Temel OpnSense Güvenlik Duvarı Nasıl Kurulur ve Yapılandırılır

Önceki bir makalede PfSense olarak bilinen bir güvenlik duvarı çözümü tartışılmıştı. 2015'in başlarında PfSense'in ayrılmasına karar verildi ve OpnSense adında yeni bir güvenlik duvarı çözümü piyasaya sürüldü.

OpnSense, PfSense'in basit bir çatalı olarak hayatına başladı ancak tamamen bağımsız bir güvenlik duvarı çözümüne dönüştü. Bu makale, yeni bir OpnSense kurulumunun kurulumunu ve temel ilk yapılandırmasını kapsayacaktır.

PfSense gibi OpnSense de FreeBSD tabanlı açık kaynaklı bir güvenlik duvarı çözümüdür. Dağıtım, kişinin kendi ekipmanına veya önceden yapılandırılmış güvenlik duvarı cihazları satan Decisio şirketine ücretsiz olarak kurulabilir.

OpnSense'in minimum gereksinimleri vardır ve tipik bir eski ev kulesi, OpnSense güvenlik duvarı olarak çalışacak şekilde kolayca ayarlanabilir. Önerilen minimum özellikler aşağıdaki gibidir:

Donanım Minimumları

  • 500MHz CPU
  • 1 GB RAM
  • 4 GB depolama alanı
  • 2 ağ arayüz kartı

Önerilen Donanım

  • 1 GHz CPU
  • 1 GB RAM
  • 4GB depolama
  • 2 veya daha fazla PCI-e ağ arayüz kartı.

Okuyucu OpnSense'in bazı daha gelişmiş özelliklerinden (Suricata, ClamAV, VPN sunucusu, vb.) yararlanmak isterse sisteme daha iyi donanım verilmelidir.

Kullanıcı ne kadar çok modülü etkinleştirmek isterse, o kadar fazla RAM/CPU/Sürücü alanı dahil edilmelidir. OpnSense'te gelişmiş modülleri etkinleştirme planları varsa aşağıdaki minimum değerlerin karşılanması önerilir.

  • En az 2,0 GHz hızında çalışan modern çok çekirdekli CPU
  • 4GB+ RAM
  • 10 GB+ HD alanı
  • 2 veya daha fazla Intel PCI-e ağ arayüz kartı

OpnSense Güvenlik Duvarının Kurulumu ve Konfigürasyonu

Hangi donanım seçilirse seçilsin, OpnSense'in kurulumu basit bir işlemdir ancak kullanıcının hangi ağ arayüzü bağlantı noktalarının hangi amaçla kullanılacağına (LAN, WAN, Kablosuz vb.) çok dikkat etmesini gerektirir.

Kurulum sürecinin bir kısmı, kullanıcının LAN ve WAN arayüzlerini yapılandırmaya başlamasının istenmesini içerecektir. Yazar, OpnSense yapılandırılıncaya kadar yalnızca WAN arayüzünü takmanızı ve ardından LAN arayüzünü takarak kurulumu tamamlamanızı önerir.

OpnSense Güvenlik Duvarını İndirme

İlk adım, OpnSense yazılımını edinmektir ve cihaza ve kurulum yöntemine bağlı olarak birkaç farklı seçenek mevcuttur ancak bu kılavuzda 'OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2'.

ISO aşağıdaki komut kullanılarak elde edildi:

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Dosya indirildikten sonra bunzip aracını kullanarak aşağıdaki şekilde sıkıştırılmış dosyayı açmanız gerekir:

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Yükleyici indirilip sıkıştırması açıldıktan sonra, bir CD'ye yazılabilir veya 'dd' aracı< ile bir USB sürücüsüne kopyalanabilir. çoğu Linux dağıtımında bulunur.

Sonraki işlem, yükleyiciyi başlatmak için ISO'yu bir USB sürücüsüne yazmaktır. Bunu başarmak için Linux'ta 'dd' aracını kullanın.

Öncelikle disk adının 'lsblk' ile bulunması gerekiyor.

lsblk

USB sürücüsünün adı '/dev/sdc' olarak belirlendiğinde, OpnSense ISO ile sürücüye yazılabilir. >'dd' aracı.

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Not: Yukarıdaki komut kök ayrıcalıkları gerektirir; bu nedenle 'sudo''yu kullanın veya komutu çalıştırmak için kök kullanıcı olarak oturum açın. Ayrıca, bu komut USB sürücüsündeki HERŞEYİ KALDIRACAK. Gerekli verileri yedeklediğinizden emin olun.

OpnSense Güvenlik Duvarının Kurulumu

dd USB sürücüsüne yazmayı bitirdiğinde, medyayı opnsense güvenlik duvarı olarak kurulacak bilgisayara yerleştirin. Bu bilgisayarı bu ortama önyükleyin ve aşağıdaki ekran sunulacaktır.

Yükleyiciye devam etmek için 'Enter' tuşuna basmanız yeterlidir. Bu, OpnSense'i Canlı moda başlatacaktır ancak bunun yerine OpnSense'i yerel medyaya yüklemek için özel bir kullanıcı mevcuttur.

Sistem giriş istemine önyükleme yaptığında 'installer' kullanıcı adını ve 'opnsense' şifresini kullanın.

Kurulum medyası oturum açacak ve gerçek OpnSense yükleyicisini başlatacaktır. DİKKAT: Aşağıdaki adımlara devam edilmesi, sistemdeki sabit sürücüdeki tüm verilerin silinmesine neden olacaktır! Dikkatli bir şekilde ilerleyin veya yükleyiciden çıkın.

'Enter' tuşuna basmak kurulum sürecini başlatacaktır. İlk adım anahtar haritayı seçmektir. Yükleyici muhtemelen varsayılan olarak uygun tuş haritasını algılayacaktır. Seçilen tuş haritasını inceleyin ve gerektiği gibi düzeltin.

Bir sonraki ekranda kurulum için bazı seçenekler sunulacaktır. Kullanıcı gelişmiş bölümleme yapmak veya başka bir OpnSense kutusundan bir yapılandırmayı içe aktarmak isterse bu işlemi bu adımda gerçekleştirebilir. Bu kılavuzda yeni bir kurulum olduğu varsayılmaktadır ve 'Kılavuzlu Kurulum' seçeneği seçilecektir.

Aşağıdaki ekran kurulum için tanınan depolama aygıtlarını görüntüleyecektir.

Depolama cihazı seçildikten sonra kullanıcının, yükleyici tarafından hangi bölümleme şemasının (MBR veya GPT/EFI) kullanıldığına karar vermesi gerekecektir.

Günümüz sistemlerinin çoğu GPT/EFI'yi destekler ancak kullanıcı eski bir bilgisayarı yeniden kullanıyorsa desteklenen tek seçenek MBR olabilir. Sistemin EFI/GPT'yi destekleyip desteklemediğini görmek için sistemin BIOS ayarlarını kontrol edin.

Bölümleme şeması seçildikten sonra yükleyici kurulum adımlarına başlayacaktır. İşlem çok uzun sürmez ve kullanıcıdan periyodik olarak root kullanıcısının şifresi gibi bilgileri ister.

Kullanıcı root kullanıcısının şifresini belirledikten sonra kurulum tamamlanacak ve kurulumu yapılandırmak için sistemin yeniden başlatılması gerekecektir. Sistem yeniden başlatıldığında, otomatik olarak OpnSense kurulumuna önyükleme yapmalıdır (makine yeniden başlatılırken kurulum ortamını çıkardığınızdan emin olun).

Sistem yeniden başlatıldığında, konsol oturum açma isteminde duracak ve kullanıcının oturum açmasını bekleyecektir.

Artık kullanıcı kurulum sırasında dikkatli olsaydı, arayüzleri kurulum sırasında önceden yapılandırmış olabileceklerini fark etmiş olabilirler. Ancak bu yazıda arayüzlerin kurulum sırasında atanmadığını varsayalım.

Kurulum sırasında yapılandırılan kök kullanıcı ve parolayla oturum açtıktan sonra OpnSense'in bu makinedeki ağ arayüz kartlarından (NIC) yalnızca birini kullandığı belirtilebilir. Aşağıdaki resimde “LAN (em0) ” olarak adlandırılmıştır.

OpnSense, LAN için varsayılan olarak “192.168.1.1/24 ” standart ağını kullanacaktır. Ancak yukarıdaki görselde WAN arayüzü eksik! Bu, komut istemine '1' yazıp enter tuşuna basılarak kolayca düzeltilir.

Bu, NIC'lerin sistem üzerinde yeniden atanmasına olanak sağlayacaktır. Sonraki resimde iki arayüzün mevcut olduğuna dikkat edin: 'em0' ve 'em1'.

Yapılandırma sihirbazı, VLAN'larla çok karmaşık kurulumlara da izin verecektir ancak şimdilik bu kılavuz, temel iki ağ kurulumunu varsaymaktadır; (yani bir WAN/ISP tarafı ve bir LAN tarafı).

Şu anda herhangi bir VLAN yapılandırmamak için 'N' girin. Bu özel kurulum için, aşağıda görüldüğü gibi WAN arayüzü 'em0' ve LAN arayüzü 'em1''dir.

Komut istemine 'Y' yazarak arayüzlerdeki değişiklikleri onaylayın. Bu, OpnSense'in arayüz atamasındaki değişiklikleri yansıtacak şekilde hizmetlerinin çoğunu yeniden yüklemesine neden olacaktır.

İşiniz bittiğinde, web tarayıcısı olan bir bilgisayarı LAN tarafı arayüzüne bağlayın. LAN arayüzünde istemciler için arayüzü dinleyen bir DHCP sunucusu bulunur, böylece bilgisayar OpnSense web yapılandırma sayfasına bağlanmak için gerekli adres bilgilerini elde edebilir.

Bilgisayar LAN arayüzüne bağlandıktan sonra bir web tarayıcısı açın ve şu URL'ye gidin: http://192.168.1.1.

Web konsoluna giriş yapmak için; 'root' kullanıcı adını ve yükleme işlemi sırasında yapılandırılan şifreyi kullanın. Giriş yaptıktan sonra kurulumun son kısmı tamamlanacaktır.

Yükleyicinin ilk adımı, ana bilgisayar adı, etki alanı adı ve DNS sunucuları gibi daha fazla bilgiyi toplamak için kullanılır. Çoğu kullanıcı "DNS'yi geçersiz kıl" seçeneğini seçili bırakabilir.

Bu, OpnSense güvenlik duvarının WAN arayüzü üzerinden ISP'den DNS bilgilerini almasını sağlayacaktır.

Bir sonraki ekranda NTP sunucuları istenecektir. Kullanıcının kendi NTP sistemleri yoksa, OpnSense varsayılan bir NTP sunucu havuzları seti sağlayacaktır.

Bir sonraki ekran WAN arayüzü kurulumudur. Ev kullanıcılarına yönelik çoğu İSS, müşterilerine gerekli ağ yapılandırma bilgilerini sağlamak için DHCP'yi kullanır. Seçilen Türü 'DHCP' olarak bırakmak, OpnSense'e WAN tarafı yapılandırmasını ISP'den toplama girişiminde bulunması talimatını verecektir.

Devam etmek için WAN yapılandırma ekranının altına doğru kaydırın. ***Not*** Bu ekranın alt kısmında, genellikle WAN arayüzüne gelirken görülmemesi gereken ağ aralıklarını engellemek için iki varsayılan kural bulunmaktadır. Bu ağların WAN arayüzü üzerinden izin verilmesini gerektiren bilinen bir neden olmadığı sürece, bunların işaretli bırakılması önerilir!

Bir sonraki ekran LAN yapılandırma ekranıdır. Çoğu kullanıcı varsayılanları bırakabilir. Burada kullanılması gereken, genellikle RFC 1918 olarak adlandırılan özel ağ aralıklarının bulunduğunu unutmayın. Çakışmaları/sorunları önlemek için varsayılanı bıraktığınızdan veya RFC1918 aralığından bir ağ aralığı seçtiğinizden emin olun!

Kurulumun son ekranında kullanıcıya root şifresini güncellemek isteyip istemediği sorulacaktır. Bu isteğe bağlıdır ancak kurulum sırasında güçlü bir şifre oluşturulmadıysa şimdi sorunu düzeltmek için iyi bir zaman olabilir!

Parola değiştirme seçeneğini geçtikten sonra OpnSense, kullanıcıdan yapılandırma ayarlarını yeniden yüklemesini isteyecektir. 'Yeniden Yükle' düğmesini tıklamanız ve OpnSense'e yapılandırmayı ve mevcut sayfayı yenilemesi için bir saniye vermeniz yeterlidir.

Her şey bittiğinde OpnSense kullanıcıyı karşılayacaktır. Ana kontrol paneline geri dönmek için web tarayıcı penceresinin sol üst köşesindeki "Kontrol Paneli"'ni tıklamanız yeterlidir.

Bu noktada kullanıcı ana kontrol paneline yönlendirilecek ve yararlı OpnSense eklentilerinden veya işlevlerinden herhangi birini yüklemeye/yapılandırmaya devam edebilir! Yazar, yükseltmeler mevcutsa sistemin kontrol edilmesini ve yükseltilmesini önerir. Ana kontrol panelindeki "Güncellemeleri Kontrol Etmek İçin Tıklayın" düğmesini tıklamanız yeterlidir.

Daha sonra bir sonraki ekranda, güncellemelerin listesini görmek için 'Güncellemeleri Kontrol Et' kullanılabilir veya mevcut güncellemelerin kolayca uygulanması için 'Şimdi Güncelle' kullanılabilir.

Bu noktada, OpnSense'in temel kurulumunun çalışır durumda ve tamamen güncellenmiş olması gerekir! Gelecek makalelerde, OpnSense'in gelişmiş yeteneklerinin daha fazlasını göstermek için Bağlantı birleştirme ve VLAN'lar arası yönlendirme ele alınacaktır!