Vorstellung: Watchguard XTM 5 Appliance als pfSense Firewall

In dem folgenden Artikel möchte ich unsere verwendete Firewall und Security Appliance vorstellen, die unser lokales Netzwerk verwaltet und das Smart Home Hub vor unberechtigten Zugriffen schütz. Dazu wir das Open Source Projekt pfSense verwendet, mit dem sich auf einer extrem breiten Hardwarebasis ein vielseitiger Router mit Firewall realisieren lässt.

Überblick

Um sein lokales Netzwerk von dem öffentlichen Teil des Netzes (also dem Internet) abzuschirmen, kommen Router mit NAT-Routing zum Einsatz. Eigentlich alle modernen Router haben auch eine Firewallfunktion integriert, die zumindest grundlegende Angriffe abwehren kann. In vielen Haushalten finden sich Gerät der Firma AVM, besser bekannt als Fritz!Box*. Auch ich verwende eine Fritz!Box 7490*, diese stellt aber lediglich das VDSL2-Modem und VOIP-Telefonie* bereit, alle weiteren Geräte hängen hinter der pfSense Firewall.

pfSense ist ein Open Source Projekt, welches auf dem FreeBSD Betriebssystem beruht. Es ermöglicht, diverse Hardwarearchitekturen (also nicht nur x86 und x64) in eine vollständige Firewall auf Level von Enterprise Geräten umzubauen. Je nach verwendeter Hardware ist ein solches Gerät dann in der Lage, mehr oder weniger Sonderfunktionen und Analysen in Echtzeit auszuführen. Auch hängt die mögliche der Nutzer, welche beispielsweise zeitlich via OpenVPN-Verbindung auf die Firewall zugreifen, von der verwendeten Hardware ab.

Der aufmerksame Leser merkt schon, hier fliegen gerade einige Begriffe durcheinander: Router, Firewall, VPN-Gateway, Security Appliance, IPS (Intrusion Prevention System) – was denn nun? Nun ja, im Grunde kann pfSense alle diese Funktionen erledigen. Wer mehr über das Projekt uns seine Möglichkeiten erfahren will, sollte am besten direkt auf der offiziellen Website vorbei schauen, um sich einen Überblick zu verschaffen. pfSense ist sehr mächtig und nicht immer einfach zu konfigurieren. Es ermöglicht aber Dinge, die ansonsten nur mit sehr, sehr teuren Geräten im Business-Umfeld zu realisieren sind, auch im Heimnetzwerk umzusetzen – und das kostenlos!

Die Hardware

Wer pfSense verwende will und keine großen Anforderungen an die Leistung und den Datendurchsatz stellt, der kann praktisch jedes alte Notebook oder jeden alten PC als Firewall umbauen. Einzige Voraussetzung sind zwei Ethernet-Schnittstellen. Eine Schnittstelle stellt den öffentlichen Teil des Netzwerks dar (WAN), die andere sorgt für die Anbindung an das Heimnetzwerk.

In meinem Fall kommt eine Watchguard* XTM 5 Series Appliance zum Einsatz. Ganz genau handelt es sich um die XTM 505 – das kleinste Modell der Baureihe. Das Gerät ist schon ein wenig älter und gehörte früher in das Produktportfolio der Firewalls für KMUs. Ausgeliefert wurde die XTM 505 ursprünglich mit dem Watchguard OS, welches ein eigenes Produkt ist. Wer nach Preisen für eine aktuelle Watchguard Firewall schaut, wir schnell merken, dass wir uns hier schnell im fünfstelligen Preisbereich > 10.000 Euro* wiederfinden. Ich habe meine XTM 505 bei eBay geschossen – für damals knapp 150 Euro. 🙂

Die hohen Preise der Geräte sind vor allem auf die enthaltenen Lizenzen und Supportverträge zurückzuführen, die für Unternehmen absolut Sinn machen können. Wer nur eine alte Appliance sucht, der er mit pfSense ein zweites Leben schenken kann, wird natürlich zu möglichst günstigen Geräten greifen.

Die XTM 5 Series hat insgesamt sechs Intel Gigabit Netzwerkkarten* sowie eine 100 MBit/s Netzwerkkarte an Board, welche von der Front zugänglich sind – perfekt für den Betrieb im Netzwerkschrank*. Außerdem gibt es auf der Rückseite einen seriellen Konsolenport für das Setup sowie zwei USB-Schnittstellen für Maus und Tastatur. Ursprünglich war das Watchguard Betriebssystem auf einer Compact Flash Speicherkarte* installiert, ich habe meiner Watchguard* XTM 5 aber eine 2,5 Zoll SATA Festplatte* spendiert. Insgesamt ist das Gerät super geeignet, um pfSense laufen zu lassen. Mit einigen Modifikationen bin ich mit meiner pfSense Firewall sehr zufrieden.

Anpassungen der Hard- und Software

Damit pfSense anständig läuft und die XTM 5 von Festplatte booten kann, ist das Einspielen eines alternativen BIOS notwendig. Wie man das BIOS flasht und pfSense auf einer Festplatte installiert, wurde in diesem Artikel sehr schön beschrieben. Viele Infos gibt es auch im pfSense Community Forum.

Standardmäßig ist in der XTM 505 ein Intel Sockel 775 CPU des Typ Celeron mit 2 GHz Takt verbaut. Diese Single Core CPU ist natürlich nicht der Hit. Ich habe Sie gegen einen Intel Core2 Duo CPU E4500* mit 2.20GHz ausgetauscht. Diese alten CPUs gibt es für unter 5 Euro bei eBay. Zwischenzeitlich hatte ich auch einmal einen Quadcore Xeon Prozessor verbaut, der hat das original Kühlsystem aber überfordert und die XTM 5 wurde zu warm.

Apropos Kühlung. Da es sich um professionelles Equipment für den Dauereinsatz handelt, sind in der XTM 5 gleich vier 50-mm-Lüfter* verbaut, die unter Last richtig, richtig laut sind. Das ist vielleicht okay, wenn die XTM 5 Appliance in einem extra Raum im Keller steht, bei mir ist sie aber Teil des Netzwerkschranks im Büro. Daher wurden alle vier Lüfter durch Noctuca Lüfter* ausgetauscht. Diese Lüfter* sind extrem leise und haben genug statischen Druck und Volumenstrom, um die Watchguard Box auch bei 30 Grad Raumtemperatur im Somme ausreichen zu kühlen. Dabei ist vom original Geräuschpegel fast nichts mehr über. 🙂

Zusätzlich habe ich den RAM von ursprünglich 1 GB Single Channel, noch auf 4 GB Dual Channel (2x 2 GB)* ausgerüstet. Das bekommt dem System sehr gut, vor allem wenn Funktionen wie Deep Package Inspection genutzt werden. Insgesamt verbraucht die XTM 5 so im Betrieb circa 30 Watt – mit dem Core 2 Quad waren es im Übrigen über 50 W.

Funktionen im Smart Home

Die pfSense Box ist mittlerweile Dreh- und Angelpunkt des gesamten Heimnetzes. Die Fritz!Box* stellt lediglich das Internet bereit und leitet dieses direkt an die XTM 5 weiter (DMZ Modus der Fritz!Box). Folgende Funktionen werden dann von der pfSense Firewall bereitgestellt:

• DHCP-Server
• DNS-Server
• Transparenter HTTP-Proxy (Squid) mit Echtzeitvirenscanner (ClamAV)
• Intrusion Prevention System (Suricata) – Echtzeit-Package-Inspection zur Erkennung von Angriffen
• NAT-Firewall
• einige Log-Services zur Auswertung
• OpenVPN-Server

Die XTM 5* mit pfSense scannt also in Echtzeit sämtliche Kommunikation nach verdächtigen Mustern und blockiert entsprechende Angriffe. Außerdem werden alle http-Verbindungen über einen Proxy geleitet und auf Viren geprüft. Das ist vor allem für mobile Endgeräte ohne eigenen Virenscanner sehr gut. Außerdem stellt die pfSense Firewall einen VPN-Zugriffspunkt bereit. So lässt sich von überall in der Welt beispielsweise sicher über unverschlüsselte WLANs im Café surfen.

Schlusswort

Sich neben seiner Fritz!Box* eine pfSense Firewall anzuschaffen ist sicherlich nur klug, wenn man Spaß an der Thematik hat und gerne bastelt und testet. Für die meisten Anwender wird eine Standard-Router mit Firewall vollständig ausreichen. Wer jedoch die volle Bandbreite an Möglichkeiten möchte, Funktionen, die sonst nur sehr teuren Lösungen aus dem Geschäftsbereich vorbehalten sind eingeschlossen, der sollte sich pfSense im Allgemeinen genauer ansehen. Ob ihr auch eine alte Watchguard Appliance aufschnappt und diese umbaut, oder eine der vielen fertigen pfSense Boxen* kauft, ist nebensächlich. Alternativ zu pfSense sei abschließend noch das Open Source Projekt ipFire genannt, welches ähnliche Funktionen bietet. Die Möglichkeiten sind also vielfältig! 🙂

Wie ihr pfSense auf der XTM5 installiert, habe ich hier für euch beschrieben.