Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche....
Transcript of Sicurezza firewall PFsense - appuntidiadam.altervista.org · maggior parte delle reti domestiche....
Sicurezza firewall PFsense
1
Sicurezza firewall PFsense
Indice
Hardware minimo................................................................................................................pag. 3
Hardware Consigliato.........................................................................................................pag. 3
Suggerimenti hardware per ambienti enetrprise.................................................................pag. 3
Scaricare Pfsense.................................................................................................................pag. 4
Installare Pfsense.................................................................................................................pag. 7
2
Sicurezza firewall PFsense
L’uso di internet è ormai essenziale in ogni realtà lavorativa pubblica o privata che sia.
Quasi ogni giorno, si verifica un nuovo giorno zero, una violazione della sicurezza o un
ransomware lasciando così molte persone e aziende a chiedersi se è possibile proteggere i propri
sistemi.
Molte organizzazioni spendono centinaia di migliaia, se non milioni di dollari, cercando di
installare le ultime e le più grandi soluzioni di sicurezza per proteggere le loro infrastrutture e dati.
Gli utenti domestici o le piccole aziende non possono di certo investire somme così spropositate.
Investire anche un centinaio di dollari in un firewall dedicato è spesso al di là della portata della
maggior parte delle reti domestiche.
Fortunatamente, ci sono progetti dedicati alla comunità open source che stanno facendo grandi passi
nell'arena delle soluzioni di sicurezza. Progetti come IPfire, Snort, Squid e pfSense forniscono tutte
le misure di sicurezza aziendale ai prezzi del solo ferro.
PfSense è una soluzione open source firewall basata su FreeBSD. La distribuzione è libera di essere
installata installare sulle proprie apparecchiature in alternativa la società dietro pfSense, NetGate,
vende dispositivi firewall preconfigurati.
L'hardware richiesto per pfSense è minimale e in genere una un vecchio pc inutilizzato con almeno
due schede di rete può essere riutilizzato per l’uso di un pfSense Firewall dedicato. Per coloro che
desiderano costruire o acquistare un sistema più capace nell’eseguire funzioni avanzate di pfSense,
ci sono alcuni requisiti minimi consigliati:
Hardware minimo
• 500 mhz CPU
• 1 GB di RAM
• 4GB di disco
• 2 schede di rete
Hardware consigliato
• 1GHz CPU
• 1 GB di RAM
• 4GB di storage
• 2 o più schede di rete
Suggerimenti hardware per aziende
Nel caso in cui desideri abilitare molte delle funzioni e funzioni extra di pfSense come Snort, la
scansione Anti-Virus, la blacklist DNS, il filtraggio dei contenuti web, ecc. L'hardware consigliato
diventa un po 'più coinvolto.
3
Sicurezza firewall PFsense
Per supportare i pacchetti software aggiuntivi sul firewall pfSense, si consiglia di fornire il seguente
hardware a pfSense:
• Una moderna CPU Multii.core almeno 2,0 Ghz
• 4GB+ odiRAM
• 10GB+ di HD space
• 2 o più schede di rete
In questa pagine vedremo l'installazione di pfSense 2.3.4
PfSense è spesso frustrante per i nuovi utenti Il comportamento predefinito per molti firewall è
quello di bloccare tutto, buono o cattivo. Questo è buono da un punto di vista della sicurezza, ma
non dal un punto di vista dell’usabilità. Prima di iniziare l'installazione, è importante
concettualizzare l'obiettivo finale prima di iniziare le configurazioni.
Scaricare PFSENSE
Indipendentemente da quale hardware viene scelto, l'installazione di pfSense sull'hardware è un
processo semplice ma richiede all'utente di prestare molta attenzione a quali porte di interfaccia di
rete saranno utilizzate per questo scopo (LAN, WAN, Wireless, ecc.).
Parte del processo di installazione comporterà l'invito all'utente per iniziare a configurare interfacce
LAN e WAN. L'autore suggerisce solo l'inserimento dell'interfaccia WAN fino a quando non è stato
configurato pfSense e quindi proseguire per completare l'installazione collegando l'interfaccia LAN.
Il primo passo è quello di ottenere il software pfSense da https://www.pfsense.org/download/. Ci
sono diverse opzioni disponibili a seconda del dispositivo e del metodo di installazione, ma questa
guida utilizzerà il 'AMD64 CD (ISO) Installer'.
Utilizzando il menu a discesa sul collegamento fornito in precedenza, selezionare un mirror
appropriato per scaricare il file.
Una volta scaricato il programma di installazione, può essere masterizzato su un CD o può essere
copiato su un'unità USB con lo strumento 'dd' incluso nella maggior parte delle distribuzioni Linux,
oppure utilizzando software simili ad unetbootin o rufus
Installare PFSENSE
Una volta che 'dd' ha terminato la scrittura sull'unità USB o il CD è stato masterizzato, inserire il
supporto nel computer che sarà utilizzato come firewall pfSense. Impostare l’avvio del supporto
scelto di solito premendo più volte sul tasto “F12”. all’avvio del CD vederemo la schermata qui
sotto:
4
Sicurezza firewall PFsense
In questa schermata, lasciare che il timer termini il conto alla rovescia oppure selezionate 1 per
procedere all'avvio nell'ambiente di installazione. Una volta che l'installatore ta erminato l'avvio, il
sistema chiede se si vuole applicarfe le modifiche nel layout della tastiera. Se le impostazioni di
default sono sufficienti per voi o avete apportato le modifiche desiderate,ci basterà schendere con le
frecce e cliccare su 'Accetta queste impostazioni'.
La schermata successiva fornirà all'utente l'opzione di un'installazione rapida / semplice o avanzata.
Ai fini di questa guida, si suggerisce di utilizzare semplicemente l'opzione "Quick / Easy Install".
5
Sicurezza firewall PFsense
La schermata successiva conferma semplicemente che l'utente desidera utilizzare il metodo "Quick /
Easy Install" questa ponerà poche domande durante l'installazione, il giusto per ottenere una
configurazione di base funzionante
La prima domanda che verrà presentata rtiguarda quale kernel installare. Ancora una volta, si
suggerisce il "kernel standard" sia installato per la maggior parte degli utenti.
6
Sicurezza firewall PFsense
Quando l'installatore ha terminato questa fase, verrà richiesto un riavvio. Assicurarsi di rimuovere i
supporti di installazione in modo che la macchina non si riavvii con il programma d’ installazione.
Configurazione PFSENSE
Dopo il riavvio e la rimozione del supporto CD / USB, pfSense si riavvia nel sistema operativo
appena installato. Per impostazione predefinita, pfSense seleziona un'interfaccia per l'impostazione
dell’interfaccia WAN con DHCP e lascia l'interfaccia LAN non configurata.
7
Sicurezza firewall PFsense
Mentre pfSense dispone di un sistema di configurazione grafica basato su web, è in esecuzione solo
sul lato LAN del firewall ma al momento, il lato LAN sarà disconnesso. La prima cosa da fare
sarebbe impostare un indirizzo IP sull'interfaccia LAN.
Per effettuare questa operazione, attenersi alla seguente procedura:
• Prendi nota di quale nome dell'interfaccia è l'interfaccia WAN (em0 sopra).
• Digitare '1' e premere il tasto 'Invio'.
• Digitare 'n' e premere il tasto 'Invio' quando viene chiesto informazioni su VLAN.
• Digitare il nome dell'interfaccia registrato nel passaggio 1 quando viene richiesto
l'interfaccia WAN o passare all'interfaccia corretta. Anche in questo esempio, 'em0' è
l'interfaccia WAN, in quanto sarà l'interfaccia che affronta Internet.
• Il prompt successivo chiederà l'interfaccia LAN, digitare nuovamente il nome
dell'interfaccia corretto e premere il tasto 'Enter'. In questa installazione, 'em1' è l'interfaccia
LAN.
• PfSense continuerà a chiedere ulteriori interfacce se sono disponibili ma se tutte le
interfacce sono state assegnate, basta premere nuovamente il tasto 'Enter'.
• PfSense richiede ora di assicurarsi che le interfacce siano assegnate correttamente.
• Se le interfacce sono corrette, digitare 'y' e premere il tasto 'Enter'.
Il passo successivo sarà quello di assegnare le interfacce alla configurazione IP appropriata. Dopo
che pfSense torna alla schermata principale, digitare '2' e premere il tasto 'Enter'. (Assicurarsi di
tenere traccia dei nomi di interfaccia assegnati alle interfacce WAN e LAN).
* NOTA * Per questa installazione l'interfaccia WAN può utilizzare DHCP senza alcun problema,
ma possono essere presenti istanze in cui è necessario un indirizzo statico. Il processo per la
configurazione di un'interfaccia statica sul WAN sarebbe identico a quello dell'interfaccia LAN in
fase di configurazione.
Digitare di nuovo "2" quando viene richiesto quale interfaccia per impostare le informazioni IP.
Ancora 2 è l'interfaccia LAN.
Quando richiesto, digitare l'indirizzo IPv4 desiderato per questa interfaccia e premere il tasto 'Invio'.
Questo indirizzo non dovrebbe essere utilizzato in nessun altro luogo della rete e probabilmente sarà
il gateway predefinito per gli host che verranno collegati a questa interfaccia.
8
Sicurezza firewall PFsense
Il passo successivo chiederà la maschera di sottorete in quello che viene definito come maschera di
prefisso. Per questo esempio, verrà utilizzato un semplice / 24 o 255.255.255.0. Premere il tasto
'Enter' al termine.
La prossima domanda chiede di un 'Gateway Upstream IPv4'. Poiché l'interfaccia LAN è
attualmente configurata, basta premere il tasto 'Enter'.
Il prompt successivo chiede di configurare IPv6 sull'interfaccia LAN. Questa guida usa
semplicemente IPv4 ma se l'ambiente richiede IPv6, questo può essere configurato adesso.
Altrimenti, premendo semplicemente il tasto 'Enter' la configurazione continuerà.
Il prossimo passo chiede di avviare il server DHCP sull'interfaccia LAN. La maggior parte degli
utenti domestici dovrà attivare questa funzionalità. Anche in questo caso potrebbe essere necessario
configurarlo in base all'ambiente.
Questa guida presuppone che l'utente desideri che il firewall fornisca servizi DHCP e alloca 51
indirizzi per altri computer per ottenere un indirizzo IP dal dispositivo pfSense.
La prossima domanda chiederà di ripristinare lo strumento web di pfSense al protocollo HTTP.
Questo è sconsigliato, in quanto il protocollo HTTPS fornirà un certo livello di sicurezza per
impedire la divulgazione della password amministratore per lo strumento di configurazione web.
Una volta che l'utente preme "Enter", pfSense salverà le modifiche dell'interfaccia e avvia i servizi
DHCP sull'interfaccia LAN.
9
Sicurezza firewall PFsense
Notare che pfSense vi fornirà l'indirizzo web per accedere allo strumento di configurazione web
tramite un computer collegato alla rete LAN del dispositivo firewall. Ciò conclude i passaggi di
configurazione di base per rendere il dispositivo firewall pronto per ulteriori configurazioni e
regole.
L'interfaccia web è accessibile tramite un browser Web navigando sull'indirizzo IP dell'interfaccia
LAN.
Le credenziali fonrite di default per accedere a pfSense sono le seguenti:
username : adminpassword : pfsense
Dopo aver eseguito l'accesso con successo tramite l'interfaccia web per la prima volta, pfSense
eseguirà un'installazione iniziale per reimpostare la password dell'amministratore.
10
Sicurezza firewall PFsense
Il primo prompt riguarda la registrazione a pfSense Gold Subscription i vantaggi sono, il backup
automatico della configurazione, l'accesso ai materiali di formazione pfSense e gli incontri virtuali
periodici con gli sviluppatori pfSense. L'acquisto di un abbonamento Gold non è richiesto e il
passaggio può essere saltato se lo si desidera.
Il passaggio seguente indicherà l'utente per ulteriori informazioni di configurazione per il firewall
come nome host, nome di dominio (se applicabile) e server DNS.
Il prompt successivo sarà configurato Network Time Protocol, NTP. Le opzioni predefinite possono
essere lasciate a meno che non vengano richiesti server NTP diversi.
11
Sicurezza firewall PFsense
Dopo aver impostato il servizio NTP, l'installazione guidata pfSense richiederà all'utente di
configurare l'interfaccia WAN. PfSense supporta più metodi per la configurazione dell'interfaccia
WAN.
L'impostazione predefinita per la maggior parte degli utenti domestici è utilizzare DHCP. DHCP dal
provider di servizi Internet dell'utente è il metodo più comune per ottenere la configurazione IP
necessaria. In ambito aziendale, questa voce va cambiata con IP statico
Il passaggio successivo richiederà la configurazione dell'interfaccia LAN. Se l'utente è collegato
all'interfaccia web, l'interfaccia LAN è probabilmente già stata configurata.
12
Sicurezza firewall PFsense
Tuttavia, se l'interfaccia LAN deve essere modificata, questo passaggio consentirebbe di apportare
modifiche. Assicurarsi di ricordare quale sia l'indirizzo IP LAN impostato in quanto questo è il
modo in cui L'amministratore accederà all'interfaccia web!
Come tutte le cose nel mondo della sicurezza, le password predefinite rappresentano un rischio
estremo per la sicurezza. La prossima pagina richiederà all'amministratore di modificare la
password predefinita per l'utente "admin" all'interfaccia web pfSense.
13
Sicurezza firewall PFsense
Il passaggio finale consiste nel riavviare pfSense con le nuove configurazioni. Basta cliccare sul
pulsante 'Reload'
Dopo il riavvio di pfSense, verrà visualizzato all'utente con una schermata finale prima di accedere
all'interfaccia web completa. Basta cliccare sul secondo "click here" per accedere all'interfaccia web
completa.
Finalmente pfSense è pronto ora non resta che configurare le regole.
14
Sicurezza firewall PFsense
Ora che pfSense è in esecuzione, l'amministratore dovrà passare e creare regole per consentire il
traffico appropriato attraverso il firewall. Va notato che pfSense ha un valore predefinito per tutte le
regole. Per motivi di sicurezza, questo dovrebbe essere cambiato, ma questa è ancora una decisione
dell'amministratore.
15