Vyhledávání na webu

Instalace a konfigurace pfSense 2.4.4 Firewall Router

Internet je v dnešní době děsivé místo. Téměř každý den dochází k novému zero day, narušení bezpečnosti nebo ransomwaru, takže mnoho lidí přemýšlí, zda je možné zabezpečit jejich systémy.

Mnoho organizací utrácí stovky tisíc, ne-li miliony dolarů, za instalaci nejnovějších a nejlepších bezpečnostních řešení k ochraně své infrastruktury a dat. Domácí uživatelé jsou však v peněžní nevýhodě. Investice i sto dolarů do vyhrazeného firewallu často přesahuje možnosti většiny domácích sítí.

Naštěstí existují specializované projekty v komunitě s otevřeným zdrojovým kódem, které dělají velké pokroky v aréně bezpečnostních řešení pro domácí uživatele. Projekty jako IPfire, Snort, Squid a pfSense všechny poskytují zabezpečení na podnikové úrovni za ceny komodit!

PfSense je řešení brány firewall s otevřeným zdrojovým kódem založené na FreeBSD. Distribuce je zdarma k instalaci na vlastní zařízení nebo společnost za pfSense, NetGate, prodává předkonfigurovaná firewallová zařízení.

Požadovaný hardware pro pfSense je velmi minimální a typicky starší domácí věž lze snadno přeměnit na vyhrazenou bránu pfSense Firewall. Pro ty, kteří chtějí sestavit nebo zakoupit schopnější systém pro provozování více pokročilých funkcí pfSense, existuje několik doporučených hardwarových minim:

Hardwarová minima

  • CPU 500 MHz
  • 1 GB paměti RAM
  • 4GB úložiště
  • 2 síťové karty rozhraní

Doporučený hardware

  • 1GHz CPU
  • 1 GB paměti RAM
  • 4GB úložiště
  • 2 nebo více karet síťového rozhraní PCI-e.

Vážné návrhy hardwaru pro domácí uživatele (a podniky)

V případě, že by domácí uživatel chtěl povolit mnoho dalších funkcí a funkcí pfSense, jako je Snort, Anti-Virus skenování, DNS blacklist, filtrování webového obsahu, atd. doporučený hardware se trochu více zapojí.

Pro podporu dalších softwarových balíčků na firewallu pfSense se doporučuje poskytnout pfSense následující hardware:

  • Moderní vícejádrový procesor s frekvencí alespoň 2,0 GHz
  • 4 GB + RAM
  • 10GB+ HD prostoru
  • 2 nebo více karet síťového rozhraní Intel PCI-e

Instalace pfSense 2.4.4

V této části uvidíme instalaci pfSense 2.4.4 (nejnovější verze v době psaní tohoto článku).

Nastavení laboratoře

pfSense je často frustrující pro uživatele, kteří s firewally začínají. Výchozí chování mnoha firewallů je blokovat vše, dobré i špatné. To je skvělé z hlediska bezpečnosti, ale ne z hlediska použitelnosti. Před zahájením instalace je důležité před zahájením konfigurací vymyslet konečný cíl.

Stahování pfSense

Bez ohledu na zvolený hardware je instalace pfSense na hardware jednoduchý proces, ale vyžaduje, aby uživatel věnoval velkou pozornost tomu, které porty síťového rozhraní budou použity pro jaký účel (LAN, WAN, Wireless atd.).

Součástí procesu instalace bude výzva k zahájení konfigurace rozhraní LAN a WAN. Autor doporučuje pouze zapojovat rozhraní WAN, dokud není nakonfigurováno pfSense, a poté pokračovat v dokončení instalace připojením rozhraní LAN.

Prvním krokem je získání softwaru pfSense z https://www.pfsense.org/download/. V závislosti na zařízení a metodě instalace je k dispozici několik různých možností, ale tato příručka bude využívat „instalátor AMD64 CD (ISO)“.

Pomocí rozbalovací nabídky na výše uvedeném odkazu vyberte vhodné zrcadlo ke stažení souboru.

Jakmile je instalační program stažen, lze jej buď vypálit na disk CD, nebo jej lze zkopírovat na jednotku USB pomocí nástroje „dd“, který je součástí většiny distribucí Linuxu.

Dalším procesem je zapsání ISO na USB disk, aby se spustil instalační program. Chcete-li to provést, použijte nástroj „dd“ v systému Linux. Nejprve však musí být název disku umístěn pomocí „lsblk“.


lsblk

S názvem USB disku určeným jako „/dev/sdc“ lze pfSense ISO zapsat na disk pomocí nástroje „dd“.


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Důležité: Výše uvedený příkaz vyžaduje oprávnění uživatele root, takže ke spuštění příkazu použijte „sudo“ nebo se přihlaste jako uživatel root. Tento příkaz také ODSTRANÍ VŠECHNO na jednotce USB. Nezapomeňte zálohovat potřebná data.

Instalace pfSense

Jakmile „dd“ dokončí zápis na jednotku USB nebo vypálí disk CD, vložte médium do počítače, který bude nastaven jako brána firewall pfSense. Spusťte počítač na toto médium a zobrazí se následující obrazovka.

Na této obrazovce buď nechte vypršet časovač, nebo vyberte 1 a pokračujte v zavádění do prostředí instalátoru. Jakmile instalační program dokončí zavádění, systém se zeptá na jakékoli požadované změny v rozložení klávesnice. Pokud se vše zobrazuje v rodném jazyce, jednoduše klikněte na „Přijmout tato nastavení“.

Další obrazovka nabídne uživateli možnost „Quick/Easy Install“ nebo pokročilejší možnosti instalace. Pro účely této příručky se doporučuje jednoduše použít možnost „Quick/Easy Install“.

Další obrazovka jednoduše potvrdí, že si uživatel přeje použít metodu „Quick/Easy Install“, která nebude během instalace klást tolik otázek.

První otázka, která bude pravděpodobně předložena, se bude týkat toho, jaké jádro nainstalovat. Opět se doporučuje, aby bylo pro většinu uživatelů nainstalováno „Standardní jádro“.

Po dokončení této fáze instalační program vyzve k restartu. Nezapomeňte také odstranit instalační médium, aby se počítač nespustil zpět do instalačního programu.

Konfigurace pfSense

Po rebootu a vyjmutí CD/USB média se pfSense restartuje do nově nainstalovaného operačního systému. Ve výchozím nastavení pfSense vybere rozhraní, které se nastaví jako WAN rozhraní s DHCP, a nechá rozhraní LAN nenakonfigurované.

Zatímco pfSense má webový grafický konfigurační systém, běží pouze na LAN straně firewallu, ale v tuto chvíli bude LAN strana nenakonfigurována. První věcí, kterou musíte udělat, by bylo nastavit IP adresu na rozhraní LAN.

Chcete-li to provést, postupujte takto:

  • Když budete dotázáni na sítě VLAN, zadejte ‘n‘ a stiskněte klávesu ‘Enter‘.
  • Když budete vyzváni k zadání rozhraní WAN, zadejte název rozhraní zaznamenaný v prvním kroku nebo nyní změňte na správné rozhraní. Opět tento příklad, „em0“ je rozhraní WAN, protože to bude rozhraní obrácené k internetu.
  • Další výzva se zeptá na rozhraní LAN, znovu zadejte správný název rozhraní a stiskněte klávesu ‚Enter‘. V této instalaci je 'em1' rozhraním LAN.
  • pfSense bude nadále žádat o další rozhraní, pokud jsou k dispozici, ale pokud byla všechna rozhraní přiřazena, jednoduše znovu stiskněte klávesu ‘Enter‘.
  • pfSense vás nyní vyzve, aby se ujistil, že jsou rozhraní správně přiřazena.

  • Pokud jsou rozhraní správná, napište ‘y‘ a stiskněte klávesu ‘Enter‘.


    • Dalším krokem bude přiřazení správné konfigurace IP rozhraní. Jakmile se pfSense vrátí na hlavní obrazovku, napište ‘2‘ a stiskněte klávesu ‘Enter‘. (Ujistěte se, že máte přehled o názvech rozhraní přiřazených k rozhraním WAN a LAN).

    *POZNÁMKA* Pro tuto instalaci může rozhraní WAN bez problémů používat DHCP, ale mohou nastat případy, kdy bude vyžadována statická adresa. Proces konfigurace statického rozhraní na WAN by byl stejný jako u rozhraní LAN, které se má konfigurovat.

    Až budete vyzváni, pro které rozhraní chcete nastavit informace IP, zadejte znovu „2“. Opět 2 je LAN rozhraní v této procházce.

    Po zobrazení výzvy zadejte adresu IPv4 požadovanou pro toto rozhraní a stiskněte klávesu Enter. Tato adresa by se neměla používat nikde jinde v síti a pravděpodobně se stane výchozí bránou pro hostitele, kteří budou zapojeni do tohoto rozhraní.

    Další výzva bude vyžadovat masku podsítě v takzvaném formátu masky předpony. Pro tento příklad sítě bude použita jednoduchá síť /24 nebo 255.255.255.0. Po dokončení stiskněte klávesu „Enter“.

    Další otázka se bude týkat „Upstream IPv4 Gateway“. Protože je rozhraní LAN aktuálně nakonfigurováno, stačí stisknout klávesu „Enter“.

    Další výzva bude vyžadovat konfiguraci IPv6 na rozhraní LAN. Tato příručka jednoduše používá protokol IPv4, ale pokud by prostředí vyžadovalo protokol IPv6, lze jej nyní nakonfigurovat. Jinak budete pokračovat pouhým stisknutím klávesy „Enter“.

    Další otázka se bude týkat spuštění DHCP serveru na rozhraní LAN. Většina domácích uživatelů bude muset tuto funkci povolit. Opět to může být nutné upravit v závislosti na prostředí.

    Tato příručka předpokládá, že uživatel bude chtít, aby brána firewall poskytovala služby DHCP, a přidělí 51 adres pro jiné počítače, aby získaly IP adresu ze zařízení pfSense.

    Další otázka bude vyžadovat vrácení webového nástroje pfSense na protokol HTTP. Důrazně se doporučuje NEDĚLAT to, protože protokol HTTPS poskytne určitou úroveň zabezpečení, aby se zabránilo prozrazení hesla správce pro webový konfigurační nástroj.

    Jakmile uživatel stiskne „Enter“, pfSense uloží změny rozhraní a spustí služby DHCP na rozhraní LAN.

    Všimněte si, že pfSense poskytne webovou adresu pro přístup k webovému konfiguračnímu nástroji prostřednictvím počítače připojeného na straně LAN brány firewall. Tím jsou ukončeny základní konfigurační kroky, aby bylo zařízení brány firewall připraveno na další konfigurace a pravidla.

    K webovému rozhraní se přistupuje prostřednictvím webového prohlížeče přechodem na IP adresu rozhraní LAN.

    Výchozí informace pro pfSense v době psaní tohoto článku jsou následující:

    
Username: admin
Password: pfsense

    Po prvním úspěšném přihlášení přes webové rozhraní provede pfSense úvodní nastavení a resetuje heslo správce.

    První výzva je pro registraci do pfSense Gold Subscription, která má výhody, jako je automatické zálohování konfigurace, přístup ke školicím materiálům pfSense a pravidelná virtuální setkání s vývojáři pfSense. Nákup zlatého předplatného není vyžadován a krok lze v případě potřeby přeskočit.

    Následující krok vyzve uživatele k zadání dalších informací o konfiguraci brány firewall, jako je název hostitele, název domény (pokud existuje) a servery DNS.

    Další výzvou bude nakonfigurovaný Network Time Protocol, NTP. Výchozí možnosti lze ponechat, pokud nejsou požadovány jiné časové servery.

    Po nastavení NTP vyzve průvodce instalací pfSense uživatele ke konfiguraci rozhraní WAN. pfSense podporuje několik metod pro konfiguraci rozhraní WAN.

    Výchozí pro většinu domácích uživatelů je použití DHCP. DHCP od poskytovatele internetových služeb uživatele je nejběžnější metodou pro získání potřebné konfigurace IP.

    Další krok vás vyzve ke konfiguraci rozhraní LAN. Pokud je uživatel připojen k webovému rozhraní, rozhraní LAN již bylo pravděpodobně nakonfigurováno.

    Pokud je však nutné změnit rozhraní LAN, tento krok umožní provést změny. Nezapomeňte si zapamatovat, na jakou adresu LAN je IP adresa nastavena, protože
    takto administrátor přistoupí na webové rozhraní!

    Stejně jako u všech věcí ve světě zabezpečení představují výchozí hesla extrémní bezpečnostní riziko. Na další stránce bude správce vyzván ke změně výchozího hesla uživatele ‚admin‘ k webovému rozhraní pfSense.

    Poslední krok zahrnuje restartování pfSense s novými konfiguracemi. Jednoduše klikněte na tlačítko „Znovu načíst“.

    Po opětovném načtení pfSense nabídne uživateli poslední obrazovku před přihlášením do úplného webového rozhraní. Jednoduše klikněte na druhé „Klikněte sem“ a přihlaste se do úplného webového rozhraní.

    Konečně je pfSense spuštěn a připraven na konfiguraci pravidel!

    Nyní, když je pfSense spuštěno, bude muset správce projít a vytvořit pravidla, která umožní odpovídající provoz přes firewall. Je třeba poznamenat, že pfSense má výchozí pravidlo povolit vše. Z bezpečnostních důvodů by se to mělo změnit, ale je to opět rozhodnutí správce.

    Přečtěte si také: Nainstalujte a nakonfigurujte pfBlockerNg pro DNS Black Listing v pfSense Firewall

    Děkujeme, že jste si přečetli tento článek TecMint o instalaci pfSense! Zůstaňte naladěni na budoucí články o konfiguraci některých pokročilejších možností dostupných v pfSense.