Ipfire Hardware

Lagerfeuer Hardware

Es ist die Linux-Firewall IPFire zu verwenden. Hi zusammen, ich möchte eine Firewall mit Ipfire bauen. Hardware- und Netzwerkbau - IPFire Part1 chl. comt. Kützel IT-Security Blog

Urspruenglich hatte eine Brandmauer oder ein Paketsieb eine einfache Aufgabe: einen gesteuerten Uebergang zwischen zwei oder mehr Netzwerken zu schaffen, mit dem Zweck, den Verkehr zu ueberwachen und zu bestimmen, ob es moeglich ist, dass gewisse Netzpakete auf der Grundlage festgelegter Richtlinien passieren koennen oder nicht. Dabei wurden verschiedene Security-Aufgaben auf einer einzigen Platform kombiniert.

So war eine Brandmauer nicht mehr nur ein simpler Packetfilter, sondern auch ein Tor, Proxy (Inhaltsfilter), Intrusion Detection System, Virusscanner oder Voice-Netzanschluss. In diesem Artikel und mit dem Anfang der Artikelreihe über die Open-Source-Firewall IPFire möchte ich nicht weiter auf die Mängel der heutigen "Cyber Defence Appliances" eingehen - das wäre Material für eine weitere Artikelreihe.

Wenn Sie Ihre IT-Infrastruktur nicht kennen oder unter Kontrolle haben, gibt es keine Firewall der nächsten Stufe, die Ihnen helfen könnte. Der vorliegende Artikel ist Teil einer Reihe von Artikeln: IPFire ist eine Open-Source-Firewall auf Basis von Linux von Scratch. Wenn Ihnen das nicht reicht, können Sie mit dem Paketmanagementsystem (Pakfire) eine Vielzahl von Extensions upgraden und das IPFire zu einer eierlegenden Wollmilchsau umwandeln.

Durch die Funktionserweiterungen steigt jedoch zugleich die Vielschichtigkeit von IPFire. Jeder, der mit der Nachrüstung von Add-ons überzeichnet, erzielt eine Komplexitätsgrad, der dem in der IT-Sicherheit gültigen "Keep It Small and Simple" (KISS)-Prinzip widerspricht, nach dem Vielschichtigkeit der Gegner der IT-Sicherheit ist. Meine Empfehlung: Konzentrieren Sie sich auf das Nötige, eine VoIP-Telefonanlage oder ein Mail-Server haben nichts an einer Brandmauer zu verlieren, die sicherheitsrelevante Aufgaben übernehmen soll.

Auf die Grundfunktionalität oder das Einrichten von IPFire werde ich in der Artikelreihe nicht weiter eingegangen. Dazu gibt es bereits im IPFire-Wiki genügend Hinweise. Die Artikelreihe IPFire konzentriert sich auf aussagekräftige Ergänzungen, Änderungen und Anweisungen, die ich kurz skizzieren möchte: Wie beim Pi-Loch können Anzeigen und Trackers auf IPFire bereits auf DNS-Ebene gefiltert werden.

Die GUI hat dazu noch nicht die nötige Funktionalität, aber mit einem Script (dns_blocker. sh) kann das DNS-Adblocking leicht nachgerüstet werden und mit ein paar Änderungen können vergleichbare Resultate wie auf dem Pi-Loch erzielt werden. Als Teil der IPFire-Artikelreihe zeige ich Ihnen, wie Sie die Stufe 3 erreicht (siehe Abbildung 6) und den Traffic von Windows 10 auf IPFire kontrollieren können.

Es gibt verschiedene Wege, um Datenerhebern wie Google oder Google oder Google zu entkommen. Ähnliche Dinge können über ein Firewall-Skript für IPFire gemacht werden - es ist bereits im Beta-Test und wird mit dem Artikel aufbereitet. 2.2 Warum das IPFire? Zuerst einmal muss eine Firewalllösung Open Source sein.

Was bleibt, sind Anwendungen wie die Endian Firewall, IPCop, phsense, OPNsense oder IPFire. Am Ende habe ich mich für IPFire aufgesetzt. Ich habe meine bisherige mo0n0wall dank IPFire ausgemustert. Nichtsdestotrotz kann eine Firewall mit Gimmicks wie DNS-Adblocking eine nützliche Erweiterung sein. Nur wenn Sie sie unter Ihrer Aufsicht haben, können Sie an eine (Hardware-)Firewall denken.

Für mich ist eine virtuelle Brandmauer keine "echte" Brandmauer. Meiner Meinung nach muss eine Brandmauer wie IPFire auf ihrer eigenen physikalischen Hardware ablaufen. Im IPFire-Bereich sind verschiedene Endgeräte aufgelistet, die sich in Bezug auf Schnittstellenanzahl, Leistung und Ausrüstung aufteilen. Wir empfehlen für den Haushaltsgebrauch eine IPFire Duobox (Rev. 1. 0) aus der amtlichen Auflistung - der Nutzer muss jedoch bereits 299,- in die Hände bekommen.

Das IPFire Wiki stellt weitere Endgeräte, Referenzen und Hinweise zu einzelnen Bauteilen vor. Wenn Sie die Hardware selbst montieren wollen, sollten Sie sich die APU2-Plattform (APU2B4/APU2C4) genauer ansehen oder den Hardware-Bereich des IPFire-Forums durchstöbern. Selbst die Hardware ist eine Frage des Geschmacks und sollte sich an Ihren Anforderungen/Wissen ausrichten. Als Orientierungshilfe: Auch andere Hardware ist mit IPFire und IPFire vergleichbar.

Ich betrachte das oben Erwähnte als eine gute Entscheidung für die Verwendung mit IPFire. Ich möchte jedoch auf eine Beschränkung der IPFire Duobox hinweisen: Besonders als Kundin oder Kunden eines Kabelnetzbetreibers erhalten Sie oft eine Frischhaltebox. Das bedeutet, dass Sie ein Vertrauensverhältnis zu Ihrem Anbieter eingehen, der sich über die Box FRIZ! prinzipiell zu jeder Zeit ohne Ihr Zutun mit Ihrem W-LAN oder Heimnetz verbinden könnte.

Unter " Diagnose -> Security " werden über das Web-Interface der Box FRIZ! die "außen" geöffneten Anschlüsse aufgeführt. Die TCP-Schnittstelle 8089 wird für die Selbstkonfiguration Ihres Internetzugangs und Ihrer Internet-Telefonie sowie für die automatischen Aktualisierungen der OBJ. Insbesondere für Kabelverbindungskunden, die auf ein Cablemodem oder eine FRITZ!-Box angewiesen sind, wird daher empfohlen, eine weitere "Barriere" zwischen dem Anbieter und seinem (Heim-)Netz zu installieren.

Eine solche Schranke kann mit IPFire realisiert werden. Für Anwender mit Kabelanschluss besteht die Möglichkeit, die FRITZ! Box entweder in den Bridge-Modus zu versetzen oder, wenn diese Möglichkeit "beschnitten" wurde, einen exponierten Rechner zu verwenden. Mit beiden Versionen ist IPFire nun auch über das Netz zugänglich. Sie müssen IPFire jedoch nicht unmittelbar aus dem Netz zugänglich machen oder den gesamten Netzwerkbetrieb durchlaufen.

Das IPFire ermöglicht die Anwahl über PPPoE. Wenn Sie die Zugriffsdaten haben, können Sie Ihre FRIZ! Box/Router abklemmen und ein simples (V)DSL-Modem vor dem IPFire verwenden. Mit dieser Einrichtung ist IPFire auch in diesem Fall auf direktem Weg aus dem Netz zu erreichen und löst den bisherigen Verteiler ab. Sie können den IPFire auch ganz unkompliziert hinter Ihrem vorhandenen Kreuzschienenrouter anschließen.

Auf dem Bild sehen Sie, dass ich die Netzwerke entsprechend den in IPFire verwendeten Farbtönen markiert habe: Red: Drittes Netz, das normalerweise eine direkte Verbindung zum Netz oder zum ISP hat. Für mich ist das weiße Netz der innere IP-Adressbereich der FRITZ! Box (192.168.50.0/24). Grünes: Das internes privates Netz (192.168.200. 0/24), in dem Vorrichtungen mit einem Netzkabel angeschlossen sind.

Blue: Ein eigenes Netzwerkprotokoll (192.168.150. 0/24) für drahtlose Vorrichtungen wie Smartphones. Typisch die DMZ, für Endgeräte, die unmittelbar aus dem Internetzugang zugänglich sein sollen. Die gelbe Markierung (192.168.100. 0/24) richtet sich an VPN-Clients, die sich über die FRITZ!-Box anmelden und dann Zugang zum internen Datennetz der FRITZ! -Box (192.168.50. 0/24) haben.

Den gelben Netzwerk- oder VPN-Zugang über die FRITZ!-Box benutze ich nur, wenn ich mobil bin und mich in "unsichere" Netzwerke, z.B. am Airport, eingebucht habe. Der FRITZ! Kasten nimmt die folgenden Arbeiten wahr: Das IPFire hat einen Fuß (rotes Netz) im inneren Netzwerkbereich der FRITZ! Box und nimmt die folgenden Arbeiten wahr:

Box (192.168.50. 0/24) ist eine DMZ, die durch die FRITZ! Box "geschützt" ist. Zugleich das nicht vertrauenswürdige red network (192.168.50. 0/24) von IPFire. Brandmauern wie IPFire können ein leistungsstarkes Tool sein, wenn die Konfigurationen richtig implementiert sind und vor allem, wenn die Firewall-Regeln genau festgelegt sind.

Folgendes gilt: Eine richtig eingerichtete Brandmauer kann dazu dienen, die Datensicherheit und den Datenschutz zu erhöhen. Nächster Teil der IPFire-Artikelserie: Ich werde Ihnen die Einrichtung, Konfigurierung und benutzerdefinierte Gestaltung des Skripts DNS-Adblocking vorführen.

Auch interessant

Mehr zum Thema