Für das Alix Board sind mehrere Distributionen verfügbar die während der Installation einen grafischen Zugang via serieller Console bereitstellen. Es sind keine manuellen Modifikationen an der Konfiguration des Bootloaders o.ä. nötig. Fokussiert wurde sich auf folgende Distributionen:
Währen OPNsense ein Fork von PFsense ist und somit auch auf Freebsd basiert, werkelt IPfire auf Linux. IPfire zeichnet sich durch seine einfache Konfiguration und Benutzerfreundlichkeit aus und wird gerne in home und small Offices verwendet. OPNsense verfolgt das Ziele eine komplett quelloffene Distribution zu sein ohne proprietäre Bestandteile. PFsense hingegen ist ein alter Hase mit einer großen Fangemeinde. Die gute Dokumentation und die Menge an Support und Forum Artikeln ist wohl die weitreichenste aller drei getesteten Distributionen.
Die Installation von IPfire verlief problemlos. Nach dem ersten Bootvorgang und zuweisen der Interaces konnte der Webkonfigurator nicht erreicht werden. Ein Blick mittels serieller console und shell ergab das IPfire die Netzwerkkarten nicht korrekt starten konnte. Da es sich um eine Testphase handelt in der verschiedene Distributionen evaluiert werden sollen wurde dem Problem nicht weiter nachgegangen sondern IPfire in einer virtuellen Maschine installiert um dort eine Konfiguration vornehmen zu können.
In der virtuellen Umgebung konnte IPfire erfolgreich installiert und die Netzwerkkarten gestartet werden. Während der Konfiguration durch das Webinterface traten keine Probleme auf. Die Oberfläche ist angenehm gestaltet und die wichtigsten Funktionen sind leicht erreichbar. In der weiteren Bewertung konnte IPfire aber nicht die gewünschte Konfigurationstiefe über das Webinterface bieten. Da nicht darauf verzichtet werden wollte möglichst viele Optionen innherhalb der Gui zur Verfügung zu haben anstatt eine Shell zu bedienen wurde IPfire nicht für das weitere Setup gewählt.
OPNsense ist noch eine sehr junge Distribution. Als Fork von PFsense bietet sie viele der dort enthaltenen features. Das Pluginsystem von OPNsense steckt noch in den Anfängen und es sind sehr wenige Plugins verfügbar. Anders als bei PFsense wo IDS, Proxy usw. über die Softwareverwaltung installiert werden muss, werden bei OPNsense die wichtigsten Komponenten gleich mitgeliefert und funktionieren Out of the Box. Als IDS Lösung kommt Suricata zum Einsatz welche ebenfalls bei PFsense verwendet werden kann. Die Möglichkeit eine andere IDS Lösung zu installieren bietet OPNsense nicht.
Als Proxy fungiert squid mit squidguard. Squidguard ermöglicht den komfortablen Einsatz von Blacklists. Eine Besonderheit ist hier das OPNsense mehrere Blacklists über die Gui verwalten kann. Eine Übersicht gängiger Blacklists gibt es hier: http://www.squidguard.org/blacklists. Die Oberfläche ist übersichtlich gestaltet und sehr ansprechend. Das Menü ist klar strukturiert auch wenn man hin und wieder einen Punkt an einer anderen Stelle in der Menüstruktur vermuten würde.
Die Installation bereitete keine Probleme. Die Hardwarekomponenten konnten alle erfolgreich intialisiert und verwendet werden. OPNsense wurde über einen längeren Zeitraum im Live-Betrieb eingesetzt. Im Zuge der Konfiguration und des Betriebs konnten kleine Stolpersteine ausgemacht werden. OPNsense lässt über die Gui die Verwendung des 802.11n Standards in der Wlan Verbindung zu ohne Hinweis den WME Modus zu aktivieren. PFsense quittiert die Eingabe mit einer Fehlermeldung und erzwingt dadurch die Verwendung von WME beim Einsatz von 802.11n. Auch die IDS Lösung lief nicht immer stabil. OPNsense ist eine vielversprechende Distribution mit viel Potential. Für den Einsatz in diesem Szenario wurde sie aber nicht gewählt aufgrund der noch vorhandenen Instabilität.
Der letzte Vertreter ist PFsense. Diese Distribution ist sehr umfangreich, wartet mit einem flexiblen Package System auf und ist weit verbreitet. In Q2/2016 wurde die Benutzeroberfläche aktualisiert und das neue Design sieht modern aus. Während OPNsense die Menüleiste vertikal anordnet bedient sich Pfsense einer vertikalen Ausrichtung. Von allen drei Distributionen bietet diese das Interface mit den umfangreichsten Konfigurationsmöglichkeiten. Nach kurzer Eingewöhnungsphase findet man sich aber schnell zurecht.
Wieder verlief die Installation problemlos. Auch die Konfiguration machte keine Schwierigkeiten. Über das Softwarecenter wurden die nötigen Plugins heruntergeladen, installiert und eingerichtet -> Squidproxy+I-CAP+ClamAV, Snort IDS/IPS und Openvpn. PFsense wird im Live Betrieb eingesetzt und bietet die zuverlässigste Stabilität aller angeschauten Kandidaten. Auch die Konfigurationstiefe im Webinterface bietet Zugriff auf die wichtigsten Funktionen, Optionen und Informationen. So kann bei vielen Aufgaben auf die Shell verzichtet werden. Daher beziehen sich die weiteren Blogposts zum Thema Firewall auf die Distribution PFsense.
