V-Hub by Vodafone BusinessSecurityTippsRaspberry Pi als Firewall aufsetzen: So gehen Sie vor
Das Logo des Einplatinenrechners Raspberry Pi auf einem Computerbildschirm. Darunter Code für die Kommunikation mit der USB-Schnittstelle.
Security

Raspberry Pi als Firewall aufsetzen: So gehen Sie vor

Portrait von Freca DumreseFreca Dumrese
26.07.2024
11 Min.

    Der Kleinstcomputer Raspberry Pi ist nicht nur unter Do-it-Yourself-Enthusiasten sehr beliebt. Egal, ob im privaten Bereich, für das Prototyping oder im Job: das kompakte Gerät ist ein Alleskönner. Erfahren Sie hier, wie Sie auf dem Raspberry relativ einfach eine leistungsfähige Firewall aufsetzen und so ihr Netzwerk absichern.

    Jedes internetfähige Gerät sollte heute durch eine starke Firewall geschützt sein. Als Ergänzung zum Virenschutz kann eine gute Firewall viele Angriffe bereits im Keim ersticken. Mit dem allgegenwärtigen Mini-Computer Raspberry Pi und der Robustheit einer Linux-basierten Firewall-Distribution ist es einfacher denn je geworden eine kleine, aber effektive Firewall zu erstellen.

    Inhaltsverzeichnis

    UFW, IPFire und Co.: Den Raspberry Pi als Firewall nutzenSo richten Sie IPFire auf Ihrem Raspberry Pi einUFW-Firewall-Einrichtung erklärtWarum der Raspberry Pi eine gute Firewall-Alternative istFirewall auf dem Raspberry Pi einrichten: Das Wichtigste in Kürze

    UFW, IPFire und Co.: Den Raspberry Pi als Firewall nutzen

    In einer zunehmend vernetzten Welt ist der Schutz Ihres Homeoffice- oder Büronetzwerks vor externen Bedrohungen von höchster Bedeutung. Für den Betrieb einer Firewall in Debian-basierten Linux-Betriebssystemen gibt es verschiedene Lösungen, so auch für den Raspberry. Standardmäßig wird die Raspberry Pi OS-Distribution mit dem Tool „Iptables“ ausgeliefert, was zur Konfiguration für die ein- und ausgehenden Netzwerkpakete dient. Das Programm erfordert Grundwissen in der Netzwerktechnik und ist für reine Anwender häufig zu anspruchsvoll.
    Linux stellt jedoch mit dem Netfilter-Framework alternative Möglichkeiten zur Verfügung, die sich einfacher und ohne tiefgreifende Netzwerkkenntnisse einrichten lassen. Eine Möglichkeit ist, auf dem Raspberry Pi eine Firewall-Verwaltungsschnittstelle namens UFW („uncomplicated Firewall“) zu installieren. Oder Sie verwenden die Open-Source-Firewall-Software IPFire. Beide Optionen bieten die Möglichkeit, den Raspberry Pi als Hardware-Firewall zu nutzen. Ist alles richtig eingerichtet, überwacht der Raspberry Pi dann den ein- und ausgehenden Netzwerkverkehr entsprechend der festgelegten Regeln.
    Das brauchen Sie:
    • Raspberry Pi
    • microSD-Karte
    • Ethernet-Kabel
    • Stromversorgung
    • Monitor
    • USB-Tastatur
    Sie benötigen mindestens einen Raspberry Pi 4 Model B mit einer 1-Gigabit-Schnittstelle. Aber auch die älteren Modelle Raspberry Pi 3 Model B und B+ werden unterstützt. Wichtig: der Raspberry Pi 5 funktioniert noch nicht mit IPFire. Dies kann sich später aber ändern.
    Unkenntlicher Computerhacker tippt auf einem Smartphone

    Lookout: Die Sicherheitslösung für mobile Endgeräte

    Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

    Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.

    Mehr zu Lookout

    So richten Sie IPFire auf Ihrem Raspberry Pi ein

    IPFire arbeitet mit vier Netzwerktypen, die farblich voneinander unterschieden werden:
    • Grün (LAN): ist das interne, lokale Netzwerk mit höchsten Anforderungen an Vertraulichkeit und Schutz
    • Blau (WLAN): markiert das separate WLAN-Netz für WLAN-Clients
    • Orange (DMZ): ist die sogenannte „Demilitarisierte Zone“ und beschreibt ein eigenständiges Subnetz das sowohl vom lokalen Netzwerk als auch vom Internet aus erreichbar ist. Die DMZ darf aber nicht auf das lokale Netzwerk zugreifen.
    • Rot (WAN): ist das externe Netzwerk – bzw. die Verbindung zum Internet-Service-Provider (ISP) – und damit das Internet
    Hier finden Sie eine ausführliche Anleitung, wie Sie IPFire auf dem Raspberry Pi einrichten können:

    IPFire installieren

    1. Zunächst laden Sie die IPFire ISO-Datei von der offiziellen IPFire-Website herunter.
    2. Sie können das Tool „balenaEtcher“ verwenden, um die ISO-Datei auf die microSD-Karte des Raspberrys zu übertragen.
    3. Als nächstes schließen Sie einen Monitor und eine Tastatur am Pi an. Nun können Sie den Pi starten. Wählen Sie auf dem Bildschirm den Eintrag „Install IPFire“ aus. (Der Eintrag wird nach einigen Sekunden auch automatisch ausgewählt.)
    4. Folgen Sie nun den Anweisungen des Installationsassistenten. Sie werden dabei aufgefordert die Lizenzbedingungen zu akzeptieren. Wählen Sie die Micro-SD-Karte des Pi als Installationsziel und ext4 als Dateisystem aus.
    5. Es folgt ein Neustart und danach beginnt die Netzwerkeinrichtung.

    Einrichten der Netzwerkverbindungen

    1. Wählen Sie nach dem Neustart im roten Bildschirm den Eintrag „Install IPFire (…)“ aus.
    2. Geben Sie in das Tastaturlayout die Sprache (z. B. „de“ für Deutschland“) und Zeitzone (z.B. Europa/Berlin) ein.
    3. Vergeben Sie dann einen Hostnamen für Ihre Hardware-Firewall (Standard ist: „IPFire“) und einen Domänennamen (Voreinstellung ist: „localdomain“).
    4. Legen Sie ein Passwort für den Benutzer „root“ fest. Damit melden Sie sich später an Ihrem Pi an, um auf die Befehlszeile zugreifen zu können. Ein Hinweis: das Passwort werden Sie aus Sicherheitsgründen nicht am Bildschirm sehen.
    5. Definieren Sie nun ein weiteres Passwort für den Benutzer „admin“; damit können Sie später auf die Weboberfläche des Pi zugreifen, um die IPFire-Firewall im Browser zu konfigurieren.
    6. Das war einfach, das Eigentliche kommt aber noch. Nun sehen Sie das Menü für die Netzwerkkonfiguration.
    • Netzwerk konfigurieren: Zuerst wählen Sie aus, wie viele Netzwerktypen Sie einrichten wollen: Grün, Rot, Blau, Orange. (Standardmäßig sind nur Grün und Rot markiert.)
    • Netzwerkkarten zuordnen: Dann ordnen Sie jedem Netzwerktypen eine eigene Netzwerkkarte zu.
    • IP-Adresse(n) einstellen: Tragen Sie jetzt die erforderlichen IP-Adressen und logischen Adressbereiche für die ausgewählten Netzwerktypen ein.
    7. Bestätigen Sie im Netzwerkkonfigurationsmenü mit „Fertig“.
    Anschließend startet der Raspberry Pi den Firewall-Betrieb. Den Monitor und die Tastatur können Sie jetzt vom Gerät trennen, das Weitere läuft über die Weboberfläche.
    Screenshot mit Angaben zur Netzwerkkonfiguration von IPFire. Den Netzwerktypen sind bestimmte Farben zugeordnet. Dabei sind standardmäßig die Farben „Grün“ und „Rot“ markiert; sie kennzeichnen das interne und das externe Netzwerk.
    IPFire arbeitet mit vier Netzwerktypen, denen für die Konfiguration verschiedene Farben zugeordnet sind.

    Öffnen der Weboberfläche im Browser

    Praktischerweise können Sie den IPFire von jedem Computer des grünen Netzwerktyps aus konfigurieren.
    Wenn Sie die Standardeinstellungen für den Hostnamen und die Domain übernommen haben, gelangen Sie zur IPFire-Weboberfläche über PC-Browser unter der Adresse:  https://ipfire:444 oder https://ipfire.localdomain:444.
    Andernfalls geben Sie den Hostnamen und die Domain an, die Sie bei der Installation selbst festgelegt haben. Alternativ dazu können Sie auch die angegebene IP-Adresse eingeben.
    Falls der Browser anzeigt, dass die Verbindung unsicher sei, wählen Sie die Option, die Website trotzdem anzuzeigen.
    Über die Menüs am oberen Rand können Sie auf alle gewünschten Einstellungen zugreifen:
    System: Unter „System“ finden Sie die Grundeinstellungen und können zum Beispiel den SSH-Zugang aktivieren oder eine Datensicherung durchführen.
    Status: Unter „Status“ finden Sie Diagramme und Berichte zum Zustand der Firewall.
    Netzwerk: Unter „Netzwerk“ sind alle klassischen Netzwerkeinstellungen wie „Zonen einrichten“, DNS-Weiterleitung oder URL-Filter zu finden.
    Dienste: Unter „Dienste“ können Sie zum Beispiel IPsec (Internet Protocol Security), Open VPN, DynDNS (Dynamic Domain Name Service) einrichten.
    Firewall: Unter „Firewall“ finden Sie verschiedenste Optionen, Regeln für die Firewall zu definieren, wie zum Beispiel IP-Adressen-Sperrlisten, und für „Iptables“.
    IPFire: Unter „IPFire“ sehen Sie eine Liste aller installierten Pakete und Add-ons.
    Ein Screenshot der grafischen Web-Benutzeroberfläche von IPFires zeigt verschiedene Optionen und Einstellungsmöglichkeiten an, zum Beispiel für System und Netzwerk oder zum Abrufen eines Statusberichts für die Firewall.
    Über eine grafische Web-Benutzeroberfläche können Sie die System- und Netzwerkeinstellungen für IPFire vornehmen sowie zum Beispiel den Firewall-Statusbericht abrufen oder die installierten Pakete anzeigen lassen.

    UFW-Firewall-Einrichtung erklärt

    Wie der Name der UFW-Firewall („uncomplicated Firewall“) schon andeutet, ist diese Firewall einfach zu installieren und zu verwenden. Es handelt sich um die gleiche Firewall, die in allen Ubuntu-Distributionen verfügbar ist.
    Sie können die UFW ganz einfach über die Kommandozeile installieren und konfigurieren. Die Eingabe individueller Regeln basierend auf Ports, IP-Adressen und Subnetzen geht dadurch leicht von der Hand.
    Eine Schritt-für-Schritt-Anleitung finden Sie hier.

    UFW-Firewall installieren

    Betriebssystem aktualisieren: Dazu muss eine physische Verbindung mit dem Gerät existieren, die beispielsweise per SSH (Secure Shell) über ein Terminalfenster erfolgt. Neben dem Aufruf der ssh ist der Benutzername und die IP-Adresse des Pi zu übergeben:
    ssh Benutzername@IP-Adresse des Pi
    Die erste Aufgabe besteht darin, das Betriebssystem zu aktualisieren. Führen Sie dazu den Befehl „update“ auf dem Raspberry Pi aus:
    sudo apt update
    UFW-Software installieren: Sobald das Betriebssystem Ihres Raspberry Pi auf dem neuesten Stand ist, können Sie den Paketmanager UFW installieren:
    sudo apt install ufw
    UFW aktivieren: Nun sollte die UFW-Firewall installiert sein, aber sie ist noch nicht aktiv. Zum Starten geben Sie danach Folgendes ein:
    sudo ufw enable
    Wichtig: Vorher müssen Sie Regeln für kritische Dienste wie SSH hinzufügen, da Sie sonst möglicherweise nicht mehr selbst auf den Raspberry Pi zugreifen können.
    Weitere Regeln hinzufügen: Nun können Sie basierend auf Ihren Anforderungen Firewall-Regeln für Ports oder Dienste erstellen.

    Regeln für Firewalls und Ports einstellen

    Der nächste Schritt ist die Konfiguration der Firewall. Dazu gehört es, den Datenverkehr über bestimmte Ports zu blockieren oder zu begrenzen. Beachten Sie, dass UFW standardmäßig den gesamten eingehenden Verkehr blockiert und den gesamten ausgehenden Verkehr zulässt.
    Regeln für kritische Dienste haben Sie wie oben beschrieben bereits eingegeben.
    Der wichtigste Schritt beim Umgang mit UFW auf dem Raspberry Pi, ist die Freigabe des Zugriffs über bestimmte Ports zu ermöglichen. Dazu geben Sie „ufw allow“ gefolgt von der Portnummer ein:
    sudo ufw allow PORT
    Wenn Sie zum Beispiel Port 22 zulassen wollen (der Standard-Port für SSH), lautet die Eingabe:
    sudo ufw allow 22
    Mit UFW ist es außerdem möglich, die Anzahl der Verbindungen über einen bestimmten Port zu begrenzen. Diese Funktion kann sehr nützlich sein, um die Anzahl der Verbindungen zu Ihrem SSH zu begrenzen und es einer externen Quelle zu erschweren, eine Verbindung zu erzwingen.
    Das Begrenzen einer Verbindung funktioniert genauso wie das Zulassen einer Verbindung, wobei UFW sechs oder mehr Verbindungen innerhalb von 30 Sekunden nicht zulässt.
    Um eine Verbindung zu begrenzen, verwenden Sie „ufw limit“, gefolgt von der Portnummer und optional dem Protokoll:
    sudo ufw limit PORT
    Sie können die Firewall zum Beispiel verwenden, um die Verbindungen zum SSH-Port Ihres Raspberry Pi zu begrenzen, wie folgt:
    sudo ufw limit 22
    Arbeiter mit Helm schaut auf sein Smartphone

    Mobiler Virenschutz für Mitarbeiter:innen

    Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

    • Ohne Installation, direkt im Netz
    • Schützt von Viren und Pishing
    • Automatisch auf dem neusten Stand
    Jetzt informieren

    Die Firewall aktivieren

    Sobald Sie Ihre Firewall-Regeln mit UFW auf dem Raspberry Pi hinzugefügt haben, können Sie ihn einschalten.
    Wenn Sie SSH verwenden, um sich mit Ihrem Gerät zu verbinden, müssen Sie sicherstellen, dass Sie den Port 22 zulassen. Andernfalls wird die Verbindung nach dem Aktivieren der Firewall unterbrochen und Sie sperren sich selbst dauerhaft aus dem Raspberry PI aus. Ein erneuter Zugriff ist dann nur noch über einen vollständigen Hardware-Reset möglich.
    Bevor Sie den UFW-Dienst aktivieren, können Sie sich alle derzeit aktiven Firewall-Regeln anzeigen lassen.
    Dazu verwenden Sie „ufw“, gefolgt von „show added“:
    sudo ufw show added
    Dann erhalten Sie eine Liste der Regeln, die Sie zu Ihrer Firewall hinzugefügt haben, das könnte zum Beispiel so aussehen:
    Added user rules (see 'ufw status' for running firewall):
    ufw limit 22
    ufw allow 80
    ufw allow 443
    Prüfen Sie diese, und wenn alles korrekt ist, können Sie die Firewall nun ganz einfach auf Ihrem Raspberry Pi aktivieren:
    sudo ufw enable
    Wenn Sie die Firewall aktivieren, erhalten Sie eine Warnung, dass bestehende SSH-Verbindungen möglicherweise unterbrochen werden.
    Um fortzufahren, geben Sie „y“ ein und bestätigen Sie mit der ENTER-Taste.
    Nun sollte die Firewall aktiviert sein und Sie erhalten hierfür eine Bestätigung in der Kommandozeile. Sie können den Status auch manuell abrufen per Eingabe von:
    sudo ufw status
    Dabei wird sowohl der Statuts Ihrer Firewall angezeigt als auch die Liste der derzeit aktiven Regeln. So könnte dort jetzt zum Beispiel zu sehen sein, dass die Ports 80 und 443 akzeptiert und der Port 22 eingeschränkt sind.
    Das war es schon. UFW ist tatsächlich eine der einfachsten Möglichkeiten für Sicherheit auf Ihrem Gerät und in Ihrem Netzwerk zu sorgen.
    Eine Frau und ein Mann stehen auf einer Baustelle

    Jetzt mit IoT Easy Connect durchstarten

    Zwei sorgenfreie IoT-Prepaid-Tarife ermöglichen Ihr eigenes IoT-Projekt auf Basis unseres Hochleistungsnetzes:

    • IoT Easy Connect 2G/4G für hohe Datenraten
    • IoT Easy Connect 2G/NB-IoT/LTE-M für schwierige Bedingungen
    Rückruf vereinbaren

    Warum der Raspberry Pi eine gute Firewall-Alternative ist

    Der Raspberry Pi ist eine besonders preiswerte und kosteneffiziente Option, um ein Netzwerk im kleinen Betrieb oder zuhause im Homeoffice abzusichern. Aufgrund seiner geringen Größe und technischen Möglichkeiten besticht der Kleinstcomputer durch seine Flexibilität.
    Auch in Sachen Stromverbrauch punktet der Allrounder als Firewall – was sich im Dauerbetrieb positiv bemerkbar macht.
    Nicht zuletzt spricht das Linux-basierte Betriebssystem für den Pi, denn es ermöglicht eine breite Palette von Firewall- und Softwareoptionen, für die auch Zusatzfunktionen wie VPN, DNS-Filterung und Intrusion Detection Systems (IDS) zur Verfügung stehen.
    Offenes Vorhängeschloss vor Zahlenmuster

    Vodafone Cyber-Security-Services

    Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

    Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

    Jetzt kostenlos beraten lassen

    Firewall auf dem Raspberry Pi einrichten: Das Wichtigste in Kürze

    • Der kompakte Minicomputer Raspberry Pi eignet sich als Hardware-Firewall sowohl für (kleinere) Betriebe, als auch für das Homeoffice.
    • Um den Pi als Firewall zu nutzen, empfehlen sich die einfach zu konfigurierenden und dennoch leistungsfähigen Firewall-Lösungen wie IPFire oder Uncomplicated Firewall (UFW).
    • UFW verwendet eine Kommandozeilenschnittstelle mit einer überschaubaren Anzahl von Befehlen und bietet damit eine unkomplizierte Möglichkeit, eine Firewall für den Raspberry Pi zu konfigurieren.
    • IPFire ist zwar modular aufgebaut, lässt sich aber unkompliziert über eine Weboberfläche im Browser konfigurieren.
    • Bevor Sie die Firewall auf dem Raspberry Pi konfigurieren, ist es wichtig, zunächst die Regeln für kritische Dienste wie SSH festzulegen, damit die Verbindung zum Gerät nicht versehentlich blockiert wird. Für den Zugriff über SSH müssen Sie Port 22 zulassen.
    • Der Raspberry Pi ist eine überzeugende und kostengünstige Firewall-Alternative, die zahlreiche State-of-the-Art-Features mit einer besonders hohen Flexibilität kombiniert – und das bei geringem Stromverbrauch.
    Portrait von Freca DumreseFreca Dumrese
    26.07.2024
      # Tags:TippsInnovationDigitalSicherheit
      Das könnte Sie auch interessieren:
      Unified Communication
      Frau mit Kaffeebecher in der rechten Hand schaut lächelnd auf ihr Smartphone in der linken Hand, vor einem Schaufenster stehend

      WhatsApp Business: So verbinden Sie sich optimal mit Ihren Kunden

      WhatsApp Business ist die geschäftliche Variante des beliebten Messenger-Dienstes aus dem Meta-Konzern. Sie dient dazu, schnell und unkompliziert mit der modernen, smartphone-affinen Kundschaft auf für sie gewohntem Wege zu kommunizieren. Aber hält die Geschäftsversion des beliebten Messengers speziell für kleine und mittlere Unternehmen das, was sie verspricht? Lesen Sie hier, welche Vorteile WhatsApp Business bietet und wie Sie die App am besten für Ihre Firma nutzen. Wie viele Exemplare einer bestimmten Ware sind in einer Ihrer Filialen noch verfügbar? Bieten Sie in Ihrem Restaurant auch vegane Speisen an? Kann Ihre Werkstatt das Kundenfahrzeug rechtzeitig zum Wunschtermin reparieren? In Ihrem Unternehmen gehen täglich zahlreiche Anfragen Ihrer Kund:innen ein. Diese Fragen möchten Sie natürlich möglichst schnell beantworten. Die Bearbeitung von Anfragen soll auch noch möglichst effizient funktionieren, denn schließlich darf Ihr Tagesgeschäft darunter nicht leiden. Gleichzeitig möchten Sie mit Ihren Kund:innen immer auch im Austausch bleiben, um beispielsweise langjährigen Stammkund:innen neue Produkte oder Dienstleistungen direkt und ohne große Streuverluste zu präsentieren. Wie kann Ihnen WhatsApp Business helfen, die Kommunikation mit Ihren Kund:innen zu vereinfachen und wie stellen Sie dabei den Datenschutz sicher? Schließlich speichert WhatsApp standardmäßig die Kontaktdaten und vieles mehr auf Servern in den USA, womit Sie als Unternehmen gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen würden. Doch es gibt Wege, dieses Problem zu lösen.

      Weiterlesen
      Telefon

      Digitalisierungs-Beratung

      Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

      0800 505 4539

      Hilfe und Service

      Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

      0800 172 1234
      Online
      Vor Ort