pfSense – opensource firewall/router

pfSense je besplatna, Open Source i na FreeBSD sistemu zasnovana, firewall i router platforma popularna zbog svoje pouzdanosti, preglednog i jasnog interfejsa i činjenice da uključuje brojne funkcionalnosti koje su karakteristične za komercijalne firewall/router proizvode.

Projekat je nastao 2004 godine kao derivat m0n0wall projekta sa idejom da se od njega razlikuje po mogućnosti klasične instalacije na hard drajv računara i pokretanja sa njega. Naime, m0n0wall je embeded firewall softver koji se u potpunosti pokreće i izvršava u RAM memoriji. Više informacija o m0n0wall-u možete naći ovde .

pfSense

pfSense

PREDSTAVLJANJE I ISTORIJAT

Iza pfSense projekta sada stoji kompanija Electric Sheep Fencing, LLC koja uz besplatan proizvod nudi komercijalnu podršku u vidu pretplate na vreme obračunato u satima koje inžinjeri podrške mogu da posvete svojim klijentima. Osnovni paketi omogućuju 5 ili 10 sati profesionalne podrške sa raspoloživošću servisa 24x7x365, odnosno u vreme kada je klijentima to potrebno.

O kvalitetu i popularnosti pfSense-a jasno govori i cifra od preko milion preuzimanja od momenta publikovanja softvera, kao i široka oblast primene – koristi se za zaštitu malih, kućnih, poslovnih i SBS mrežnih okruženja, kao i većih korporativnih okruženja i raznih organizacija. Bogata lista funkcionalnosti koja je dostupna u osnovnom pakovanju.

pf u nazivu pfSense potiče od Packet Filter alata koji se koristi za funkciju firewall-a u FreeBSD kao i drugim BSD i Unix distribucijama. Ovde ćemo kratko navesti osnovne informacije: Packet Filter omogućuje statefull firewall inspekciju, čija je osnovna prednost u mogućnosti prepoznavanja stanja konekcije paketa čija se inspekciju vrši. Statefull inspekcija može da utvrdi status TCP (ili UDP) konekcije paketa, da li je u pitanju ranije započeta komunikacija ili novoinicirani saobraćaj, kao i da prepozna detalje konekcije na osnovu kojih se donosi odluka o validnosti paketa.

Statefull filtriranje, naziva se i Dynamic Packet Filtering, a za razliku od njega, stariji i jednosavniji tip, stateless filtriranje manipuliše isključivo statičkim vrednostima kao što su izvorna i ciljna adresa, port i sl. i na osnovu ovih podataka stateless firewall donosi odluku o validnosti paketa. Oba tipa filtriranja imaju svoje prednosti i mane, generalno stateless filtriranje omogućuje bolje performanse (pri većem opterećenju saobraćaja) dok statefull tip ima bolje rezultate u detekciji neregularnog saobraćaja.

pfSense – INSTALACIJA I KONFIGURISANJE

Najbolji izvor informacija i lokacija za preuzimanje je, naravno matični sajt pfsense.org Na raspolaganju je Viki dokumentacija, stranica sa tutorijalima, kao i komercijalno pdf izdanje: pfSense The Definitive Guide. Ono što svedoči o posebnoj vrednosti je činjenica da kada na youtube.com izvršite pretragu po pojmu pfSense, dobićete „oko 675.000 rezultata“ (na dan pisanja ovog teksta).

Naveli smo da se pfSense može instalirati na hard disk računara. Sem HDD instalacije, moguće je i pokretanje sa Compact Flash kartice (embedded opcija) ili sa CD/DVD medijuma, pri čemu je potreban USB ili Floppy drajv za pohranjivanje konfiguracionog fajla. Što se hardverske zahtevnosti za regularnu HDD instalaciju tiče, potreban je minimum procesor Pentium II klase i 256GB RAM memorije. Izbor hardvera u svakom konkretnom slučaju, naravno zavisi, pre svega od namene i budućeg opterećenja rutera/firewall-a, a detaljnija uputstva za dimenzioniranje možete naći na adresi: http://www.pfsense.org/hardware/index.html#sizing.

pfSense se bez problema može instalirati i u virtuelnom režimu, za kontrolisanje saobraćaja i zaštitu virtuelnih mašina u njihovoj internoj mreži ili se može postaviti ka spoljnjoj fizičkoj mreži, pri čemu je potreban dodatni ethernet adapter.

Proces instalacije nije komplikovan, u okviru instalacije neophodno je definsati mrežne interfejse koje će sistem koristiti, i to namenski kao WAN, LAN i OPT (opcioni, bez definisane funkcije), a na raspolaganju je i Auto Assign procedura, pri čemu se mora fizički povezati aktivan link i dozvoliti da ga sistem sam prepozna. Po instalaciji, WAN interfejs je difoltno konfigurisan kao DHCP klijent, dolazne konekcije su onemogućene, kao i SSH pristup, a WebGUI je dostupan na portu 80.

WebGUI interfejs je jasan i pregledan sa mogućnošću biranja predefinisanih tema u okviru kojih se menja i način prezentacije menija (padajući meniji ili izbornik u bočnoj traci).

pfSense graph

FUNKCIONALNOSTI I MOGUĆNOSTI

Ukoliko vam je potrebno rešenje za ruter i zaštitu manje ili srednje poslovne mreže, pfSense nudi set standardnih funkconalnosti kao što su rutiranje, firewall filtriranje i zaštita, DHCP server, Wireless Access Point, VPN pristup, analiza saobraćaja i dr. Pored pomenutih standardnih funkcija, na raspolaganju je i set naprednih mogućnosti, pa ćemo ovom prilikom nabrojati samo neke od njih:

  • p0f (passive OS/network fingerprinting) omogućuje detekciju operativnog sistema koji je inicirao konekciju, pa je na osnovu ove informacije omogućeno i filtriranje. Npr, dozvoliti Linuks ili Mac stanicama pristup resursima na internetu, a Vindovs stanicama zabraniti i sl.
  • Multiple WAN, loud-balancing i fleksibilne polise za rutiranje na određeni WAN gateway u skladu sa zadatim pravilom/filterom
  • Grupisanje i odgovarajući aliasi za IP adrese, mreže i portove, radi lakše organizacije i preglednosti pravila/filtera
  • Transparentno layer-2 filtriranje, na nivou ispod IP firewall-a i opcija bridge interfejsa sa filtriranjem saobraćaja
  • Napredne NAT opcije: port forwarding, NAT 1:1, Outbound NAT i NAT Reflection
  • 3 opcije za VPN konektivnost (IPsec, OpenVPN i PPTP), PPPoE server
  • Captive Portal za redirekciju korisnika na veb stranicu pre pristupa internetu (forsiranje autentifikacije ili ograničenja, filterima i pravilima)
  • Napredan reporting i monitoring, mogućnost logovanja saobraćaja u skladu sa bilo kojim zadatim pravilom/filterom
  • pfSense Package Manager, sistem za upravljanje dodacima u okviru WebGUI-a putem kojeg se proširuju funkcionalnosti osnovne instalacije. Navešćemo samo neke pakete sa dugačke liste: Asterisk komunikacioni server, AutoConfigBackup sistem za enkriptovani bekap konfiguracije, Bind name server, Cron schedule servis, TinyDNS dns server, File Manager, Antivirus i AntiSpam dodaci, Squid proxy server, kao i mnogi drugi servisi, sistemski i upravljački alati.

Na sajtu Smallnetbuilder.com možete pogledati zanimljivu studiju Build Your Own UTM With pfSense koja veoma slikovito prikazuje mogućnost primene pfSense-a kao univerzalnog Threat Management uređaja UTM (Unified Threat Management) koncept pretpostavlja postavljanje jednog uređaja na izlazu/ulazu lokalne mreže, čija uloga je da objedini sve zaštitne funkcije i obezbedi mrežu od, praktično, svih vrsta pretnji.

Koncept proširuje funkcionalnost firewall zaštite i uključuje antivirus i antispam zaštitu, filtriranje sadržaja, load balancing, i druge zaštitne funkcije u istom uređaju, koji na taj način zamenjuje više zasebnih zaštitnih uređaja. U tekstu se navodi evaluacija svake posebne funkcionalnosti i ocena za pfSense u datoj oblasti, a sledi i uputstvo za konfigurisanje pomenutih UTM funkckonalnosti pfSense-a.

pfSense DHCP

ZAKLJUČAK

Činjenica da je pfSense besplatan softver, uz kvalitet kojeg poseduje, čini ga konkurentnim i u društvu mnogih komercijlnih rešenja. Neretko su rešenja analogna pfSense-u, u određenim segmentima kvalitetnija i bolja, ali kada se uzme u obzir odnos cena/kvalitet/ i, verovatno najvažnije, konkretne potrebe okruženja, nije lako nadmašiti besplatan softver koji tako dobro i pouzdano radi svoj posao.

Veliki plus je obilje uputstava, tutorijala i analiza, zvaničnih i nezvaničnih, pa početnik sa pfSense-om može da očekuje da će se relativno lako snaći pri konfigurisanju. Ukoliko vam je potrebno rešenje za router/firewall za manju ili srednju kućnu ili poslovnu mrežu, sigurni smo barem da nećete lako naći bolje rešenje.

Tekst je preuzet sa ugašenog bloga IT modul i originalni autor ovog teksta je Branislav Kolar. Kompjuteraš IT blog objavljuje tekstove sa tog bloga kako riznica znanja sa te lokacije ne bi otišla u zaborav.