OpSec-Fail 001477 = Geb deine Firefall preis xD.

An dieser Stelle möchte ich meine Firewall vorstellen und vor allem warum ich mich für diese entschieden habe.

Zu allererst ein paar Worte zu meinem Setup. Ich hänge per Coax-Kabel an einem lokalen ISP, dabei dient mir eine Fritz!Box 6490 (siehe Notes am Ende der Seite) als “Modem”. Die Fritzbox stellt m.M.n an einem Kabelnetz die Mindestanforderung dar. Grund für diese Annahme ist das von Haus aus unsichere Kabelnetz, mit seinem Wartungszugängen.

Siehe Vortrag von Alexander Graf “Beyond your cable modem” auf dem 32C3

Nun gut, aus diesem Grund halt eine Fritzbox für den Zugang zum Kabelnetz. Da die Fritzbox allerdings nur als eine Art Modem agiert und keine weiteren Aufgaben übernimmt, ist ein zweites Netz hinter der Box notwendig. Um dieses Netz, mit eigenen DHCP-Service und Firewall, anbieten zu können ist eine zusätzliche Hardware erforderlich. Dabei habe ich einige Konstellationen getestet.

Auf jeden Fall zu erwähnen sind:

  1. IPFire auf BananaPI
  2. pfSense auf virtualisierter Hardware

BananaPI mit IPFire

Diese Zusammensetzung hat mir theoretisch am besten gefallen. Der BananaPI ist schnell und stromsparend. Im Zusammenspiel mit einem Gigabit-Ethernet-Switch ergibt sich rundes Bild, weswegen ich diese Konstellation auch relativ lange und stressfrei genutzt habe. Unter anderem bietet sich hier das DNS-Adblocker Skript aus der IPFire-Artikelserie von Mike Kuketz an, um Werbung und Adwaretising entgegen zu wirken.

Vorteile Nachteile
Unterbau basiert auf Linux, stromsparend, super Community Auf Grund der Architektur des BananaPI`s ist dieser an IP-Fire gebunden und dadurch auf den weiteren Support des Projekts angewiesen

Ein riesiger Vorteil ist wie in der Tabelle erwähnt der Unterbau auf Linux-Basis, dadurch kann alles was in der Firewall geschieht hervorragend nachvollzogen werden. Des Weiteren ist es möglich zusätzliche Pakete wie einen Streamingserver über den Packetmanager reinzuziehen. Persönlich bin ich der Meinung, hat die Firewall nur einen Zweck und nur diesen soll sie erfüllen, nur wer sich gerne eine Art eierlegende Wollmilchsau mit Packetfiltern, NAS, Webserver und Downloadmanager bauen möchte, der wird hier nicht behindert. Ein Nachteil für mich als Linux-User ist allerdings der Linux-Unterbau. So möchte ich dem Angreifer die Möglichkeiten an mein Kernetz zu gelangen so schwierig machen, wie es mir nur möglich ist. Wäre IP-Fire also meine Lösung, müsste sich ein Angreifer nur in Linux und deren Schwachstellen auskennen um in mein Netz zu gelangen.

Deshalb musste eine Alternative her.

pfSense auf VM-Basis

Nachdem ich mich nun eine Weile nach einer neuen Firewall-Lösung umgeschaut hatte, bin ich auf das von Netgate vertriebene BSD “pfSense” gestoßen. Diese Firewall-Distribution erweckte für mich durch seine BSD-Wurzeln eine weitere Sicherheitsmaßnahme in der Netzwerktopologie (Heterogenität), da ein Angreifer um auf meine Systeme Zugriff zu erlangen, sich nun nicht mehr nur alleine mit Linux auskennen, sondern gewisse BSD-Skills vorweisen musste. Da ich zu diesem Zeitpunkt allerdings keine eignene Hardware bereitstellen wollte und dieses System nicht unter ARM läuft, habe ich mir einer KVM-Virtualisierung weitergeholfen.

Vorteile Nachteile
Unterbau BSD, x86 “Hardware”, gute skaliebarkeit auf Grund der Virtualisierung Das Projekt trennt sich zunehmend von der Community

pfSense öfnnet einem eine ganze Pallete von “Enterprise”-Funktionen und bietet die Möglichkeit sich über Plugins erweitern zu lassen. So ist es leicht möglich sich ein Monitoring des Netzwerktraffics über externe Systeme wie Grafana, mit der Hilfe des Telegraf-Plugins zu bauen oder sich einfach einen per GUI gesteuerten Adblocker zu klicken. Mir hat diese Firewall allerdings nie wirklich vermittelt Herr der Lage zu sein, es kam einem immer irgendwie, von Anfang an, fremdgesteuert vor. Ein Gefühl was ich finde, nur Windows vermitteln kann, also nichts für jemanden der gerne für alles selbst verantwortlich sein will.

Eine weitere Alternative musste her.

OPNSense auf eigender Hardware

Da ich jetzt von der pfSense-Firewall so verwöhnt war, was die Bedienung und komplexität angeht, tat ich mich sehr schwer, mich von dieser zu trennen. In der Recherche zu pfSense bin ich immer mal wieder auf den Namen OPNSense gestoßen. Davon habe ich mich allerdings erstmal nicht beeindrucken lassen, schade eigentlich, da diese Distro mein Ziel war. Das konnte ich zu dieser Zeit allerdings noch nicht ahnen. Einige Zeit verging und ich schaute mich wieder nach Firewalls um, diesmal mit konkretem Ziel: BSD-Basis, Community-Driven und Enterprise-Sektor. Kurzum landete ich ziemlich schnell bei OPNSense, wie sich raustellte einem Fork von pfSense.

Vorteile Nachteile

Die Fritz!Box 6490 weist einen Bug auf, der in der aktuellen Version noch nicht gefixt ist. Dieser Bug sorgt dafür, dass per Fast-Ethernet angeschlossende Geräte pro Port nur ca. 16MBit/s an Datendurchsatz erhalten. Dieser Bug war selbst meinem ISP nicht bekannt, auch die Auskunft bei AVM in Berlin hat mir nicht weitergeholfen als ich diesen Fehler festgestellt hatte. Nur durch eine Anfrage an das IP-Phone-Forum wurde ich darauf aufmerksam gemacht, dass es diesen Fehler gibt und wie ihn behebt.