Prenumerera på vårt nyhetsbrev och ta del av matnyttiga tips och tricks för att navigera på nätet. Missa inte heller våra exklusiva erbjudanden och kampanjer!

Guide: Bygg din egen brandvägg

Publicerad: 15 maj, 2020
Kategori: ,

Visste du att en gammal dator kan få nytt liv i rollen som brandvägg? Allt som krävs är ett extra nätverkskort, en switch och öppen-källkodsmjukvaran pfSense.

Hemmets router fyller flera funktioner. Många ser routern som apparaten som skickar ut trådlöst nätverk, men routrar användes redan på den trådbundna tiden. Routerns huvudsakliga uppgift är nämligen att låta flera datorer dela på internetuppkopplingen. Detta gör routern genom funktionen NAT (Network Address Translation). NAT-funktionen ser till att alla datorer får varsin unik IP-adress i det lokala nätverket samtidigt som de delar på en och samma publika IP-adress på internet.

I och med NAT-funktionen agerar routern, per definition, som en simpel brandvägg. Routern låter datorerna på insidan ansluta ut på internet samtidigt som den blockerar alla inkommande anslutningar. Om du någon gång behövt öppna en port i din router för att exempelvis komma åt en NAS över internet har du fått uppleva denna blockering i praktiken.

Professionell brandvägg utklassar vanlig router

Rollen som brandvägg är prestandakrävande med en vanlig konsumentrouters mått mätt, vilket ibland avspeglas på ned- och uppladdningshastigheten. Många konsumentroutrar är för klena för att kunna släppa igenom trafik i gigabithastighet. Du märker om din router är en flaskhals genom att mäta hastigheten mot internet med datorn först direktkopplad till internet och sedan kopplad via routern. Om hastigheten sjunker när du kopplar datorn via routern vet du att routerns prestanda är otillräcklig.

För en traditionell hem- eller kontorsdator är brandväggsjobbet däremot enkelt. En tio år gammal dator kan kännas för trög för spel och kontorsuppgifter samtidigt som den är mer än kraftfull nog för att agera brandvägg. Om du har en gammal dator tillövers kan du med små medel förvandla den till en brandvägg som ersätter din router och ger högre prestanda. Det enda du behöver komplettera datorn med är ett extra nätverkskort och en switch för någon hundralapp stycket.

Vi utrustar vår dator med ett extra nätverkskort kopplat till en PCI-express x1-sockel.

I filmen som hör ihop med denna artikel visar Karl Emil Nikka, IT-säkerhetsutbildare på Nikka Systems, hur du med öppen-källkodsmjukvaran pfSense kan ge en gammal dator nytt liv i rollen som brandvägg. PfSense är kostnadsfritt att använda för ickekommersiellt bruk och innehåller en rad funktioner som annars bara återfinns i kompetenta företagsbrandväggar. Du kan exempelvis använda brandväggen som en VPN-server för att komma åt hemnätverket på distans. Med pfSenses stora tilläggsbibliotek får du också en svårslagen inblick i vad som händer i ditt nätverk samt möjlighet att berika servern med exempelvis caching- och proxy-tillägg.

Skapa ett USB-minne med pfSense

Vårt första steg är att skapa ett installations-USB-minne. För detta behöver vi ett verktyg som kan ”bränna” installationsfilerna till USB-minnet. Vi kan inte bara kopiera installationsfilerna till USB-minnet eftersom brandväggen måste kunna boota (starta) från USB-minnet.

För att skapa installations-USB-minnet från en Windows-dator rekommenderar vi gratisverktyget Rufus. Det kan laddas ned kostnadsfritt från rufus.ie. I skrivande stund är version 3.10 den senaste versionen.

PfSense-filerna laddar vi i sin tur ned från den officiella webbplatsen med följande inställningar:

  • AMD64 (64-bit)

  • USB Memstick Installer

  • VGA

  • Frankfurt, Germany.

Så länge vår dator har en 64-bitars Intel- eller AMD-processor är det AMD64 som är den rätta versionen. VGA syftar i detta fall på att vi vill installera pfSense via en ansluten bildskärm (oavsett om bildskärmen ansluts via VGA eller någon modernare bildskärmsanslutning som HDMI eller Displayport). Alternativet är att vi installerar pfSense via seriellporten, något som är både omständligare och kräver en extra dator med den numera sällanskådade seriellporten.

Vi laddar ned pfSense för AMD64-processor och VGA-konsol.

Med installationsfilerna nedladdade kvarstår bara för oss att ”bränna” dem till USB-minnet. Tänk på att allt gammalt innehåll på USB-minnet försvinner.

Vi ”bränner” installationsfilerna till ett USB-minne med hjälp av Rufus.

Installera pfSense

Nästa steg är att installera pfSense på brandväggen. Det gör vi genom att boota från installations-USB-minnet och följa guiden. I den processen får vi möjlighet att välja grundläggande inställningar, däribland hur hårddisken ska partitioneras. Om inget annat än pfSense ska ligga på hårddisken låter vi pfSense ta hela hårddisken i anspråk.

PfSenses installationsprogram guidar oss igenom installationen.

Installationsguiden låter oss också välja vilken nätverksport som ska vara WAN-port (dit internet kopplas) och vilken nätverksport som ska vara LAN-port (dit en dator kopplas). Om vi är osäkra på detta kan vi låta installationsguiden välja det automatiskt och därefter testa vilken port som blev vilken.

Konfigurera pfSense

Efter installationen kvarstår enbart konfigurationen. För att hjälpa oss på traven skapar pfSense ett lokalt nätverk dit vi kan ansluta vår dator. Vår dator blir automatiskt tilldelad en IP-adress (192.168.1.X) och vi når brandväggens administrationsgränssnitt genom att besöka 192.168.1.1 i webbläsaren.

Efter att ha loggat in med användarnamnet ”admin” och lösenordet ”pfsense” följer vi guiden som dyker upp i webbläsaren. Där får vi välja grundläggande inställningar, till exempel tidszon, anslutningsinställningar för internet och ett säkert lösenord för administrationsgränssnittet.

PfSenses konfigurationsguide hjälper oss på traven med konfigurationen.

Grundkonfigurationen är därefter klar och vi kan börja lägga in våra egna brandväggsregler. Direkt från installationen agerar pfSense som en vanlig NAT-router som blockerar alla inkommande anslutningar och släpper igenom alla utgående anslutningar. En nämnvärd skillnad är att pfSense, till skillnad från konsumentroutrar, har UPnP inaktiverat som standard. Det innebär att exempelvis vissa onlinespel kan behöva få sina brandväggsregler inlagda för att fungera.

WiFi med accesspunkt

Till skillnad från en vanlig konsumentrouter har vår nya brandvägg inget inbyggt wifi. PfSense har visserligen stöd för WiFi, men kompatibiliteten med trådlösa nätverkskort är begränsad. Vi avråder dessutom från att låta brandväggen skicka ut det trådlösa nätverket. För bästa prestanda och täckning ska WiFi-signalen distribueras från en central plats i hemmet, och det förefaller föga sannolikt att vi vill ha vår brandvägg placerad mitt i vardagsrummet.

Wifi löser vi därför genom att koppla en switch till LAN-porten och en accesspunkt till switchen (till switchen kan vi även ansluta fler datorer). Om vi väljer en accesspunkt som stödjer PoE (Power over Ethernet) kan den dessutom strömförsörja accesspunkten, vilken vi då med lätthet kan placera optimalt. Det enda vi behöver dra fram är nätverkskabel.

Följ gärna Bredband2-bloggen och vår Youtube-kanal för mer information om nätverk och internet. Prenumerera också på Bli säker-podden där vi varje fredagsmorgon, tillsammans med Nikka från filmen, pratar om IT-säkerhet och relaterade nyheter.

Dela med dina vänner