Ricerca nel sito web

Installazione e configurazione del router firewall pfSense 2.4.4


Internet è un posto spaventoso al giorno d'oggi. Quasi ogni giorno si verifica un nuovo zero day, una violazione della sicurezza o un ransomware che spinge molte persone a chiedersi se sia possibile proteggere i propri sistemi.

Molte organizzazioni spendono centinaia di migliaia, se non milioni, di dollari cercando di installare le soluzioni di sicurezza più recenti e migliori per proteggere la propria infrastruttura e i propri dati. Gli utenti domestici, tuttavia, sono in svantaggio monetario. Investire anche solo un centinaio di dollari in un firewall dedicato spesso va oltre la portata della maggior parte delle reti domestiche.

Per fortuna, ci sono progetti dedicati nella comunità open source che stanno facendo grandi passi avanti nell'arena delle soluzioni di sicurezza per gli utenti domestici. Progetti come IPfire, Snort, Squid e pfSense forniscono tutti sicurezza di livello aziendale a prezzi di base!

PfSense è una soluzione firewall open source basata su FreeBSD. La distribuzione può essere installata gratuitamente sulla propria attrezzatura oppure la società dietro pfSense, NetGate, vende dispositivi firewall preconfigurati.

L'hardware richiesto per pfSense è minimo e in genere una vecchia torre domestica può essere facilmente riutilizzata in un firewall pfSense dedicato. Per coloro che desiderano creare o acquistare un sistema più capace per eseguire più funzionalità avanzate di pfSense, ci sono alcuni requisiti hardware minimi suggeriti:

Minimi hardware

  • Processore da 500 MHz
  • 1 GB di RAM
  • 4 GB di spazio di archiviazione
  • 2 schede di interfaccia di rete

Hardware consigliato

  • Processore da 1 GHz
  • 1 GB di RAM
  • 4 GB di spazio di archiviazione
  • 2 o più schede di interfaccia di rete PCI-e.

Suggerimenti hardware seri per utenti domestici (e aziende)

Nel caso in cui un utente domestico desideri abilitare molte delle caratteristiche e funzioni extra di pfSense come Snort, scansione Anti-Virus, blacklist DNS, filtraggio dei contenuti web, ecc. l'hardware consigliato diventa un po' più complicato.

Per supportare i pacchetti software aggiuntivi sul firewall pfSense, si consiglia di fornire a pfSense il seguente hardware:

  • Moderna CPU multi-core con almeno 2,0 GHz
  • Oltre 4 GB di RAM
  • Oltre 10 GB di spazio su disco rigido
  • 2 o più schede di interfaccia di rete Intel PCI-e

Installazione di pfSense 2.4.4

In questa sezione vedremo l'installazione di pfSense 2.4.4 (ultima versione al momento della stesura di questo articolo).

L'allestimento del laboratorio

pfSense è spesso frustrante per gli utenti che non conoscono i firewall. Il comportamento predefinito di molti firewall è bloccare tutto, nel bene e nel male. Questo è ottimo dal punto di vista della sicurezza ma non dal punto di vista dell'usabilità. Prima di iniziare l'installazione, è importante concettualizzare l'obiettivo finale prima di iniziare le configurazioni.

Download di pfSense

Indipendentemente dall'hardware scelto, l'installazione di pfSense sull'hardware è un processo semplice ma richiede che l'utente presti molta attenzione a quali porte dell'interfaccia di rete verranno utilizzate per quale scopo (LAN, WAN, Wireless, ecc.).

Parte del processo di installazione richiederà all'utente di iniziare a configurare le interfacce LAN e WAN. L'autore suggerisce di collegare solo l'interfaccia WAN fino a quando pfSense non è stato configurato e quindi procedere con il completamento dell'installazione collegando l'interfaccia LAN.

Il primo passo è ottenere il software pfSense da https://www.pfsense.org/download/. Sono disponibili un paio di opzioni diverse a seconda del dispositivo e del metodo di installazione, ma questa guida utilizzerà il "programma di installazione del CD (ISO) AMD64".

Utilizzando il menu a discesa sul collegamento fornito in precedenza, seleziona un mirror appropriato per scaricare il file.

Una volta scaricato, il programma di installazione può essere masterizzato su un CD oppure copiato su un'unità USB con lo strumento "dd" incluso nella maggior parte delle distribuzioni Linux.

Il processo successivo consiste nel scrivere l'ISO su un'unità USB per avviare il programma di installazione. A tale scopo, utilizza lo strumento "dd" in Linux. Innanzitutto, il nome del disco deve essere individuato con "lsblk".


lsblk

Con il nome dell'unità USB determinato come "/dev/sdc", l'ISO pfSense può essere scritto sull'unità con lo strumento "dd".


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Importante: il comando precedente richiede i privilegi di root, quindi utilizza "sudo" o accedi come utente root per eseguire il comando. Anche questo comando RIMUOVERÀ TUTTO sull'unità USB. Assicurati di eseguire il backup dei dati necessari.

Installazione di pfSense

Una volta che "dd" ha terminato la scrittura sull'unità USB o che il CD è stato masterizzato, posizionare il supporto nel computer che verrà configurato come firewall pfSense. Avvia il computer su quel supporto e verrà presentata la seguente schermata.

In questa schermata, lasciare scadere il timer o selezionare 1 per procedere con l'avvio nell'ambiente di installazione. Una volta terminato l'avvio del programma di installazione, il sistema richiederà eventuali modifiche desiderate nel layout della tastiera. Se tutto viene visualizzato in una lingua madre, fai semplicemente clic su "Accetta queste impostazioni".

La schermata successiva offrirà all'utente la possibilità di scegliere tra un'"Installazione semplice/rapida" o opzioni di installazione più avanzate. Ai fini di questa guida, si consiglia di utilizzare semplicemente l'opzione "Installazione semplice/rapida".

La schermata successiva confermerà semplicemente che l'utente desidera utilizzare il metodo "Installazione semplice/rapida" che non porrà così tante domande durante l'installazione.

La prima domanda che probabilmente verrà presentata riguarderà quale kernel installare. Anche in questo caso, si consiglia di installare il "Kernel standard" per la maggior parte degli utenti.

Una volta terminata questa fase, il programma di installazione richiederà un riavvio. Assicurati di rimuovere anche il supporto di installazione in modo che la macchina non si riavvii nel programma di installazione.

Configurazione pfSense

Dopo il riavvio e la rimozione del supporto CD/USB, pfSense si riavvierà nel sistema operativo appena installato. Per impostazione predefinita, pfSense sceglierà un'interfaccia da configurare come interfaccia WAN con DHCP e lascerà l'interfaccia LAN non configurata.

Sebbene pfSense abbia un sistema di configurazione grafica basato sul web, funziona solo sul lato LAN del firewall ma al momento il lato LAN non sarà configurato. La prima cosa da fare sarebbe impostare un indirizzo IP sull'interfaccia LAN.

Per fare ciò segui questi passaggi:

  • Digita 'n' e premi il tasto "Invio" quando ti viene chiesto informazioni sulle VLAN.
  • Digitare il nome dell'interfaccia registrato nel passaggio uno quando viene richiesta l'interfaccia WAN o passare ora all'interfaccia corretta. Anche in questo esempio, "em0" è l'interfaccia WAN poiché sarà l'interfaccia rivolta verso Internet.
  • Il prompt successivo richiederà l'interfaccia LAN, digita nuovamente il nome dell'interfaccia corretto e premi il tasto "Invio". In questa installazione, 'em1' è l'interfaccia LAN.
  • pfSense continuerà a chiedere ulteriori interfacce se sono disponibili, ma se tutte le interfacce sono state assegnate, premi semplicemente nuovamente il tasto 'Invio'.
  • pfSense ora chiederà di garantire che le interfacce siano assegnate correttamente.

  • Se le interfacce sono corrette, digita "y" e premi il tasto "Invio".

  • Il prossimo passo sarà assegnare alle interfacce la corretta configurazione IP. Dopo che pfSense torna alla schermata principale, digita "2" e premi il tasto "Invio". (Assicurarsi di tenere traccia dei nomi di interfaccia assegnati alle interfacce WAN e LAN).

    *NOTA* Per questa installazione l'interfaccia WAN può utilizzare DHCP senza problemi ma potrebbero esserci casi in cui sarebbe richiesto un indirizzo statico. Il processo per configurare un'interfaccia statica sulla WAN sarebbe lo stesso dell'interfaccia LAN che sta per essere configurata.

    Digita nuovamente "2" quando ti viene richiesto quale interfaccia impostare le informazioni IP. Ancora una volta la 2 è l'interfaccia LAN in questa procedura dettagliata.

    Quando richiesto, digita l'indirizzo IPv4 desiderato per questa interfaccia e premi il tasto "Invio". Questo indirizzo non dovrebbe essere utilizzato in nessun altro punto della rete e probabilmente diventerà il gateway predefinito per gli host che verranno collegati a questa interfaccia.

    Il prompt successivo richiederà la maschera di sottorete nel cosiddetto formato maschera prefisso. Per questo esempio di rete verrà utilizzato un semplice /24 o 255.255.255.0. Al termine, premi il tasto "Invio".

    La domanda successiva riguarderà un "Gateway IPv4 upstream". Poiché l'interfaccia LAN è attualmente configurata, premi semplicemente il tasto "Invio".

    La richiesta successiva chiederà di configurare IPv6 sull'interfaccia LAN. Questa guida utilizza semplicemente IPv4 ma, se l'ambiente richiede IPv6, è possibile configurarlo ora. Altrimenti, si continuerà semplicemente premendo il tasto "Invio".

    La domanda successiva riguarderà l'avvio del server DHCP sull'interfaccia LAN. La maggior parte degli utenti domestici dovrà abilitare questa funzione. Anche in questo caso potrebbe essere necessario regolarlo a seconda dell'ambiente.

    Questa guida presuppone che l'utente vorrà che il firewall fornisca servizi DHCP e assegnerà 51 indirizzi affinché altri computer ottengano un indirizzo IP dal dispositivo pfSense.

    La prossima domanda chiederà di ripristinare lo strumento web di pfSense al protocollo HTTP. Si consiglia vivamente di NON farlo poiché il protocollo HTTPS fornirà un certo livello di sicurezza per impedire la divulgazione della password dell'amministratore per lo strumento di configurazione web.

    Una volta che l'utente preme "Invio", pfSense salverà le modifiche all'interfaccia e avvierà i servizi DHCP sull'interfaccia LAN.

    Tieni presente che pfSense fornirà l'indirizzo web per accedere allo strumento di configurazione web tramite un computer collegato al lato LAN del dispositivo firewall. Con questo si concludono i passaggi di configurazione di base per rendere il dispositivo firewall pronto per ulteriori configurazioni e regole.

    È possibile accedere all'interfaccia Web tramite un browser Web accedendo all'indirizzo IP dell'interfaccia LAN.

    Le informazioni predefinite per pfSense al momento della stesura di questo articolo sono le seguenti:

    
    Username: admin
    Password: pfsense
    

    Dopo aver effettuato con successo l'accesso tramite l'interfaccia web per la prima volta, pfSense eseguirà una configurazione iniziale per reimpostare la password dell'amministratore.

    La prima richiesta è la registrazione all'abbonamento pfSense Gold che offre vantaggi come il backup automatico della configurazione, l'accesso ai materiali di formazione pfSense e riunioni virtuali periodiche con gli sviluppatori pfSense. Non è necessario acquistare un abbonamento Gold e, se lo si desidera, è possibile saltare il passaggio.

    Il passaggio seguente richiederà all'utente ulteriori informazioni sulla configurazione del firewall come nome host, nome di dominio (se applicabile) e server DNS.

    La prossima richiesta sarà quella di configurare il Network Time Protocol, NTP. È possibile lasciare le opzioni predefinite a meno che non si desiderino server orari diversi.

    Dopo aver configurato NTP, la procedura guidata di installazione di pfSense richiederà all'utente di configurare l'interfaccia WAN. pfSense supporta più metodi per la configurazione dell'interfaccia WAN.

    L'impostazione predefinita per la maggior parte degli utenti domestici è l'utilizzo di DHCP. Il DHCP del provider di servizi Internet dell'utente è il metodo più comune per ottenere la configurazione IP necessaria.

    Il passaggio successivo richiederà la configurazione dell'interfaccia LAN. Se l'utente è connesso all'interfaccia web, è probabile che l'interfaccia LAN sia già stata configurata.

    Tuttavia, se è necessario modificare l'interfaccia LAN, questo passaggio consentirà di apportare modifiche. Assicurati di ricordare su cosa è impostato l'indirizzo IP LAN poiché è così che
    l'amministratore accederà all'interfaccia web!

    Come per tutte le cose nel mondo della sicurezza, le password predefinite rappresentano un rischio estremo per la sicurezza. La pagina successiva richiederà all'amministratore di modificare la password predefinita per l'utente "admin" nell'interfaccia web pfSense.

    Il passaggio finale prevede il riavvio di pfSense con le nuove configurazioni. Basta fare clic sul pulsante "Ricarica".

    Dopo il ricaricamento pfSense, presenterà all'utente una schermata finale prima di accedere all'interfaccia web completa. Basta fare clic sul secondo "Fai clic qui" per accedere all'interfaccia web completa.

    Finalmente pfSense è attivo e pronto per configurare le regole!

    Ora che pfSense è attivo e funzionante, l'amministratore dovrà procedere e creare regole per consentire il traffico appropriato attraverso il firewall. Va notato che pfSense ha una regola predefinita Consenti tutto. Per ragioni di sicurezza, questo dovrebbe essere cambiato, ma anche questa è una decisione dell’amministratore.

    Leggi anche: Installa e configura pfBlockerNg per la lista nera DNS nel firewall pfSense

    Grazie per aver letto questo articolo di TecMint sull'installazione di pfSense! Resta sintonizzato per i futuri articoli sulla configurazione di alcune delle opzioni più avanzate disponibili in pfSense.