Instalacija i konfiguracija pfSense 2.4.4 Firewall rutera


Internet je ovih dana zastrašujuće mjesto. Gotovo svakodnevno se dešavaju novi nulti dan, proboj sigurnosti ili ransomware ostavljajući mnoge ljude da se pitaju da li je moguće osigurati svoje sisteme.

Mnoge organizacije troše stotine hiljada, ako ne i milione dolara pokušavajući da instaliraju najnovija i najbolja sigurnosna rješenja za zaštitu svoje infrastrukture i podataka. Međutim, kućni korisnici su u nepovoljnijem monetarnom položaju. Ulaganje čak i stotinu dolara u namjenski zaštitni zid često je izvan dosega većine kućnih mreža.

Srećom, postoje namjenski projekti u zajednici otvorenog koda koji čine veliki napredak u areni sigurnosnih rješenja za kućne korisnike. Projekti kao što su IPfire, Snort, Squid i pfSense pružaju sigurnost na nivou preduzeća po cijenama robe!

PfSense je FreeBSD bazirano firewall rješenje otvorenog koda. Distribucija je besplatna za instalaciju na vlastitu opremu ili kompanija koja stoji iza pfSense-a, NetGate, prodaje unaprijed konfigurirane firewall uređaje.

Potreban hardver za pfSense je vrlo minimalan i obično se stariji kućni toranj lako može prenamijeniti u namjenski pfSense Firewall. Za one koji žele da naprave ili kupe sposobniji sistem za pokretanje više naprednih funkcija pfSense-a, postoje neki predloženi hardverski minimumi:

Hardverski minimumi

  • 500 mhz CPU
  • 1 GB RAM-a
  • 4GB memorije
  • 2 mrežne kartice

Predloženi hardver

  • 1GHz CPU
  • 1 GB RAM-a
  • 4GB memorije
  • 2 ili više PCI-e mrežnih kartica.

Ozbiljni prijedlozi za hardver kućnih korisnika (i poduzeća)

U slučaju da kućni korisnik želi omogućiti mnoge dodatne funkcije i funkcije pfSense-a kao što su Snort, Anti-Virus skeniranje, DNS crna lista, filtriranje web sadržaja, itd. preporučeni hardver postaje malo više uključen.

Da biste podržali dodatne softverske pakete na pfSense firewall-u, preporučuje se da se pfSense-u obezbijedi sljedeći hardver:

  • Moderni višejezgarni CPU koji radi na najmanje 2,0 GHz
  • 4GB+ RAM-a
  • 10GB+ HD prostora
  • 2 ili više Intel PCI-e mrežnih kartica

Instalacija pfSense-a 2.4.4

U ovom odeljku ćemo videti instalaciju pfSense 2.4.4 (najnovija verzija u vreme pisanja ovog članka).

Lab Setup

pfSense je često frustrirajući za korisnike koji su početnici u zaštitnim zidovima. Zadano ponašanje mnogih zaštitnih zidova je blokiranje svega, dobrog ili lošeg. Ovo je odlično sa stanovišta sigurnosti, ali ne i sa stanovišta upotrebljivosti. Prije početka instalacije važno je konceptualizirati krajnji cilj prije početka konfiguracije.

Preuzimanje pfSensea

Bez obzira na to koji je hardver odabran, instaliranje pfSense-a na hardver je jednostavan proces, ali zahtijeva od korisnika da obrati veliku pažnju na to koji će se portovi mrežnog sučelja koristiti u koju svrhu (LAN, WAN, bežični, itd.).

Dio procesa instalacije uključivat će podsticanje korisnika da započne konfiguriranje LAN i WAN sučelja. Autor predlaže samo uključivanje WAN interfejsa dok se pfSense ne konfiguriše, a zatim nastavite da završite instalaciju uključivanjem LAN interfejsa.

Prvi korak je nabavka pfSense softvera sa https://www.pfsense.org/download/. Dostupno je nekoliko različitih opcija ovisno o uređaju i načinu instalacije, ali ovaj vodič će koristiti „AMD64 CD (ISO) Installer”.

Koristeći padajući meni na prethodno navedenom linku, odaberite odgovarajuće ogledalo za preuzimanje datoteke.

Nakon što se instalacijski program preuzme, može se ili narezati na CD ili kopirati na USB disk pomoću alata „dd“ uključenog u većinu Linux distribucija.

Sljedeći proces je zapisivanje ISO-a na USB disk kako bi se pokrenuo instalater. Da biste to postigli, koristite alat „dd” unutar Linuxa. Prvo, naziv diska mora biti lociran sa 'lsblk'.


lsblk

Uz naziv USB diska koji je određen kao „/dev/sdc”, pfSense ISO se može upisati na disk pomoću alata „dd”.


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Važno: Gornja naredba zahtijeva root privilegije pa koristite 'sudo' ili se prijavite kao root korisnik za pokretanje naredbe. Također će ova komanda UKLONITI SVE na USB disku. Obavezno napravite sigurnosnu kopiju potrebnih podataka.

Instalacija pfSense-a

Nakon što „dd” završi sa pisanjem na USB disk ili je CD narezan, stavite medij u računar koji će biti postavljen kao pfSense firewall. Pokrenite taj računar na taj medij i prikazat će se sljedeći ekran.

Na ovom ekranu ili dozvolite da tajmer istekne ili odaberite 1 da nastavite s podizanjem u okruženje instalatera. Kada instalater završi sa podizanjem sistema, sistem će zatražiti sve željene promene u rasporedu tastature. Ako se sve prikazuje na maternjem jeziku, jednostavno kliknite na 'Prihvati ove postavke'.

Sljedeći ekran će korisniku pružiti opciju "Brza/jednostavna instalacija" ili naprednije opcije instalacije. Za potrebe ovog vodiča, predlaže se jednostavno korištenje opcije „Brza/jednostavna instalacija”.

Sljedeći ekran će jednostavno potvrditi da korisnik želi koristiti metodu „Quick/Easy Install” koja neće postavljati toliko pitanja tokom instalacije.

Prvo pitanje koje će vjerovatno biti predstavljeno će postaviti pitanje o tome koji kernel instalirati. Opet, predlaže se da se „Standard Kernel” instalira za većinu korisnika.

Kada instalater završi ovu fazu, zatražiće ponovno pokretanje. Obavezno uklonite i instalacioni medij kako se mašina ne bi ponovo pokrenula u instalateru.

pfSense konfiguracija

Nakon ponovnog pokretanja i uklanjanja CD/USB medija, pfSense će se ponovo pokrenuti na novoinstalirani operativni sistem. Podrazumevano, pfSense će izabrati interfejs koji će se postaviti kao WAN interfejs sa DHCP i ostaviti LAN interfejs nekonfigurisan.

Iako pfSense ima sistem grafičke konfiguracije zasnovan na webu, on radi samo na LAN strani zaštitnog zida, ali trenutno LAN strana neće biti konfigurisana. Prva stvar koju treba uraditi je da postavite IP adresu na LAN interfejs.

Da biste to učinili, slijedite ove korake:

  • Upišite ‘n’ i pritisnite tipku ‘Enter’ kada vas pitaju o VLAN-ovima.
  • Unesite ime interfejsa zabeleženo u prvom koraku kada se od vas zatraži WAN interfejs ili promenite na odgovarajući interfejs sada. Opet, ovaj primjer, 'em0' je WAN sučelje jer će to biti sučelje okrenuto prema Internetu.
  • Sljedeći upit će tražiti LAN sučelje, ponovo upišite odgovarajuće ime sučelja i pritisnite tipku ‘Enter’. U ovoj instalaciji, ‘em1’ je LAN interfejs.
  • pfSense će nastaviti da traži više interfejsa ako su dostupni, ali ako su svi interfejsi dodeljeni, jednostavno ponovo pritisnite taster ‘Enter’.
  • pfSense će sada tražiti da osigura da su interfejsi pravilno dodeljeni.

  • Ako su interfejsi ispravni, upišite ‘y’ i pritisnite tipku ‘Enter’.

  • Sljedeći korak će biti dodijeliti sučeljima ispravnu IP konfiguraciju. Nakon što se pfSense vrati na glavni ekran, upišite ‘2’ i pritisnite tipku ‘Enter’. (Obavezno pratite nazive interfejsa koji su dodeljeni WAN i LAN interfejsima).

    *NAPOMENA* Za ovu instalaciju WAN interfejs može koristiti DHCP bez ikakvih problema, ali mogu postojati slučajevi u kojima bi bila potrebna statička adresa. Proces za konfigurisanje statičkog interfejsa na WAN-u bio bi isti kao i LAN interfejs koji će biti konfigurisan.

    Ponovo upišite ‘2’ kada se od vas zatraži koji interfejs treba postaviti IP informacije. Opet 2 je LAN interfejs u ovoj šetnji.

    Kada se to od vas zatraži, unesite IPv4 adresu željenu za ovo sučelje i pritisnite tipku ‘Enter’. Ova adresa ne bi trebalo da se koristi nigde drugde na mreži i verovatno će postati podrazumevani gateway za hostove koji će biti priključeni na ovaj interfejs.

    Sljedeći upit će tražiti masku podmreže u onome što je poznato kao format maske prefiksa. Za ovaj primjer mreže će se koristiti jednostavna /24 ili 255.255.255.0. Pritisnite tipku 'Enter' kada završite.

    Sljedeće pitanje će se odnositi na 'Upstream IPv4 Gateway'. Pošto je LAN interfejs trenutno konfigurisan, jednostavno pritisnite taster 'Enter'.

    Sljedeći upit će tražiti konfiguraciju IPv6 na LAN sučelju. Ovaj vodič jednostavno koristi IPv4, ali ako okruženje zahtijeva IPv6, sada se može konfigurirati. U suprotnom će se nastaviti jednostavnim pritiskom na tipku 'Enter'.

    Sljedeće pitanje će se odnositi na pokretanje DHCP servera na LAN interfejsu. Većina kućnih korisnika će morati da omogući ovu funkciju. Opet, ovo će se možda morati prilagoditi ovisno o okruženju.

    Ovaj vodič pretpostavlja da će korisnik želeti da zaštitni zid pruža DHCP usluge i da će dodijeliti 51 adresu drugim računarima kako bi dobili IP adresu od pfSense uređaja.

    Sljedeće pitanje će tražiti da se pfSense-ov web alat vrati na HTTP protokol. Snažno se preporučuje da to NE radite jer će HTTPS protokol pružiti određeni nivo sigurnosti kako bi se spriječilo otkrivanje lozinke administratora za alat za web konfiguraciju.

    Jednom kada korisnik pritisne 'Enter', pfSense će sačuvati promjene sučelja i pokrenuti DHCP usluge na LAN interfejsu.

    Obratite pažnju na to da će pfSense pružiti web adresu za pristup alatu za konfiguraciju weba preko računara koji je priključen na LAN strani firewall uređaja. Ovim se završavaju osnovni koraci konfiguracije kako bi uređaj zaštitnog zida bio spreman za više konfiguracija i pravila.

    Web interfejsu se pristupa preko web pretraživača navigacijom do IP adrese LAN interfejsa.

    Zadane informacije za pfSense u vrijeme pisanja ovog teksta su sljedeće:

    
    Username: admin
    Password: pfsense
    

    Nakon uspješne prijave kroz web sučelje po prvi put, pfSense će proći kroz početno podešavanje da resetuje administratorsku lozinku.

    Prvi upit je za registraciju na pfSense Gold pretplatu koja ima prednosti kao što su automatska sigurnosna kopija konfiguracije, pristup pfSense materijalima za obuku i periodični virtuelni sastanci sa pfSense programerima. Kupovina Gold pretplate nije potrebna i korak se po želji može preskočiti.

    Sljedeći korak će od korisnika zatražiti više informacija o konfiguraciji za zaštitni zid, kao što su ime hosta, ime domene (ako je primjenjivo) i DNS serveri.

    Sljedeći upit će biti da konfigurišete Network Time Protocol, NTP. Podrazumevane opcije se mogu ostaviti osim ako se ne žele drugi vremenski serveri.

    Nakon podešavanja NTP-a, čarobnjak za instalaciju pfSense-a će zatražiti od korisnika da konfiguriše WAN interfejs. pfSense podržava više metoda za konfigurisanje WAN interfejsa.

    Zadana postavka za većinu kućnih korisnika je korištenje DHCP-a. DHCP od internet provajdera korisnika je najčešći metod za dobijanje potrebne IP konfiguracije.

    Sljedeći korak će zatražiti konfiguraciju LAN sučelja. Ako je korisnik povezan na web sučelje, LAN sučelje je vjerovatno već konfigurirano.

    Međutim, ako je potrebno promijeniti LAN sučelje, ovaj korak bi omogućio izmjene. Obavezno zapamtite na koju je LAN IP adresa postavljena jer je tako
    administrator će pristupiti web interfejsu!

    Kao i sa svim stvarima u svijetu sigurnosti, zadane lozinke predstavljaju ekstremni sigurnosni rizik. Sljedeća stranica će zatražiti od administratora da promijeni zadanu lozinku za „admin” korisnika u pfSense web interfejs.

    Posljednji korak uključuje ponovno pokretanje pfSensea s novim konfiguracijama. Jednostavno kliknite na dugme 'Ponovo učitaj'.

    Nakon što se pfSense ponovo učita, korisniku će prikazati završni ekran prije nego što se prijavi na puno web sučelje. Jednostavno kliknite na drugi 'Kliknite ovdje' da biste se prijavili na cijelo web sučelje.

    Konačno je pfSense pokrenut i spreman za konfiguriranje pravila!

    Sada kada je pfSense pokrenut i radi, administrator će morati da prođe i kreira pravila kako bi omogućio odgovarajući promet kroz zaštitni zid. Treba napomenuti da pfSense ima zadano pravilo dopuštenja svih. Zbog sigurnosti, ovo bi trebalo promijeniti, ali to je opet odluka administratora.

    Pročitajte također : Instalirajte i konfigurirajte pfBlockerNg za DNS crnu listu u pfSense Firewall-u

    Hvala vam što ste pročitali ovaj članak o TecMintu o instalaciji pfSensea! Pratite buduće članke o konfigurisanju nekih naprednijih opcija dostupnih u pfSense-u.