Wie bereits aus den vorherigen Beitragen ersichtlich wird, funktioniert mein eigener Homeserver soweit problemlos. Da jedoch die Sicherheit in einem umfangreicheren Heimnetzwerk doch oberste Priorität besitzen sollte, wollte ich meinen Server mit einer Firewall absichern. Anfangs lief die Anbindung an das Internet über eine virtuelle Maschine mit Windows Server 2012R2 mit hilfe der RRAS Rolle und wurde durch die integrierte Windows Firewall abgesichert.
Problematisch an dieser Lösung war vor allem die fehlende Möglichkeit Werbeseiten und -server zu blockieren sowie eine für mich unzureichende Protokollierungs- und Monitoringmöglichkeit. Kurz um, eine vollwertigere Firewall mit einem integrierten Proxy musste also her.
Die Auswahl ist relativ groß und reicht von einfachen Software Firewalls bis hin zu hochkomplexen Hardware Firewalls. Ich bin nach einer Evaluation über meine Ansprüche und Anforderungen schließlich bei IPFire (Link zu IPFire) gelandet. Es besitzt eine umfangreiche Community, ist für den Privatgebrauch kostenlos und bietet eine vielfältige Systemkompatibilität. Besonderes Merkmal ist die Möglichkeit, IPFire in einer virtuellen Maschine laufen zu lassen.
Aufbau:
- Server mit Windows Server 2012 R2 inkl. Hyper-V
- VM1 für AD, DNS sowie DHCP
- VM2 für WSUS und WDS
- VM3 für IPFire (2 Kerne, 4GB RAM, 25 GB HDD sowie 2 Netzwerkkarten)
Die Installation und Konfiguration ist mithilfe der Anleitung von IPFire soweit problemlos, die neusten Versionen unterstützen die regulären Hyper-V Netzwerkkarten, wobei eine sich mit dem „green“ Netzwerk (internes LAN) verbindet, während die zweite am sog. „red“ Netzwerk (externer Anschluss an das Internet) hängt. Dies Muss auf seiten der realen Hardware ebenfalls gegeben sein.
Nach der Installation ist die Konfiguration via RDP möglich sowie deutlich komfortabler über die Webseite https://ip-von-ipfire:444. Hier können benötigte Addons eingerichtet werden, Aktualisierungen veranlasst werden und für mich vor allem interessant: Webproxy sowie entsprechende URL-Listen angepasst werden. Die URL-Listen können automatisch aktualisiert werden und beinhalten zahlreiche Server, die Werbung ausliefern und Tracking betreiben. Eine individuelle Anpassung, z.B. für Kinder ist hier ebenfalls möglich, wie die Erstellung von Klassenräumen. Sämtliche angeschlossene Clients können so werbefrei und sicher ins Internet gehen. Sollten Server fehlen, so können diese mit Hilfe der Black-/Whitelist ergänzt werden.
Die jeweiligen Auslastungen, gefilterte Seiten sowie weitere Informationen werden mithilfe graphischer Diagramme anschaulich dargestellt.