Instalarea și configurarea ruterului pfSense 2.4.4 Firewall


Internetul este un loc înfricoșător în aceste zile. Aproape zilnic, are loc o nouă zi zero, o încălcare a securității sau un ransomware, lăsând mulți oameni să se întrebe dacă este posibil să-și securizeze sistemele.

Multe organizații cheltuiesc sute de mii, dacă nu milioane, de dolari încercând să instaleze cele mai noi și mai bune soluții de securitate pentru a-și proteja infrastructura și datele. Cu toate acestea, utilizatorii casnici sunt într-un dezavantaj monetar. A investi chiar și o sută de dolari într-un firewall dedicat este adesea în afara domeniului de aplicare al majorității rețelelor de acasă.

Din fericire, în comunitatea open source există proiecte dedicate care fac progrese mari în domeniul soluțiilor de securitate pentru utilizatorii casnici. Proiecte precum IPfire, Snort, Squid și pfSense oferă toate securitatea la nivel de întreprindere la prețurile mărfurilor!

PfSense este o soluție de firewall open source bazată pe FreeBSD. Distribuția poate fi instalată gratuit pe propriul echipament sau compania din spatele pfSense, NetGate, vinde dispozitive firewall preconfigurate.

Hardware-ul necesar pentru pfSense este foarte minim și, de obicei, un turn de acasă mai vechi poate fi reutilizat cu ușurință într-un firewall pfSense dedicat. Pentru cei care doresc să construiască sau să cumpere un sistem mai capabil să ruleze mai multe dintre funcțiile avansate ale pfSense, există câteva minime de hardware sugerate:

Minime hardware

  • CPU de 500 MHz
  • 1 GB RAM
  • 4 GB de stocare
  • 2 plăci de interfață de rețea

Hardware sugerat

  • CPU de 1 GHz
  • 1 GB RAM
  • 4 GB de stocare
  • 2 sau mai multe plăci de interfață de rețea PCI-e.

Sugestii serioase de hardware pentru utilizatorii de acasă (și întreprinderi)

În cazul în care un utilizator casnic ar dori să activeze multe dintre caracteristicile și funcțiile suplimentare ale pfSense, cum ar fi Snort, scanarea Anti-Virus, lista neagră DNS, filtrarea conținutului web, etc hardware-ul recomandat devine puțin mai implicat.

Pentru a suporta pachetele software suplimentare de pe firewall-ul pfSense, se recomandă ca pfSense să îi fie furnizat următorul hardware:

  • CPU modern multi-core care rulează cel puțin 2,0 GHz
  • 4 GB+ de RAM
  • 10 GB+ de spațiu HD
  • 2 sau mai multe plăci de interfață de rețea Intel PCI-e

Instalarea pfSense 2.4.4

În această secțiune, vom vedea instalarea pfSense 2.4.4 (cea mai recentă versiune la momentul scrierii acestui articol).

Configurarea laboratorului

pfSense este adesea frustrant pentru utilizatorii care nu folosesc firewall-uri. Comportamentul implicit pentru multe firewall-uri este de a bloca totul, bun sau rău. Acest lucru este grozav din punct de vedere al securității, dar nu din punct de vedere al utilizării. Înainte de a începe instalarea, este important să conceptualizați scopul final înainte de a începe configurațiile.

Se descarcă pfSense

Indiferent de hardware-ul ales, instalarea pfSense pe hardware este un proces simplu, dar necesită ca utilizatorul să acorde o atenție deosebită la care porturi de interfață de rețea vor fi utilizate în ce scop (LAN, WAN, wireless etc.).

O parte a procesului de instalare va implica solicitarea utilizatorului să înceapă configurarea interfețelor LAN și WAN. Autorul sugerează doar conectarea la interfața WAN până când pfSense a fost configurat și apoi continuați la finalizarea instalării conectând interfața LAN.

Primul pas este să obțineți software-ul pfSense de la https://www.pfsense.org/download/. Există câteva opțiuni diferite disponibile, în funcție de dispozitiv și de metoda de instalare, dar acest ghid va utiliza „AMD64 CD (ISO) Installer”.

Folosind meniul derulant de pe linkul furnizat mai devreme, selectați o oglindă adecvată pentru a descărca fișierul.

Odată ce programul de instalare a fost descărcat, acesta poate fi fie ars pe un CD, fie copiat pe o unitate USB cu instrumentul „dd” inclus în majoritatea distribuțiilor Linux.

Următorul proces este să scrieți ISO pe o unitate USB pentru a porni programul de instalare. Pentru a realiza acest lucru, utilizați instrumentul „dd” din Linux. În primul rând, numele discului trebuie să fie localizat cu „lsblk”.


lsblk

Cu numele unității USB determinat ca „/dev/sdc”, ISO pfSense poate fi scris pe unitate cu instrumentul „dd”.


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Important: comanda de mai sus necesită privilegii root, așa că utilizați „sudo” sau conectați-vă ca utilizator root pentru a rula comanda. De asemenea, această comandă va ELIMINA TOTUL de pe unitatea USB. Asigurați-vă că faceți backup pentru datele necesare.

Instalarea pfSense

Odată ce „dd” a terminat de scris pe unitatea USB sau CD-ul a fost ars, plasați media în computerul care va fi configurat ca firewall pfSense. Porniți computerul pe acel mediu și va fi prezentat următorul ecran.

În acest ecran, fie permiteți cronometrului să se epuizeze, fie selectați 1 pentru a continua pornirea în mediul de instalare. Odată ce programul de instalare termină pornirea, sistemul va solicita orice modificări dorite în aspectul tastaturii. Dacă totul apare într-o limbă maternă, faceți clic pe „Accept aceste setări”.

Următorul ecran va oferi utilizatorului opțiunea „Instalare rapidă/ușoară” sau opțiuni de instalare mai avansate. În scopul acestui ghid, se recomandă să utilizați pur și simplu opțiunea „Instalare rapidă/ușoară”.

Următorul ecran va confirma pur și simplu că utilizatorul dorește să folosească metoda „Instalare rapidă/ușoară”, care nu va pune atât de multe întrebări în timpul instalării.

Prima întrebare care este probabil să fie prezentată va întreba despre ce nucleu să instalați. Din nou, se sugerează ca „Standard Kernel” să fie instalat pentru majoritatea utilizatorilor.

Când programul de instalare a terminat această etapă, va solicita o repornire. Asigurați-vă că eliminați și mediul de instalare, astfel încât aparatul să nu pornească înapoi în programul de instalare.

Configurare pfSense

După repornire și îndepărtarea suportului CD/USB, pfSense va reporni în sistemul de operare nou instalat. În mod implicit, pfSense va alege o interfață de configurat ca interfață WAN cu DHCP și va lăsa interfața LAN neconfigurată.

Deși pfSense are un sistem de configurare grafică bazat pe web, acesta rulează doar pe partea LAN a paravanului de protecție, dar în acest moment, partea LAN va fi neconfigurată. Primul lucru de făcut ar fi să setați o adresă IP pe interfața LAN.

Pentru a face acest lucru, urmați acești pași:

  • Tastați „n” și apăsați tasta „Enter” când sunteți întrebat despre VLAN-uri.
  • Tastați numele interfeței înregistrat la pasul unu când vi se solicită interfața WAN sau treceți la interfața corespunzătoare acum. Din nou, acest exemplu, „em0” este interfața WAN, deoarece va fi interfața cu care se confruntă internetul.
  • Următorul prompt va cere interfața LAN, tastați din nou numele interfeței adecvate și apăsați tasta ‘Enter’. În această instalare, ‘em1’ este interfața LAN.
  • pfSense va continua să solicite mai multe interfețe dacă acestea sunt disponibile, dar dacă toate interfețele au fost alocate, apăsați din nou tasta „Enter”.
  • pfSense va cere acum să se asigure că interfețele sunt alocate corect.

  • Dacă interfețele sunt corecte, tastați „y” și apăsați tasta „Enter”.

  • Următorul pas va fi să atribuiți interfețelor configurația IP adecvată. După ce pfSense revine la ecranul principal, tastați „2” și apăsați tasta „Enter”. (Asigurați-vă că țineți evidența numelor de interfețe atribuite interfețelor WAN și LAN).

    *NOTĂ* Pentru această instalare, interfața WAN poate folosi DHCP fără probleme, dar pot exista situații în care ar fi necesară o adresă statică. Procesul de configurare a unei interfețe statice pe WAN ar fi același cu interfața LAN care urmează să fie configurată.

    Tastați din nou „2” când vi se solicită ce interfață să setați informațiile IP. Din nou, 2 este interfața LAN în acest pasaj.

    Când vi se solicită, introduceți adresa IPv4 dorită pentru această interfață și apăsați tasta „Enter”. Această adresă nu ar trebui să fie utilizată în altă parte din rețea și va deveni probabil gateway-ul implicit pentru gazdele care vor fi conectate la această interfață.

    Următorul prompt va cere masca de subrețea în ceea ce este cunoscut sub numele de format de mască de prefix. Pentru acest exemplu de rețea va fi folosită o simplă /24 sau 255.255.255.0. Apăsați tasta „Enter” când ați terminat.

    Următoarea întrebare se va întreba despre un „Gateway IPv4 în amonte”. Deoarece interfața LAN este configurată în prezent, apăsați pur și simplu tasta „Enter”.

    Următorul prompt va cere să configurați IPv6 pe interfața LAN. Acest ghid folosește pur și simplu IPv4, dar dacă mediul necesită IPv6, acesta poate fi configurat acum. În caz contrar, pur și simplu apăsând tasta „Enter” va continua.

    Următoarea întrebare se va întreba despre pornirea serverului DHCP pe interfața LAN. Majoritatea utilizatorilor casnici vor trebui să activeze această funcție. Din nou, acest lucru poate fi necesar să fie ajustat în funcție de mediu.

    Acest ghid presupune că utilizatorul va dori ca firewall-ul să ofere servicii DHCP și va aloca 51 de adrese pentru alte computere pentru a obține o adresă IP de la dispozitivul pfSense.

    Următoarea întrebare va cere revenirea instrumentului web al pfSense la protocolul HTTP. Este încurajat cu tărie să NU faceți acest lucru, deoarece protocolul HTTPS va oferi un anumit nivel de securitate pentru a preveni dezvăluirea parolei de administrator pentru instrumentul de configurare web.

    Odată ce utilizatorul apasă „Enter”, pfSense va salva modificările interfeței și va porni serviciile DHCP pe interfața LAN.

    Observați că pfSense va furniza adresa web pentru a accesa instrumentul de configurare web printr-un computer conectat pe partea LAN a dispozitivului firewall. Aceasta încheie pașii de bază de configurare pentru a pregăti dispozitivul firewall pentru mai multe configurații și reguli.

    Interfața web este accesată printr-un browser web navigând la adresa IP a interfeței LAN.

    Informațiile implicite pentru pfSense la momentul scrierii acestui articol sunt următoarele:

    
    Username: admin
    Password: pfsense
    

    După o conectare cu succes prin interfața web pentru prima dată, pfSense va rula o configurare inițială pentru a reseta parola de administrator.

    Prima solicitare este înregistrarea la pfSense Gold Subscription, care are beneficii precum backup automat al configurației, acces la materialele de instruire pfSense și întâlniri virtuale periodice cu dezvoltatorii pfSense. Achiziționarea unui abonament Gold nu este necesară și pasul poate fi omis dacă se dorește.

    Următorul pas va solicita utilizatorului mai multe informații de configurare pentru firewall, cum ar fi numele de gazdă, numele de domeniu (dacă este cazul) și serverele DNS.

    Următoarea solicitare va fi configurarea Network Time Protocol, NTP. Opțiunile implicite pot fi lăsate cu excepția cazului în care sunt dorite servere de timp diferite.

    După configurarea NTP, asistentul de instalare pfSense va solicita utilizatorului să configureze interfața WAN. pfSense acceptă mai multe metode pentru configurarea interfeței WAN.

    Valoarea implicită pentru majoritatea utilizatorilor casnici este utilizarea DHCP. DHCP de la furnizorul de servicii de internet al utilizatorului este cea mai comună metodă pentru obținerea configurației IP necesare.

    Următorul pas va solicita configurarea interfeței LAN. Dacă utilizatorul este conectat la interfața web, este probabil că interfața LAN a fost deja configurată.

    Cu toate acestea, dacă interfața LAN trebuie schimbată, acest pas ar permite efectuarea de modificări. Asigurați-vă că vă amintiți la ce este setată adresa IP LAN, deoarece așa este
    administratorul va accesa interfața web!

    Ca și în toate lucrurile din lumea securității, parolele implicite reprezintă un risc extrem de securitate. Următoarea pagină va solicita administratorului să schimbe parola implicită pentru utilizatorul „admin” la interfața web pfSense.

    Pasul final implică repornirea pfSense cu noile configurații. Pur și simplu faceți clic pe butonul „Reîncărcați”.

    După reîncărcarea pfSense, acesta va prezenta utilizatorului un ecran final înainte de a se conecta la interfața web completă. Pur și simplu faceți clic pe al doilea „Clic aici” pentru a vă conecta la interfața web completă.

    În sfârșit, pfSense este activ și gata să aibă reguli configurate!

    Acum că pfSense este în funcțiune, administratorul va trebui să parcurgă și să creeze reguli pentru a permite traficul corespunzător prin firewall. Trebuie remarcat faptul că pfSense are o regulă implicită de autorizare a tuturor. Din motive de securitate, acest lucru ar trebui schimbat, dar aceasta este din nou o decizie a administratorului.

    Citiți și: instalați și configurați pfBlockerNg pentru lista neagră DNS în pfSense Firewall

    Vă mulțumim că ați citit acest articol TecMint despre instalarea pfSense! Rămâneți la curent pentru articolele viitoare despre configurarea unora dintre opțiunile mai avansate disponibile în pfSense.