Πώς να εγκαταστήσετε και να ρυθμίσετε το βασικό τείχος προστασίας του OpnSense

Σε προηγούμενο άρθρο, συζητήθηκε μια λύση τείχους προστασίας γνωστή ως PfSense. Στις αρχές του 2015 ελήφθη μια απόφαση να διαχωριστεί το PfSense και κυκλοφόρησε μια νέα λύση τείχους προστασίας που ονομάζεται OpnSense.

Το OpnSense ξεκίνησε τη ζωή του ως ένα απλό fork του PfSense, αλλά έχει εξελιχθεί σε μια εντελώς ανεξάρτητη λύση τείχους προστασίας. Αυτό το άρθρο θα καλύψει την εγκατάσταση και τη βασική αρχική διαμόρφωση μιας νέας εγκατάστασης OpnSense.

Όπως το PfSense, το OpnSense είναι μια λύση τείχους προστασίας ανοιχτού κώδικα που βασίζεται στο FreeBSD. Η διανομή είναι δωρεάν για εγκατάσταση στον δικό του εξοπλισμό ή η εταιρεία Decisio, πουλάει προδιαμορφωμένες συσκευές τείχους προστασίας.

Το OpnSense έχει ένα ελάχιστο σύνολο απαιτήσεων και ένας τυπικός παλαιότερος πύργος σπιτιού μπορεί εύκολα να ρυθμιστεί ώστε να λειτουργεί ως τείχος προστασίας OpnSense. Οι προτεινόμενες ελάχιστες προδιαγραφές είναι οι εξής:

Ελάχιστα Υλικό

CPU 500 Mhz
1 GB μνήμης RAM
4 GB αποθηκευτικού χώρου
2 κάρτες διασύνδεσης δικτύου

Προτεινόμενο Υλικό

CPU 1 GHz
1 GB μνήμης RAM
4 GB αποθηκευτικού χώρου
2 ή περισσότερες κάρτες διασύνδεσης δικτύου PCI-e.

Εάν ο αναγνώστης επιθυμεί να χρησιμοποιήσει ορισμένες από τις πιο προηγμένες δυνατότητες του OpnSense (Suricata, ClamAV, διακομιστής VPN, κ.λπ.) στο σύστημα θα πρέπει να δοθεί καλύτερο υλικό.

Όσο περισσότερες μονάδες επιθυμεί να ενεργοποιήσει ο χρήστης, τόσο περισσότερος χώρος RAM/CPU/Drive θα πρέπει να περιλαμβάνεται. Προτείνεται να πληρούνται τα ακόλουθα ελάχιστα αν υπάρχουν σχέδια για ενεργοποίηση προηγμένων λειτουργικών μονάδων στο OpnSense.

Σύγχρονη πολυπύρηνη CPU με τουλάχιστον 2,0 GHz
4 GB+ RAM
10 GB+ χώρου HD
2 ή περισσότερες κάρτες διεπαφής δικτύου Intel PCI-e

Εγκατάσταση και διαμόρφωση του τείχους προστασίας του OpnSense

Ανεξάρτητα από το υλικό που θα επιλεγεί, η εγκατάσταση του OpnSense είναι μια απλή διαδικασία, αλλά απαιτεί από τον χρήστη να προσέξει ποιες θύρες διεπαφής δικτύου θα χρησιμοποιηθούν για ποιο σκοπό (LAN, WAN, Wireless, κ.λπ.).

Μέρος της διαδικασίας εγκατάστασης θα περιλαμβάνει την προτροπή του χρήστη να ξεκινήσει τη διαμόρφωση των διεπαφών LAN και WAN. Ο συγγραφέας προτείνει να συνδέσετε μόνο τη διεπαφή WAN μέχρι να ρυθμιστεί το OpnSense και στη συνέχεια να προχωρήσετε στην ολοκλήρωση της εγκατάστασης συνδέοντας τη διεπαφή LAN.

Λήψη τείχους προστασίας του OpnSense

Το πρώτο βήμα είναι να αποκτήσετε το λογισμικό OpnSense και υπάρχουν μερικές διαθέσιμες επιλογές ανάλογα με τη συσκευή και τη μέθοδο εγκατάστασης, αλλά αυτός ο οδηγός θα χρησιμοποιήσει το 'OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2».

Το ISO λήφθηκε χρησιμοποιώντας την ακόλουθη εντολή:

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Μόλις γίνει λήψη του αρχείου, πρέπει να αποσυμπιεστεί χρησιμοποιώντας το εργαλείο bunzip ως εξής:

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Αφού γίνει λήψη και αποσυμπίεση του προγράμματος εγκατάστασης, μπορεί είτε να εγγραφεί σε CD είτε να αντιγραφεί σε μονάδα USB με το εργαλείο 'dd'< Το περιλαμβάνεται στις περισσότερες διανομές Linux.

Η επόμενη διαδικασία είναι να γράψετε το ISO σε μια μονάδα USB για να εκκινήσετε το πρόγραμμα εγκατάστασης. Για να το πετύχετε αυτό, χρησιμοποιήστε το εργαλείο ‘dd’ στο Linux.

Πρώτον, το όνομα του δίσκου πρέπει να βρίσκεται με "lsblk".

lsblk

Με το όνομα της μονάδας USB καθορισμένο ως '/dev/sdc', το OpnSense ISO μπορεί να εγγραφεί στη μονάδα με το στοιχείο εργαλείο 'dd'.
sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc
Σημείωση: Η παραπάνω εντολή απαιτεί δικαιώματα root, επομένως χρησιμοποιήστε το ‘sudo’ ή συνδεθείτε ως χρήστης root για να εκτελέσετε την εντολή. Επίσης, αυτή η εντολή θα ΚΑΤΑΡΓΗΣΕΙ ΟΛΑ στη μονάδα USB. Φροντίστε να δημιουργήσετε αντίγραφα ασφαλείας των απαραίτητων δεδομένων.
Εγκατάσταση του τείχους προστασίας OpnSense
Μόλις το dd ολοκληρώσει την εγγραφή στη μονάδα USB, τοποθετήστε τα μέσα στον υπολογιστή που θα ρυθμιστεί ως το τείχος προστασίας opnsense. Εκκινήστε αυτόν τον υπολογιστή σε αυτό το μέσο και θα εμφανιστεί η ακόλουθη οθόνη.
Για να συνεχίσετε στο πρόγραμμα εγκατάστασης, απλώς πατήστε το πλήκτρο ‘Enter’. Αυτό θα εκκινήσει το OpnSense στη Λειτουργία ζωντανού, αλλά υπάρχει ένας ειδικός χρήστης για να εγκαταστήσει το OpnSense σε τοπικά μέσα.
Όταν το σύστημα εκκινεί στη γραμμή εντολών σύνδεσης, χρησιμοποιήστε το όνομα χρήστη του "installer" με κωδικό πρόσβασης "opnsense".
Το μέσο εγκατάστασης θα συνδεθεί και θα ξεκινήσει το πραγματικό πρόγραμμα εγκατάστασης OpnSense. ΠΡΟΣΟΧΗ: Αν συνεχίσετε με τα παρακάτω βήματα, θα διαγραφούν όλα τα δεδομένα του σκληρού δίσκου εντός του συστήματος! Συνεχίστε με προσοχή ή βγείτε από το πρόγραμμα εγκατάστασης.

Πατώντας το πλήκτρο ‘Enter’ θα ξεκινήσει η διαδικασία εγκατάστασης. Το πρώτο βήμα είναι να επιλέξετε το keymap. Το πρόγραμμα εγκατάστασης πιθανότατα θα εντοπίσει τον κατάλληλο χάρτη πληκτρολογίου από προεπιλογή. Ελέγξτε τον επιλεγμένο χάρτη πλήκτρων και διορθώστε τον όπως χρειάζεται.
Η επόμενη οθόνη θα παρέχει ορισμένες επιλογές για την εγκατάσταση. Εάν ο χρήστης επιθυμεί να κάνει προηγμένη κατάτμηση ή να εισαγάγει μια διαμόρφωση από άλλο πλαίσιο OpnSense, αυτό μπορεί να επιτευχθεί σε αυτό το βήμα. Αυτός ο οδηγός προϋποθέτει νέα εγκατάσταση και θα επιλέξει την επιλογή «Καθοδηγούμενη εγκατάσταση».
Η ακόλουθη οθόνη θα εμφανίσει τις αναγνωρισμένες συσκευές αποθήκευσης για εγκατάσταση.
Αφού επιλεγεί η συσκευή αποθήκευσης, ο χρήστης θα πρέπει να αποφασίσει ποιο σχήμα διαμερισμάτων χρησιμοποιείται από το πρόγραμμα εγκατάστασης (MBR ή GPT/EFI).
Τα περισσότερα σύγχρονα συστήματα θα υποστηρίζουν GPT/EFI, αλλά εάν ο χρήστης επαναφέρει έναν παλαιότερο υπολογιστή, το MBR μπορεί να είναι η μόνη επιλογή που υποστηρίζεται. Ελέγξτε μέσα στις ρυθμίσεις BIOS του συστήματος για να δείτε αν υποστηρίζει EFI/GPT.
Μόλις επιλεγεί το σχήμα διαμερισμάτων, το πρόγραμμα εγκατάστασης θα ξεκινήσει τα βήματα εγκατάστασης. Η διαδικασία δεν διαρκεί ιδιαίτερα πολύ και θα ζητά από τον χρήστη πληροφορίες περιοδικά, όπως τον κωδικό πρόσβασης του χρήστη root.
Μόλις ο χρήστης ορίσει τον κωδικό πρόσβασης του χρήστη root, η εγκατάσταση θα ολοκληρωθεί και το σύστημα θα πρέπει να επανεκκινήσει για να ρυθμίσει τις παραμέτρους της εγκατάστασης. Όταν το σύστημα κάνει επανεκκίνηση, θα πρέπει να εκκινήσει αυτόματα στην εγκατάσταση OpnSense (βεβαιωθείτε ότι έχετε αφαιρέσει το μέσο εγκατάστασης καθώς το μηχάνημα επανεκκινείται).
Όταν το σύστημα επανεκκινηθεί, θα σταματήσει στην προτροπή σύνδεσης της κονσόλας και θα περιμένει να συνδεθεί ο χρήστης.
Τώρα, αν ο χρήστης πρόσεχε κατά την εγκατάσταση, μπορεί να είχε παρατηρήσει ότι θα μπορούσε να έχει προρυθμίσει τις διασυνδέσεις κατά την εγκατάσταση. Ωστόσο, ας υποθέσουμε για αυτό το άρθρο ότι οι διεπαφές δεν εκχωρήθηκαν κατά την εγκατάσταση.
Αφού συνδεθείτε με τον χρήστη root και τον κωδικό πρόσβασης που διαμορφώθηκαν κατά την εγκατάσταση, μπορεί να σημειωθεί ότι το OpnSense χρησιμοποίησε μόνο μία από τις κάρτες διασύνδεσης δικτύου (NIC) σε αυτό το μηχάνημα. Στην παρακάτω εικόνα ονομάζεται “LAN (em0) ”.
Το OpnSense θα έχει ως προεπιλογή το τυπικό δίκτυο “192.168.1.1/24 ” για το LAN. Ωστόσο, στην παραπάνω εικόνα λείπει η διεπαφή WAN! Αυτό διορθώνεται εύκολα πληκτρολογώντας ‘1’ στη γραμμή εντολών και πατώντας enter.
Αυτό θα επιτρέψει την εκ νέου εκχώρηση των NIC στο σύστημα. Παρατηρήστε στην επόμενη εικόνα ότι υπάρχουν δύο διαθέσιμες διεπαφές: ‘em0’ και ‘em1’.
Ο οδηγός διαμόρφωσης θα επιτρέψει πολύ σύνθετες ρυθμίσεις και με VLAN, αλλά προς το παρόν, αυτός ο οδηγός προϋποθέτει μια βασική εγκατάσταση δύο δικτύων. (δηλαδή μια πλευρά WAN/ISP και μια πλευρά LAN).
Εισαγάγετε ‘N’ για να μην διαμορφώσετε κανένα VLAN αυτήν τη στιγμή. Για τη συγκεκριμένη ρύθμιση, η διεπαφή WAN είναι ‘em0’ και η διεπαφή LAN είναι ‘em1’ όπως φαίνεται παρακάτω.
Επιβεβαιώστε τις αλλαγές στις διεπαφές πληκτρολογώντας ‘Y’ στη γραμμή εντολών. Αυτό θα αναγκάσει το OpnSense να επαναφορτώσει πολλές από τις υπηρεσίες του για να αντικατοπτρίζουν τις αλλαγές στην εκχώρηση διεπαφής.
Μόλις τελειώσετε, συνδέστε έναν υπολογιστή με πρόγραμμα περιήγησης ιστού στην πλαϊνή διεπαφή LAN. Η διεπαφή LAN διαθέτει διακομιστή DHCP που ακούει στη διεπαφή για πελάτες, έτσι ώστε ο υπολογιστής να μπορεί να λάβει τις απαραίτητες πληροφορίες διεύθυνσης για να συνδεθεί στη σελίδα διαμόρφωσης ιστού του OpnSense.
Μόλις ο υπολογιστής συνδεθεί στη διεπαφή LAN, ανοίξτε ένα πρόγραμμα περιήγησης και μεταβείτε στην ακόλουθη διεύθυνση url: http://192.168.1.1.
Για να συνδεθείτε στην κονσόλα Ιστού. χρησιμοποιήστε το όνομα χρήστη «root» και τον κωδικό πρόσβασης που διαμορφώθηκε κατά τη διαδικασία εγκατάστασης. Μόλις συνδεθείτε, θα ολοκληρωθεί το τελευταίο μέρος της εγκατάστασης.

Το πρώτο βήμα του προγράμματος εγκατάστασης χρησιμοποιείται απλώς για τη συλλογή περισσότερων πληροφοριών, όπως όνομα κεντρικού υπολογιστή, όνομα τομέα και διακομιστές DNS. Οι περισσότεροι χρήστες μπορούν να αφήσουν επιλεγμένη την επιλογή «Παράκαμψη DNS».

Αυτό θα επιτρέψει στο τείχος προστασίας του OpnSense να λάβει πληροφορίες DNS από τον ISP μέσω της διεπαφής WAN.

Στην επόμενη οθόνη θα εμφανιστούν διακομιστές NTP. Εάν ο χρήστης δεν έχει τα δικά του συστήματα NTP, το OpnSense θα παρέχει ένα προεπιλεγμένο σύνολο ομάδων διακομιστών NTP.

Η επόμενη οθόνη είναι η ρύθμιση διεπαφής WAN. Οι περισσότεροι ISP για οικιακούς χρήστες θα χρησιμοποιούν DHCP για να παρέχουν στους πελάτες τους τις απαραίτητες πληροφορίες διαμόρφωσης δικτύου. Αν απλώς αφήσετε τον Επιλεγμένο τύπο ως “DHCP” θα δώσει εντολή στο OpnSense να προσπαθήσει να συγκεντρώσει τη διαμόρφωση της πλευράς WAN από τον ISP.

Κάντε κύλιση προς τα κάτω στο κάτω μέρος της οθόνης διαμόρφωσης WAN για να συνεχίσετε. ***Σημείωση*** στο κάτω μέρος αυτής της οθόνης υπάρχουν δύο προεπιλεγμένοι κανόνες για τον αποκλεισμό περιοχών δικτύου που γενικά δεν πρέπει να εμφανίζονται στη διεπαφή WAN. Συνιστάται να τα αφήνετε επιλεγμένα εκτός εάν υπάρχει γνωστός λόγος για να επιτρέπονται αυτά τα δίκτυα μέσω της διεπαφής WAN!

Η επόμενη οθόνη είναι η οθόνη διαμόρφωσης LAN. Οι περισσότεροι χρήστες μπορούν απλώς να αφήσουν τις προεπιλογές. Λάβετε υπόψη ότι υπάρχουν ειδικές περιοχές δικτύου που θα πρέπει να χρησιμοποιηθούν εδώ, που συνήθως αναφέρονται ως RFC 1918. Βεβαιωθείτε ότι έχετε εγκαταλείψει την προεπιλογή ή επιλέξτε μια περιοχή δικτύου μέσα από το εύρος RFC1918 για να αποφύγετε διενέξεις/ζητήματα!

Η τελική οθόνη της εγκατάστασης θα ρωτήσει εάν ο χρήστης θα ήθελε να ενημερώσει τον κωδικό πρόσβασης root. Αυτό είναι προαιρετικό, αλλά αν δεν δημιουργήθηκε ισχυρός κωδικός πρόσβασης κατά την εγκατάσταση, τώρα θα ήταν η κατάλληλη στιγμή για να διορθώσετε το πρόβλημα!

Μόλις περάσει η επιλογή αλλαγής κωδικού πρόσβασης, το OpnSense θα ζητήσει από τον χρήστη να φορτώσει ξανά τις ρυθμίσεις διαμόρφωσης. Απλώς κάντε κλικ στο κουμπί "Επανάληψη φόρτωσης" και δώστε ένα δευτερόλεπτο στο OpnSense για να ανανεώσει τη διαμόρφωση και την τρέχουσα σελίδα.

Όταν ολοκληρωθούν όλα, το OpnSense θα καλωσορίσει τον χρήστη. Για να επιστρέψετε στον κύριο πίνακα ελέγχου, απλώς κάντε κλικ στο «Πίνακας ελέγχου» στην επάνω αριστερή γωνία του παραθύρου του προγράμματος περιήγησης ιστού.

Σε αυτό το σημείο, ο χρήστης θα μεταφερθεί στον κύριο πίνακα εργαλείων και μπορεί να συνεχίσει να εγκαθιστά/ρυθμίζει οποιαδήποτε από τις χρήσιμες προσθήκες ή λειτουργίες του OpnSense! Ο συγγραφέας συνιστά τον έλεγχο και την αναβάθμιση του συστήματος εάν υπάρχουν διαθέσιμες αναβαθμίσεις. Απλώς κάντε κλικ στο κουμπί «Κάντε κλικ για έλεγχο για ενημερώσεις» στον κύριο πίνακα εργαλείων.

Στη συνέχεια, στην επόμενη οθόνη, το "Έλεγχος για ενημερώσεις" μπορεί να χρησιμοποιηθεί για να δείτε μια λίστα ενημερώσεων ή το "Ενημέρωση τώρα" μπορεί να χρησιμοποιηθεί για την απλή εφαρμογή τυχόν διαθέσιμων ενημερώσεων.

Σε αυτό το σημείο, μια βασική εγκατάσταση του OpnSense θα πρέπει να είναι σε λειτουργία καθώς και πλήρως ενημερωμένη! Σε μελλοντικά άρθρα, η συγκέντρωση συνδέσμων και η δρομολόγηση μεταξύ VLAN θα καλυφθούν για να δείξουν περισσότερες από τις προηγμένες δυνατότητες του OpnSense!