Installasjon og konfigurasjon av pfSense 2.4.4 brannmurruter

Internett er et skummelt sted i disse dager. Nesten daglig oppstår en ny nulldag, sikkerhetsbrudd eller løsepengeprogramvare, noe som gjør at mange lurer på om det er mulig å sikre systemene deres.

Mange organisasjoner bruker hundretusener, om ikke millioner, av dollar på å prøve å installere de nyeste og beste sikkerhetsløsningene for å beskytte infrastrukturen og dataene deres. Hjemmebrukere har imidlertid en økonomisk ulempe. Å investere til og med hundre dollar i en dedikert brannmur er ofte utenfor rekkevidden til de fleste hjemmenettverk.

Heldigvis er det dedikerte prosjekter i åpen kildekode-fellesskapet som gjør store fremskritt innen sikkerhetsløsninger for hjemmebrukere. Prosjekter som IPfire, Snort, Squid og pfSense gir alle sikkerhet på bedriftsnivå til råvarepriser!

PfSense er en FreeBSD-basert brannmurløsning med åpen kildekode. Distribusjonen er gratis å installere på eget utstyr eller selskapet bak pfSense, NetGate, selger forhåndskonfigurerte brannmurapparater.

Den nødvendige maskinvaren for pfSense er veldig minimal, og vanligvis kan et eldre hjemmetårn enkelt omformes til en dedikert pfSense-brannmur. For de som ønsker å bygge eller kjøpe et mer kapabelt system for å kjøre flere av pfSenses avanserte funksjoner, er det noen foreslåtte maskinvareminimum:

Maskinvareminimum

  • 500 mhz CPU
  • 1 GB RAM
  • 4 GB lagringsplass
  • 2 nettverkskort

Foreslått maskinvare

  • 1GHz CPU
  • 1 GB RAM
  • 4 GB lagringsplass
  • 2 eller flere PCI-e nettverkskort.

Seriøse forslag til maskinvare for hjemmebrukere (og bedrifter)

I tilfelle en hjemmebruker ønsker å aktivere mange av de ekstra funksjonene og funksjonene til pfSense som Snort, Anti-Virus-skanning, DNS-svartelisting, nettinnholdsfiltrering, etc den anbefalte maskinvaren blir litt mer involvert.

For å støtte de ekstra programvarepakkene på pfSense-brannmuren, anbefales det at følgende maskinvare leveres til pfSense:

  • Moderne multi-core CPU som kjører minst 2,0 GHz
  • 4 GB+ RAM
  • 10 GB+ HD-plass
  • 2 eller flere Intel PCI-e nettverkskort

Installasjon av pfSense 2.4.4

I denne delen vil vi se installasjonen av pfSense 2.4.4 (siste versjon på tidspunktet for skriving av denne artikkelen).

Laboratorieoppsettet

pfSense er ofte frustrerende for brukere som er nye med brannmurer. Standardoppførselen for mange brannmurer er å blokkere alt, bra eller dårlig. Dette er flott fra et sikkerhetssynspunkt, men ikke fra et brukervennlighetssynspunkt. Før du begynner med installasjonen, er det viktig å konseptualisere sluttmålet før du starter konfigurasjonene.

Laster ned pfSense

Uavhengig av hvilken maskinvare som velges, er installering av pfSense på maskinvaren en enkel prosess, men krever at brukeren følger nøye med på hvilke nettverksporter som skal brukes til hvilket formål (LAN, WAN, trådløs, osv.).

En del av installasjonsprosessen vil innebære å be brukeren om å begynne å konfigurere LAN- og WAN-grensesnitt. Forfatteren foreslår kun å koble til WAN-grensesnittet til pfSense er konfigurert og deretter fortsette for å fullføre installasjonen ved å koble til LAN-grensesnittet.

Det første trinnet er å få tak i pfSense-programvaren fra https://www.pfsense.org/download/. Det er et par forskjellige alternativer tilgjengelig avhengig av enheten og installasjonsmetoden, men denne veiledningen vil bruke "AMD64 CD (ISO) Installer".

Bruk rullegardinmenyen på lenken som ble gitt tidligere, velg et passende speil for å laste ned filen.

Når installasjonsprogrammet er lastet ned, kan det enten brennes til en CD, eller det kan kopieres til en USB-stasjon med «dd»-verktøyet som er inkludert i de fleste Linux-distribusjoner.

Den neste prosessen er å skrive ISO til en USB-stasjon for å starte opp installasjonsprogrammet. For å oppnå dette, bruk «dd»-verktøyet i Linux. Først må disknavnet være plassert med 'lsblk'.


lsblk

Med navnet på USB-stasjonen bestemt som «/dev/sdc», kan pfSense ISO skrives til stasjonen med «dd»-verktøyet.


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Viktig: Kommandoen ovenfor krever root-privilegier, så bruk «sudo» eller logg på som root-bruker for å kjøre kommandoen. Denne kommandoen vil også FJERN ALT på USB-stasjonen. Sørg for å sikkerhetskopiere nødvendige data.

Installasjon av pfSense

Når «dd» er ferdig med å skrive til USB-stasjonen eller CD-en er brent, plasserer du mediet i datamaskinen som skal settes opp som pfSense-brannmuren. Start datamaskinen på det mediet og følgende skjermbilde vises.

På denne skjermen lar du enten tidtakeren gå tom eller velg 1 for å fortsette oppstarten til installasjonsmiljøet. Når installasjonsprogrammet er ferdig med å starte opp, vil systemet be om eventuelle endringer i tastaturoppsettet. Hvis alt vises på et morsmål, klikker du bare på «Godta disse innstillingene».

Det neste skjermbildet vil gi brukeren muligheten til «Rask/Enkel installasjon» eller mer avanserte installasjonsalternativer. For formålet med denne veiledningen, foreslås det å bruke «Rask/Enkel installasjon»-alternativet.

Den neste skjermen bekrefter ganske enkelt at brukeren ønsker å bruke «Rask/Enkel installasjon»-metoden som ikke vil stille så mange spørsmål under installasjonen.

Det første spørsmålet som sannsynligvis vil bli presentert vil spørre om hvilken kjerne som skal installeres. Igjen, det foreslås at «Standardkjernen» installeres for de fleste brukere.

Når installasjonsprogrammet er ferdig med dette stadiet, vil det be om omstart. Pass på å fjerne installasjonsmediet også slik at maskinen ikke starter opp igjen i installasjonsprogrammet.

pfSense-konfigurasjon

Etter omstart og fjerning av CD/USB-mediet, vil pfSense starte på nytt i det nylig installerte operativsystemet. Som standard vil pfSense velge et grensesnitt som skal settes opp som WAN-grensesnitt med DHCP og la LAN-grensesnittet være ukonfigurert.

Mens pfSense har et nettbasert grafisk konfigurasjonssystem, kjører det bare på LAN-siden av brannmuren, men for øyeblikket vil LAN-siden være ukonfigurert. Det første du må gjøre er å angi en IP-adresse på LAN-grensesnittet.

Følg disse trinnene for å gjøre dette:

  • Skriv 'n' og trykk 'Enter'-tasten når du blir spurt om VLAN.
  • Skriv inn grensesnittnavnet registrert i trinn én når du blir bedt om WAN-grensesnittet, eller bytt til riktig grensesnitt nå. Igjen dette eksemplet, «em0» er WAN-grensesnittet, da det vil være grensesnittet som vender mot Internett.
  • Den neste ledeteksten vil be om LAN-grensesnittet, skriv inn det riktige grensesnittnavnet igjen og trykk Enter-tasten. I denne installasjonen er 'em1' LAN-grensesnittet.
  • pfSense vil fortsette å be om flere grensesnitt hvis de er tilgjengelige, men hvis alle grensesnitt er tilordnet, trykker du bare på Enter-tasten igjen.
  • pfSense vil nå spørre for å sikre at grensesnittene er riktig tildelt.

  • Hvis grensesnittene er riktige, skriv 'y' og trykk på 'Enter'-tasten.


    • Det neste trinnet vil være å tildele grensesnittene den riktige IP-konfigurasjonen. Etter at pfSense går tilbake til hovedskjermen, skriv ‘2’ og trykk ‘Enter’-tasten. (Pass på å holde styr på grensesnittnavnene som er tildelt WAN- og LAN-grensesnittene).

    *MERK* For denne installasjonen kan WAN-grensesnittet bruke DHCP uten problemer, men det kan være tilfeller der en statisk adresse vil være nødvendig. Prosessen for å konfigurere et statisk grensesnitt på WAN vil være den samme som LAN-grensesnittet som er i ferd med å bli konfigurert.

    Skriv inn '2' igjen når du blir bedt om hvilket grensesnitt som skal angis IP-informasjon. Igjen 2 er LAN-grensesnittet i denne gjennomgangen.

    Når du blir bedt om det, skriv inn IPv4-adressen du ønsker for dette grensesnittet og trykk Enter-tasten. Denne adressen skal ikke være i bruk noe annet sted på nettverket og vil sannsynligvis bli standard gateway for vertene som skal kobles til dette grensesnittet.

    Den neste ledeteksten vil be om nettverksmasken i det som er kjent som prefiksmaskeformat. For dette eksempelnettverket vil en enkel /24 eller 255.255.255.0 bli brukt. Trykk på «Enter»-tasten når du er ferdig.

    Det neste spørsmålet vil stille om en «Upstream IPv4 Gateway». Siden LAN-grensesnittet for øyeblikket er konfigurert, trykker du bare på «Enter»-tasten.

    Den neste ledeteksten vil be om å konfigurere IPv6 på LAN-grensesnittet. Denne veiledningen bruker ganske enkelt IPv4, men skulle miljøet kreve IPv6, kan den konfigureres nå. Ellers vil du fortsette å trykke på «Enter»-tasten.

    Det neste spørsmålet vil spørre om å starte DHCP-serveren på LAN-grensesnittet. De fleste hjemmebrukere må aktivere denne funksjonen. Igjen kan dette måtte justeres avhengig av miljøet.

    Denne veiledningen forutsetter at brukeren vil at brannmuren skal tilby DHCP-tjenester og vil tildele 51 adresser for andre datamaskiner for å få en IP-adresse fra pfSense-enheten.

    Det neste spørsmålet vil be om å tilbakestille pfSenses nettverktøy til HTTP-protokollen. Det oppfordres sterkt til IKKE å gjøre dette siden HTTPS-protokollen vil gi et visst nivå av sikkerhet for å forhindre avsløring av administratorpassordet for nettkonfigurasjonsverktøyet.

    Når brukeren trykker «Enter», vil pfSense lagre grensesnittendringene og starte DHCP-tjenestene på LAN-grensesnittet.

    Legg merke til at pfSense vil oppgi nettadressen for å få tilgang til nettkonfigurasjonsverktøyet via en datamaskin koblet til på LAN-siden av brannmurenheten. Dette avslutter de grunnleggende konfigurasjonstrinnene for å gjøre brannmurenheten klar for flere konfigurasjoner og regler.

    Nettgrensesnittet er tilgjengelig via en nettleser ved å navigere til LAN-grensesnittets IP-adresse.

    Standardinformasjonen for pfSense når dette skrives er som følger:

    
Username: admin
Password: pfsense

    Etter en vellykket pålogging gjennom nettgrensesnittet for første gang, vil pfSense kjøre gjennom et første oppsett for å tilbakestille administratorpassordet.

    Den første forespørselen er en registrering til pfSense Gold-abonnement som har fordeler som automatisk sikkerhetskopiering av konfigurasjoner, tilgang til pfSense-opplæringsmateriellet og periodiske virtuelle møter med pfSense-utviklere. Det er ikke nødvendig å kjøpe et Gold-abonnement, og trinnet kan hoppes over om ønskelig.

    Følgende trinn vil be brukeren om mer konfigurasjonsinformasjon for brannmuren, for eksempel vertsnavn, domenenavn (hvis aktuelt) og DNS-servere.

    Den neste ledeteksten vil være konfigurert Network Time Protocol, NTP. Standardalternativene kan beholdes med mindre andre tidsservere er ønsket.

    Etter å ha satt opp NTP, vil pfSense-installasjonsveiviseren be brukeren om å konfigurere WAN-grensesnittet. pfSense støtter flere metoder for å konfigurere WAN-grensesnittet.

    Standarden for de fleste hjemmebrukere er å bruke DHCP. DHCP fra brukerens internettleverandør er den vanligste metoden for å få nødvendig IP-konfigurasjon.

    Det neste trinnet vil be om konfigurasjon av LAN-grensesnittet. Hvis brukeren er koblet til nettgrensesnittet, er LAN-grensesnittet sannsynligvis allerede konfigurert.

    Men hvis LAN-grensesnittet må endres, vil dette trinnet tillate endringer. Sørg for å huske hva LAN IP-adressen er satt til, da dette er hvordan
    administrator vil få tilgang til webgrensesnittet!

    Som med alle ting i sikkerhetsverdenen, representerer standardpassord en ekstrem sikkerhetsrisiko. Den neste siden vil be administratoren om å endre standardpassordet for «admin»-brukeren til pfSense-nettgrensesnittet.

    Det siste trinnet innebærer å starte pfSense på nytt med de nye konfigurasjonene. Bare klikk på «Last inn på nytt»-knappen.

    Etter at pfSense har lastet inn på nytt, vil den presentere brukeren med en siste skjerm før du logger på hele nettgrensesnittet. Bare klikk på den andre «Klikk her» for å logge på hele nettgrensesnittet.

    Endelig er pfSense oppe og klar til å ha regler konfigurert!

    Nå som pfSense er oppe og kjører, må administratoren gå gjennom og lage regler for å tillate riktig trafikk gjennom brannmuren. Det skal bemerkes at pfSense har en standard tillat alle-regel. For sikkerhets skyld bør dette endres, men dette er igjen en administrators avgjørelse.

    Les også : Installer og konfigurer pfBlockerNg for DNS Black Listing i pfSense Firewall

    Takk for at du leste gjennom denne TecMint-artikkelen om pfSense-installasjon! Følg med for fremtidige artikler om konfigurering av noen av de mer avanserte alternativene som er tilgjengelige i pfSense.