Wyszukiwanie w witrynie

Instalacja i konfiguracja routera zapory ogniowej pfSense 2.4.4

Internet to obecnie przerażające miejsce. Niemal codziennie pojawia się nowy dzień zerowy, naruszenie bezpieczeństwa lub oprogramowanie ransomware, przez co wiele osób zastanawia się, czy możliwe jest zabezpieczenie ich systemów.

Wiele organizacji wydaje setki tysięcy, jeśli nie miliony dolarów, próbując zainstalować najnowsze i najlepsze rozwiązania zabezpieczające w celu ochrony swojej infrastruktury i danych. Użytkownicy domowi znajdują się jednak w niekorzystnej sytuacji finansowej. Inwestycja nawet stu dolarów w dedykowaną zaporę ogniową często przekracza możliwości większości sieci domowych.

Na szczęście w społeczności open source istnieją dedykowane projekty, które robią ogromne postępy na arenie rozwiązań w zakresie bezpieczeństwa użytkowników domowych. Projekty takie jak IPfire, Snort, Squid i pfSense zapewniają bezpieczeństwo na poziomie korporacyjnym po atrakcyjnych cenach!

PfSense to rozwiązanie typu firewall typu open source oparte na FreeBSD. Dystrybucję można zainstalować bezpłatnie na własnym sprzęcie lub firma stojąca za pfSense, NetGate, sprzedaje wstępnie skonfigurowane urządzenia firewall.

Wymagany sprzęt dla pfSense jest bardzo minimalny i zazwyczaj starszą wieżę domową można łatwo przekształcić w dedykowaną zaporę pfSense. Dla tych, którzy chcą zbudować lub kupić bardziej wydajny system, aby uruchomić więcej zaawansowanych funkcji pfSense, istnieje kilka sugerowanych minimalnych wymagań sprzętowych:

Minimalne wymagania sprzętowe

  • Procesor 500 MHz
  • 1 GB pamięci RAM
  • 4 GB pamięci
  • 2 karty interfejsu sieciowego

Sugerowany sprzęt

  • Procesor 1 GHz
  • 1 GB pamięci RAM
  • 4 GB pamięci
  • 2 lub więcej kart sieciowych PCI-e.

Poważne sugestie dotyczące sprzętu dla użytkowników domowych (i przedsiębiorstw)

W przypadku, gdy użytkownik domowy chciałby włączyć wiele dodatkowych funkcji i funkcji pfSense, takich jak Snort, skanowanie antywirusowe, czarna lista DNS, filtrowanie treści internetowych, itp. zalecany sprzęt staje się nieco bardziej zaangażowany.

Aby móc obsługiwać dodatkowe pakiety oprogramowania w zaporze pfSense, zaleca się dostarczenie do pfSense następującego sprzętu:

  • Nowoczesny wielordzeniowy procesor pracujący z częstotliwością co najmniej 2,0 GHz
  • 4 GB+ RAM
  • Ponad 10 GB miejsca na dysku HD
  • 2 lub więcej kart sieciowych Intel PCI-e

Instalacja pfSense 2.4.4

W tej sekcji zobaczymy instalację pfSense 2.4.4 (najnowsza wersja w momencie pisania tego artykułu).

Konfiguracja laboratorium

pfSense jest często frustrujący dla nowych użytkowników zapór sieciowych. Domyślnym zachowaniem wielu zapór sieciowych jest blokowanie wszystkiego, dobrego i złego. Jest to świetne rozwiązanie z punktu widzenia bezpieczeństwa, ale nie z punktu widzenia użyteczności. Przed rozpoczęciem instalacji ważne jest, aby przed rozpoczęciem konfiguracji określić cel końcowy.

Pobieranie pfSense

Niezależnie od tego, jaki sprzęt zostanie wybrany, instalacja pfSense na sprzęcie jest prostym procesem, ale wymaga od użytkownika zwrócenia szczególnej uwagi na to, które porty interfejsu sieciowego będą używane w jakim celu (LAN, WAN, sieć bezprzewodowa itp.).

Częścią procesu instalacji będzie monitowanie użytkownika o rozpoczęcie konfiguracji interfejsów LAN i WAN. Autor sugeruje podłączanie jedynie interfejsu WAN do czasu skonfigurowania pfSense i wówczas przystąpienie do zakończenia instalacji poprzez podłączenie interfejsu LAN.

Pierwszym krokiem jest pobranie oprogramowania pfSense ze strony https://www.pfsense.org/download/. Dostępnych jest kilka różnych opcji w zależności od urządzenia i metody instalacji, ale w tym przewodniku wykorzystany zostanie „Instalator płyty CD (ISO) AMD64”.

Korzystając z rozwijanego menu znajdującego się w podanym wcześniej łączu, wybierz odpowiedni serwer lustrzany, aby pobrać plik.

Po pobraniu instalator można go nagrać na płytę CD lub skopiować na dysk USB za pomocą narzędzia „dd” dostępnego w większości dystrybucji Linuksa.

Następnym procesem jest zapisanie obrazu ISO na dysku USB w celu uruchomienia instalatora. Aby to osiągnąć, użyj narzędzia „dd” w systemie Linux. Po pierwsze, nazwa dysku musi być jednak zlokalizowana za pomocą „lsblk”.


lsblk

Po określeniu nazwy dysku USB jako „/dev/sdc” obraz ISO pfSense można zapisać na dysku za pomocą narzędzia „dd”.


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Ważne: powyższe polecenie wymaga uprawnień roota, więc użyj „sudo” lub zaloguj się jako użytkownik root, aby uruchomić polecenie. Również to polecenie USUNIE WSZYSTKO z napędu USB. Pamiętaj o wykonaniu kopii zapasowej potrzebnych danych.

Instalacja pfSense

Po zakończeniu zapisu „dd” na dysku USB lub nagraniu płyty CD włóż nośnik do komputera, który zostanie skonfigurowany jako zapora pfSense. Uruchom komputer na tym nośniku, a pojawi się następujący ekran.

Na tym ekranie albo poczekaj, aż licznik czasu się skończy, albo wybierz 1, aby kontynuować uruchamianie środowiska instalatora. Gdy instalator zakończy uruchamianie, system wyświetli monit o wprowadzenie wszelkich żądanych zmian w układzie klawiatury. Jeśli wszystko jest wyświetlane w języku ojczystym, po prostu kliknij „Zaakceptuj te ustawienia”.

Następny ekran udostępni użytkownikowi opcję „szybkiej/łatwej instalacji” lub bardziej zaawansowanych opcji instalacji. Na potrzeby tego przewodnika sugeruje się po prostu skorzystanie z opcji „Szybka/Łatwa instalacja”.

Następny ekran po prostu potwierdzi, że użytkownik chce skorzystać z metody „szybkiej/łatwej instalacji”, która nie będzie zadawać tylu pytań podczas instalacji.

Pierwsze pytanie, które prawdopodobnie się pojawi, będzie dotyczyło tego, które jądro zainstalować. Ponownie sugeruje się zainstalowanie „Standardowego jądra” dla większości użytkowników.

Gdy instalator zakończy ten etap, wyświetli się monit o ponowne uruchomienie. Pamiętaj, aby usunąć również nośnik instalacyjny, aby komputer nie uruchomił się ponownie z instalatorem.

Konfiguracja pfSense

Po ponownym uruchomieniu i wyjęciu nośnika CD/USB pfSense uruchomi się ponownie z nowo zainstalowanym systemem operacyjnym. Domyślnie pfSense wybierze interfejs do skonfigurowania jako interfejs WAN z DHCP i pozostawi interfejs LAN nieskonfigurowany.

Chociaż pfSense posiada graficzny system konfiguracji oparty na sieci WWW, działa on tylko po stronie sieci LAN firewalla, ale w tej chwili strona sieci LAN będzie nieskonfigurowana. Pierwszą rzeczą do zrobienia byłoby ustawienie adresu IP na interfejsie LAN.

Aby to zrobić, wykonaj następujące kroki:

  • Wpisz „n” i naciśnij klawisz „Enter”, gdy pojawi się pytanie o sieci VLAN.
  • Po wyświetleniu monitu o podanie interfejsu WAN wpisz nazwę interfejsu zapisaną w kroku pierwszym lub zmień teraz interfejs na właściwy. Ponownie w tym przykładzie „em0” to interfejs WAN, ponieważ będzie to interfejs skierowany do Internetu.
  • Następny monit poprosi o interfejs LAN, ponownie wpisz prawidłową nazwę interfejsu i naciśnij klawisz „Enter”. W tej instalacji „em1” to interfejs LAN.
  • pfSense będzie nadal pytać o więcej interfejsów, jeśli są one dostępne, ale jeśli wszystkie interfejsy zostały przypisane, po prostu naciśnij ponownie klawisz Enter”.
  • pfSense wyświetli teraz monit o upewnienie się, że interfejsy są przypisane prawidłowo.

  • Jeśli interfejsy są prawidłowe, wpisz „y” i naciśnij klawisz „Enter”.


    • Kolejnym krokiem będzie przypisanie interfejsom odpowiedniej konfiguracji IP. Gdy pfSense powróci do ekranu głównego, wpisz „2” i naciśnij klawisz „Enter”. (Pamiętaj, aby śledzić nazwy interfejsów przypisane do interfejsów WAN i LAN).

    *UWAGA* W przypadku tej instalacji interfejs WAN może bez problemu korzystać z protokołu DHCP, ale w niektórych przypadkach wymagany będzie adres statyczny. Proces konfigurowania interfejsu statycznego w sieci WAN będzie taki sam, jak w przypadku interfejsu LAN, który ma zostać skonfigurowany.

    Wpisz „2” ponownie, gdy pojawi się monit o określenie interfejsu, w którym należy ustawić informacje o adresie IP. Ponownie 2 to interfejs LAN w tym przewodniku.

    Po wyświetleniu monitu wpisz adres IPv4 wymagany dla tego interfejsu i naciśnij klawisz „Enter”. Adres ten nie powinien być używany nigdzie indziej w sieci i prawdopodobnie stanie się bramą domyślną dla hostów podłączonych do tego interfejsu.

    Następny monit poprosi o maskę podsieci w tak zwanym formacie maski prefiksu. W tej przykładowej sieci zostanie użyte proste /24 lub 255.255.255.0. Po zakończeniu naciśnij klawisz „Enter”.

    Następne pytanie będzie dotyczyło „bramy IPv4 nadrzędnego”. Ponieważ interfejs LAN jest obecnie skonfigurowany, po prostu naciśnij klawisz „Enter”.

    Następny monit poprosi o skonfigurowanie protokołu IPv6 w interfejsie LAN. W tym przewodniku po prostu używany jest protokół IPv4, ale jeśli środowisko wymaga protokołu IPv6, można go teraz skonfigurować. W przeciwnym razie wystarczy nacisnąć klawisz „Enter”.

    Następne pytanie będzie dotyczyło uruchomienia serwera DHCP na interfejsie LAN. Większość użytkowników domowych będzie musiała włączyć tę funkcję. Ponownie może zaistnieć potrzeba dostosowania w zależności od środowiska.

    W tym przewodniku założono, że użytkownik będzie chciał, aby zapora sieciowa udostępniała usługi DHCP i przydzieli 51 adresów innym komputerom w celu uzyskania adresu IP z urządzenia pfSense.

    Następne pytanie będzie dotyczyć przywrócenia protokołu HTTP w narzędziu internetowym pfSense. Zdecydowanie zaleca się, aby NIE robić tego, ponieważ protokół HTTPS zapewni pewien poziom bezpieczeństwa, aby zapobiec ujawnieniu hasła administratora do internetowego narzędzia konfiguracyjnego.

    Gdy użytkownik naciśnie „Enter”, pfSense zapisze zmiany w interfejsie i uruchomi usługi DHCP na interfejsie LAN.

    Zwróć uwagę, że pfSense poda adres internetowy umożliwiający dostęp do internetowego narzędzia konfiguracyjnego za pośrednictwem komputera podłączonego po stronie sieci LAN urządzenia firewall. Na tym kończą się podstawowe kroki konfiguracyjne, mające na celu przygotowanie urządzenia zapory sieciowej do obsługi większej liczby konfiguracji i reguł.

    Dostęp do interfejsu sieciowego można uzyskać za pośrednictwem przeglądarki internetowej, przechodząc do adresu IP interfejsu sieci LAN.

    Domyślne informacje dotyczące pfSense w momencie pisania tego tekstu są następujące:

    
Username: admin
Password: pfsense

    Po pomyślnym pierwszym zalogowaniu się przez interfejs sieciowy pfSense przejdzie przez wstępną konfigurację w celu zresetowania hasła administratora.

    Pierwsza zachęta dotyczy rejestracji w pfSense Gold Subscription, która zapewnia takie korzyści, jak automatyczne tworzenie kopii zapasowych konfiguracji, dostęp do materiałów szkoleniowych pfSense i okresowe wirtualne spotkania z programistami pfSense. Zakup subskrypcji Gold nie jest wymagany i w razie potrzeby ten krok można pominąć.

    W następnym kroku użytkownik zostanie poproszony o podanie dodatkowych informacji konfiguracyjnych zapory sieciowej, takich jak nazwa hosta, nazwa domeny (jeśli dotyczy) i serwery DNS.

    Następnym monitem będzie skonfigurowanie Network Time Protocol, NTP. Domyślne opcje można pozostawić, chyba że potrzebne są inne serwery czasu.

    Po skonfigurowaniu protokołu NTP kreator instalacji pfSense poprosi użytkownika o skonfigurowanie interfejsu WAN. pfSense obsługuje wiele metod konfiguracji interfejsu WAN.

    Domyślnym ustawieniem dla większości użytkowników domowych jest korzystanie z protokołu DHCP. DHCP od dostawcy usług internetowych użytkownika jest najczęstszą metodą uzyskania niezbędnej konfiguracji IP.

    W następnym kroku zostanie wyświetlony monit o konfigurację interfejsu LAN. Jeśli użytkownik jest podłączony do interfejsu internetowego, interfejs LAN prawdopodobnie został już skonfigurowany.

    Jeśli jednak zajdzie potrzeba zmiany interfejsu LAN, ten krok umożliwi dokonanie zmian. Pamiętaj, aby pamiętać, jaki jest ustawiony adres IP sieci LAN, ponieważ w ten sposób
    administrator uzyska dostęp do interfejsu internetowego!

    Podobnie jak wszystko w świecie bezpieczeństwa, hasła domyślne stanowią ogromne ryzyko bezpieczeństwa. Następna strona poprosi administratora o zmianę domyślnego hasła użytkownika „admin” do interfejsu internetowego pfSense.

    Ostatnim krokiem jest ponowne uruchomienie pfSense z nowymi konfiguracjami. Po prostu kliknij przycisk „Załaduj ponownie”.

    Po ponownym załadowaniu pfSense wyświetli użytkownikowi ostatni ekran przed zalogowaniem się do pełnego interfejsu internetowego. Po prostu kliknij drugie „Kliknij tutaj”, aby zalogować się do pełnego interfejsu internetowego.

    Nareszcie pfSense jest gotowy do skonfigurowania reguł!

    Teraz, gdy pfSense jest już uruchomiony, administrator będzie musiał przejść przez zaporę i utworzyć reguły zezwalające na odpowiedni ruch przez zaporę. Należy zauważyć, że pfSense ma domyślną regułę zezwalającą na wszystko. Ze względów bezpieczeństwa należy to zmienić, ale jest to ponownie decyzja administratora.

    Przeczytaj także: Zainstaluj i skonfiguruj pfBlockerNg dla czarnej listy DNS w zaporze pfSense

    Dziękujemy za przeczytanie artykułu TecMint na temat instalacji pfSense! Bądź na bieżąco z przyszłymi artykułami na temat konfigurowania niektórych bardziej zaawansowanych opcji dostępnych w pfSense.