formatieren?

Ich empfehle ja, sofern die Harddisk nur für pfSense genutzt wird und noch keine anderen Dateien enthält.

Nun sollte der Aufbau der Harddisk geladen werden.

Grundsätzlich sollte das System die korrekten Werte automatisch erkennen, wenn nicht kann es hier einmalig verändert werden.

Die korrekten Werte finden sich meist aufgedruckt auf der Harddisk oder im Datenblatt des Herstellers.

Eine falsche Eingabe kann die Installation verunmöglichen, daher wenn nicht sicher einfach auch "Use this Geometry" klicken und nichts verändern.

Warnmeldung bestätigen:

Nun könnte die Harddisk partitioniert werden.

Sollte dies nicht benötigt werden, klickt auf "Skip this Step".

Eine Partition erlaubt eine virtuelle zweit Harddisk für zusätzliche Dateiablagen oder Installationen.

Bei pfSense würde ich dies nicht empfehlen, da die Firewall ein Sicherheitselement ist und keine Zusatzsoftware nebenbei beinhalten sollte.

Dennoch kurz ein Einblick:

Hier könnte ich mit "Add" eine zusätzliche Partition anlegen.

Falls OK, dann Bestätigen:

Ok, es wurde erfolgreich eingerichtet:

Hier muss zwingend der Boot Block installiert werden, denn sonst startet die Software später nicht!

 

Kurze Erklärung:

Der Bootblock ist ein allgemeiner Begriff für verschiedene wichtige Funktionen.

Er umfasst den MBR bei Festplatten, den Bootloader beim BIOS oder den Bootsektor bei Floppy Disks.

 

Es ist ein Bereich eines Geräts, der beim Starten als erstes angesprochen wird um elementare Informationen zu geben und rudimentäre Funktionen auszuführen.

Beispielsweise:

- wie groß ist die Harddisk

- wurde sie partitioniert und wenn ja wie Gross sind die einzelnen Partitionen 

- welche ist aktiv oder inaktiv

- ab wo muss gestartet werden 

Erfolgsmeldung:

Die nächsten Meldungen einfach bestätigen:

Nun könnten wir noch Subpartitionen für das System einrichten.

Linux bildet meistens selbst einzelne Subpartitionen wie zB. den SWAP Bereich.

Ich würde es auf Standard belassen, da die eingesetzte mSata SSD nur 16GB hat und ich genügend für das System haben möchte.

Wichtige Auswahl!

Wählt "Embedded Kernel", sonst hatte ich es schon das ich nicht mehr weiter installieren konnte.

Ich vermute das die Installation danach via Grafikausgang ausgegeben wurde und ein solcher besitzt die APU bekanntermassen nicht.


Nun sind wir am Schluss der Installation und können den USB Stick entfernen und mit "Reboot" bestätigen.

Sobald pfSense gestartet ist ertönt eine akustische Tonmelodie.

Entweder greift Ihr jetzt via Netzwerk zu oder Ihr verändert die Grundeinstellungen via Putty.

 

Nachfolgend die Ausgabe via Putty.

Mit den Optionen 1 und 2, könnt Ihr die Ethernet Schnittstellen zuweisen sowie deren IP Adresse anpassen.

Ich hänge nun mein Computer via Ethernet an den mittleren Netzwerkanschluss des APU Boards.

Mein Computer bekommt nun eine IP Adresse aus dem Bereich 192.168.1.0/24 und ich kann mit dem Aufruf der IP Adresse 192.168.1.1 im Webbrowser, auf die pfSense Oberfläche zugreifen. (Gilt nur wenn Ihr die Default Einstellungen gelassen habt)

 

Default Login:

Benutzername: pfsense

Passwort: pfsense

Am Anfang erscheint ein Wizard, welches die ersten Grundkonfigurationen erlaubt.

Ihr könnt es Überspringen oder einmal durchklicken.

Fertig, ab jetzt läuft eine pfSense auf eurem Rechner.