הסבר על Firewall והתקנת pfsense כל הזכויות שמורות לטל בן שושן Shushan.co.il הסבר על Firewall והתקנת pfsense ניתן לקרוא על FW של צ ק פוינט מדיע נוסף במאמר : הסבר על CheckPoint GAiA R77.30 pfsense pfsense הוא Firewall קוד פתוח ונראה כי המתקדם ביותר מבחינת Firewall שהוא,Open Source המערכת מבוססת Free BSD למעשה pfsense הוא לא רק Firewall והוא מכיל בתוכו המון פיצ רים, פיצ רים כמו IDS\IPS, DLP, VPN ועוד Firewall לרוב יונח באמצע, הכוונה לאמצע היא שהוא יהיה ה,Default Gateway לרוב ה Default Gateway יהיה הראוטר שכן הוא זה שמוביל לאינטרנט, כאשר נניח Firewall באמצע, נאלץ להגדיר לכל המחשבים ברשת את הכתובת של הפורט בראוטר כ Default Gateway בתצורה זו ה FW מחליף את הראוטר ומבצע את תפקידו של הראוטר, ככה כל חבילה שעוברת מהעולם אל הרשת הפנימית עוברת בדיקה של ה FW למשל התרשים הבא
ניתן לראות שתי רשתות 192.168.1.0 192.168.5.0 כל המחשבים ברשתות האלו כאשר הם ירצו ל דבר התקשורת תעבור דרך ה FW וה FW יבצע בדיקה לכל Packet שעובר, כך למעשה יחליט האם מותר ל מידע הזה לעבור או לא, את ההחלטה הזו הוא מקבל ע פ חוקי ה.FW גם כאשר רשת פנימית רוצה לצאת לרשת החיצונית, היא עוברת בתוך ה FW ועדיין עוברת סינון התקנת והגדרת pfsense והגדרת הרשת כולה במאמר זה נתקין את pfsense ונסקור את כל האפשרויות הקיימות, בחלקים החשובים נתמקד. בגלל ש pfsense הוא Inline Firewall ושאר האופציות בו הן כאלה, נעבוד על פי התרשים הבא :
ההתקנה כולה מבוצעת על Oracle VirtualBox ע פ התרשים נקים את ה pfsense ונגדיר את כרטיסי הרשת כך : pfsense כרטיס ראשון Bridge Adapter :
כרטיס שני,Internal Network : שם הסוויצ הוירטואלי הוא intnet
metasploitable3-win2k8 זהו המחשב הפגיע הוא ישב מאחורי ה FW שכן נוכל לבדוק את החסימות ושאר הפיצ רים שנתקין על מנת להקשיח את הרשת כרטיס הרשת שלו הוא פנימי בלבד, הוא כן יוצא לאינטרנט שכן הוא עובר דרך ה FW ויוצא לאינטרנט כרטיס ראשון,Internal Network : שם הסוויצ הוירטואלי הוא intnet
Kali 2018 כרטיס הרשת של Kali הוא חיצוני, שכן ההדמיה שאנחנו רוצים לייצר זה של הפצה של קאלי מנסה לתקוף מחשב היושב מאחורי pfsense כרטיס ראשון Bridge Adapter :
התקנת pfsense נתחיל תחילה בהתקנת,pfsense את ההתקנה יש להוריד מאתר הרישמי לאחר ההורדה, טענו את קובץ ה ISO ל VM והתחילו בהתקנה אישור
לחצו Enter הבא
OK לחצו על No
הוציא את הדיסק ISO מתוך ה VM והמשיכו לריסטארט כעת לאחר שהמערכת עלתה, שני דברים קרו כתובת אחת הוקצתה ל em0 שזה כרטיס רשת ה חיצוני שלנו ה Bridge שהכתובת שקיבלנו מה DHCP שקיים אצלנו בראוטר הוא 192.168.31.61 כתובת אחת הוקצתה 192.168.1.1 ככתובת לרשת הפנימית, ואת זה ה pfsense קבע ע פ התרשים, אנו צריכים לשנות את הכתובת של em1 לכתובת 192.168.5.10 כאשר pfsense עלה נרשום 2 על מנת לשנות את כתובת ה IP 2
כעת נבחר שוב באפשרות 2 שכן זה כתובת סטטית כעת נזין את כתובת ה IP שהחלטנו 192.168.1.10 נלחץ Enter כעת נבחר את ה Prefix של הרשת שהוא 24 ושוב נלחץ enter ואז בכתובת ה gateway שוב ) enter בלי להזין כלום( וגם כאשר הוא דורש כתובת IPv6
נסמן לא n כעת במחשב ה Metasploitable3 או במחשב )שזה שיושב מאחורי ה (FW נזין את ה IP כמו שצריך
הגדרה ראשונית pfsense לאחר מכן נפתח את הדפדפן ונגלוש לכתובת,192.168.5.10 שכן זה הכתובת של em1 ב pfsense
שם המשתמש admin : סיסמא pfsense : נלחץ על הבא
הבא כאן נזין רק את ה DNS של גוגל )או (1.1.1.1
נשנה את ה Timezone לירושלים נרד הכי למטה ונלחץ ) Next יש כאן אפשרויות שנשנה, אבל נעשה את זה בשלב מאוחר יותר(
נראה שהכתובת תקינה, נלחץ הבא חובה לשנות את הסיסמא ל ) pfsense זכרו אותה(
כעת לחצו Reload כעת לחצו על Click here to pfsense webconfigureator ברוכים הבאים ל!pfsense במסך הראשי נוכל להבחין בכל פרטי המערכת, קרנל, סוג המעבד, כתובות ה,DNS מתי שונה לאחרונה ומצד ימין את מצב הפורטים
למטה יותר ניתן להבחין ב RAM ו CPU בשימוש על ידי ה pfsense כעת לפני שנתחיל בהסברים, *לא חובה ניתן להגדיר גישה ל pfsense מתוך המחשב הפיזי )זה שעליו יושבים כל ה ( VM s כדי שיהיה קל יותר לעבוד נלחץ על Interfaces ואז WAN
הכי למטה, יש 2 סעיפים Block private networks and loopback addresses חסימה של רשתות פנימיות כמו 192.168.0.0 או 10.0.0.0 או 172.16/12 וכו שכן לא הגיוני שכתובות פנימיות יגיעו מה ) WAN רשת חיצונית( ועוד ינסו לגשת ל ) pfsense לכן רק הכתובת ה פנימית שמגיעה מהפורט של ה LAN יש גישה ל pfsense block bogon networks רשתות ששמורות ע פ IANA ולכן לא יכול להיות שהם מנותבות ברשת בעולם ויגיעו ל Firewall שלנו נסיר את 2 ה V האלו על מנת לבצע בדיקות והאפשרות הראשונה זה לאפשר לרשת שלנו ה WAN שזה רשת 192.168.31.0 להתחבר ל pfsense ולחצו save
עדיין לא סיימנו! חסר רק לפתוח חוק ב,FW נגיע ל Firewall ואז Rules נלחץ על Add ב Destination נבחר ב this Firewall ואז בפורטים נזין 443 ואז save
כעת נלחץ Apple Changes וננסה לגשת מהדפדפן של המחשב הפיזי אפשרויות pfsense System -> Advance כעת נסקור את האפשרויות החשובות ביותר )שאר הפונקציות גם חשובות אך מבחינת הפעילות היום יומית אלו הדברים הקריטיים ביותר ב System -> Advance לשונית Admin Access : ניתן להגדיר ש pfsense לפחות ה WebUI יעבוד ב ) http לא רצוי ופחות מאובטח( ולשנות את הפורט של הפאנל
כאן ניתן להגדיר האם יהיה אפשר להתחבר,SSH לחלק זה חשוב על מנת להתחבר מרחוק ל FW ולנהל אותו דרך,Putty רק אל תשכחו שאם הפעלת אפשרות זו, פתחו את הפורט בחוקי ה FW בלשונית Firewall & NAT : באפשרות Disable Firewall ניתן לבטל את ה Firewall עצמו בכך שלא ינתח את ה Packets ניתן להשתמש בפונקציה זו על מנת לבדוק תקלה שחושדים שה FW חוסם *אפשרות נוספת אם יש בעיה עם תקשורת של שרתי ) NFS מסוג (Share אפשר לבטל אפשרות זו על מנת לשלול אם הבעיה היא ב FW
אפשרויות אלו שייכות ל,NAT ביצוע NAT כתובת תמורת כתובת 1:1 או הגדרת ה NAT כלפי פורטים כרגע אין לנו צורך להגדיר NAT
בלשונית Networking : ניתן לבטל לחלוטין IPv6 ולחסום אותו, הסיבה שיש מערכות שעובדות עם IPv6 בשביל גילוי וכו )לא בשביל לעבוד באופן תקין( ולפעמים יש בעיות אבטחה בפרוטוקול הזה ולכן אם בארגון בו הנחתם את ה pfsense ולא מוגדר שום רכיב לעבוד ב IPv6 אפשר לבטל את ה V וכל ה IPv6 ייחסם
בלשונית Notfications ניתן להגדיר שרת דואר ואז להגדיר שישלחו אליכם התראות בארגון זה פיצ ר מאוד חשוב שכן כך תוכלו להיות תמיד בעדכונים לגבי חסימות, בעיות וכו
System > Cert Manager בלשונית זו ניתן להגדיר תעודת אבטחה )בלשונית (Certifiacte כרגע התעודה שקיימת כפי שניתן להבחין היא Self Signed Certificate
System > General Setup כאן נוכל לשנות את שם השרת, להגדיר דומיין אם קיים ולהגדיר DNS של השרת עצמו למטה קצת ניתן להגדיר את עיצוב המערכת )לחלק זה חשוב( ולשנות את תצורת מבנה הפאנל
System > Package Manager פונקציה זו נותנת לנו את האפשרות להוריד פצ רים מהאינטרנט כמו IDS IPS או DLP ועוד במאמר אחר באתר של הגדרת IDP\IPS ניתן לבצע את המדריך
Interfaces > WAN & LAN כאן ניתן להגדיר ל WAN את כתובת ה IP שלו ול LAN את כתובת ה IP שלו זה דרוש כאשר רוצים לשנות כתובת, או כאשר הוספנו פורט למערכת, ניתן גם לבטל או להפעיל פורט קיים Firewall הפיצ ר המרכזי ב pfsense האופציה הראשונה שנכנס היא
Firewall > NAT באופציה זו ניתן להגדיר NAT לכל כיוון ברשת, למשל אני מעוניין להגדיר שטווח כתובות מאחרו יה FW יצאו לרשת X עם טווח אחר או יסתתרו מאחורי כתובת IP אחת, אני מגדיר כאן Firewall > Rules בפיצ ר זה נראה כיצד לפתוח פורט, כאשר אני מעוניין להוסיף חוק חדש, למשל שמאפשר לפני כן נבחין שיש 2 סטים של חוקים LAN, ו WAN ויכול להיות יותר זה לפי הרשתות שיש לכם בארגון האם החוקים חלים על רשת X או רשת Y וכו אצלנו רשת ה LAN היא 192.168.5.0 רשת ה WAN היא ) 192.168.31.0 הרשת הפיזית, גם למחשב הפיזי שמחזיק את ה VM יש כתובת בטווח הזה( כעת נבצע סוג של מעבדה של ניסיון התחברות ב SSH ל,pfsense בדיקה האם התקשורת נחסמה וכיצד פותחים אותה. מעבדונת נאפשר SSH תחילה ב System > Advanced נסמן V ב Enable SSH ושמור
כעת ננסה להתחבר דרך,Putty נקבל את השגיאה השגיאה היא בגלל שיש חסימה שעלינו לפתוח ב Firewall כיצד בודקים אם יש חסימה? נלך ללשונית Status > System Logs -> Firewall כעת נלחץ על ה Filter על מנת לסנן את הכתובת שלנו בלבד או הפורט בלבד וכו נוכל לסנן לפי הכתובת שממנה אנחנו מנסים, או אל הכתובת אבל בגלל שאנחנו יודעים שהפורט הוא SSH והוא, 22 נפלטר רק לפי הפורט
ונוכל לראות שיש חסימה, כעת שאנו יודעים שיש חסימה, נפתח אותה ב Rules נפתח חוק חדש, האם נלחץ Add למטה או למעלה? אל תשכחו! חוקי FW מבוססים על מי מעל מי ולכן לרוב נלחץ על Add עם החץ למעלה כמו בתמונה נשאיר את החוק על Pass שכן כאן ניתן לקבוע האם החוק יחסום או יעביר את ה Packet
ה Interface הוא חשוב, שכן מאיזה פורט \ רשת תגיע התקשורת הזו? אנחנו רוצים להגיע מרשת ה WAN אל תוך הכתובת של ה ) FW להתחבר ב SSH אליו(, אז מעולה הפרוטוקול הוא IPv4 והפרוטוקול הוא TCP ב Source על מנת לדייק נוכל להכניס כתובת של המחשב הפיזי או לכולם, כעת נגדיר לכולם וב Destination נגדיר את ה FW עצמו ובפורט את SSH 22
כעת נשמור ואז,Apply Changes כל השינויים שבוצעו ישמרו כעת למערכת ניתן להתחבר!! Services מכיל שירותי רשתות רבים שבהם ניתן להשתמש, אם אינכם מכירים חלק בצעו עליהם מחקר
ותוכלו להגדיר אותם גם כאן VPN קיימים באתר מאמרים רבים המסבירים את פעולת ה,VPN ניתן לקרוא באתר ובמאמר אחר באתר להפעיל את ה VPN של pfsense
Status כאן יוצג לכם סטטוס של כל פיצ ר שהפעלתם כמו ה System Logs של הפיירוואל עצמו וכו אבל פיצ ר אחד כאן טוען את קבצי הקונפיגורציה והוא חשוב כאשר לא נטען רכיב מסוים והוא ה Filter Reload אם אתם מקבלים שגיאה, כנראה שיש בעיה באחד הרכיבים ואם הכל נטען אז רוב הסיכויים שהכל תקין Diagnostics כאן נמצאים כמה הגדרות חשובות Backup גיבוי ושחזור של ההגדרות Command Propmt גישה ל,Terminal שליחת פקודה ישירות מכאן DNS Lookup בדיקה של DNS ובכך לבדוק אם יש בעיית DNS ב pfsense Packet Capture בדיקה של Packets שעוברים ברשת ולבדוק אם יש תקלה Ping ביצוע פינג לתחנה מסוימת Routes בדיקת טבלת הניתוב של pfsense גם שאר הפיצ רים חשובים, אבל זה אם אתם צריכים באותו הרגע כמו שאר הפי צרים שכאן
כדי ש KALI או כל מחשב בצד של ה WAN יכיר את הרשת יש להוסיף ניתוב כך : כעת בשביל שיהיה פינג בין התחנה ב WAN לתחנה ב Lan נגדיר את חוקי הפיירואל
נלך ל Firewall > Rules -> WAN ונלחץ על Add נגדיר את הפורטוקול ל ICMP ונשאיר הכל על Any כעת נשמור ונחיל את החוק
הגדרת תעודת אבטחה ב VestaCP בחינם הגדרת תעודת אבטחה ב VestaCP בחינם במאמר זה נראה כיצד להגדיר לשרת שלנו ולאתר הראשי שלנו תעודת אבטחה בחיני חינם, תחילה היכנסו לאתר https://www.sslforfree.com
הכניסו את כתובת האתר שלכם הגדירו Manual Verification ואז Manually Verfiy Doamin על מנת לאמת שהדומיין אכן שלכם
הורידו את 3 הקבצים שמופיעים בסעיף 1 כעת הגיעו לנתיב הראשי של התיקייה שלכם שבה האתר HTML של האתר שלכם יושב
צרו תיקייה בשם.well-known כעת בתוך התיקייה צרו תיקייה נוספת בשם acme-challenge ובתוכה הכניסו את 2 הקבצים שהורדתם
כעת לחצו על הכפתור Download SSL Certificate יופיע לכם 3 תאים השאירו את האתר פתוח )אל תסגרו אותו!( פתחו את האתר שלכם ואז כנסו לסעיף Web ערכו את האתר שלכם Edit הזינו כל תא בתא שלו )סה כ 3 תאים(
לאתר שלכם SSH ופתחו Putty כעת שמרו ואז עברו ל צרו תיקייה [root@localhost ~]# sudo mkdir /etc/ssl.local כנסו אליה [root@localhost ~]# cd /etc/ssl.local קבצים ובכל קובץ הכניסו את פרטי התעודה והמפתח הפרטי 2 צרו [root@localhost ~]# vi shushan.tk.key [root@localhost ~]# vi shushan.tk.crt הגדירו הרשאה לתיקיה [root@localhost ~]# chmod 711 /etc/ssl.local [root@localhost ~]# chmod 600 /etc/ssl.local/* Nginix כעת ערכו את הקובץ ההגדרות הראשי של [root@localhost ~]# vi /usr/local/vesta/nginx/conf/nginx.conf
ssl_certificate חפשו את השורה של כעת שנו את זה למיקום של התעודה שלכם ssl_certificate /etc/ssl.local/shushan.tk.crt ssl_certificate_key /etc/ssl.local/shushan.tk.key VestaCP כעת בצעו ריסטארט לשרות ה [root@localhost ~]# service vesta restart