PfSense, FreeBSD tabanlı bir dağıtım olarak, BSD sağlamlığını taşıyan, son zamanlarda adından sıkça söz ettiren oldukça gelişmiş ve yetenekli bir güvenlik duvarı dağıtımıdır. Psense kullanılmaya başlandığı günden itibaren, bir milyondan fazla indirme sayısına ulaşarak, gerek üniversiteler, gerekse, büyük çaplı şirketler tarafından kullanılmaya başlanmıştır. Bir UNIX çeşidi olan ve güvenlik dünyasında haklı bir yere sahip olan FreeBSD işletim sistemi üzerine kurulan PfSense kurumsal iş ortamlarında etkin şekilde kullanımı amaçlanmaktadır. PfSense oldukça geniş bir yönetim paneline sahiptir. Tüm yapılandırma işlemi bir web arabirimi üzerinden gerçekleştirilebilmektedir. Grafik arayüzünün basitliği sayesinde kullanıcı isterse Pfsense üzerine ekstra modüller kurabilir. Kurulabilecek modüller arasında IDS, Antivirus Gateway, Squid Proxy, ntop trafik şekillendirme ve Vpn gibi yazılımlar sayılabilir.
Firewall Kural Arayüzü Aliase Virtual IP Zaman Bazlı Kural Tanımları Ağdaki aktivitelerin takibi ve raporlanması Özelleştirilebilir Güvenlik Duvarı Oluşturmak Paket normalleştirme. Firewall Durum Tablosu Trafik Grafikleri Güvenlik duvarı özelliğine hızlı bir bakış atacak olursak : -Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır. -Yazdığınız kurallar için tanımlama yapabilirsiniz. -Kural yazarken alias tanımlama özelliği sayesinde gruplar oluşturabilir. Ya da belirli bir ip adresine bir isim atanarak kullanılması sağlanabilir. -L7 (uygulama) seviyesinde kural tanımlanabilir. -Tanımlanan kurala belirli bir zaman dilimi için çalışması söylenebilir. Örnek verecek olursak mesai tanımı yapılabilir. Sabah 08:00 ile akşam 17:00 arasında torrent imzaları aktif olsun veya aktif olmasın şeklinde bir girdi yazılabilir. Yada uzak masaüstü bağlantıları belli saatlerde kullanılsın gibi. -Kaynak ve hedef ip, ip protokolü, kaynak ve hedef port için TCP/UDP protokollerin tanımlanması işlerinin çok kolay bir şekilde yapabilirsiniz. -Kural bazlı olarak belirli kullanıcılar için limit belirleyebilirsiniz.
Temel Servisler DHCP Server Yapılandırması DNS Forwarder Dynamic DNS Load Balancing & Failover: PfSense birden fazla WAN bağlantısı için hem yük dengeleme hem de hatlardan birinin gitmesi durumunda trafik akışının diğer hat üzerinden devam ettirilmesi için yük aktarma olanağı sağlamaktadır. Aynı mantıkla birden fazla sunucunun yük aktarmak üzere yedekli olarak kullanılmasını da sağlayabilir. Web Proxy Özelliği Web trafiğinin filtrelenmesi ve raporlanması Squid Squidguard VPN VPN ile güvenli iletişim kanallarının oluşturulması IPSEC PPTP VPN OpenVPN Wireless Wireless Wan PfSense Access Point olarak yapılandırılması Güvenli Wireless Hotspot ağı NAT (Network Address Translation) Port Yönlendirme NAT Outbound NAT Routing Static Routing Route Protokol RIP (Router Information Protokol)
Bridging Layer2 Firewall olarak yapılandırılması İki yerel ağ arabiriminin bridge yapılması Virtual Lan (Vlan) Captive Portal Captive Portal internete çıkış için zorunlu kimlik denetimi sağlanmasına olanak sağlayan servistir. Örnek olarak misafirler için internet kullanımının kullanıcı adı ve şifre ile sağlanması verilebilir. Snort IDS Saldırı algılama Sistemi IPS Saldırı Önleme Sistemi Diğer Servisler Paket Sistemi OpenNTPD SNMP Wake On LAN Bakım - Yedekleme ve Kurtarma Config Backup/Restore Servislerin Yönetilmesi E-Mail Durum Bildirilmleri External Syslog Sunucusuna Loglama RRD Grafikleri Sistem Loglarının Görüntülenmesi Sistem Monitör Sistem Kayıtları Ağ Arabirimi Durumları Servis Durumları
Bazi ekran görüntüleri: Ekran görüntüsünden de anlaşılacağı gibi dashboard ekranı özelleştirilebilmektedir. Burada CPU durumunu, ethernet arayüzlerinin durumunu, CARP durumunu gösteren ek paneller konulabilmektedir. Yukarıda bulunan kırmızı şerit üzerindeki menüler sayesinde bütün özelliklerini kullanabilmemiz mümkündür.
Squid'le birlikte kullanılan bir karaliste uygulamalı url yönlendiricisidir. SquidGuard ile istenilmeyen sitelere erişim yapılması engellenir ve trafik bir url'ye yönlendiriliri Geriye dönük kayıt tutulabilir. Hazır ve internetten otomatik güncellenen kara liste sayesinde sadece engellenmesi istenilen kategoriler (porno, kumar vs) belirtilir ve bunlar otomatik olarak engellenir. Sitelere IP adresleri ile erişilmesi engellenebilir.
SNORT IPS/IDS Saldırı Algılama ve Önleme Sistemi
Snort Block Ekranı: Snort tarafından bloklanan İP ler ve bloklanma sebebi
IPSEC VPN
PACKAGES: Tüm yapılandırma işlemi bir web arabirimi üzerinden gerçekleştirilmektedir. Paket sistemi sayesinde bir çok farklı uygulamayı da desteklemektedir.