Internet je v dnešní době strašidelné místo. Téměř denně dochází k novému nulovému dni, narušení zabezpečení nebo ransomwaru, což vede k tomu, že mnoho lidí přemýšlí, zda je možné zabezpečit jejich systémy.
Mnoho organizací vynakládá stovky tisíc, ne -li miliony dolarů, za instalaci nejnovějších a nejlepších bezpečnostních řešení na ochranu své infrastruktury a dat. Domácí uživatelé jsou však v peněžní nevýhodě. Investice dokonce sto dolarů do vyhrazeného firewallu často přesahuje rámec většiny domácích sítí.
Naštěstí v komunitě open source existují specializované projekty, které dělají velký pokrok v aréně řešení zabezpečení domácích uživatelů. Projekty jako IPfire, Šňupat, Oliheň, a pfSense všechny poskytují zabezpečení na podnikové úrovni za ceny komodit!
PfSense je open source řešení brány firewall založené na FreeBSD. Distribuci lze zdarma nainstalovat na vlastní zařízení nebo společnost pfSense, NetGate, prodává předem nakonfigurované brány firewall.
Požadovaný hardware pro pfSense je velmi minimální a typicky lze starší domácí věž snadno přeměnit na vyhrazený firewall pfSense. Pro ty, kteří chtějí vybudovat nebo zakoupit schopnější systém pro provozování více pokročilých funkcí pfSense, existují některá doporučená hardwarová minima:
V případě, že by domácí uživatel chtěl povolit mnoho dalších funkcí a funkcí pfSense, jako je Šňupat, Anti-Virus skenování, černé listiny DNS, filtrování webového obsahu atd. doporučený hardware se trochu více zapojuje.
K podpoře dalších softwarových balíčků na bráně firewall pfSense se doporučuje, aby byl pfSense poskytnut následující hardware:
V této sekci uvidíme instalaci pfSense 2.4.4 (nejnovější verze v době psaní tohoto článku).
pfSense je často frustrující pro uživatele nové brány firewall. Výchozí chování pro mnoho bran firewall je blokovat vše, dobré nebo špatné. To je skvělé z hlediska zabezpečení, ale ne z hlediska použitelnosti. Před zahájením instalace je důležité konceptualizovat konečný cíl před zahájením konfigurací.
Bez ohledu na zvolený hardware je instalace pfSense na hardware přímočarý, ale vyžaduje uživatel by měl věnovat velkou pozornost tomu, které porty síťového rozhraní budou použity pro jaký účel (LAN, WAN, Wireless, atd).
Součástí procesu instalace bude výzva uživatele, aby zahájil konfiguraci rozhraní LAN a WAN. Autor navrhuje pouze připojení k rozhraní WAN, dokud nebude nakonfigurována služba pfSense, a poté pokračujte v dokončení instalace připojením k rozhraní LAN.
Prvním krokem je získání softwaru pfSense od https://www.pfsense.org/download/. V závislosti na zařízení a způsobu instalace je k dispozici několik různých možností, ale tato příručka využije „Instalační program AMD64 CD (ISO)’.
Pomocí rozbalovací nabídky na výše uvedeném odkazu vyberte příslušné zrcadlo a soubor stáhněte.
Jakmile je instalační program stažen, lze jej buď vypálit na disk CD, nebo zkopírovat na jednotku USB pomocí „dd“, Který je součástí většiny distribucí Linuxu.
Dalším procesem je zápis ISO na USB disk pro spuštění instalačního programu. Chcete -li toho dosáhnout, použijteddNástroj v Linuxu. Nejprve je třeba najít název disku pomocí „lsblk‘Ačkoli.
$ lsblk.
S názvem USB disku určeným jako „/dev/sdc“, PfSense ISO lze zapsat na disk pomocí„dd' nářadí.
$ gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz. $ dd if = ~/Stahování/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of =/dev/sdc.
Důležité: Výše uvedený příkaz vyžaduje oprávnění root, takže použijte příkaz ‘sudo'Nebo se přihlaste jako uživatel root a spusťte příkaz. Také tento příkaz bude ODSTRANIT VŠE na USB disku. Nezapomeňte zálohovat potřebná data.
Jednou ‘dd‘Dokončil zápis na jednotku USB nebo bylo vypáleno CD, vložte médium do počítače, který bude nastaven jako firewall pfSense. Spusťte počítač z tohoto média a zobrazí se následující obrazovka.
Na této obrazovce buď povolte spuštění časovače, nebo vyberte 1
pokračovat v zavádění do instalačního prostředí. Jakmile instalační program dokončí zavádění, systém vás vyzve k provedení požadovaných změn v rozložení klávesnice. Pokud se vše zobrazuje v rodném jazyce, jednoduše klikněte na „Přijměte tato nastavení’.
Další obrazovka poskytne uživateli možnost „Rychlá/snadná instalace‘Nebo pokročilejší možnosti instalace. Pro účely této příručky se doporučuje jednoduše použít „Rychlá/snadná instalace‘Možnost.
Další obrazovka jednoduše potvrdí, že si uživatel přeje použít „Rychlá/snadná instalace“, Která během instalace nebude klást tolik otázek.
První otázka, která bude pravděpodobně představena, se zeptá, jaké jádro nainstalovat. Opět se navrhuje, aby „Standardní jádro‘Být nainstalován pro většinu uživatelů.
Jakmile instalační program dokončí tuto fázi, vyzve k restartu. Nezapomeňte také odebrat instalační médium, aby se počítač nespustil zpět do instalačního programu.
Po restartovata po vyjmutí média CD/USB se pfSense restartuje do nově nainstalovaného operačního systému. Ve výchozím nastavení pfSense vybere rozhraní, které má být nastaveno jako rozhraní WAN s DHCP, a ponechá rozhraní LAN nenakonfigurované.
Přestože pfSense má webový grafický konfigurační systém, běží pouze na straně LAN brány firewall, ale v tuto chvíli bude strana LAN nekonfigurována. První věcí, kterou musíte udělat, je nastavit IP adresu na rozhraní LAN.
Postupujte takto:
Dalším krokem bude přiřadit rozhraním správnou konfiguraci IP. Poté, co se pfSense vrátí na hlavní obrazovku, zadejte ‘2’ a zasáhnout 'Enter' klíč. (Nezapomeňte sledovat názvy rozhraní přiřazené rozhraním WAN a LAN).
*POZNÁMKA* Pro tuto instalaci může rozhraní WAN bez problémů používat DHCP, ale mohou nastat případy, kdy bude vyžadována statická adresa. Proces konfigurace statického rozhraní na síti WAN by byl stejný jako rozhraní LAN, které se má konfigurovat.
Typ ‘2’ znovu po výzvě, pro které rozhraní nastavit informace o IP. V této procházce je opět 2 rozhraní LAN.
Po vyzvání zadejte adresu IPv4 požadovanou pro toto rozhraní a stiskněte 'Enter' klíč. Tato adresa by se neměla používat nikde jinde v síti a pravděpodobně se stane výchozí bránou pro hostitele, kteří budou připojeni k tomuto rozhraní.
Další výzva bude vyžadovat masku podsítě, známou jako formát masky předpony. Pro tento příklad je síť jednoduchá /24 nebo 255.255.255.0 bude použito. Udeř 'Vstupte‘Klíč po dokončení.
Další otázka se bude týkat „Upstream brána IPv4’. Protože je aktuálně konfigurováno rozhraní LAN, jednoduše klikněte naVstupte‘Klíč.
Další výzva vás vyzve ke konfiguraci IPv6 na rozhraní LAN. Tato příručka jednoduše používá protokol IPv4, ale pokud prostředí vyžaduje protokol IPv6, lze jej nyní nakonfigurovat. V opačném případě stačí stisknoutVstupte‘Klíč bude pokračovat.
Další otázka se zeptá na spuštění serveru DHCP na rozhraní LAN. Většina domácích uživatelů bude muset tuto funkci povolit. Opět to může být nutné upravit v závislosti na prostředí.
Tato příručka předpokládá, že uživatel bude chtít, aby firewall poskytoval služby DHCP, a přidělí 51 adresám pro jiné počítače, aby získal IP adresu ze zařízení pfSense.
Další otázka bude chtít vrátit webový nástroj pfSense na protokol HTTP. Důrazně doporučujeme NEPROVÁDĚT to, protože protokol HTTPS poskytne určitou úroveň zabezpečení, aby se zabránilo zveřejnění hesla správce pro webový konfigurační nástroj.
Jakmile uživatel stiskne „Vstupte“, PfSense uloží změny rozhraní a spustí služby DHCP na rozhraní LAN.
Všimněte si, že pfSense poskytne webovou adresu pro přístup k webovému konfiguračnímu nástroji prostřednictvím počítače připojeného na straně LAN zařízení firewall. Tím jsou ukončeny základní kroky konfigurace, aby bylo zařízení brány firewall připraveno na další konfigurace a pravidla.
K webovému rozhraní se dostanete přes webový prohlížeč tak, že přejdete na IP adresu LAN rozhraní.
Výchozí informace pro pfSense v době tohoto psaní jsou následující:
Uživatelské jméno: admin. Heslo: pfsense.
Po prvním úspěšném přihlášení prostřednictvím webového rozhraní se pfSense spustí pomocí počátečního nastavení k resetování hesla správce.
První výzva je pro registraci do pfSense Gold Subscription, která má výhody, jako je automatika zálohování konfigurace, přístup k školicím materiálům pfSense a pravidelná virtuální setkání s pfSense vývojáři. Zakoupení předplatného Gold není vyžadováno a krok lze v případě potřeby přeskočit.
Následující krok vyzve uživatele k zadání dalších informací o konfiguraci brány firewall, jako je název hostitele, název domény (je -li k dispozici) a servery DNS.
Další výzvou bude konfigurace Network Time Protocol, NTP. Výchozí možnosti lze ponechat, pokud nejsou požadovány jiné časové servery.
Po nastavení NTP vyzve průvodce instalací pfSense uživatele ke konfiguraci rozhraní WAN. pfSense podporuje více metod pro konfiguraci rozhraní WAN.
Výchozím nastavením pro většinu domácích uživatelů je použití DHCP. DHCP od poskytovatele internetových služeb uživatele je nejběžnější metodou pro získání potřebné konfigurace IP.
V dalším kroku budete vyzváni ke konfiguraci rozhraní LAN. Pokud je uživatel připojen k webovému rozhraní, rozhraní LAN již bylo pravděpodobně nakonfigurováno.
Pokud je však třeba změnit rozhraní LAN, tento krok by umožnil provést změny. Nezapomeňte si zapamatovat, na co je IP adresa LAN nastavena, protože takto
správce přistupuje k webovému rozhraní!
Jako u všech věcí ve světě zabezpečení představují výchozí hesla extrémní bezpečnostní riziko. Další stránka vyzve správce, aby změnil výchozí heslo proadmin“Do webového rozhraní pfSense.
Poslední krok zahrnuje restartování pfSense s novými konfiguracemi. Jednoduše klikněte naZnovu načíst' knoflík.
Poté, co se pfSense znovu načte, zobrazí uživateli konečnou obrazovku před přihlášením do úplného webového rozhraní. Jednoduše klikněte na druhéKlikněte zde“Pro přihlášení do plného webového rozhraní.
Konečně je pfSense spuštěn a připraven konfigurovat pravidla!
Nyní, když je pfSense v provozu, bude administrátor muset projít a vytvořit pravidla, která umožní příslušný provoz přes bránu firewall. Je třeba poznamenat, že pfSense má výchozí pravidlo pro povolení všech. Z bezpečnostních důvodů by to mělo být změněno, ale toto je opět rozhodnutí správce.
Přečtěte si také: Nainstalujte a nakonfigurujte pfBlockerNg pro černý seznam DNS v pfSense Firewall
Děkujeme, že jste si to přečetli TecMint článek o instalaci pfSense! Zůstaňte naladěni na budoucí články o konfiguraci některých pokročilejších možností dostupných v pfSense.