Från ett rent tekniskt perspektiv är det möjligt att använda alla populära operativsystem för datorer som grunden för en brandvägg. För nybörjaren, eller egentligen alla som vill ha de viktigaste funktionerna under ett webbaserat gränssnitt, finns en rad färdiga paketeringar.

Pfsense

Det som används i denna artikel som illustrativt exempel kallas Pfsense. Denna finns både med kommersiellt stöd samt som en gratisversion som kallas Community Edition.

pfLogin.PNG

Loginskärmen för Pfsense

Pfsense bygger på en UNIX-variant som kallas FreeBSD.

Som mycket annat i datorvärlden finns en vi-och-dem-mentalitet mellan Linux lägret och BSD-lägret. Utan att gå allt för mycket in på detaljer bör det ändå nämnas att FreeBSD, precis som sina syskon OpenBSD och NetBSD, är fullständiga operativsystem och inte som Linux ”bara” en operativsystemskärna.

Detta har en hel del fördelar när det kommer till saker som dokumentation och hur olika saker passar ihop. Det är i vissa fall lite mer konsekvent jämfört med Linux och även Windows-världen.

Den i min mening största nackdelen med BSD-varianterna är begränsningarna när det kommer till vilken typ av maskinvara som stöds. För Ethernet-nätverk är dock dettta sällan några problem.

IPFire

Givet hur mycket vanligare Linux är jämfört med BSD-varianterna är det lite märkligt hur få Linux-baserade direkta konkurrenter det verkar finnas till Pfsense.

IPFire_install.png

Installationsförfarande för IPFire

IPFire_install_2.png
IPFire_install_3.png
IPFire_install_4.png
IPFire_install_5.png
IPFire_install_6.png
IPFire_install_7.png
IPFire_install_8.png

IPFire är i all fall en sådan. Primärfokus för denna paketering är enkelhet, och i sitt grundformat delar IPFire upp världen i två delar.

Det gröna segmentet markeras med att alla nätverksportar bär namnen ”green0”, ”green1” etc. Detta segment är LAN-anslutningen och betecknas som säkert.

Det röda segmentet är länken mot internet och hela poängen med en brandvägg är att bättre stå emot attacker från elaka element som finns ute i cyberrymden. Normalt har systemet en så kallad WAN-anslutning som då får namnet ”red0”.

net_cfg_1.png

Konfiguration av nätverket på en enhet med två Ethernet-anslutningar.

net_cfg_2.png
net_cfg_3.png
net_cfg_4.png
net_cfg_5.png
net_cfg_6.png
net_cfg_8_dhcp.png
net_cfg_9_done.png

Konfigurationen som används i Pfsense i denna artikel skulle motsvara en IPFire med två Ethernet-anslutningar – en i det gröna (LAN) och en i det röda zonen (WAN).

Som utökning går det att lägga till en orange zon, en DMZ (demilitarized zone). En DMZ-sektion är ett sätt att isolera de servrar som ska vara åtkomliga från internet, men ändå separerade från det vanliga LAN:et.

Slutligen finns det en blå sektion. Policymässigt är denna zon identisk med den gröna zonen, men IPfire separerar LAN via Ethernet från LAN via Wifi, som är den blå zonen.

Själv gillar jag idén kring IPFires färgkodning och illustrationer i guiden använder därför konsekvent rött för WAN och grönt för LAN.

Clear OS

En annan Linux-distribution som ofta nämns i samband med Linux-baserade brandväggar som alternativ till Pfsense är Clear OS.

0_Welcome.png

Första steget i installationen

1_Installation.png
2_Installtion.png

Installation klar

3_FirstBoot.png

Vid första uppstarteb av installationen uppmanas användaren att peka sin webbläsare mot port 81 för administration

Clear OS är egentligen en generell serverdistribution där ett huvudmål är möjlighet att helt kunna administrera systemet via webbläsaren. Vid installation är det möjligt att skräddarsy installationen för en specifik funktion, och ett av valen är ”Firewall and Network”.

Om brandvägg väljs som funktion installeras de tillägg som behövs. Alla dessa tillägg finns i något som kallas "Clear OS Marketplace". Mycket är gratis, men det finns tillägg som kostar en mindre summa.

4_Login.PNG

Det första jag möts av i webbläsaren är inloggningssidan

5_Browser_Wizard.PNG

Installationsguide för att konfigurera Clear OS-installationen

6_SelectVersion.PNG

Det finns både en gratisvariant där support hanteras i forumet, samt betalversionen där traditionell support ingår

7_SelectFunction.PNG

En rad olika sätt för att ställa in Clear OS erbjuds

8_FirewallAndNetworking_Function.PNG

Önskas brandvägg väljs alternativet "Firewall and Network"

8_IPConfig.PNG
9_FirewallConfig.PNG

Här med brandväggsregler som släpper in SSH (TCP port 22) samt webbadministration (TCP port 81)

På det stora hela är Clear OS väldigt välputsad, men är inget jag rekommenderar för någon som inte är bekväm med skalverktyg som ”iptables” i Linux. För trots att gränssnittet är polerat behöver användaren i praktiken förstå iptables då regler läggs till genom att specificera iptables-kommandon som de skulle se ut i skalet.

Då detta är en generell serverdistribution och inte specifikt skapat som brandvägg, vilket är fallet för Pfsense och IPFire, går det självklart att installera en rad andra tjänster som normalt associeras med en server. Det är inte optimalt ur säkerhetssynpunkt, men finns även stöd för containers.

Traditionell Linux-distribution

För den som är väldigt bekväm med Linux har detta alternativ en rad fördelar då det ger överlägset störst flexibilitet.

Ett uppenbart användarfall här är virtualisering eller container-lösningar. Det för att dela en maskin med exempelvis en NAS-server med bibehållen hårt separation mellan brandvägg och övriga serverkomponenter.

Det går även att kombinera någon av distributionerna som nämnts ovan med en traditionell Linux i botten, som sedan kör flera virtuella instanser via exempelvis KVM. En av instanserna kör då brandväggen, där denna kan se LAN som en kombination av virtuella Ethernet-gränssnitt till instanser på samma maskin och fysiska anslutningarna på enheten där resten av hemmets maskiner ansluts.

Stor flexibilitet betyder även att det finns långt fler sätt att konfigurera ett system som har attackytor som inte är direkt uppenbara. Det innebär att detta är inte förstahandsvalet för den som är ute efter enkelhet och som inte är väldigt bekväm med Linux-system.