Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche....

15
Sicurezza firewall PFsense 1

Transcript of Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche....

Page 1: Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche. Fortunatamente, ci sono progetti dedicati alla comunità open source che stanno facendo

Sicurezza firewall PFsense

1

Page 2: Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche. Fortunatamente, ci sono progetti dedicati alla comunità open source che stanno facendo

Sicurezza firewall PFsense

Indice

Hardware minimo................................................................................................................pag. 3

Hardware Consigliato.........................................................................................................pag. 3

Suggerimenti hardware per ambienti enetrprise.................................................................pag. 3

Scaricare Pfsense.................................................................................................................pag. 4

Installare Pfsense.................................................................................................................pag. 7

2

Page 3: Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche. Fortunatamente, ci sono progetti dedicati alla comunità open source che stanno facendo

Sicurezza firewall PFsense

L’uso di internet è ormai essenziale in ogni realtà lavorativa pubblica o privata che sia.

Quasi ogni giorno, si verifica un nuovo giorno zero, una violazione della sicurezza o un

ransomware lasciando così molte persone e aziende a chiedersi se è possibile proteggere i propri

sistemi.

Molte organizzazioni spendono centinaia di migliaia, se non milioni di dollari, cercando di

installare le ultime e le più grandi soluzioni di sicurezza per proteggere le loro infrastrutture e dati.

Gli utenti domestici o le piccole aziende non possono di certo investire somme così spropositate.

Investire anche un centinaio di dollari in un firewall dedicato è spesso al di là della portata della

maggior parte delle reti domestiche.

Fortunatamente, ci sono progetti dedicati alla comunità open source che stanno facendo grandi passi

nell'arena delle soluzioni di sicurezza. Progetti come IPfire, Snort, Squid e pfSense forniscono tutte

le misure di sicurezza aziendale ai prezzi del solo ferro.

PfSense è una soluzione open source firewall basata su FreeBSD. La distribuzione è libera di essere

installata installare sulle proprie apparecchiature in alternativa la società dietro pfSense, NetGate,

vende dispositivi firewall preconfigurati.

L'hardware richiesto per pfSense è minimale e in genere una un vecchio pc inutilizzato con almeno

due schede di rete può essere riutilizzato per l’uso di un pfSense Firewall dedicato. Per coloro che

desiderano costruire o acquistare un sistema più capace nell’eseguire funzioni avanzate di pfSense,

ci sono alcuni requisiti minimi consigliati:

Hardware minimo

• 500 mhz CPU

• 1 GB di RAM

• 4GB di disco

• 2 schede di rete

Hardware consigliato

• 1GHz CPU

• 1 GB di RAM

• 4GB di storage

• 2 o più schede di rete

Suggerimenti hardware per aziende

Nel caso in cui desideri abilitare molte delle funzioni e funzioni extra di pfSense come Snort, la

scansione Anti-Virus, la blacklist DNS, il filtraggio dei contenuti web, ecc. L'hardware consigliato

diventa un po 'più coinvolto.

3

Page 4: Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche. Fortunatamente, ci sono progetti dedicati alla comunità open source che stanno facendo

Sicurezza firewall PFsense

Per supportare i pacchetti software aggiuntivi sul firewall pfSense, si consiglia di fornire il seguente

hardware a pfSense:

• Una moderna CPU Multii.core almeno 2,0 Ghz

• 4GB+ odiRAM

• 10GB+ di HD space

• 2 o più schede di rete

In questa pagine vedremo l'installazione di pfSense 2.3.4

PfSense è spesso frustrante per i nuovi utenti Il comportamento predefinito per molti firewall è

quello di bloccare tutto, buono o cattivo. Questo è buono da un punto di vista della sicurezza, ma

non dal un punto di vista dell’usabilità. Prima di iniziare l'installazione, è importante

concettualizzare l'obiettivo finale prima di iniziare le configurazioni.

Scaricare PFSENSE

Indipendentemente da quale hardware viene scelto, l'installazione di pfSense sull'hardware è un

processo semplice ma richiede all'utente di prestare molta attenzione a quali porte di interfaccia di

rete saranno utilizzate per questo scopo (LAN, WAN, Wireless, ecc.).

Parte del processo di installazione comporterà l'invito all'utente per iniziare a configurare interfacce

LAN e WAN. L'autore suggerisce solo l'inserimento dell'interfaccia WAN fino a quando non è stato

configurato pfSense e quindi proseguire per completare l'installazione collegando l'interfaccia LAN.

Il primo passo è quello di ottenere il software pfSense da https://www.pfsense.org/download/. Ci

sono diverse opzioni disponibili a seconda del dispositivo e del metodo di installazione, ma questa

guida utilizzerà il 'AMD64 CD (ISO) Installer'.

Utilizzando il menu a discesa sul collegamento fornito in precedenza, selezionare un mirror

appropriato per scaricare il file.

Una volta scaricato il programma di installazione, può essere masterizzato su un CD o può essere

copiato su un'unità USB con lo strumento 'dd' incluso nella maggior parte delle distribuzioni Linux,

oppure utilizzando software simili ad unetbootin o rufus

Installare PFSENSE

Una volta che 'dd' ha terminato la scrittura sull'unità USB o il CD è stato masterizzato, inserire il

supporto nel computer che sarà utilizzato come firewall pfSense. Impostare l’avvio del supporto

scelto di solito premendo più volte sul tasto “F12”. all’avvio del CD vederemo la schermata qui

sotto:

4

Page 5: Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche. Fortunatamente, ci sono progetti dedicati alla comunità open source che stanno facendo

Sicurezza firewall PFsense

In questa schermata, lasciare che il timer termini il conto alla rovescia oppure selezionate 1 per

procedere all'avvio nell'ambiente di installazione. Una volta che l'installatore ta erminato l'avvio, il

sistema chiede se si vuole applicarfe le modifiche nel layout della tastiera. Se le impostazioni di

default sono sufficienti per voi o avete apportato le modifiche desiderate,ci basterà schendere con le

frecce e cliccare su 'Accetta queste impostazioni'.

La schermata successiva fornirà all'utente l'opzione di un'installazione rapida / semplice o avanzata.

Ai fini di questa guida, si suggerisce di utilizzare semplicemente l'opzione "Quick / Easy Install".

5

Page 6: Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche. Fortunatamente, ci sono progetti dedicati alla comunità open source che stanno facendo

Sicurezza firewall PFsense

La schermata successiva conferma semplicemente che l'utente desidera utilizzare il metodo "Quick /

Easy Install" questa ponerà poche domande durante l'installazione, il giusto per ottenere una

configurazione di base funzionante

La prima domanda che verrà presentata rtiguarda quale kernel installare. Ancora una volta, si

suggerisce il "kernel standard" sia installato per la maggior parte degli utenti.

6

Page 7: Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche. Fortunatamente, ci sono progetti dedicati alla comunità open source che stanno facendo

Sicurezza firewall PFsense

Quando l'installatore ha terminato questa fase, verrà richiesto un riavvio. Assicurarsi di rimuovere i

supporti di installazione in modo che la macchina non si riavvii con il programma d’ installazione.

Configurazione PFSENSE

Dopo il riavvio e la rimozione del supporto CD / USB, pfSense si riavvia nel sistema operativo

appena installato. Per impostazione predefinita, pfSense seleziona un'interfaccia per l'impostazione

dell’interfaccia WAN con DHCP e lascia l'interfaccia LAN non configurata.

7

Page 8: Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche. Fortunatamente, ci sono progetti dedicati alla comunità open source che stanno facendo

Sicurezza firewall PFsense

Mentre pfSense dispone di un sistema di configurazione grafica basato su web, è in esecuzione solo

sul lato LAN del firewall ma al momento, il lato LAN sarà disconnesso. La prima cosa da fare

sarebbe impostare un indirizzo IP sull'interfaccia LAN.

Per effettuare questa operazione, attenersi alla seguente procedura:

• Prendi nota di quale nome dell'interfaccia è l'interfaccia WAN (em0 sopra).

• Digitare '1' e premere il tasto 'Invio'.

• Digitare 'n' e premere il tasto 'Invio' quando viene chiesto informazioni su VLAN.

• Digitare il nome dell'interfaccia registrato nel passaggio 1 quando viene richiesto

l'interfaccia WAN o passare all'interfaccia corretta. Anche in questo esempio, 'em0' è

l'interfaccia WAN, in quanto sarà l'interfaccia che affronta Internet.

• Il prompt successivo chiederà l'interfaccia LAN, digitare nuovamente il nome

dell'interfaccia corretto e premere il tasto 'Enter'. In questa installazione, 'em1' è l'interfaccia

LAN.

• PfSense continuerà a chiedere ulteriori interfacce se sono disponibili ma se tutte le

interfacce sono state assegnate, basta premere nuovamente il tasto 'Enter'.

• PfSense richiede ora di assicurarsi che le interfacce siano assegnate correttamente.

• Se le interfacce sono corrette, digitare 'y' e premere il tasto 'Enter'.

Il passo successivo sarà quello di assegnare le interfacce alla configurazione IP appropriata. Dopo

che pfSense torna alla schermata principale, digitare '2' e premere il tasto 'Enter'. (Assicurarsi di

tenere traccia dei nomi di interfaccia assegnati alle interfacce WAN e LAN).

* NOTA * Per questa installazione l'interfaccia WAN può utilizzare DHCP senza alcun problema,

ma possono essere presenti istanze in cui è necessario un indirizzo statico. Il processo per la

configurazione di un'interfaccia statica sul WAN sarebbe identico a quello dell'interfaccia LAN in

fase di configurazione.

Digitare di nuovo "2" quando viene richiesto quale interfaccia per impostare le informazioni IP.

Ancora 2 è l'interfaccia LAN.

Quando richiesto, digitare l'indirizzo IPv4 desiderato per questa interfaccia e premere il tasto 'Invio'.

Questo indirizzo non dovrebbe essere utilizzato in nessun altro luogo della rete e probabilmente sarà

il gateway predefinito per gli host che verranno collegati a questa interfaccia.

8

Page 9: Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche. Fortunatamente, ci sono progetti dedicati alla comunità open source che stanno facendo

Sicurezza firewall PFsense

Il passo successivo chiederà la maschera di sottorete in quello che viene definito come maschera di

prefisso. Per questo esempio, verrà utilizzato un semplice / 24 o 255.255.255.0. Premere il tasto

'Enter' al termine.

La prossima domanda chiede di un 'Gateway Upstream IPv4'. Poiché l'interfaccia LAN è

attualmente configurata, basta premere il tasto 'Enter'.

Il prompt successivo chiede di configurare IPv6 sull'interfaccia LAN. Questa guida usa

semplicemente IPv4 ma se l'ambiente richiede IPv6, questo può essere configurato adesso.

Altrimenti, premendo semplicemente il tasto 'Enter' la configurazione continuerà.

Il prossimo passo chiede di avviare il server DHCP sull'interfaccia LAN. La maggior parte degli

utenti domestici dovrà attivare questa funzionalità. Anche in questo caso potrebbe essere necessario

configurarlo in base all'ambiente.

Questa guida presuppone che l'utente desideri che il firewall fornisca servizi DHCP e alloca 51

indirizzi per altri computer per ottenere un indirizzo IP dal dispositivo pfSense.

La prossima domanda chiederà di ripristinare lo strumento web di pfSense al protocollo HTTP.

Questo è sconsigliato, in quanto il protocollo HTTPS fornirà un certo livello di sicurezza per

impedire la divulgazione della password amministratore per lo strumento di configurazione web.

Una volta che l'utente preme "Enter", pfSense salverà le modifiche dell'interfaccia e avvia i servizi

DHCP sull'interfaccia LAN.

9

Page 10: Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche. Fortunatamente, ci sono progetti dedicati alla comunità open source che stanno facendo

Sicurezza firewall PFsense

Notare che pfSense vi fornirà l'indirizzo web per accedere allo strumento di configurazione web

tramite un computer collegato alla rete LAN del dispositivo firewall. Ciò conclude i passaggi di

configurazione di base per rendere il dispositivo firewall pronto per ulteriori configurazioni e

regole.

L'interfaccia web è accessibile tramite un browser Web navigando sull'indirizzo IP dell'interfaccia

LAN.

Le credenziali fonrite di default per accedere a pfSense sono le seguenti:

username : adminpassword : pfsense

Dopo aver eseguito l'accesso con successo tramite l'interfaccia web per la prima volta, pfSense

eseguirà un'installazione iniziale per reimpostare la password dell'amministratore.

10

Page 11: Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche. Fortunatamente, ci sono progetti dedicati alla comunità open source che stanno facendo

Sicurezza firewall PFsense

Il primo prompt riguarda la registrazione a pfSense Gold Subscription i vantaggi sono, il backup

automatico della configurazione, l'accesso ai materiali di formazione pfSense e gli incontri virtuali

periodici con gli sviluppatori pfSense. L'acquisto di un abbonamento Gold non è richiesto e il

passaggio può essere saltato se lo si desidera.

Il passaggio seguente indicherà l'utente per ulteriori informazioni di configurazione per il firewall

come nome host, nome di dominio (se applicabile) e server DNS.

Il prompt successivo sarà configurato Network Time Protocol, NTP. Le opzioni predefinite possono

essere lasciate a meno che non vengano richiesti server NTP diversi.

11

Page 12: Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche. Fortunatamente, ci sono progetti dedicati alla comunità open source che stanno facendo

Sicurezza firewall PFsense

Dopo aver impostato il servizio NTP, l'installazione guidata pfSense richiederà all'utente di

configurare l'interfaccia WAN. PfSense supporta più metodi per la configurazione dell'interfaccia

WAN.

L'impostazione predefinita per la maggior parte degli utenti domestici è utilizzare DHCP. DHCP dal

provider di servizi Internet dell'utente è il metodo più comune per ottenere la configurazione IP

necessaria. In ambito aziendale, questa voce va cambiata con IP statico

Il passaggio successivo richiederà la configurazione dell'interfaccia LAN. Se l'utente è collegato

all'interfaccia web, l'interfaccia LAN è probabilmente già stata configurata.

12

Page 13: Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche. Fortunatamente, ci sono progetti dedicati alla comunità open source che stanno facendo

Sicurezza firewall PFsense

Tuttavia, se l'interfaccia LAN deve essere modificata, questo passaggio consentirebbe di apportare

modifiche. Assicurarsi di ricordare quale sia l'indirizzo IP LAN impostato in quanto questo è il

modo in cui L'amministratore accederà all'interfaccia web!

Come tutte le cose nel mondo della sicurezza, le password predefinite rappresentano un rischio

estremo per la sicurezza. La prossima pagina richiederà all'amministratore di modificare la

password predefinita per l'utente "admin" all'interfaccia web pfSense.

13

Page 14: Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche. Fortunatamente, ci sono progetti dedicati alla comunità open source che stanno facendo

Sicurezza firewall PFsense

Il passaggio finale consiste nel riavviare pfSense con le nuove configurazioni. Basta cliccare sul

pulsante 'Reload'

Dopo il riavvio di pfSense, verrà visualizzato all'utente con una schermata finale prima di accedere

all'interfaccia web completa. Basta cliccare sul secondo "click here" per accedere all'interfaccia web

completa.

Finalmente pfSense è pronto ora non resta che configurare le regole.

14

Page 15: Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche. Fortunatamente, ci sono progetti dedicati alla comunità open source che stanno facendo

Sicurezza firewall PFsense

Ora che pfSense è in esecuzione, l'amministratore dovrà passare e creare regole per consentire il

traffico appropriato attraverso il firewall. Va notato che pfSense ha un valore predefinito per tutte le

regole. Per motivi di sicurezza, questo dovrebbe essere cambiato, ma questa è ancora una decisione

dell'amministratore.

15