Firegate™ Überblick

Zweck dieses Dokuments

Dieses Dokument bietet einen technischen Überblick über die Firegate™ Netzwerksicherheitslösung, einschließlich Architektur, Funktionsprinzipien, Durchsetzungsmodell und Bereitstellungsszenarien.

Für Installationsanweisungen siehe Installationsanleitung.
Für detaillierte Konfiguration und Regelverhalten siehe den Abschnitt Sicherheitsarchitektur.

---

1. Einführung

Firegate™ ist eine hardwarebasierte Inline-Netzwerksicherheitslösung, entwickelt von QuantumSabre.

Das System wurde entwickelt, um kontinuierlichen, lokal durchgesetzten Netzwerkschutz für Privathaushalte, Home-Office-Umgebungen und kleine Unternehmen bereitzustellen – ohne Abhängigkeit von cloudbasierten Verwaltungsdiensten.

Firegate arbeitet als transparenter Sicherheits-Gateway, der zwischen Internetmodem und internem Router positioniert wird.

Alle Inspektions-, Durchsetzungs- und Entscheidungsprozesse erfolgen lokal auf dem Gerät.

---

2. Überblick über die Systemarchitektur

2.1 Physisches Bereitstellungsmodell

Firegate wird inline in der folgenden Netzwerktopologie eingesetzt:

Internet
↓
Modem
↓
Firegate
↓
Router
↓
Interne Netzwerkgeräte

Der gesamte eingehende und ausgehende Netzwerkverkehr muss das Firegate™-Gerät passieren, bevor er interne Systeme erreicht.

Dies gewährleistet eine konsistente Inspektion und Durchsetzung von Sicherheitsrichtlinien.

---

2.2 Kernkomponenten

Firegate besteht aus folgenden Komponenten:

• Dedizierte Hardwareplattform
• Zwei Netzwerkschnittstellen (WAN/LAN-Bridge)
• Gehärtete Linux-basierte Betriebsumgebung
• Suricata Intrusion Prevention Engine
• DNS-Durchsetzungssystem
• Sicheres WireGuard Update- und Zugriffssystem

---

3. Funktionsprinzipien

3.1 Inline-Datenverkehrsinspektion

Firegate™ arbeitet im Inline-Modus, was bedeutet:

• Alle Pakete werden in Echtzeit analysiert
• Sicherheitsregeln werden vor der Weiterleitung angewendet
• Bösartiger Datenverkehr kann sofort blockiert werden

Im Gegensatz zu passiven Monitoring-Systemen setzt Firegate™ Sicherheitsentscheidungen direkt durch.

---

3.2 Intrusion Prevention (IPS)

Firegate verwendet Suricata im Inline-IPS-Modus.

Die IPS-Engine:

• erkennt Exploit-Versuche
• identifiziert bekannte bösartige Datenverkehrsmuster
• blockiert Command-and-Control-Kommunikation
• verhindert den Zugriff auf bekannte schädliche Ziele

Regelsätze werden über gesicherte Update-Kanäle gepflegt und aktualisiert.

---

3.3 DNS-Durchsetzungsmodell

Firegate erzwingt DNS-Kontrolle durch:

• Abfangen ausgehender DNS-Anfragen
• Umleitung fest codierter DNS-Anfragen
• Verhindern von Umgehungsversuchen über öffentliche DNS-Server

Dies stellt sicher, dass Filterrichtlinien nicht durch lokale Gerätekonfigurationen umgangen werden können.

DNS-Kontrolle ist besonders wichtig für Familiennetzwerke und kontrollierte Umgebungen.

---

3.4 Lokales Verarbeitungsmodell

Die gesamte Datenverkehrsinspektion und Protokollgenerierung erfolgt lokal auf dem Gerät.

Firegate:

• überträgt keine Netzwerk-Telemetriedaten an Cloud-Anbieter
• teilt keine Surfaktivitäten mit Dritten
• ist nicht von externen Analyseplattformen abhängig

Alle Sicherheitsentscheidungen werden direkt auf dem Gerät getroffen.

Diese Architektur schützt die Privatsphäre und reduziert die externe Angriffsfläche.

---

4. Zugriffsmodell

Firegate™ unterstützt eine zweistufige Zugriffskontrolle.

4.1 Geschützter Modus (Standard)

Im geschützten Modus:

• DNS-Filterrichtlinien werden erzwungen
• schädliche und gefährliche Domains werden blockiert
• VPN- und Tor-Zugriff kann eingeschränkt sein
• Umgehungsversuche werden erkannt

Dieser Modus eignet sich besonders für Familien und kontrollierte Netzwerkumgebungen.

---

4.2 Kontrollierter uneingeschränkter Modus

Autorisierte Benutzer können über einen sicheren WireGuard-Tunnel eine uneingeschränkte Internetverbindung herstellen.

Dieses Modell ermöglicht:

• administrative Ausnahmen
• sicheren Remote-Zugriff
• klare Trennung zwischen eingeschränkter und uneingeschränkter Nutzung

Zugangsdaten werden sicher generiert und verwaltet.

---

5. Update- und Wartungsmodell

Firegate erhält regelmäßige Updates über einen gesicherten WireGuard-Updatekanal.

Merkmale des Updateprozesses:

• verschlüsselte Übertragung
• authentifizierte Endpunkte
• kontrollierte Regelupdates
• Betriebssystem-Sicherheitsupdates

Falls der Updatekanal vorübergehend nicht verfügbar ist, arbeitet das System weiterhin mit den vorhandenen Richtlinien.

Der Schutz hängt nicht von einer permanenten Cloud-Verbindung ab.

---

6. Sicherheitsgrenzen und Einschränkungen

Firegate bietet Schutz auf Netzwerkebene.

Es ersetzt nicht:

• Endpoint-Antivirensoftware
• lokale Gerätesicherheitsmaßnahmen

Es schützt außerdem keine Geräte außerhalb des Netzwerks, sofern diese nicht über VPN verbunden sind.

Firegate sollte als Netzwerk-Sicherheitskomponente innerhalb einer umfassenden Sicherheitsstrategie betrachtet werden.

---

7. Zielumgebungen

Firegate wurde entwickelt für:

• private Breitbandanschlüsse
• Home-Office-Netzwerke
• Gaming-Haushalte
• kleine Unternehmen mit Bedarf an einfacher Inline-Sicherheit

Das System ist kompatibel mit:

• ISP-Routern
• Drittanbieter-Routern

sofern es inline im Netzwerk installiert wird.

---

8. Designphilosophie

Firegate basiert auf folgenden Grundprinzipien:

• Lokale Durchsetzung statt Cloud-Abhängigkeit
• Deterministische Sicherheitsrichtlinien
• Transparente Inline-Architektur
• Minimale Benutzerkonfiguration
• Datenschutzfreundlicher Betrieb

Das System priorisiert konsistente Sicherheit vor Funktionskomplexität.

---

9. Zusammenfassung

Firegate™ ist ein lokal arbeitendes Inline-Netzwerksicherheits-Gateway, das kontinuierlichen Schutz ohne cloudbasierte Infrastruktur bietet.

Durch die Kombination aus Intrusion Prevention, DNS-Durchsetzung und kontrolliertem Zugriff innerhalb einer dedizierten Hardwareplattform liefert Firegate zuverlässigen Netzwerkschutz für moderne Wohn- und kleine Unternehmensnetzwerke.