Firewall und Router

Empfehlenswerte Linux-Distributionen für die Netzwerksicherheit

16.11.2015
Von David Reis und
Jürgen Donauer war als Systemadministrator zunächst für Informix und später IBM tätig. Dann verschlug es ihn in das Rechenzentrum von Media-Saturn. Dort kümmerte er sich mitunter um die Webserver, Datenbankanbindungen und den Online-Shop. Anschließend war er als Redakteur im Bereich Linux für TecChannel tätig.

Auf FreeBSD basierend: pfSense

Auch pfSense basiert auf FreeBSD, bedient sich also der gleichen soliden Basis wie m0n0wall. Das ist auch nicht weiter verwunderlich, denn pfSense ist ein Derivat von m0n0wall, das sich im Jahre 2004 von dem Projekt abspaltete. Es ist gegenüber der kleineren Distribution um einige Möglichkeiten erweitert und verfügt auch über ein anderes Nutzer-Interface. Wie auch m0n0wall wird pfSense in verschiedenen Varianten für diverse Umgebungen angeboten, kann also auch in einer Ausgabe für Embedded-Systeme heruntergeladen werden. Diese berücksichtigt zum Beispiel die begrenzte Zahl von Schreibvorgängen auf Compact-Flash-Karten und verlagert sich in den Arbeitsspeicher Für eine Standardinstallation wählt man aber am besten pfSense-<Version>-RELEASE-<arch>.iso.gz zum Download.

Sehr angenehm fällt auf, dass pfSense nicht nur mit IPSec und PPTP, sondern auch mit OpenVPN und L2TP umgehen kann. Außerdem hat die Firewall zum Beispiel auch S.M.A.R.T.-Monitoring-Tools an Bord. Das hat zwar nichts mit Firewall oder Router zu tun, dennoch kann es nicht schaden, wenn der Administrator über eine eventuell kaputtgehende Festplatte informiert ist.

Ebenso dient das von OpenBSD kommende CARP (Common Address Redundancy Protocol) der Ausfallsicherheit. Hier lassen sich zwei oder mehr Firewalls als Failover konfigurieren. Mittels pfsync kann die Konfiguration des primären Geräts auf die Failover-Rechner übertragen werden. Sollte also die Haupt-Firewall ausfallen, springt ein Ersatzmann ein.

Die Installation von pfSense gestaltet sich ähnlich simpel wie bei m0n0wall, wobei bei der Installation selbst einige Optionen mehr zur Auswahl stehen, wohingegen die Konfiguration automatisiert als Skript abläuft. Dies beugt der Verwirrung des Benutzers vor, sodass man sich schneller im neu designten Web-Interface wiederfindet. Dieses wird mit Drop-Down-Menüs bedient, die die umfangreichen Optionen übersichtlich gliedern. Ob man dies dem einfachen Textmenü von m0n0wall vorzieht, ist wohl Geschmackssache.

Theoretisch lässt sich pfSense auf einem Pentium II mit 256 MByte RAM betreiben. Allerdings kommt es an dieser Stelle sehr darauf an, wie viele Benutzer an der Firewall hängen und wie viel Durchsatz verwaltet werden muss. Bei über 500 Mbps raten die Entwickler definitiv zu Hardware der Server-Klasse mit mehreren CPU-Kernen und mindestens 2 GHz. Selbst bei zehn bis 20 Mbps sollte die Hardware laut eigenen Aussagen nicht älter als vier Jahre sein.

Wer kompatible Hardware für pfSense sucht, sollte sich bei Netgate, Hacom oder http://www.osnet.eu/ umsehen. Diese Firmen verwenden auch die Entwickler der Firewall-Distribution und somit ist garantiert, dass pfSense auch ohne Probleme läuft. Weiterhin können Unternehmen professionellen Support für pfSense erwerben.