Pfsense ist eine Opensource Firewall-Software. D.h. die Software wird von vielen Entwicklern weltweit „kostenlos“ programmiert und kann von jedem (sowohl Einzelpersonen als auch Firmen) genutzt werden. Pfsense basiert auf FreeBSD, einem freien unixoiden Betriebssystem das von der "Berkeley Software Distribution" abstammt und den Packetfilter "pf" einsetzt, daher der Name.
pfSense wird hauptsächlich von Netgate entwickelt. Dabei ist es in vielerlei Hinsicht weitaus besser als die Konkurrenz. Sie erfüllen die gleichen Sicherheitsstandards wie Konkurrenzprodukte, Netgate ist der einzige lizenzierte Hersteller, um pfSense Hardware zu produzieren. Die Produkte von Netgate pfSense bieten den gleichen Funktionsumfang (und darüber hinaus) wie Produkte von Cisco, Fortinet, SonicWall oder andere, zu einem Bruchteil der Kosten. Die wichtigste sicherheitsrelevante Eigenschaft ist hierbei sicherlich die Basis von FreeBSD, welche als äusserst sicher und zuverlässig ist. Wichtig ist sicherlich auch die Tatsache dass pfSense komplett opensource ist und daher keine versteckten Backdoors des Herstellers oder eventuell sogar von Geheimdiensten enthält.
Die ganze Verwaltung der Firewall findet über eine moderne Weboberfläche statt. Ausserdem kann man das System mit Hilfe einer Unix-Shell am Bildschirm, über die serielle Schnittstelle oder über das Netzwerk per SSH erreichen.
Funktionen und Möglichkeiten
pfSense verfügt über viele interessante Möglichkeiten zum Aufbau von Routern, Firewalls, Proxys und VPN-Gateways.
Wichtige Funktionen von pfSense sind:
- Multi-WAN, Bündelung mehrerer Verbindungen, Load Balancing, Fail Over
- Redundanz auf der LAN-Seite mit Common Address Redundancy Protocol CARP
- pfsync zur Synchronisierung der State-Tables mehrerer Firewalls
- Transparente Layer 2 Firewall
- Statefull Firewall auf Layer 3
- VPN mit IPsec, OpenVPN und PPTP
- Erkennung von Betriebssystemen (p0f) und Filterung
- Reporting und Monitoring, RRD Graphs
- DynDNS-Unterstützung
- Diverse TCP/IP-Serverdienste wie etwa DHCP-Server, NTP-Server, etc.
- Captive Portal für WLAN-Guest-Netzwerke
- Proxy und Webfilter mit Squid und SquidGuard
- Intrusion Detection via Snort-Paket
- Unterstützt alle gängigen Routing-Protokolle via BGP oder OSPF, etc.
- Stark erweiterbar durch zahlreiche nachinstallierbare Pakete
- Erweiterte Filterung mit Geo-Blocking und Threat-Level-Intelligence via Paket pfBlocker-ng
- Einsatz als Wireless Access Point, WLAN
Einführungs-Video
Hier soll noch ein kleines Einführungsvideo die grundlegendsten Funktionen kurz erklären.
