Instalacija i konfiguracija pfSense 2.4.4 Firewall usmjerivača

Internet je ovih dana zastrašujuće mjesto. Gotovo svakodnevno dogodi se novi nulti dan, proboj sigurnosti ili ransomware zbog čega se mnogi ljudi pitaju je li moguće zaštititi svoje sustave.

Mnoge organizacije troše stotine tisuća, ako ne i milijune dolara pokušavajući instalirati najnovija i najbolja sigurnosna rješenja za zaštitu svoje infrastrukture i podataka. Međutim, kućni korisnici su u nepovoljnijem materijalnom položaju. Ulaganje čak i sto dolara u namjenski vatrozid često je izvan dosega većine kućnih mreža.

Srećom, postoje namjenski projekti u zajednici otvorenog koda koji ostvaruju veliki napredak u areni sigurnosnih rješenja za kućne korisnike. Svi projekti kao što su IPfire, Snort, Squid i pfSense pružaju sigurnost na poslovnoj razini po pristupačnim cijenama!

PfSense je vatrozidno rješenje otvorenog koda temeljeno na FreeBSD-u. Distribucija se može besplatno instalirati na vlastitu opremu ili tvrtka koja stoji iza pfSensea, NetGate, prodaje unaprijed konfigurirane vatrozidne uređaje.

Potreban hardver za pfSense vrlo je minimalan i obično se stariji kućni toranj lako može prenamijeniti u namjenski pfSense vatrozid. Za one koji žele izgraditi ili kupiti sposobniji sustav za pokretanje više pfSense naprednih značajki, postoje neki predloženi hardverski minimumi:

Hardverski minimumi

  • CPU od 500 mhz
  • 1 GB RAM-a
  • 4 GB prostora za pohranu
  • 2 kartice mrežnog sučelja

Predloženi hardver

  • CPU od 1 GHz
  • 1 GB RAM-a
  • 4 GB prostora za pohranu
  • 2 ili više PCI-e kartica mrežnog sučelja.

Ozbiljni hardverski prijedlozi kućnih korisnika (i poduzeća)

U slučaju da kućni korisnik želi omogućiti mnoge dodatne značajke i funkcije pfSense-a kao što su Snort, Anti-Virus skeniranje, DNS crna lista, filtriranje web sadržaja, itd. preporučeni hardver postaje malo uključeniji.

Za podršku dodatnim softverskim paketima na vatrozidu pfSense, preporučuje se da se pfSenseu dostavi sljedeći hardver:

  • Moderni višejezgreni CPU koji radi na najmanje 2,0 GHz
  • 4 GB+ RAM-a
  • 10 GB+ HD prostora
  • 2 ili više Intel PCI-e kartica mrežnog sučelja

Instalacija pfSense 2.4.4

U ovom odjeljku vidjet ćemo instalaciju pfSense 2.4.4 (najnovija verzija u vrijeme pisanja ovog članka).

Postavljanje laboratorija

pfSense je često frustrirajući za korisnike koji se tek upoznaju s vatrozidima. Zadano ponašanje mnogih vatrozida je blokiranje svega, dobrog ili lošeg. Ovo je sjajno sa stajališta sigurnosti, ali ne i sa stajališta upotrebljivosti. Prije početka instalacije važno je zamisliti krajnji cilj prije početka konfiguracije.

Preuzimanje pfSense

Bez obzira na odabrani hardver, instalacija pfSense-a na hardver jednostavan je proces, ali zahtijeva od korisnika da obrati pozornost na to koji će se priključci mrežnog sučelja koristiti za koju svrhu (LAN, WAN, bežični itd.).

Dio instalacijskog procesa uključivat će upit korisniku da počne konfigurirati LAN i WAN sučelja. Autor predlaže samo uključivanje WAN sučelja dok se pfSense ne konfigurira, a zatim nastavite s završetkom instalacije uključivanjem LAN sučelja.

Prvi korak je nabava softvera pfSense s https://www.pfsense.org/download/. Dostupno je nekoliko različitih opcija ovisno o uređaju i načinu instalacije, ali ovaj će vodič koristiti 'Instalator za AMD64 CD (ISO)'.

Pomoću padajućeg izbornika na prethodno navedenoj poveznici odaberite odgovarajuće ogledalo za preuzimanje datoteke.

Nakon što se instalacijski program preuzme, može se snimiti na CD ili se može kopirati na USB disk pomoću alata 'dd' koji je uključen u većinu distribucija Linuxa.

Sljedeći postupak je zapisivanje ISO-a na USB pogon za pokretanje programa za instalaciju. Da biste to postigli, koristite alat 'dd' unutar Linuxa. Prvo, ime diska ipak mora biti locirano s 'lsblk'.


lsblk

Uz naziv USB pogona koji je određen kao ‘/dev/sdc’, pfSense ISO se može zapisati na pogon pomoću alata ‘dd’.


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Važno: Gornja naredba zahtijeva root povlastice pa upotrijebite ‘sudo’ ili se prijavite kao root korisnik da pokrenete naredbu. Također će ova naredba UKLONITI SVE na USB disku. Obavezno napravite sigurnosnu kopiju potrebnih podataka.

Instalacija pfSense

Nakon što 'dd' završi pisanje na USB disk ili je CD snimljen, stavite medij u računalo koje će biti postavljeno kao pfSense vatrozid. Pokrenite to računalo na taj medij i prikazat će se sljedeći zaslon.

Na ovom zaslonu dopustite da mjerač vremena istekne ili odaberite 1 za nastavak pokretanja u okruženju programa za instalaciju. Nakon što instalacijski program završi s pokretanjem sustava, sustav će zatražiti sve željene promjene u rasporedu tipkovnice. Ako se sve prikazuje na materinjem jeziku, jednostavno kliknite na "Prihvati ove postavke".

Sljedeći zaslon pružit će korisniku opciju 'Brze/Jednostavne instalacije' ili naprednije opcije instalacije. Za potrebe ovog vodiča, predlaže se jednostavno korištenje opcije 'Brza/Jednostavna instalacija'.

Sljedeći zaslon će jednostavno potvrditi da korisnik želi koristiti metodu 'Brze/jednostavne instalacije' koja neće postavljati toliko pitanja tijekom instalacije.

Prvo pitanje koje će se vjerojatno postaviti odnosi se na to koji kernel instalirati. Ponovno se predlaže da se za većinu korisnika instalira ‘Standardna jezgra’.

Kada instalacijski program završi ovu fazu, zatražit će ponovno pokretanje. Obavezno uklonite i instalacijski medij kako se stroj ne bi ponovno pokrenuo u instalacijskom programu.

Konfiguracija pfSense

Nakon ponovnog pokretanja i uklanjanja CD/USB medija, pfSense će se ponovno pokrenuti u novoinstaliranom operativnom sustavu. Prema zadanim postavkama, pfSense će odabrati sučelje za postavljanje kao WAN sučelje s DHCP-om i ostaviti LAN sučelje nekonfigurirano.

Iako pfSense ima grafički konfiguracijski sustav temeljen na webu, radi samo na LAN strani vatrozida, ali trenutno LAN strana neće biti konfigurirana. Prva stvar koju trebate učiniti je postaviti IP adresu na LAN sučelju.

Da biste to učinili, slijedite ove korake:

  • Upišite ‘n’ i pritisnite tipku ‘Enter’ kada vas se upita o VLAN-ovima.
  • Upišite naziv sučelja snimljen u prvom koraku kada se od vas zatraži WAN sučelje ili sada promijenite na odgovarajuće sučelje. Opet ovaj primjer, ‘em0’ je WAN sučelje jer će to biti sučelje okrenuto prema Internetu.
  • Sljedeći upit tražit će LAN sučelje, ponovno upišite ispravan naziv sučelja i pritisnite tipku ‘Enter’. U ovoj instalaciji, ‘em1’ je LAN sučelje.
  • pfSense će nastaviti tražiti više sučelja ako su dostupna, ali ako su sva sučelja dodijeljena, jednostavno ponovno pritisnite tipku ‘Enter’.
  • pfSense će sada tražiti da osigura da su sučelja pravilno dodijeljena.

  • Ako su sučelja ispravna, upišite 'y' i pritisnite tipku 'Enter'.


    • Sljedeći korak bit će dodjeljivanje odgovarajuće IP konfiguracije sučeljima. Nakon što se pfSense vrati na glavni zaslon, upišite ‘2’ i pritisnite tipku ‘Enter’. (Obavezno pratite nazive sučelja dodijeljene WAN i LAN sučeljima).

    *NAPOMENA* Za ovu instalaciju WAN sučelje može koristiti DHCP bez ikakvih problema, ali u nekim slučajevima može biti potrebna statička adresa. Postupak za konfiguriranje statičkog sučelja na WAN-u bio bi isti kao i za LAN sučelje koje će se konfigurirati.

    Ponovno upišite ‘2’ kada se od vas zatraži za koje sučelje postaviti podatke o IP-u. Opet 2 je LAN sučelje u ovom prolazu.

    Kada se to od vas zatraži, upišite željenu IPv4 adresu za ovo sučelje i pritisnite tipku ‘Enter’. Ova adresa ne bi se trebala koristiti nigdje drugdje na mreži i vjerojatno će postati zadani pristupnik za hostove koji će biti priključeni na ovo sučelje.

    Sljedeći upit tražit će masku podmreže u onome što je poznato kao format maske prefiksa. Za ovaj primjer mreže koristit će se jednostavni /24 ili 255.255.255.0. Pritisnite tipku 'Enter' kada završite.

    Sljedeće pitanje odnosi se na 'Uzlazni IPv4 pristupnik'. Budući da je LAN sučelje trenutno konfigurirano, jednostavno pritisnite tipku 'Enter'.

    Sljedeći upit tražit će konfiguraciju IPv6 na LAN sučelju. Ovaj vodič jednostavno koristi IPv4, ali ako okruženje zahtijeva IPv6, može se sada konfigurirati. U suprotnom, jednostavno pritisnite tipku 'Enter' i nastavit ćete.

    Sljedeće pitanje odnosi se na pokretanje DHCP poslužitelja na LAN sučelju. Većina kućnih korisnika morat će omogućiti ovu značajku. Opet, ovo će možda trebati prilagoditi ovisno o okruženju.

    Ovaj vodič pretpostavlja da će korisnik željeti da vatrozid pruža DHCP usluge i da će dodijeliti 51 adresu drugim računalima za dobivanje IP adrese od pfSense uređaja.

    Sljedeće pitanje će tražiti vraćanje web alata pfSense na HTTP protokol. Strogo se preporučuje da se to NE čini jer će HTTPS protokol pružiti određenu razinu sigurnosti kako bi se spriječilo otkrivanje administratorske lozinke za alat za web konfiguraciju.

    Nakon što korisnik pritisne ‘Enter’, pfSense će spremiti promjene sučelja i pokrenuti DHCP usluge na LAN sučelju.

    Imajte na umu da će pfSense pružiti web adresu za pristup alatu za web konfiguraciju putem računala priključenog na LAN strani vatrozidnog uređaja. Ovime su završeni osnovni konfiguracijski koraci kako bi vatrozidni uređaj bio spreman za dodatne konfiguracije i pravila.

    Web sučelju se pristupa putem web preglednika navigacijom do IP adrese LAN sučelja.

    Zadane informacije za pfSense u vrijeme pisanja ovog teksta su sljedeće:

    
Username: admin
Password: pfsense

    Nakon uspješne prijave putem web sučelja po prvi put, pfSense će pokrenuti početno postavljanje za resetiranje administratorske lozinke.

    Prvi upit je za registraciju na pfSense Gold pretplatu koja ima prednosti kao što su automatska sigurnosna kopija konfiguracije, pristup pfSense materijalima za obuku i periodični virtualni sastanci s pfSense programerima. Kupnja Gold pretplate nije potrebna i korak se može preskočiti ako želite.

    Sljedeći korak od korisnika će zatražiti više informacija o konfiguraciji vatrozida kao što su naziv hosta, naziv domene (ako je primjenjivo) i DNS poslužitelji.

    Sljedeći upit bit će konfiguriran Network Time Protocol, NTP. Zadane opcije mogu se ostaviti osim ako se ne žele drugi vremenski poslužitelji.

    Nakon postavljanja NTP-a, pfSense čarobnjak za instalaciju će od korisnika tražiti da konfigurira WAN sučelje. pfSense podržava više metoda za konfiguriranje WAN sučelja.

    Zadana postavka za većinu kućnih korisnika je korištenje DHCP-a. DHCP od korisnikovog davatelja internetskih usluga najčešći je način za dobivanje potrebne IP konfiguracije.

    Sljedeći korak će zatražiti konfiguraciju LAN sučelja. Ako je korisnik spojen na web sučelje, LAN sučelje je vjerojatno već konfigurirano.

    Međutim, ako je potrebno promijeniti LAN sučelje, ovaj korak bi omogućio promjene. Obavezno zapamtite na što je postavljena LAN IP adresa jer je to način
    administrator će pristupiti web sučelju!

    Kao i sa svim stvarima u svijetu sigurnosti, zadane lozinke predstavljaju izniman sigurnosni rizik. Sljedeća stranica će od administratora zatražiti promjenu zadane lozinke za korisnika 'admin' na pfSense web sučelju.

    Posljednji korak uključuje ponovno pokretanje pfSensea s novim konfiguracijama. Jednostavno kliknite gumb "Ponovo učitaj".

    Nakon što se pfSense ponovno učita, korisniku će predstaviti završni zaslon prije nego što se prijavi na puno web sučelje. Jednostavno kliknite drugi 'Kliknite ovdje' za prijavu na puno web sučelje.

    Napokon je pfSense pokrenut i spreman za konfiguraciju pravila!

    Sada kada je pfSense pokrenut i radi, administrator će morati proći i stvoriti pravila koja će omogućiti odgovarajući promet kroz vatrozid. Treba napomenuti da pfSense ima zadano pravilo dopusti sve. Radi sigurnosti, ovo bi trebalo promijeniti, ali to je opet odluka administratora.

    Pročitajte također: Instalirajte i konfigurirajte pfBlockerNg za DNS crnu listu u pfSense vatrozidu

    Hvala vam što ste pročitali ovaj TecMint članak o instalaciji pfSense! Pratite buduće članke o konfiguriranju nekih od naprednijih opcija dostupnih u pfSense.