pfSense 2.4.4 -palomuurireitittimen asennus ja konfigurointi

Internet on nykyään pelottava paikka. Melkein päivittäin tapahtuu uusi nollapäivä, tietoturvaloukkaus tai kiristysohjelma, mikä saa monet ihmiset miettimään, voidaanko heidän järjestelmänsä turvata.

Monet organisaatiot käyttävät satoja tuhansia, ellei miljoonia dollareita yrittäessään asentaa uusimmat ja parhaat tietoturvaratkaisut suojellakseen infrastruktuuriaan ja tietojaan. Kotikäyttäjät ovat kuitenkin rahallisesti epäedullisessa asemassa. Jopa sadan dollarin sijoittaminen omistettuun palomuuriin on usein useimpien kotiverkkojen ulottumattomissa.

Onneksi avoimen lähdekoodin yhteisössä on omistettuja projekteja, jotka edistyvät kotikäyttäjien tietoturvaratkaisujen areenalla. Projektit, kuten IPfire, Snort, Squid ja pfSense, tarjoavat kaikki yritystason tietoturvaa hyödykehinnoilla!

PfSense on FreeBSD-pohjainen avoimen lähdekoodin palomuuriratkaisu. Jakelu on ilmainen asentaa omiin laitteisiin tai pfSensen takana oleva yritys NetGate myy esikonfiguroituja palomuurilaitteita.

PfSensen tarvittava laitteisto on hyvin minimaalinen, ja tyypillisesti vanhempi kotitorni voidaan helposti käyttää uudelleen omistettuun pfSense-palomuuriin. Niille, jotka haluavat rakentaa tai ostaa tehokkaamman järjestelmän käyttääkseen enemmän pfSensen edistyneitä ominaisuuksia, on joitain ehdotettuja laitteiston vähimmäisvaatimuksia:

Laitteiston minimit

  • 500 MHz CPU
  • 1 Gt RAM-muistia
  • 4 Gt tallennustilaa
  • 2 verkkokorttia

Suositeltu laitteisto

  • 1GHz CPU
  • 1 Gt RAM-muistia
  • 4 Gt tallennustilaa
  • 2 tai useampi PCI-e-verkkokortti.

Vakavia kotikäyttäjän laitteistoehdotuksia (ja yrityksiä)

Jos kotikäyttäjä haluaa ottaa käyttöön monia pfSensen lisäominaisuuksia ja toimintoja, kuten Snort, Virustorjunta, DNS-mustan listan, verkkosisällön suodatuksen, jne. suositeltu laitteisto tulee hieman enemmän mukaan.

PfSense-palomuurin lisäohjelmistopakettien tukemiseksi on suositeltavaa toimittaa seuraavat laitteistot pfSenselle:

  • Nykyaikainen moniytiminen prosessori, jossa on vähintään 2,0 GHz
  • 4GB+ RAM-muistia
  • Yli 10 Gt HD-tilaa
  • 2 tai useampi Intel PCI-e -verkkokortti

pfSensen asennus 2.4.4

Tässä osiossa näemme pfSense 2.4.4:n asennuksen (uusin versio tätä artikkelia kirjoitettaessa).

Laboratorion asetukset

pfSense on usein turhauttavaa palomuurien uusille käyttäjille. Monien palomuurien oletuskäyttäytyminen on estää kaikki, hyvä tai huono. Tämä on hienoa turvallisuuden kannalta, mutta ei käytettävyyden kannalta. Ennen kuin aloitat asennuksen, on tärkeää hahmotella lopputavoite ennen kokoonpanojen aloittamista.

Ladataan pfSense

Riippumatta siitä, mikä laitteisto valitaan, pfSensen asentaminen laitteistoon on yksinkertainen prosessi, mutta vaatii käyttäjän kiinnittämään erityistä huomiota siihen, mitä verkkoliitäntäportteja käytetään mihinkin tarkoitukseen (LAN, WAN, langaton jne.).

Osa asennusprosessia sisältää kehotteen käyttäjää aloittamaan LAN- ja WAN-liitäntöjen konfiguroinnin. Kirjoittaja ehdottaa vain WAN-liitännän kytkemistä, kunnes pfSense on määritetty, ja jatka sitten asennuksen viimeistelyä kytkemällä LAN-liitäntä.

Ensimmäinen vaihe on hankkia pfSense-ohjelmisto osoitteesta https://www.pfsense.org/download/. Saatavilla on useita eri vaihtoehtoja laitteesta ja asennustavasta riippuen, mutta tässä oppaassa käytetään AMD64 CD (ISO) -asennusohjelmaa.

Valitse aiemmin toimitetun linkin avattavasta valikosta sopiva peili ladataksesi tiedoston.

Kun asennusohjelma on ladattu, se voidaan joko polttaa CD-levylle tai kopioida USB-asemaan dd-työkalulla, joka sisältyy useimpiin Linux-jakeluihin.

Seuraava prosessi on kirjoittaa ISO USB-asemaan asennusohjelman käynnistämiseksi. Suorita tämä käyttämällä Linuxin dd-työkalua. Ensinnäkin levyn nimen on sijaittava 'lsblk':llä.


lsblk

Kun USB-aseman nimi on /dev/sdc, pfSense ISO voidaan kirjoittaa asemaan dd-työkalulla.


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Tärkeää: Yllä oleva komento edellyttää pääkäyttäjän oikeuksia, joten käytä sudo- tai kirjaudu sisään pääkäyttäjänä suorittaaksesi komennon. Myös tämä komento POISTAA KAIKEN USB-asemalta. Muista varmuuskopioida tarvittavat tiedot.

pfSensen asennus

Kun dd on kirjoittanut USB-asemaan tai CD-levy on poltettu, aseta media tietokoneeseen, joka asetetaan pfSense-palomuuriksi. Käynnistä tietokone kyseiselle medialle ja seuraava näyttö tulee näkyviin.

Tässä näytössä joko anna ajastimen kulua loppuun tai valitse 1 jatkaaksesi käynnistystä asennusympäristöön. Kun asennusohjelma on käynnistynyt loppuun, järjestelmä kehottaa tekemään näppäimistöasetteluun haluttuja muutoksia. Jos kaikki näkyy äidinkielellä, napsauta Hyväksy nämä asetukset.

Seuraavassa näytössä käyttäjä voi valita Pika-/helppo-asennus- tai lisäasennusvaihtoehdot. Tässä oppaassa suositellaan yksinkertaisesti Nopea/Helppo asennus -vaihtoehtoa.

Seuraava näyttö vain vahvistaa, että käyttäjä haluaa käyttää Pika-/helppo-asennus-menetelmää, joka ei kysy niin montaa kysymystä asennuksen aikana.

Ensimmäinen todennäköisesti esitettävä kysymys kysyy, mikä ydin asennetaan. Jälleen ehdotetaan, että Standard Kernel asennetaan useimmille käyttäjille.

Kun asennusohjelma on suorittanut tämän vaiheen, se kehottaa käynnistämään uudelleen. Muista poistaa myös asennustietoväline, jotta kone ei käynnisty takaisin asennusohjelmaan.

pfSense-asetukset

Uudelleenkäynnistyksen ja CD/USB-levyn poistamisen jälkeen pfSense käynnistyy uudelleen äskettäin asennettuun käyttöjärjestelmään. Oletusarvoisesti pfSense valitsee määritettävän rajapinnan WAN-liitännäksi DHCP:n kanssa ja jättää LAN-liitännän määrittämättä.

Vaikka pfSensellä on web-pohjainen graafinen konfigurointijärjestelmä, se toimii vain palomuurin LAN-puolella, mutta tällä hetkellä LAN-puolen asetuksia ei ole määritetty. Ensimmäinen asia olisi asettaa IP-osoite LAN-liitännässä.

Voit tehdä tämän seuraavasti:

  • Kirjoita n ja paina Enter-näppäintä, kun sinulta kysytään VLAN-verkosta.
  • Kirjoita vaiheessa yksi tallennetun liitännän nimi, kun sinua pyydetään valitsemaan WAN-liitäntä, tai vaihda oikeaan liitäntään nyt. Tässäkin esimerkissä em0 on WAN-liitäntä, koska se on Internetiin päin oleva liitäntä.
  • Seuraava kehote pyytää LAN-liitäntää, kirjoita uudelleen oikea liitännän nimi ja paina Enter-näppäintä. Tässä asennuksessa 'em1' on LAN-liitäntä.
  • pfSense pyytää edelleen lisää liitäntöjä, jos niitä on saatavilla, mutta jos kaikki liitännät on määritetty, paina Enter-näppäintä uudelleen.
  • pfSense pyytää nyt varmistamaan, että liitännät on määritetty oikein.

  • Jos käyttöliittymät ovat oikein, kirjoita y ja paina Enter-näppäintä.


    • Seuraava vaihe on määrittää liitännät oikeaan IP-kokoonpanoon. Kun pfSense palaa päänäyttöön, kirjoita 2 ja paina Enter-näppäintä. (Muista pitää kirjaa WAN- ja LAN-liitäntöille määritettyjen liitäntöjen nimistä).

    *HUOMAA* Tätä asennusta varten WAN-liitäntä voi käyttää DHCP:tä ilman ongelmia, mutta joissakin tapauksissa voidaan tarvita staattista osoitetta. Staattisen rajapinnan konfigurointi WAN-verkossa on sama kuin konfiguroitavassa LAN-liitännässä.

    Kirjoita 2 uudelleen, kun sinulta kysytään, minkä käyttöliittymän IP-tiedot asetetaan. Jälleen 2 on LAN-liitäntä tässä läpikäynnissä.

    Kirjoita pyydettäessä tälle käyttöliittymälle haluamasi IPv4-osoite ja paina Enter-näppäintä. Tätä osoitetta ei pitäisi käyttää missään muualla verkossa, ja siitä tulee todennäköisesti oletusyhdyskäytävä tähän liitäntään kytketyille isännille.

    Seuraava kehote pyytää aliverkon peitettä niin sanotussa etuliitemaskimuodossa. Tässä esimerkkiverkossa käytetään yksinkertaista /24 tai 255.255.255.0. Paina Enter-näppäintä, kun olet valmis.

    Seuraava kysymys koskee upstream IPv4 -yhdyskäytävää. Koska LAN-liitäntä on tällä hetkellä määritetty, paina vain Enter-näppäintä.

    Seuraava kehote pyytää määrittämään IPv6:n LAN-liitännässä. Tämä opas käyttää yksinkertaisesti IPv4:ää, mutta jos ympäristö vaatii IPv6:ta, se voidaan määrittää nyt. Muussa tapauksessa yksinkertaisesti Enter-näppäimen painaminen jatkuu.

    Seuraava kysymys koskee DHCP-palvelimen käynnistämistä LAN-liitännässä. Useimpien kotikäyttäjien on otettava tämä ominaisuus käyttöön. Jälleen tätä voi olla tarpeen säätää ympäristöstä riippuen.

    Tässä oppaassa oletetaan, että käyttäjä haluaa palomuurin tarjoavan DHCP-palveluita ja jakaa 51 osoitetta muille tietokoneille IP-osoitteen saamiseksi pfSense-laitteesta.

    Seuraava kysymys pyytää palauttamaan pfSensen verkkotyökalun HTTP-protokollaan. Suosittelemme, että EI tehdä tätä, koska HTTPS-protokolla tarjoaa jonkin verran suojaustasoa, joka estää verkkomääritystyökalun järjestelmänvalvojan salasanan paljastamisen.

    Kun käyttäjä painaa Enter-näppäintä, pfSense tallentaa käyttöliittymän muutokset ja käynnistää DHCP-palvelut LAN-liitännässä.

    Huomaa, että pfSense tarjoaa verkko-osoitteen, jolla pääset verkkomääritystyökaluun palomuurilaitteen LAN-puolelle liitetyn tietokoneen kautta. Tämä päättää perusmääritysvaiheet, jotta palomuurilaite on valmis lisäämään kokoonpanoja ja sääntöjä.

    Verkkokäyttöliittymään pääsee verkkoselaimen kautta navigoimalla LAN-liittymän IP-osoitteeseen.

    pfSensen oletustiedot tämän kirjoitushetkellä ovat seuraavat:

    
Username: admin
Password: pfsense

    Kun kirjautuminen on onnistunut verkkokäyttöliittymän kautta ensimmäisen kerran, pfSense suorittaa alkuasetukset järjestelmänvalvojan salasanan nollaamiseksi.

    Ensimmäinen kehote on rekisteröityä pfSense Gold -tilaukseen, joka tarjoaa etuja, kuten automaattisen asetusten varmuuskopioinnin, pääsyn pfSense-koulutusmateriaaliin ja säännölliset virtuaalikokoukset pfSense-kehittäjien kanssa. Gold-tilauksen ostamista ei vaadita ja vaihe voidaan haluttaessa ohittaa.

    Seuraava vaihe pyytää käyttäjää lisäämään palomuurin määritystietoja, kuten isäntänimen, toimialueen nimen (jos käytettävissä) ja DNS-palvelimia.

    Seuraava kehote on määritetty Network Time Protocol, NTP. Oletusasetukset voidaan jättää, ellei eri aikapalvelimia haluta.

    NTP:n asennuksen jälkeen ohjattu pfSense-asennustoiminto kehottaa käyttäjää määrittämään WAN-liitännän. pfSense tukee useita menetelmiä WAN-liitännän määrittämiseen.

    Useimpien kotikäyttäjien oletusarvo on DHCP:n käyttö. DHCP käyttäjän Internet-palveluntarjoajalta on yleisin tapa hankkia tarvittavat IP-asetukset.

    Seuraava vaihe kehottaa määrittämään LAN-liitännän. Jos käyttäjä on yhteydessä verkkoliittymään, LAN-liitäntä on todennäköisesti jo määritetty.

    Jos LAN-liitäntää on kuitenkin muutettava, tämä vaihe sallii muutosten tekemisen. Muista muistaa, mikä LAN-IP-osoite on asetettu, sillä näin
    ylläpitäjä pääsee verkkokäyttöliittymään!

    Kuten kaikki turvallisuusmaailman asiat, oletussalasanat muodostavat äärimmäisen turvallisuusriskin. Seuraavalla sivulla kehotetaan järjestelmänvalvojaa vaihtamaan admin-käyttäjän oletussalasana pfSense-verkkokäyttöliittymään.

    Viimeinen vaihe sisältää pfSensen uudelleenkäynnistyksen uusilla kokoonpanoilla. Napsauta vain Lataa uudelleen -painiketta.

    Kun pfSense on latautunut uudelleen, se näyttää käyttäjälle viimeisen näytön ennen kirjautumista koko verkkokäyttöliittymään. Napsauta vain toista Napsauta tätä kirjautuaksesi koko verkkokäyttöliittymään.

    Vihdoinkin pfSense on valmis ja valmis määrittämään säännöt!

    Nyt kun pfSense on toiminnassa, järjestelmänvalvojan täytyy käydä läpi ja luoda säännöt salliakseen asianmukaisen liikenteen palomuurin läpi. On huomattava, että pfSensellä on oletusarvoinen salli kaikki -sääntö. Turvallisuussyistä tätä pitäisi muuttaa, mutta tämä on jälleen järjestelmänvalvojan päätös.

    Lue myös : Asenna ja määritä pfBlockerNg DNS-mustalle listalle pfSense Firewallissa

    Kiitos, että luit tämän pfSensen asennusta koskevan TecMint-artikkelin läpi! Pysy kuulolla tulevista artikkeleista joidenkin pfSensen edistyneempien asetusten määrittämisestä.