Computer and Network Security 153101010 Cemalettin Kaya Güz Dönemi 2016-2017
Giriş pfsense Nedir? Neden pfsense? Diagram Kurulum Donanım Seçimleri Minimum Gereksinimler Yapılandırma Konfigurasyon Ayarlar Servisler Bileşenler Servis Tanımları Referanslar İçerik
GİRİŞ
pfsense Nedir? FreeBSD tabanlı, m0n0wall temelli işletim sistemi OpenBSD Packet Filter Güvenlik duvarını kullanan Açık kaynak kodlu Güvenlik Duvarı ve Router dağılımı Paket Sistemi Web üzerinden yapılandırma
Neden pfsense? FreeBSD altyapısı OpenBSD PF güvenlik duvarı Geniş Özellik Listesi Detaylı/Kapsamlı Döküman, Sorun giderme kılavuzları ve Örneklemeler Eğitim videoları Destek Hızlı Destek, Ticari Destek (Yerel ve yerinde destek) Mail Listesi Forum Sayfası(13 Dilde Destek) IRC Kanalı CVS Server, CVS Web, CVS Track ticket desteği
Diagram
KURULUM
Donanım Seçimi Gömülü Sistemler Live CD Tak çalıştır USB CF Kartlar
Minimum Donanım Gereksinimleri CPU 100 MHz Pentium RAM 128 MB Çok çekirdekli veya çok işlemcili donanımlar LiveCD CD-ROM drive USB flash sürücü Sabit Diske Kurulum CD-ROM 1GB hard disk Gömülü Sistemler 512 MB Compact Flash card Seri port (yönetim)
YAPILANDIRMA
Konfigurasyon Konsol Arabirimi Sade menü Temel ayarlar ve kurtarma seçenekleri FreeBSD komut satırı Web arabirimi Web tabanlı Yüksek işlevsellik Sade Gelişmiş yönetim arabirimi Servis ve sistem ayarları
Konfigurasyon
Ayarlar Ağ arabirimlerinin (LAN, WAN) belirlenmesi Static (IP adresi sabit ayarlanır) DHCP (IP otomatik sunucudan alınır) PPoE/PPTP (Kullanıcı adı, parola) Özel IP Adresleri (RFC1918 standardına göre) Wireless (SSID ve Encryption WEP,WPA) SSH Servisinin devreye alınması
SERVİSLER
Bileşenler DHCP (Dynamic Host Configuration Protocol) PF (Packet Filter) SSH (OpenSSH) Yedekli çalışma Yük dengeleme Yük aktarma Synproxy
Servisler Captive Portal : Hizmet portalı, güvenli hotspot ağı DNS Forwarder : DNS isteklerinin iletimi DHCP Relay : DHCP Paketlerinin aktarımı DHCP Server : IP dağıtımı Dynamic DNS : Dinamik DNS sunucularının kullanımı Load Balancer : Yük dengeleme ve yük aktarma servisi OLSRD : Kablosuzlar arası neti dağıtmak PPPoE Server RIP : Router Information Protocol SNMP : Snmp servisinden bilgi alma (nagios, cacti) OpenNTPD : Zaman sunucusu kurulumu Wake on LAN : Ağ üzerinden bilgisayar açmak
Firewall Kaynak/Hedef IP, IP Protokol ve TCP/UDP port bazlı filtreleme Kural bazlı ezamanlı bağlantı limiti tanımlama OS bazlı filtreleme Yük dengeleme, yük dağıtma, kural bazlı routing Alias tanımlamaları ile host, network ve port için gruplama Layer 2 seviyesinde transparan firewalling Paket normalleştirme (Parçalanmış paketleri birleştirir)
Firewall Modüller Host, ip, network gruplama için kullanılan Alias Nat ve Port yönlendirme işleri için kullanılan NAT Firewall kurallarını oluşturmak için kullanılan Rules Kuralların çalışma zamanlarının belirlendiği Schedules Trafik şekillendirme için kullanılan Traffic Shaper Genelde NAT işlerinde kullanılan sanal IP'lerin tanımlandığı Virtual IPs
DHCP Server İstemcilere (iç ağa) otomatik IP dağıtmak MAC e göre statik IP NTP server, Dynamic DNS -> DHCP DNS ve Gateway tanımı DHCP kira süresi tanımlama, görüntüleme, yönetme Tanımlı olmayan IP-MAC engeleme Ağ üzerinden OS kurulumu
PfSense üç farklı NAT özelliği sunar: NAT Port Yönlendirme: Klasik port yönlendirme işleri için kullanılır. LAN'da bulunan herhangi bir servise (port) WAN üzerinden erişilebilmesine olanak sağlar. 1:1 NAT: Belirtilen IP adresine gelen trafiği bir hedef IP adresine yönlendirir. Bunun için kullanılacak internet IP'leri virtual IP (proxy arp) olarak tanımlanmalıdır. Outbound NAT: Spesifik bir hostun ya da networkün dışarıya spesifik bir IP üzerinden çıkarılması için kullanılır.
VPN Uzak ağları güvenli olarak birbirine bağlamak ya da uzaktaki kullanıcıların ağa bağlamak üzere kullanılır. pfsense tarafından aşağıdaki VPN çözümleri desteklenir. IPsec: Genel olarak uzak networkleri birbirine bağlamak için kullanılır. (site-to-site) OpenVPN: Yaygın bir SSL VPN çözümüdür. PPTP: Hemen her işletim sisteminde built-in geldiğinden dolayı sık kullanılan bir VPN servisidir. L2TP
Captive Portal Captive Portal internete çıkış için zorunlu kimlik denetimi sağlanmasına olanak sağlayan servistir. Bu servis ile kullanıcılar bir URL'ye yönlendirilebilir ve internet erişimi için kullanıcı adı / şifre girmeleri ya da bir linke tıklamaları sağlanabilir. Genelde hot spot ağlarda kullanılır.
Paket Sistemi
Diğer Servisler Sistem Loglarının Görüntülenmesi RRD Grafikleri, Geçmişe dönük CPU, RAM, trafik ve durum tablosu Kayıtları Log Sunucusuna Göndermek E-mail Durum Bildirimleri (Sistem durum raporları) Servislerin Yönetilmesi Restore / Backup
Referanslar Website https://pfsense.org/ https://en.wikipedia.org/wiki/pfsense Eğitim https://www.bgasecurity.com/makale/pfsense-firewall-ve-router-egitimi/ http://www.slideshare.net/linuxakademi/pfsense-20-eitim-sunumu
Teşekkürler Sorularınız?
ÖNEMLİ Bu projeler lisansüstü öğrencilerinin hazırladığı çalışmalar olup tüm sorumluluk hazırlayan öğrencilere aittir. Öğrenciler hazırladığı projeye göre not almışlardır.