Nicht nur bei der Hardware, auch bei der Software hat man die Qual der Wahl. Für mein Projekt scheiden Desktop-Firewalls wie Comodo, ZoneAlarm oder die Agnitum Outpost Firewall aus – die werden auf dem Client installiert, also auf dem jeweiligen Rechner, der geschützt werden soll. Das will ich nicht, schließlich müsste ich dann mehrere Installationen vornehmen.
Ein einfaches Linux, das z.B. über SSH mit Regeln für iptables versorgt wird, will ich auch nicht – aus praktischer Erfahrung weiß ich, dass das funktioniert, allerdings ist das Handling nicht wirklich angenehm und damit fehleranfällig.
Bleiben noch Firewall-Betreibssysteme wie ipCop, ipFire (beide basieren soweit ich weiß auf Linux), pfSense oder opnSense (selbstverständlich gibt es noch einige mehr, aber die alle aufzuzählen, würde den Rahmen sprengen). Letztere basieren auf FreeBSD. pfSense ist schon sehr lange (zumindest für IT-Verhältnisse) auf dem Markt; opnSense hat sich vor ein paar Jahren von pfSense abgespalten („geforked“, wie es so schön heißt). Beide werden stetig weiterentwickelt und bieten ein „Rundum sorglos“-Paket. Eine klare Empfehlung kann ich ruhigen Gewissens für beide Systeme aussprechen. Ich habe mich für opnSense entschieden. Das soll nicht heißen, dass pfSense schlechter ist. Bei opnSense scheint mir die deutschsprachige Community größer; außerdem gefällt mir die Weboberfläche etwas besser (das ist jetzt Jammern auf hohem Niveau).
Die Installation dieses Firewall-Betriebssystems ist nicht weiter kompliziert: Imagedatei herunterladen, auf USB-Stick kopieren oder über IPMI einbinden, booten – fertig. Also legen wir los.
Das ISO-Image lässt sich auf der Webseite des Herstellers herunterladen. Die Architektur ist mit amd64 vorgegeben, als Image Type wähle ich dvd, den Mirror nach Belieben.
Liegt die ISO-Datei auf der Festplatte, starten wir IPMIView – das gibt’s bei Supermicro zum Download für diverse Betriebssysteme (leider muss man da eine Emailadresse angeben; welche man da nimmt, ist aber egal). Hier kann man über File → New → System das System, mit dem wir arbeiten wollen, hinzufügen:
Das System wird dann im linken Bereich des Hauptfensters angezeigt; mit einem Doppelklick darauf gelangen wir zur Anmeldung.
Achtung! Es gab mal Mainboards, bei denen als Benutzername und Passwort „ADMIN“ (beide Male komplett großgeschrieben) verwendet wurden. Vor einiger Zeit wurde aber ein Gesetz in Amerika erlassen, dass solche Standardpasswörter verbietet (man hat wohl begriffen, dass Admins die Passworte nicht immer ändern). Daher befindet sich auf der IPMI-Schnittstelle ein Aufkleber, auf dem das Passwort abgedruckt ist. Es empfiehlt sich, dieses Passwort zu notieren, bevor man das Board in ein Gehäuse steckt…
Nach erfolgreicher Anmeldung findet man im unteren Bereich des Fensters diverse Reiter. Für uns interessant ist der Reiter „KVM Console“ – hier wird die einzige vorhandene Schaltfläche „Launch KVM Console“ angeklickt – unter Windows muss die Anwendung als Administrator ausgeführt werden, sonst funktioniert das nicht…
In der KVM-Konsole geht es in den Menüpunkt Virtual Media → Virtual Storage. Hier wird die heruntergeladene ISO-Datei ausgewählt:
Dann kann das System gestartet werden. Über die Taste F11 wird das Boot-Menü aufgerufen, in welchem das CD-Laufwerk ausgewählt wird:
Danach startet das System von dieser virtuellen CD – und stürzt ab…
Das ist kein Bug, sondern ein Feature. Seit der opnSense-Version 19.1.4 werden wohl einige Kernelmodule nicht mehr richtig geladen. Das führt dazu, dass der Installer sich irgendwann aufhängt (das erkennt man daran, dass irgendwann in weißer Schrift auf blauem Hintergrund die Meldung „Booting…“ angezeigt wird und nichts mehr passiert. Um das zu ändern, drückt man, sobald das opnSense-Bootmenü angezeigt wird, die Taste 3:
In dem Loader Prompt, der dann angezeigt wird (es handelt sich dabei um die Eingabeaufforderung des Bootloaders), gibt man folgende Zeilen ein:
set kern.vty=sc
boot -v
Danach bootet opnSense, wie es soll.
Herzlichen Glückwunsch, die Firewall läuft! Ja, ganz richtig, opnSense läuft. Vom ISO-Image. Ohne Probleme. Bis zum nächsten Reboot. Damit wir die Regeln, die im Verlauf erstellt werden, nicht bei jedem Reboot neu bauen bzw. aus einer Sicherung wiederherstellen müssen, werden wir die Software im nächsten Teil auf der Festplatte installieren.