Cum să instalați și să configurați paravanul de protecție OpnSense de bază


Într-un articol anterior, a fost discutată o soluție de firewall cunoscută sub numele de PfSense. La începutul lui 2015 s-a luat decizia de a fork PfSense și a fost lansată o nouă soluție de firewall numită OpnSense.

OpnSense și-a început viața ca o simplă variantă a PfSense, dar a evoluat într-o soluție de firewall complet independentă. Acest articol va acoperi instalarea și configurația inițială de bază a unei noi instalări OpnSense.

La fel ca PfSense, OpnSense este o soluție de firewall open-source bazată pe FreeBSD. Distribuția se instalează gratuit pe echipamentul propriu sau compania Decisio, vinde dispozitive firewall preconfigurate.

OpnSense are un set minim de cerințe și un turn tipic mai vechi de acasă poate fi configurat cu ușurință pentru a rula ca firewall OpnSense. Specificațiile minime sugerate sunt următoarele:

Minime hardware

  • CPU de 500 Mhz
  • 1 GB RAM
  • 4 GB de stocare
  • 2 plăci de interfață de rețea

Hardware sugerat

  • CPU de 1 GHz
  • 1 GB RAM
  • 4 GB de stocare
  • 2 sau mai multe plăci de interfață de rețea PCI-e.

Dacă cititorul dorește să utilizeze unele dintre caracteristicile mai avansate ale OpnSense (Suricata, ClamAV, server VPN etc.), sistemul ar trebui să aibă un hardware mai bun.

Cu cât utilizatorul dorește să activeze mai multe module, cu atât mai mult spațiu RAM/CPU/Drive ar trebui inclus. Se sugerează ca următoarele minime să fie îndeplinite dacă există planuri de activare a modulelor avansate în OpnSense.

  • CPU modern multi-core care rulează cel puțin 2,0 GHz
  • 4 GB+ de RAM
  • 10 GB+ de spațiu HD
  • 2 sau mai multe plăci de interfață de rețea Intel PCI-e

Instalarea și configurarea OpnSense Firewall

Indiferent de hardware-ul ales, instalarea OpnSense este un proces simplu, dar necesită ca utilizatorul să acorde o atenție deosebită la ce porturi de interfață de rețea vor fi utilizate în ce scop (LAN, WAN, Wireless etc.).

O parte a procesului de instalare va implica solicitarea utilizatorului să înceapă configurarea interfețelor LAN și WAN. Autorul sugerează doar conectarea la interfața WAN până când OpnSense a fost configurat și apoi continuarea instalării prin conectarea la interfața LAN.

Descărcarea OpnSense Firewall

Primul pas este să obțineți software-ul OpnSense și există câteva opțiuni diferite disponibile, în funcție de dispozitiv și de metoda de instalare, dar acest ghid va utiliza „OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2 puternic>'.

ISO a fost obținut folosind următoarea comandă:

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Odată ce fișierul a fost descărcat, acesta trebuie decomprimat utilizând instrumentul bunzip, după cum urmează:

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Odată ce programul de instalare a fost descărcat și decomprimat, acesta poate fi fie ars pe un CD, fie poate fi copiat pe o unitate USB cu instrumentul 'dd'< inclus în majoritatea distribuțiilor Linux.

Următorul proces este să scrieți ISO pe o unitate USB pentru a porni programul de instalare. Pentru a realiza acest lucru, utilizați instrumentul „dd” din Linux.

În primul rând, numele discului trebuie să fie localizat cu „lsblk“.

lsblk

Cu numele unității USB determinat ca '/dev/sdc', OpnSense ISO poate fi scris pe unitate cu >instrumentul 'dd'.

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Notă: comanda de mai sus necesită privilegii root, așa că utilizați ‘sudo’ sau conectați-vă ca utilizator root pentru a rula comanda. De asemenea, această comandă va ELIMINA TOTUL de pe unitatea USB. Asigurați-vă că faceți o copie de rezervă a datelor necesare.

Instalarea OpnSense Firewall

După ce dd a terminat de scris pe unitatea USB, plasați media în computerul care va fi configurat ca firewall opnsese. Porniți computerul pe acel mediu și va fi prezentat următorul ecran.

Pentru a continua cu programul de instalare, apăsați pur și simplu tasta „Enter”. Aceasta va porni OpnSense în modul Live, dar există un utilizator special care să instaleze OpnSense pe media locală.

Când sistemul pornește la promptul de conectare, utilizați numele de utilizator al „instalator” cu o parolă de „opnsese”.

Suportul de instalare se va autentifica și va lansa programul de instalare actual OpnSense. ATENȚIE: Continuând cu următorii pași, toate datele de pe hard disk din sistem vor fi șterse! Procedați cu prudență sau părăsiți programul de instalare.

Apăsând tasta „Enter” va începe procesul de instalare. Primul pas este să selectați harta tastelor. Programul de instalare va detecta probabil harta tastaturii adecvată în mod implicit. Examinați harta tastelor selectată și corectați-o după cum este necesar.

Următorul ecran va oferi câteva opțiuni pentru instalare. Dacă utilizatorul dorește să facă partiționare avansată sau să importe o configurație dintr-o altă casetă OpnSense, acest lucru poate fi realizat la acest pas. Acest ghid presupune o instalare nouă și va selecta opțiunea „Instalare ghidată”.

Următorul ecran va afișa dispozitivele de stocare recunoscute pentru instalare.

Odată ce dispozitivul de stocare este selectat, utilizatorul va trebui să decidă ce schemă de partiționare este utilizată de instalator (MBR sau GPT/EFI).

Majoritatea sistemelor moderne vor accepta GPT/EFI, dar dacă utilizatorul reutiliza un computer mai vechi, MBR poate fi singura opțiune acceptată. Verificați în setările BIOS ale sistemului pentru a vedea dacă acesta acceptă EFI/GPT.

Odată ce schema de partiționare este aleasă, instalatorul va începe pașii de instalare. Procesul nu durează foarte mult și va solicita utilizatorului informații periodice, cum ar fi parola utilizatorului root.

Odată ce utilizatorul a setat parola utilizatorului root, instalarea se va finaliza și sistemul va trebui să repornească pentru a configura instalarea. Când sistemul repornește, acesta ar trebui să pornească automat în instalarea OpnSense (asigurați-vă că ați eliminat mediul de instalare pe măsură ce aparatul repornește).

Când sistemul repornește, acesta se va opri la promptul de conectare la consolă și va aștepta ca utilizatorul să se autentifice.

Acum, dacă utilizatorul a fost atent în timpul instalării, ar fi putut observa că ar fi putut pre-configura interfețele în timpul instalării. Cu toate acestea, să presupunem pentru acest articol că interfețele nu au fost alocate la instalare.

După conectarea cu utilizatorul root și parola configurate în timpul instalării, se poate observa că OpnSense a folosit doar una dintre plăcile de interfață de rețea (NIC) pe această mașină. În imaginea de mai jos se numește „LAN (em0) ”.

OpnSense va utiliza implicit rețeaua standard „192.168.1.1/24 ” pentru LAN. Cu toate acestea, în imaginea de mai sus, interfața WAN lipsește! Acest lucru este ușor de corectat tastând ‘1’ la prompt și apăsând enter.

Acest lucru va permite reatribuirea NIC-urilor de pe sistem. Observați în imaginea următoare că există două interfețe disponibile: ‘em0’ și ‘em1’.

Expertul de configurare va permite configurații foarte complexe cu VLAN-uri, dar pentru moment, acest ghid presupune o configurare de bază cu două rețele; (adică o parte WAN/ISP și o parte LAN).

Introduceți ‘N’ pentru a nu configura niciun VLAN în acest moment. Pentru această configurație specială, interfața WAN este ‘em0’, iar interfața LAN este ‘em1’, după cum se vede mai jos.

Confirmați modificările la interfețe tastând ‘Y’ în prompt. Acest lucru va face ca OpnSense să reîncarce multe dintre serviciile sale pentru a reflecta modificările la alocarea interfeței.

Odată terminat, conectați un computer cu un browser web la interfața laterală LAN. Interfața LAN are un server DHCP care ascultă pe interfață pentru clienți, astfel încât computerul va putea obține informațiile de adresare necesare pentru a se conecta la pagina de configurare web OpnSense.

După ce computerul este conectat la interfața LAN, deschideți un browser web și navigați la următoarea adresă URL: http://192.168.1.1.

Pentru a vă conecta la consola web; utilizați numele de utilizator ‘rădăcină’ și parola care a fost configurată în timpul procesului de instalare. Odată autentificat, partea finală a instalării va fi finalizată.

Primul pas al programului de instalare este folosit pentru a aduna pur și simplu mai multe informații, cum ar fi numele de gazdă, numele de domeniu și serverele DNS. Majoritatea utilizatorilor pot lăsa opțiunea „Înlocuire DNS” selectată.

Acest lucru va permite firewall-ului OpnSense să obțină informații DNS de la ISP prin interfața WAN.

Următorul ecran va solicita servere NTP. Dacă utilizatorul nu are propriile sisteme NTP, OpnSense va oferi un set implicit de pool-uri de servere NTP.

Următorul ecran este configurarea interfeței WAN. Majoritatea furnizorilor de servicii Internet pentru utilizatorii casnici vor folosi DHCP pentru a oferi clienților informațiile necesare privind configurarea rețelei. Pur și simplu lăsați tipul selectat ca „DHCP” va instrui OpnSense să încerce să colecteze configurația sa laterală WAN de la ISP.

Derulați în jos până în partea de jos a ecranului de configurare WAN pentru a continua. ***Notă*** în partea de jos a acestui ecran sunt două reguli implicite pentru a bloca intervalele de rețea care, în general, nu ar trebui să fie văzute intrând în interfața WAN. Se recomandă să le lăsați bifate dacă nu există un motiv cunoscut pentru a permite aceste rețele prin interfața WAN!

Următorul ecran este ecranul de configurare LAN. Majoritatea utilizatorilor pot lăsa pur și simplu valorile implicite. Realizați că există intervale speciale de rețea care ar trebui utilizate aici, denumite în mod obișnuit RFC 1918. Asigurați-vă că lăsați valoarea implicită sau alegeți o zonă de rețea din intervalul RFC1918 pentru a evita conflictele/problemele!

Ecranul final al instalării va întreba dacă utilizatorul dorește să actualizeze parola root. Acest lucru este opțional, dar dacă nu a fost creată o parolă puternică în timpul instalării, acum ar fi un moment bun pentru a corecta problema!

Odată trecută de opțiunea de schimbare a parolei, OpnSense va cere utilizatorului să reîncarce setările de configurare. Pur și simplu faceți clic pe butonul „Reîncărcați” și acordați OpnSense o secundă pentru a reîmprospăta configurația și pagina curentă.

Când totul este gata, OpnSense va saluta utilizatorul. Pentru a reveni la tabloul de bord principal, faceți clic pe „Tabloul de bord” în colțul din stânga sus al ferestrei browserului web.

În acest moment, utilizatorul va fi dus la tabloul de bord principal și poate continua să instaleze/configureze oricare dintre pluginurile sau funcționalitățile utile OpnSense! Autorul recomandă verificarea și actualizarea sistemului dacă sunt disponibile upgrade-uri. Pur și simplu faceți clic pe butonul „Click to Check for Updates” din tabloul de bord principal.

Apoi, pe ecranul următor, „Verificați actualizările” poate fi folosit pentru a vedea o listă de actualizări sau „Actualizați acum” poate fi folosit pentru a aplica pur și simplu toate actualizările disponibile.

În acest moment, o instalare de bază a OpnSense ar trebui să fie în funcțiune și să fie complet actualizată! În articolele viitoare, agregarea legăturilor și rutarea inter-VLAN vor fi acoperite pentru a arăta mai multe dintre capabilitățile avansate ale OpnSense!