Brandmauer neben einer Brandmauer

Brandmauer neben einer Brandmauer

Tags:

Ich hatte ja schon geschrieben 1, dass mein Router (Lancom 1711 ohne Plus) mit dem neuen VDSL-Anschluss nicht mehr mit halten konnte, und ich auf der Suche nach einen neuen Router, auf den RS120 von Funkwerk und die Lösung pfSense zusammen mit einem Rechnersystem (ALIX) vom schweizer Hersteller PC Engines gestoßen bin.

Vorweg, im ersten Schritt habe ich mich auf die Router- und Firewall-Eigenschaften konzentriert. Beide Geräte unterstützen den VDSL Anschluss mit 50 MBit/s, ein DSL-Modem ist nicht eingebaut, wird also zusätzlich für die Einwahl beim Provider benötigt (ja, auch die VLAN-ID-Konfiguration eines bestimmten Providers wird ebenfalls unterstützt 2). Die Firewall-Arbeit ist identisch, setzen sie doch eine Verbindungs- und Status prüfende Arbeitsweise ein (Stateful Packet Inspection). Haben aber unterschiedliche Ansätze, was das Anlegen von Regelwerken betrifft, dies aber nur im Detail.

Es ist sehr schwer ein Vergleich zu ziehen. Der Eine (RS120) besitzt noch einen Gigabit-Switch, gewinnt bei Details wie die aus meiner Sicht flexibleren Möglichkeiten die Firewall-Regeln zu gestalten. Bietet die Möglichkeit an, Protokolle auch per Mail zu versenden und wirkt auch etwas runder vom Konzept.

PfSense im Zusammenspiel mit der fertigen (unabhängigen) Hardware funktioniert ebenfalls sehr gut. Das Firewall-Ergebnis kann identisch zum RS120 konstruiert werden, fordert aber mehr Schreibarbeit, da Regeln nicht so modular aufgebaut werden können. PfSense ist aber eine offene Lösung und einfacher durch frei verfügbare Pakete, z.B. mit einem Proxy-Server (z.B. mit squid) erweiterbar. Auch die Hardware-Plattform kann entsprechend zugeschnitten werden, da als Unterbau ein FreeBSD eingesetzt wird. Probleme mit dem Wechsel einer Internet-Zugangstechnik, wie es bei mir der Fall war, kann so umgangen werden. Die schon bekannte Router/Firewall-Lösung pfSense bekommt einfach einen neuen Unterbau und weiter geht es. Hier ist definitiv ein Vorteil zu sehen, denn das erlangte Wissen mit pfSense umzugehen geht nicht verloren.

Wer also eine fertige Lösung zum Auspacken und Loslegen sucht, auf einen eingebauten Vierport-Switch nicht verzichten kann und ggf. auf einen (Telefon-)Support zugreifen möchte, sollte zum RS120 greifen. Das Auspacken und Loslegen funktioniert auch bei pfSense, sofern man eine fertige Hardware-Lösung zusammen mit einem vorinstallierten pfSense etwa zum gleichen Preis (ca. 150 Euro) erwirbt. Hier aber ggf. mehr lesen und Foren durchwühlen muss, aber dafür ein reichhaltiges Funktionsportfolio und erweiterbares System erhält, um den Schutz individuell zu gestalten.

Das Buch "pfSense - The Definitive Guide to the open Source Firewall and Router Distribution" von Christoph M. Buechler und Jim Pingle ist, wie der Titel es schon verrät, komplett in englisch. Es ist aus meiner Sicht ein gutes Nachschlagewerk, um angefangen bei der Installation, die ersten Schritte mit dem Webfrontend dann die vielfältigen (standardisierten) Funktionen und Arbeitsweisen von pfSense (z.B. VPN, SSH, NAT, VLAN) zu verstehen. Wer einfach mal eine geballte und konzentrierte Übersicht zu pfSense erhalten möchte, sollte dieses Buch beim Buchhändler des Vertrauens einfach mal durchstöbern.