Zoeken op website

Installatie en configuratie van pfSense 2.4.4 Firewall-router

Het internet is tegenwoordig een enge plek. Bijna dagelijks doet zich een nieuwe zero day, inbreuk op de beveiliging of ransomware voor, waardoor veel mensen zich afvragen of het mogelijk is om hun systemen te beveiligen.

Veel organisaties besteden honderdduizenden, zo niet miljoenen dollars aan het installeren van de nieuwste en beste beveiligingsoplossingen om hun infrastructuur en gegevens te beschermen. Thuisgebruikers hebben echter een financieel nadeel. Zelfs honderd dollar investeren in een speciale firewall valt vaak buiten het bereik van de meeste thuisnetwerken.

Gelukkig zijn er specifieke projecten in de open source-gemeenschap die grote vooruitgang boeken op het gebied van beveiligingsoplossingen voor thuisgebruikers. Projecten als IPfire, Snort, Squid en pfSense bieden allemaal beveiliging op bedrijfsniveau tegen grondstoffenprijzen!

PfSense is een op FreeBSD gebaseerde open source firewall-oplossing. De distributie is gratis te installeren op de eigen apparatuur of het bedrijf achter pfSense, NetGate, verkoopt vooraf geconfigureerde firewall-apparaten.

De benodigde hardware voor pfSense is zeer minimaal en doorgaans kan een oudere thuistoren eenvoudig worden omgebouwd tot een speciale pfSense Firewall. Voor degenen die een beter systeem willen bouwen of kopen om meer van de geavanceerde functies van pfSense uit te voeren, zijn er enkele voorgestelde hardwareminima:

Hardwareminima

  • 500 MHz-CPU
  • 1 GB RAM
  • 4 GB opslagruimte
  • 2 netwerkinterfacekaarten

Aanbevolen hardware

  • 1GHz CPU
  • 1 GB RAM
  • 4 GB opslagruimte
  • 2 of meer PCI-e-netwerkinterfacekaarten.

Hardware-suggesties voor serieuze thuisgebruikers (en ondernemingen)

In het geval dat een thuisgebruiker veel van de extra kenmerken en functies van pfSense wil inschakelen, zoals Snort, Anti-Virus scannen, DNS-blacklisting, filteren van webinhoud, enz., de aanbevolen hardware wordt iets ingewikkelder.

Ter ondersteuning van de extra softwarepakketten op de pfSense firewall wordt aanbevolen de volgende hardware aan pfSense te leveren:

  • Moderne multi-core CPU met een snelheid van minimaal 2,0 GHz
  • 4 GB+ RAM
  • 10 GB+ HD-ruimte
  • 2 of meer Intel PCI-e netwerkinterfacekaarten

Installatie van pfSense 2.4.4

In deze sectie zullen we de installatie van pfSense 2.4.4 zien (laatste versie op het moment dat dit artikel werd geschreven).

De laboratoriumopstelling

pfSense is vaak frustrerend voor gebruikers die nieuw zijn met firewalls. Het standaardgedrag van veel firewalls is om alles, goed of slecht, te blokkeren. Dit is geweldig vanuit een beveiligingsoogpunt, maar niet vanuit een bruikbaarheidsoogpunt. Voordat u met de installatie begint, is het belangrijk om het einddoel te conceptualiseren voordat u met de configuraties begint.

PfSense downloaden

Ongeacht welke hardware wordt gekozen, het installeren van pfSense op de hardware is een eenvoudig proces, maar vereist wel dat de gebruiker goed let op welke netwerkinterfacepoorten voor welk doel worden gebruikt (LAN, WAN, draadloos, enz.).

Een deel van het installatieproces houdt in dat de gebruiker wordt gevraagd te beginnen met het configureren van LAN- en WAN-interfaces. De auteur stelt voor om alleen de WAN-interface aan te sluiten totdat pfSense is geconfigureerd en vervolgens door te gaan met het voltooien van de installatie door de LAN-interface aan te sluiten.

De eerste stap is het verkrijgen van de pfSense-software van https://www.pfsense.org/download/. Er zijn een aantal verschillende opties beschikbaar, afhankelijk van het apparaat en de installatiemethode, maar deze handleiding gebruikt de ‘AMD64 CD (ISO) Installer’.

Gebruik de vervolgkeuzemenu's op de eerder gegeven link om een geschikte mirror te selecteren om het bestand te downloaden.

Zodra het installatieprogramma is gedownload, kan het op een CD worden gebrand of kan het naar een USB-station worden gekopieerd met de tool ‘dd’ die in de meeste Linux-distributies wordt meegeleverd.

Het volgende proces is het schrijven van de ISO naar een USB-station om het installatieprogramma op te starten. Om dit te bereiken, gebruik je de ‘dd’ tool binnen Linux. Ten eerste moet de schijfnaam zich echter in ‘lsblk’ bevinden.


lsblk

Als de naam van het USB-station is bepaald als ‘/dev/sdc’, kan de pfSense ISO naar het station worden geschreven met de tool ‘dd’.


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Belangrijk: voor de bovenstaande opdracht zijn rootrechten vereist, dus gebruik ‘sudo’ of log in als rootgebruiker om de opdracht uit te voeren. Ook zal dit commando ALLES VERWIJDEREN op de USB-drive. Zorg ervoor dat u een back-up maakt van de benodigde gegevens.

Installatie van pfSense

Zodra ‘dd’ klaar is met schrijven naar het USB-station of de CD is gebrand, plaatst u het medium in de computer die zal worden ingesteld als de pfSense-firewall. Start die computer op naar dat medium en het volgende scherm wordt weergegeven.

Op dit scherm laat u de timer aflopen of selecteert u 1 om verder te gaan met opstarten in de installatieomgeving. Zodra het installatieprogramma klaar is met opstarten, zal het systeem vragen om eventuele gewenste wijzigingen in de toetsenbordindeling. Als alles in de moedertaal wordt weergegeven, klikt u eenvoudig op ‘Accepteer deze instellingen’.

Het volgende scherm biedt de gebruiker de optie voor een ‘Snelle/Gemakkelijke installatie’ of meer geavanceerde installatieopties. Voor de doeleinden van deze handleiding wordt aangeraden om eenvoudigweg de optie ‘Snelle/eenvoudige installatie’ te gebruiken.

Het volgende scherm bevestigt eenvoudigweg dat de gebruiker de ‘Quick/Easy Install’-methode wil gebruiken, waardoor er tijdens de installatie minder vragen worden gesteld.

De eerste vraag die waarschijnlijk zal worden gesteld, is welke kernel moet worden geïnstalleerd. Nogmaals, er wordt voorgesteld om voor de meeste gebruikers de ‘Standaard Kernel’ te installeren.

Wanneer het installatieprogramma deze fase heeft voltooid, zal het vragen om opnieuw op te starten. Zorg ervoor dat u ook de installatiemedia verwijdert, zodat de machine niet opnieuw opstart in het installatieprogramma.

pfSense-configuratie

Na het opnieuw opstarten en het verwijderen van de CD/USB-media, zal pfSense opnieuw opstarten in het nieuw geïnstalleerde besturingssysteem. Standaard zal pfSense een interface kiezen om in te stellen als de WAN-interface met DHCP en de LAN-interface ongeconfigureerd laten.

Hoewel pfSense een webgebaseerd grafisch configuratiesysteem heeft, draait het alleen aan de LAN-kant van de firewall, maar op dit moment is de LAN-kant niet geconfigureerd. Het eerste dat u moet doen, is het instellen van een IP-adres op de LAN-interface.

Om dit te doen volgt u deze stappen:

  • Typ ‘n’ en druk op de toets ‘Enter’ wanneer u wordt gevraagd naar VLAN's.
  • Typ de interfacenaam die u in stap één hebt vastgelegd wanneer u om de WAN-interface wordt gevraagd, of ga nu naar de juiste interface. Ook dit voorbeeld is ‘em0’ de WAN-interface, aangezien dit de interface is die naar internet is gericht.
  • De volgende prompt vraagt om de LAN-interface, typ opnieuw de juiste interfacenaam en druk op de 'Enter'-toets. In deze installatie is ‘em1’ de LAN-interface.
  • pfSense zal blijven vragen om meer interfaces als deze beschikbaar zijn, maar als alle interfaces zijn toegewezen, drukt u eenvoudigweg opnieuw op de 'Enter'-toets.
  • pfSense zal nu vragen om ervoor te zorgen dat de interfaces correct zijn toegewezen.

  • Als de interfaces correct zijn, typt u ‘y’ en drukt u op de ‘Enter’-toets.


    • De volgende stap is het toewijzen van de juiste IP-configuratie aan de interfaces. Nadat pfSense terugkeert naar het hoofdscherm, typt u ‘2’ en drukt u op de ‘Enter’-toets. (Zorg ervoor dat u de interfacenamen bijhoudt die zijn toegewezen aan de WAN- en LAN-interfaces).

    *NOTE* Voor deze installatie kan de WAN-interface zonder problemen DHCP gebruiken, maar er kunnen gevallen zijn waarin een statisch adres vereist is. Het proces voor het configureren van een statische interface op het WAN zou hetzelfde zijn als de LAN-interface die op het punt staat te worden geconfigureerd.

    Typ ‘2’ opnieuw wanneer u wordt gevraagd welke interface u de IP-informatie wilt instellen. Opnieuw is 2 de LAN-interface in deze walkthrough.

    Wanneer daarom wordt gevraagd, typt u het gewenste IPv4-adres voor deze interface en drukt u op de ‘Enter’-toets. Dit adres mag nergens anders op het netwerk worden gebruikt en zal waarschijnlijk de standaardgateway worden voor de hosts die op deze interface worden aangesloten.

    De volgende prompt vraagt om het subnetmasker in een zogenaamd prefixmaskerformaat. Voor dit voorbeeldnetwerk wordt een eenvoudig /24 of 255.255.255.0 gebruikt. Druk op de toets ‘Enter’ als u klaar bent.

    De volgende vraag gaat over een ‘Upstream IPv4 Gateway’. Omdat de LAN-interface momenteel is geconfigureerd, hoeft u alleen maar op de ‘Enter’-toets te drukken.

    De volgende prompt zal vragen om IPv6 op de LAN-interface te configureren. Deze handleiding maakt eenvoudigweg gebruik van IPv4, maar mocht de omgeving IPv6 vereisen, dan kan dit nu worden geconfigureerd. Anders gaat u gewoon verder met het indrukken van de ‘Enter’-toets.

    De volgende vraag gaat over het starten van de DHCP-server op de LAN-interface. De meeste thuisgebruikers zullen deze functie moeten inschakelen. Ook dit moet mogelijk worden aangepast, afhankelijk van de omgeving.

    In deze handleiding wordt ervan uitgegaan dat de gebruiker wil dat de firewall DHCP-services levert en 51 adressen aan andere computers toewijst om een IP-adres van het pfSense-apparaat te verkrijgen.

    De volgende vraag zal vragen om de webtool van pfSense terug te zetten naar het HTTP-protocol. Het wordt ten zeerste aanbevolen om dit NIET te doen, omdat het HTTPS-protocol een bepaald beveiligingsniveau biedt om openbaarmaking van het beheerderswachtwoord voor de webconfiguratietool te voorkomen.

    Zodra de gebruiker op ‘Enter’ drukt, slaat pfSense de interfacewijzigingen op en start de DHCP-services op de LAN-interface.

    Merk op dat pfSense het webadres zal verstrekken om toegang te krijgen tot de webconfiguratietool via een computer die is aangesloten op de LAN-kant van het firewallapparaat. Hiermee zijn de basisconfiguratiestappen voltooid om het firewallapparaat klaar te maken voor meer configuraties en regels.

    De webinterface is toegankelijk via een webbrowser door naar het IP-adres van de LAN-interface te navigeren.

    De standaardinformatie voor pfSense op het moment van schrijven is als volgt:

    
Username: admin
Password: pfsense

    Na een succesvolle aanmelding via de webinterface voor de eerste keer, zal pfSense een initiële installatie doorlopen om het beheerderswachtwoord opnieuw in te stellen.

    De eerste vraag is om een registratie voor pfSense Gold Subscription, dat voordelen biedt zoals automatische configuratieback-up, toegang tot het pfSense-trainingsmateriaal en periodieke virtuele ontmoetingen met pfSense-ontwikkelaars. Het aanschaffen van een Gold-abonnement is niet verplicht en de stap kan desgewenst worden overgeslagen.

    Bij de volgende stap wordt de gebruiker om meer configuratie-informatie voor de firewall gevraagd, zoals de hostnaam, domeinnaam (indien van toepassing) en DNS-servers.

    De volgende vraag is om Network Time Protocol, NTP te configureren. De standaardopties kunnen worden gehandhaafd, tenzij andere tijdservers gewenst zijn.

    Na het instellen van NTP zal de pfSense-installatiewizard de gebruiker vragen de WAN-interface te configureren. pfSense ondersteunt meerdere methoden voor het configureren van de WAN-interface.

    De standaardinstelling voor de meeste thuisgebruikers is het gebruik van DHCP. DHCP van de internetprovider van de gebruiker is de meest gebruikelijke methode voor het verkrijgen van de benodigde IP-configuratie.

    Bij de volgende stap wordt gevraagd om de configuratie van de LAN-interface. Als de gebruiker is verbonden met de webinterface, is de LAN-interface waarschijnlijk al geconfigureerd.

    Als de LAN-interface echter moet worden gewijzigd, kunt u met deze stap wijzigingen aanbrengen. Zorg ervoor dat u onthoudt waar het LAN IP-adres op is ingesteld, want dit is hoe
    beheerder krijgt toegang tot de webinterface!

    Zoals met alles in de beveiligingswereld vormen standaardwachtwoorden een extreem veiligheidsrisico. Op de volgende pagina wordt de beheerder gevraagd het standaardwachtwoord voor de gebruiker ‘admin’ voor de pfSense-webinterface te wijzigen.

    De laatste stap omvat het opnieuw opstarten van pfSense met de nieuwe configuraties. Klik eenvoudigweg op de knop ‘Herladen’.

    Nadat pfSense opnieuw is geladen, wordt de gebruiker een laatste scherm getoond voordat hij inlogt op de volledige webinterface. Klik eenvoudigweg op de tweede ‘Klik hier’ om in te loggen op de volledige webinterface.

    Eindelijk is pfSense klaar om regels te configureren!

    Nu pfSense actief is, zal de beheerder regels moeten doorlopen en opstellen om het juiste verkeer door de firewall toe te staan. Opgemerkt moet worden dat pfSense een standaard 'alles toestaan'-regel heeft. Uit veiligheidsoverwegingen moet dit worden gewijzigd, maar dit is opnieuw een beslissing van de beheerder.

    Lees ook: Installeer en configureer pfBlockerNg voor DNS Black Listing in pfSense Firewall

    Bedankt voor het lezen van dit TecMint artikel over pfSense-installatie! Houd ons in de gaten voor toekomstige artikelen over het configureren van enkele van de meer geavanceerde opties die beschikbaar zijn in pfSense.