ค้นหาเว็บไซต์

การติดตั้งและการกำหนดค่าเราเตอร์ไฟร์วอลล์ pfSense 2.4.4

อินเทอร์เน็ตเป็นสถานที่ที่น่ากลัวในทุกวันนี้ เกือบทุกวันมีเหตุการณ์ Zero Day ใหม่ การละเมิดความปลอดภัย หรือแรนซัมแวร์เกิดขึ้น ทำให้หลายคนสงสัยว่าจะสามารถรักษาความปลอดภัยระบบของตนได้หรือไม่

องค์กรหลายแห่งใช้จ่ายเงินหลายแสนดอลลาร์หรือหลายล้านดอลลาร์เพื่อพยายามติดตั้งโซลูชันความปลอดภัยล่าสุดและดีที่สุดเพื่อปกป้องโครงสร้างพื้นฐานและข้อมูลของตน ผู้ใช้ตามบ้านมีข้อเสียทางการเงิน การลงทุนแม้แต่ร้อยดอลลาร์ในไฟร์วอลล์เฉพาะมักจะอยู่นอกเหนือขอบเขตของเครือข่ายในบ้านส่วนใหญ่

โชคดีที่มีโครงการเฉพาะในชุมชนโอเพ่นซอร์สที่กำลังก้าวหน้าอย่างมากในด้านโซลูชันการรักษาความปลอดภัยของผู้ใช้ตามบ้าน โปรเจ็กต์ต่างๆ เช่น IPfire, Snort, Squid และ pfSense ล้วนมอบความปลอดภัยระดับองค์กรในราคาสินค้าโภคภัณฑ์!

PfSense เป็นโซลูชันไฟร์วอลล์แบบโอเพ่นซอร์สที่ใช้ FreeBSD การจัดจำหน่ายสามารถติดตั้งได้ฟรีบนอุปกรณ์ของตนเองหรือบริษัทที่อยู่เบื้องหลัง pfSense, NetGate จำหน่ายอุปกรณ์ไฟร์วอลล์ที่กำหนดค่าไว้ล่วงหน้า

ฮาร์ดแวร์ที่จำเป็นสำหรับ pfSense มีน้อยมาก และโดยทั่วไปแล้วโฮมทาวเวอร์รุ่นเก่าสามารถนำกลับมาใช้ใหม่เป็นไฟร์วอลล์ pfSense เฉพาะได้อย่างง่ายดาย สำหรับผู้ที่ต้องการสร้างหรือซื้อระบบที่มีความสามารถมากขึ้นเพื่อใช้งานคุณสมบัติขั้นสูงของ pfSense ได้มากขึ้น มีฮาร์ดแวร์ขั้นต่ำที่แนะนำดังนี้:

ฮาร์ดแวร์ขั้นต่ำ

  • ซีพียู 500 เมกะเฮิรตซ์
  • แรม 1GB
  • พื้นที่เก็บข้อมูล 4GB
  • การ์ดเชื่อมต่อเครือข่าย 2 ใบ

ฮาร์ดแวร์ที่แนะนำ

  • ซีพียู 1GHz
  • แรม 1GB
  • พื้นที่เก็บข้อมูล 4GB
  • การ์ดอินเทอร์เฟซเครือข่าย PCI-e 2 ใบขึ้นไป

คำแนะนำฮาร์ดแวร์ผู้ใช้ตามบ้านที่จริงจัง (และองค์กร)

ในกรณีที่ผู้ใช้ตามบ้านต้องการเปิดใช้งานคุณสมบัติและฟังก์ชันพิเศษมากมายของ pfSense เช่น Snort, การสแกนไวรัส, การขึ้นบัญชีดำ DNS, การกรองเนื้อหาเว็บ ฯลฯ ฮาร์ดแวร์ที่แนะนำจะมีส่วนร่วมมากขึ้นเล็กน้อย

เพื่อรองรับแพ็คเกจซอฟต์แวร์เพิ่มเติมบนไฟร์วอลล์ pfSense ขอแนะนำให้จัดเตรียมฮาร์ดแวร์ต่อไปนี้ให้กับ pfSense:

  • CPU แบบมัลติคอร์สมัยใหม่ที่ทำงานอย่างน้อย 2.0 GHz
  • แรม 4GB+
  • พื้นที่ HD 10GB+
  • การ์ดอินเทอร์เฟซเครือข่าย Intel PCI-e 2 ตัวขึ้นไป

การติดตั้ง pfSense 2.4.4

ในส่วนนี้เราจะเห็นการติดตั้ง pfSense 2.4.4 (เวอร์ชันล่าสุด ณ เวลาที่เขียนบทความนี้)

การตั้งค่าห้องปฏิบัติการ

pfSense มักจะสร้างความหงุดหงิดให้กับผู้ใช้ที่เพิ่งเริ่มใช้ไฟร์วอลล์ พฤติกรรมเริ่มต้นสำหรับไฟร์วอลล์หลายๆ ตัวคือการบล็อกทุกอย่าง ไม่ว่าจะดีหรือไม่ดี นี่เป็นสิ่งที่ยอดเยี่ยมจากมุมมองด้านความปลอดภัย แต่ไม่ใช่จากมุมมองการใช้งาน ก่อนที่จะเริ่มการติดตั้ง สิ่งสำคัญคือต้องกำหนดแนวคิดเป้าหมายสุดท้ายก่อนที่จะเริ่มการกำหนดค่า

กำลังดาวน์โหลด pfSense

ไม่ว่าจะเลือกฮาร์ดแวร์ใดก็ตาม การติดตั้ง pfSense ให้กับฮาร์ดแวร์นั้นเป็นกระบวนการที่ไม่ซับซ้อน แต่ผู้ใช้จะต้องใส่ใจเป็นพิเศษว่าจะใช้พอร์ตอินเทอร์เฟซเครือข่ายใดเพื่อจุดประสงค์ใด (LAN, WAN, ไร้สาย ฯลฯ)

ส่วนหนึ่งของกระบวนการติดตั้งจะเกี่ยวข้องกับการแจ้งให้ผู้ใช้เริ่มกำหนดค่าอินเทอร์เฟซ LAN และ WAN ผู้เขียนแนะนำให้เสียบเฉพาะอินเทอร์เฟซ WAN จนกว่าจะกำหนดค่า pfSense แล้วดำเนินการติดตั้งให้เสร็จสิ้นโดยเสียบอินเทอร์เฟซ LAN

ขั้นตอนแรกคือการขอรับซอฟต์แวร์ pfSense จาก https://www.pfsense.org/download/ มีตัวเลือกต่างๆ ให้เลือกสองสามตัว ขึ้นอยู่กับอุปกรณ์และวิธีการติดตั้ง แต่คู่มือนี้จะใช้ 'ตัวติดตั้ง AMD64 CD (ISO)'

ใช้เมนูแบบเลื่อนลงในลิงก์ที่ให้ไว้ก่อนหน้านี้ เลือกมิเรอร์ที่เหมาะสมเพื่อดาวน์โหลดไฟล์

เมื่อดาวน์โหลดตัวติดตั้งแล้ว คุณสามารถเบิร์นลงซีดีหรือคัดลอกลงไดรฟ์ USB ด้วยเครื่องมือ 'dd' ที่รวมอยู่ใน Linux ส่วนใหญ่

กระบวนการต่อไปคือการเขียน ISO ลงในไดรฟ์ USB เพื่อบู๊ตตัวติดตั้ง เพื่อให้บรรลุเป้าหมายนี้ ให้ใช้เครื่องมือ 'dd' ภายใน Linux ขั้นแรก ชื่อดิสก์จะต้องอยู่ในตำแหน่ง "lsblk"


lsblk

ด้วยชื่อของไดรฟ์ USB ที่กำหนดเป็น '/dev/sdc' จึงสามารถเขียน pfSense ISO ลงในไดรฟ์ได้ด้วยเครื่องมือ 'dd'


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

ข้อสำคัญ: คำสั่งข้างต้นต้องใช้สิทธิ์รูท ดังนั้นให้ใช้ 'sudo' หรือเข้าสู่ระบบในฐานะผู้ใช้รูทเพื่อรันคำสั่ง นอกจากนี้ คำสั่งนี้จะลบทุกอย่างบนไดรฟ์ USB อย่าลืมสำรองข้อมูลที่จำเป็น

การติดตั้ง pfSense

เมื่อ 'dd' เขียนลงในไดรฟ์ USB เสร็จแล้ว หรือซีดีถูกเบิร์นแล้ว ให้วางสื่อลงในคอมพิวเตอร์ที่จะตั้งค่าเป็นไฟร์วอลล์ pfSense บูตคอมพิวเตอร์เครื่องนั้นไปยังสื่อนั้น และหน้าจอต่อไปนี้จะปรากฏขึ้น

ที่หน้าจอนี้ ปล่อยให้ตัวจับเวลาหมดหรือเลือก 1 เพื่อดำเนินการบูตเข้าสู่สภาพแวดล้อมการติดตั้งต่อไป เมื่อโปรแกรมติดตั้งบูตเสร็จสิ้น ระบบจะแจ้งการเปลี่ยนแปลงใดๆ ที่ต้องการในรูปแบบแป้นพิมพ์ หากทุกอย่างแสดงเป็นภาษาท้องถิ่น เพียงคลิกที่ 'ยอมรับการตั้งค่าเหล่านี้'

หน้าจอถัดไปจะมีตัวเลือกให้ผู้ใช้เลือก "การติดตั้งด่วน/ง่าย" หรือตัวเลือกการติดตั้งขั้นสูงเพิ่มเติม เพื่อวัตถุประสงค์ของคู่มือนี้ ขอแนะนำให้ใช้ตัวเลือก 'ติดตั้งด่วน/ง่าย'

หน้าจอถัดไปจะยืนยันว่าผู้ใช้ต้องการใช้วิธี "ติดตั้งด่วน/ง่าย" ซึ่งจะไม่ถามคำถามมากนักระหว่างการติดตั้ง

คำถามแรกที่มีแนวโน้มที่จะนำเสนอจะถามว่าจะติดตั้งเคอร์เนลตัวใด ขอย้ำอีกครั้งว่าควรติดตั้ง 'เคอร์เนลมาตรฐาน' สำหรับผู้ใช้ส่วนใหญ่

เมื่อโปรแกรมติดตั้งเสร็จสิ้นขั้นตอนนี้ ระบบจะแจ้งให้รีบูต อย่าลืมถอดสื่อการติดตั้งออกด้วยเพื่อไม่ให้เครื่องบูตกลับเข้าไปในตัวติดตั้ง

การกำหนดค่า pfSense

หลังจากรีบูต และนำสื่อ CD/USB ออก pfSense จะรีบูตเข้าสู่ระบบปฏิบัติการที่ติดตั้งใหม่ ตามค่าเริ่มต้น pfSense จะเลือกอินเทอร์เฟซที่จะตั้งค่าเป็นอินเทอร์เฟซ WAN ด้วย DHCP และปล่อยให้อินเทอร์เฟซ LAN ไม่ได้รับการกำหนดค่า

แม้ว่า pfSense จะมีระบบการกำหนดค่าแบบกราฟิกบนเว็บ แต่จะทำงานบนฝั่ง LAN ของไฟร์วอลล์เท่านั้น แต่ในขณะนี้ ฝั่ง LAN จะไม่ได้รับการกำหนดค่า สิ่งแรกที่ต้องทำคือตั้งค่าที่อยู่ IP บนอินเทอร์เฟซ LAN

โดยทำตามขั้นตอนเหล่านี้:

  • พิมพ์ 'n' และกดปุ่ม 'Enter' เมื่อถามเกี่ยวกับ VLAN
  • พิมพ์ชื่ออินเทอร์เฟซที่บันทึกไว้ในขั้นตอนที่หนึ่งเมื่อได้รับพร้อมท์สำหรับอินเทอร์เฟซ WAN หรือเปลี่ยนเป็นอินเทอร์เฟซที่เหมาะสมทันที ตัวอย่างนี้อีกครั้ง 'em0' คืออินเทอร์เฟซ WAN เนื่องจากจะเป็นอินเทอร์เฟซที่เชื่อมต่อกับอินเทอร์เน็ต
  • ข้อความถัดไปจะถามถึงอินเทอร์เฟซ LAN พิมพ์ชื่ออินเทอร์เฟซที่ถูกต้องอีกครั้งแล้วกดปุ่ม 'Enter' ในการติดตั้งนี้ 'em1' คืออินเทอร์เฟซ LAN
  • pfSense จะยังคงขออินเทอร์เฟซเพิ่มเติมต่อไปหากมีอยู่ แต่หากมีการกำหนดอินเทอร์เฟซทั้งหมดแล้ว เพียงกดปุ่ม 'Enter' อีกครั้ง
  • pfSense จะแจ้งเตือนเพื่อให้แน่ใจว่าอินเทอร์เฟซได้รับการกำหนดอย่างถูกต้อง

  • หากอินเทอร์เฟซถูกต้อง ให้พิมพ์ 'y' และกดปุ่ม 'Enter'


    • ขั้นตอนต่อไปคือการกำหนดการกำหนดค่า IP ที่เหมาะสมให้กับอินเทอร์เฟซ หลังจากที่ pfSense กลับสู่หน้าจอหลักแล้ว ให้พิมพ์ '2' และกดปุ่ม 'Enter' (อย่าลืมติดตามชื่ออินเทอร์เฟซที่กำหนดให้กับอินเทอร์เฟซ WAN และ LAN)

    *NOTE* สำหรับการติดตั้งนี้ อินเทอร์เฟซ WAN สามารถใช้ DHCP ได้โดยไม่มีปัญหาใดๆ แต่อาจมีบางกรณีที่จำเป็นต้องใช้ที่อยู่แบบคงที่ กระบวนการในการกำหนดค่าอินเทอร์เฟซแบบคงที่บน WAN จะเหมือนกับอินเทอร์เฟซ LAN ที่กำลังจะได้รับการกำหนดค่า

    พิมพ์ '2' อีกครั้งเมื่อได้รับแจ้งว่าอินเทอร์เฟซใดที่จะตั้งค่าข้อมูล IP อีก 2 คืออินเทอร์เฟซ LAN ในการดำเนินการนี้

    เมื่อได้รับแจ้ง ให้พิมพ์ที่อยู่ IPv4 ที่ต้องการสำหรับอินเทอร์เฟซนี้แล้วกดปุ่ม 'Enter' ที่อยู่นี้ไม่ควรใช้ที่อื่นบนเครือข่าย และมีแนวโน้มว่าจะกลายเป็นเกตเวย์เริ่มต้นสำหรับโฮสต์ที่จะเสียบเข้ากับอินเทอร์เฟซนี้

    พรอมต์ถัดไปจะถามถึงซับเน็ตมาสก์ในรูปแบบที่เรียกว่ารูปแบบคำนำหน้า สำหรับเครือข่ายตัวอย่างนี้ จะใช้ /24 หรือ 255.255.255.0 แบบธรรมดา กดปุ่ม 'Enter' เมื่อดำเนินการเสร็จ

    คำถามถัดไปจะถามเกี่ยวกับ 'เกตเวย์ IPv4 อัปสตรีม' เนื่องจากปัจจุบันอินเทอร์เฟซ LAN ได้รับการกำหนดค่า เพียงกดปุ่ม 'Enter'

    พรอมต์ถัดไปจะขอให้กำหนดค่า IPv6 บนอินเทอร์เฟซ LAN คู่มือนี้ใช้เพียง IPv4 แต่หากสภาพแวดล้อมต้องการ IPv6 ก็สามารถกำหนดค่าได้ทันที มิฉะนั้น เพียงกดปุ่ม 'Enter' ก็จะดำเนินต่อไป

    คำถามถัดไปจะถามเกี่ยวกับการเริ่มต้นเซิร์ฟเวอร์ DHCP บนอินเทอร์เฟซ LAN ผู้ใช้ตามบ้านส่วนใหญ่จะต้องเปิดใช้งานคุณสมบัตินี้ อีกครั้งนี้อาจจำเป็นต้องปรับเปลี่ยนขึ้นอยู่กับสภาพแวดล้อม

    คู่มือนี้สันนิษฐานว่าผู้ใช้ต้องการให้ไฟร์วอลล์ให้บริการ DHCP และจะจัดสรรที่อยู่ 51 รายการให้กับคอมพิวเตอร์เครื่องอื่นเพื่อรับที่อยู่ IP จากอุปกรณ์ pfSense

    คำถามถัดไปจะขอให้เปลี่ยนเครื่องมือเว็บของ pfSense กลับเป็นโปรโตคอล HTTP ขอแนะนำอย่างยิ่งว่าอย่าทำเช่นนี้ เนื่องจากโปรโตคอล HTTPS จะให้การรักษาความปลอดภัยในระดับหนึ่งเพื่อป้องกันการเปิดเผยรหัสผ่านผู้ดูแลระบบสำหรับเครื่องมือกำหนดค่าเว็บ

    เมื่อผู้ใช้กด 'Enter' pfSense จะบันทึกการเปลี่ยนแปลงอินเทอร์เฟซ และเริ่มบริการ DHCP บนอินเทอร์เฟซ LAN

    โปรดสังเกตว่า pfSense จะให้ที่อยู่เว็บเพื่อเข้าถึงเครื่องมือกำหนดค่าเว็บผ่านคอมพิวเตอร์ที่เสียบเข้ากับด้าน LAN ของอุปกรณ์ไฟร์วอลล์ นี่เป็นการสรุปขั้นตอนการกำหนดค่าพื้นฐานเพื่อทำให้อุปกรณ์ไฟร์วอลล์พร้อมสำหรับการกำหนดค่าและกฎเพิ่มเติม

    เว็บอินเทอร์เฟซเข้าถึงได้ผ่านเว็บเบราว์เซอร์โดยนำทางไปยังที่อยู่ IP ของอินเทอร์เฟซ LAN

    ข้อมูลเริ่มต้นสำหรับ pfSense ณ เวลาที่เขียนบทความนี้มีดังนี้:

    
Username: admin
Password: pfsense

    หลังจากการเข้าสู่ระบบผ่านเว็บอินเทอร์เฟซสำเร็จเป็นครั้งแรก pfSense จะดำเนินการผ่านการตั้งค่าเริ่มต้นเพื่อรีเซ็ตรหัสผ่านผู้ดูแลระบบ

    ข้อความแจ้งแรกคือการลงทะเบียน pfSense Gold Subscription ซึ่งมีประโยชน์ต่างๆ เช่น การสำรองข้อมูลการกำหนดค่าอัตโนมัติ การเข้าถึงสื่อการฝึกอบรม pfSense และการประชุมเสมือนจริงเป็นระยะกับนักพัฒนา pfSense ไม่จำเป็นต้องซื้อการสมัครสมาชิกระดับ Gold และสามารถข้ามขั้นตอนนี้ได้หากต้องการ

    ขั้นตอนต่อไปนี้จะแจ้งให้ผู้ใช้ระบุข้อมูลการกำหนดค่าเพิ่มเติมสำหรับไฟร์วอลล์ เช่น ชื่อโฮสต์ ชื่อโดเมน (ถ้ามี) และเซิร์ฟเวอร์ DNS

    ข้อความถัดไปคือการกำหนดค่า Network Time Protocol, NTP ตัวเลือกเริ่มต้นสามารถทิ้งไว้ได้เว้นแต่ต้องการเซิร์ฟเวอร์เวลาที่แตกต่างกัน

    หลังจากตั้งค่า NTP วิซาร์ดการติดตั้ง pfSense จะแจ้งให้ผู้ใช้กำหนดค่าอินเทอร์เฟซ WAN pfSense รองรับหลายวิธีในการกำหนดค่าอินเทอร์เฟซ WAN

    ค่าเริ่มต้นสำหรับผู้ใช้ตามบ้านส่วนใหญ่คือการใช้ DHCP DHCP จากผู้ให้บริการอินเทอร์เน็ตของผู้ใช้เป็นวิธีการทั่วไปในการรับการกำหนดค่า IP ที่จำเป็น

    ขั้นตอนต่อไปจะแจ้งให้กำหนดค่าอินเทอร์เฟซ LAN หากผู้ใช้เชื่อมต่อกับเว็บอินเทอร์เฟซ แสดงว่าอินเทอร์เฟซ LAN ได้รับการกำหนดค่าแล้ว

    อย่างไรก็ตาม หากจำเป็นต้องเปลี่ยนอินเทอร์เฟซ LAN ขั้นตอนนี้จะอนุญาตให้ทำการเปลี่ยนแปลงได้ อย่าลืมจำไว้ว่าที่อยู่ IP ของ LAN ถูกตั้งค่าไว้เป็นเช่นนี้
    ผู้ดูแลระบบจะเข้าถึงเว็บอินเตอร์เฟส!

    เช่นเดียวกับทุกสิ่งในโลกแห่งความปลอดภัย รหัสผ่านเริ่มต้นแสดงถึงความเสี่ยงด้านความปลอดภัยขั้นรุนแรง หน้าถัดไปจะแจ้งให้ผู้ดูแลระบบเปลี่ยนรหัสผ่านเริ่มต้นสำหรับผู้ใช้ 'ผู้ดูแลระบบ' เป็นเว็บอินเทอร์เฟซ pfSense

    ขั้นตอนสุดท้ายเกี่ยวข้องกับการรีสตาร์ท pfSense ด้วยการกำหนดค่าใหม่ เพียงคลิกปุ่ม 'โหลดซ้ำ'

    หลังจากที่ pfSense โหลดซ้ำ ระบบจะแสดงหน้าจอสุดท้ายให้ผู้ใช้เห็นก่อนเข้าสู่ระบบอินเทอร์เฟซเว็บแบบเต็ม เพียงคลิกส่วนที่สอง 'คลิกที่นี่' เพื่อเข้าสู่อินเทอร์เฟซเว็บแบบเต็ม

    ในที่สุด pfSense ก็พร้อมใช้งานและพร้อมที่จะกำหนดค่ากฎแล้ว!

    เมื่อ pfSense เริ่มทำงานแล้ว ผู้ดูแลระบบจะต้องดำเนินการและสร้างกฎเพื่ออนุญาตการรับส่งข้อมูลที่เหมาะสมผ่านไฟร์วอลล์ ควรสังเกตว่า pfSense มีค่าเริ่มต้นที่อนุญาตกฎทั้งหมด เพื่อความปลอดภัย สิ่งนี้ควรมีการเปลี่ยนแปลง แต่นี่เป็นการตัดสินใจของผู้ดูแลระบบอีกครั้ง

    อ่านเพิ่มเติม : ติดตั้งและกำหนดค่า pfBlockerNg สำหรับ DNS Black Listing ในไฟร์วอลล์ pfSense

    ขอขอบคุณที่อ่านบทความ TecMint เกี่ยวกับการติดตั้ง pfSense! โปรดติดตามบทความในอนาคตเกี่ยวกับการกำหนดค่าตัวเลือกขั้นสูงบางส่วนที่มีอยู่ใน pfSense