Security

Upgrade je thuisnetwerk met je eigen pfSense firewall (deel 1)

Eenvoudig je eigen firewall installeren, configureren en beheren om de beveiliging van jouw thuisnetwerk naar een hoger niveau te tillen. Dat is de insteek van deze serie blogs rondom de gratis opensource pfSense firewall. Heb je altijd al de stap naar een eigen firewall willen zetten? Lees dan snel verder!

Laatst vroeg iemand mij naar de trends op het gebied van cybersecurity voor 2022. Een van de onderwerpen waar ik meer en meer dreigingen zie, is het gebruik van Internet of Things apparatuur (IoT). Niet alleen bij bedrijven, maar ook zeker bij consumenten. We hebben steeds meer slimme apparaten in huis en verwachten dat deze apparaten voldoen aan een bepaalde veiligheidsstandaard. Toch brengen al deze apparaten een risico met zich mee. Je weet namelijk niet wat ze doen op je thuisnetwerk, welke gegevens er worden verzonden en wat de impact is als ze misbruik worden door cybercriminelen. Reden temeer om na te denken over de maatregelen die jij kan treffen om aan risicomitigatie te doen. Je kan immers zelf stappen zetten waarmee jij je thuisnetwerk, met alle apparaten erin, extra beveiliging te geven. Een thuisfirewall, zoals PfSense, is hier een mooi voorbeeld van.

Niet alleen voor bedrijven interessant

Een firewall, is dat niet meer iets voor grote bedrijven? Als je het mij vraagt niet. Zelf gebruik ik al flink wat jaren firewalls. Mocht je niet bekend zijn met de term dan leg ik het nog even kort uit. Een firewall is een apparaat (fysiek of virtueel) dat de grens kan bewaken tussen netwerken. Bijvoorbeeld het grote boze internet en jouw vertrouwde eigen interne netwerk. Je wilt immers niet dat zomaar iedereen op het internet bij jouw apparaten kan komen. Toch? Een firewall werkt met regels waarmee je bepaalt van welke bron naar welke bestemming specifieke poorten en protocollen worden toegestaan. Een beetje zoals de uitsmijter van vroeger bij een discotheek. Had jij sportschoenen aan, dan kwam je er niet in. Voldeed je aan de kleding eisen, dan mocht je naar binnen. Een firewall heeft naast de rol van uitsmijter vaak ook de mogelijkheid om nog extra netwerkdiensten en beveiliging aan te bieden. Dit is niet voor iedereen bekend terrein dus daar maak ik een apart blogpost van.  

Wat doet een firewall eigenlijk?

Even terug naar de firewall in huis. Waarom zou je ervoor kiezen om dit te doen? Een van de meest basale redenen is het hard scheiden van internet en intern netwerk. Soms geeft jouw internetprovider je hier een speciale router voor, maar daarmee bepalen zij eigen wat er wel en niet mag. Soms zelf dat niet eens. De enige manier om zeker te weten wat er vanaf het internet naar jouw thuisnetwerk gaat, is door het plaatsen van een firewall tussen deze netwerken. Een andere reden om hem te overwegen is het kunnen scheiden van verschillende netwerken en specifiek per netwerk de toegang bepalen. Zo heb ik een apart netwerk voor onze persoonlijke apparaten, een apart netwerk voor alle IoT-apparatuur en ga zo maar door. Een slimme deurbel mag hierdoor niet zomaar even aankloppen bij mijn opslag van alle foto’s en de thermostaat weet niet dat mijn dochter een iPad heeft. Mocht er een kwetsbaarheid worden gevonden in die slimme deurbel, dan kunnen cybercriminelen in ieder geval niet zomaar bij mijn digitale spullen. Die firewall klinkt nu toch wel heel interessant he?

pfSense, gratis opensource firewall

Firewalls zijn er in allerlei soorten en maten. Dat geldt ook voor de prijs. Als snel stijgt het prijskaartje als je een iets uitgebreider model zoekt en in sommige gevallen moet je ook nog dure licenties toevoegen om gebruik te kunnen blijven maken van alle functies. Dit was voor mij ooit de reden om een overstap te maken naar pfSense, opensource gratis firewall software. Ja, je leest het goed. pfSense is inderdaad helemaal gratis (Community Edition).

pfSense is een netwerk firewall distributie gebaseerd op het FreeBSD-besturingssysteem. Door de makers is het besturingssysteem aangepast en voorzien van diverse extra software om een volwaardige firewall te leveren. Additioneel is het mogelijk om zelf nog extra functionaliteit toe te voegen in de vorm van andere opensource softwarepakketten. De software wordt zeer goed onderhouden door de community en er zijn veel verschillende bronnen voor informatie. Ook zijn er genoeg bedrijven die pfSense gebruiken voor verschillende doeleinden. Ik heb veel ervaring met firewalls van allerlei verschillende merken en kan met recht zeggen dat pfSense misschien wel de meest uitgebreide firewall is.

Geschikte hardware voor jouw firewall

Om pfSense te gaan inzetten in je thuisnetwerk, daar ligt nu even de focus, heb je wel iets nodig om de software op te installeren. Hiervoor zijn verschillende mogelijkheden, zoals op hardware of virtueel. Voor het gemak kies ik voor het scenario waar je een firewall plaatst rechtstreeks achter het modem van je internetprovider. In de serie maak ik gebruik van een speciaal apparaat dat ontwikkeld is om onder andere pfSense op te installeren van het merk Protectli, namelijk de Vault FW4B.

De hardware eisen voor pfSense zijn niet heel streng. Je hebt minimaal een apparaat nodig met een 500MHz processor, 512MB RAM en twee netwerkaansluitingen. Aanbevolen is echter minimaal een 1Ghz processor met 1GB RAM. De eisen aan de onderliggende hardware hebben een relatie met de aanbevolen bandbreedte die het apparaat moet kunnen verwerken. Hieronder zie je een voorbeeld van waar je aan moet denken.

Internet bandbreedteAanbevolen opzet
10-20 MbpsModerne Intel of AMD-processor met kloksnelheid van 500MHz of hoger
21-100 MbpsModerne Intel of AMD-processor met kloksnelheid van 1.0 GHz
101-500 MbpsMulti core processor op 2.0 GHz met server of desktopklasse hardware met PCI-e netwerkadapters
501+ MbpsMulti core processor > 2.0 GHz met server klasse hardware met PCI-e netwerkadapters

Met een beetje all round pfSense apparaat ben je dus prima in staat om een flinke internetverbinding door de firewall heen te laten lopen. Een andere aanbeveling is te zorgen dat je een processor hebt met AES-NI ondersteuning. Dit wil zeggen dat je processor in staat is om hardware matig encryptie te verwerken, waardoor de prestaties van de firewall sterk worden verbeterd. Het aantal netwerkaansluiting is een persoonlijke keuze. Minimaal twee, zodat je een aparte aansluiting hebt voor je internetmodem (WAN) en je interne netwerk (LAN). Wil je een volledig overzicht van alle ondersteunde hardware voor pfSense, dan is er ook een officiële Hardware Compatibility List.

Mijn hardware: Protectli Vault FW4B

Het kwam net al even naar voren, mijn firewall draait op een FW4B Vault van Protectli. Het merk levert diverse apparaten geschikt voor het gebruik met pfSense. Het instapmodel is voorzien van twee netwerkaansluitingen en de uitgebreidere modellen hebben vier tot zes aansluitingen.

Protectli Vault FW4B pfSense firewall back

Het mooie aan de devices van Protectli is dat je ze kan samenstellen naar eigen wens en budget. Denk hierbij aan het gewenste werkgeheugen, opslag en in sommige gevallen ook de processor. Hieronder kan je de configuratie zien die ik gekozen heb voor mijn Protectli Vault FW4B.

ComponentOmschrijving
ProcessorIntel Celeron J3160 (64 Bit, 1.6GHz, 4 Cores, 4 Threads, 2MB L2 Cache)
Werkgeheugen8 GB Crucial RAM (SO-DIMM DDR3L-1600, 1.35v)
Opslag128 GB mSATA Transcend 230S
Netwerkaansluitingen4 x 1Gbit
BIOSCoreboot opensource
Aansluitingen2 x USB 3.0 2 x HDMI-out 1 x RJ45 COM-poort

Genoeg power om de firewall te laten brullen als een leeuw, want naast de standaard functionaliteit ben ik toch van plan er meer diensten op te laten landen voor extra beveiliging. Het mooie aan de Vaults van Protecli vind ik vooral het feit dat ze passief gekoeld zijn. Er zitten geen ventilatoren in de hardware wordt koel gehouden door een flinke aluminium heatsink. Hier word ik blij van, want mijn vorige pfSense machine heb ik moeten voorzien van Noiseblocker fans om het geluid te kunnen minderen. Dit belooft wat!

Aan de voorzijde van de FW4B bevinden zich de aan- en uitknop, audioconnectoren, een tweetal USB3.0-poorten, een console aansluiting en maar liefst twee HDMI-aansluitingen. Voor een firewall heb je niet een monitor nodig, maar de Vaults kunnen ook gebruikt worden voor bijvoorbeeld een Ubuntu werkstation. Dan zijn de twee poorten ineens een heel stuk interessanter.

Protectli Vault FW4B pfSense firewall front

Aan de achterzijde vinden we de aansluiting voor de voedingsadapter. Interessant feitje is dat de FW4B maximaal 16W verbruikt. Dit is serieus zuinig en prettig voor je stroomrekening. Ook vind je aan de achterzijde de Intel netwerkkaart waar je vier Gigabit poorten vindt. Een poort is voor de aansluiting van de internetverbinding (WAN), de ander voor het interne netwerk (LAN). De twee OPT-poorten kan je desgewenst toewijzen aan specifieke apparaten of voor het maken van extra fysieke netwerken.

Voor wie ook Wi-Fi functionaliteit wil toevoegen aan de pfSense firewall kan optioneel een Wi-Fi kit mee bestellen bij Protecli. De FW4B heeft hiervoor aan de zijkant aansluitingen voor de twee optionele antennes.

Protectli Vault FW4B tech365 007

Verder in deel 2: Installatie en basisconfiguratie van pfSense firewall

In deel twee van de serie laat ik je zien hoe je pfSense zelf kan installeren en in de basis configureren. De stappen die nodig zijn om te zorgen dat jouw thuisnetwerk via pfSense wordt beschermd tegen het internet. In deel drie bekijk ik aanvullen diensten die mogelijk zijn op pfSense, zodat je nog meer controle hebt op jouw netwerkverkeer.

Martijn

Martijn is naast eigenaar van tech365 ook werkzaam als IT Professional. Zijn passies zijn gadgets, fotografie en alles wat met automotive te maken heeft. Je kunt hem ook vinden als blogger op wielerblog www.lifebehindbars.nl

Gerelateerde berichten

Één reactie

  1. Hoi Martijn,
    Mooi stuk! Zeer informatief.
    Ik overweeg om met pfSense een firewall en VPN te bouwen.
    Ik ben echter een 100% beginner en overwoog/overweeg daarom om hardware van Netgate (eigenaar pfSense te kopen.
    Ik zie daarbij echter wel dat de data transactie enorm achteruitgaat als je met VPN werkt.
    Bijvoorbeeld met de Netgate 21 is de VPN 254Mbps. Dat klinkt als te weinig voor twee thuiswerkers om tegelijk te kunnen videobellen. Wat is jouw ervaring/advies? Zou dat beter gaan met de hardware van Protectli?
    Bij voorbaat dank!

Geef een reactie

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Back to top button