pfSense 2.4.4 Güvenlik Duvarı Yönlendiricisinin Kurulumu ve Konfigürasyonu

İnternet bugünlerde korkutucu bir yer. Neredeyse her gün yeni bir sıfır gün, güvenlik ihlali veya fidye yazılımı meydana geliyor ve birçok kişi sistemlerini güvence altına almanın mümkün olup olmadığını merak ediyor.

Birçok kuruluş, altyapılarını ve verilerini korumak için en yeni ve en iyi güvenlik çözümlerini kurmaya çalışırken milyonlarca olmasa da yüzbinlerce dolar harcıyor. Ev kullanıcısı ise parasal açıdan dezavantajlı durumda. Özel bir güvenlik duvarına yüz dolar bile yatırım yapmak çoğu ev ağının kapsamı dışındadır.

Neyse ki açık kaynak topluluğunda, ev kullanıcı güvenliği çözümleri alanında büyük ilerlemeler kaydeden özel projeler var. IPfire, Snort, Squid ve pfSense gibi projelerin tümü, emtia fiyatlarında kurumsal düzeyde güvenlik sağlıyor!

PfSense FreeBSD tabanlı açık kaynaklı bir güvenlik duvarı çözümüdür. Dağıtım, kişinin kendi ekipmanına veya pfSense'in arkasındaki şirket olan NetGate'e ücretsiz olarak kurulabilir ve önceden yapılandırılmış güvenlik duvarı cihazları satmaktadır.

PfSense için gereken donanım çok azdır ve genellikle eski bir ev tipi kule, özel bir pfSense Güvenlik Duvarı olarak kolayca yeniden kullanılabilir. pfSense'in gelişmiş özelliklerinden daha fazlasını çalıştıracak daha yetenekli bir sistem kurmak veya satın almak isteyenler için önerilen bazı minimum donanım değerleri vardır:

Donanım Minimumları

  • 500 mhz işlemci
  • 1 GB RAM
  • 4 GB depolama alanı
  • 2 ağ arayüz kartı

Önerilen Donanım

  • 1 GHz CPU
  • 1 GB RAM
  • 4 GB depolama alanı
  • 2 veya daha fazla PCI-e ağ arayüz kartı.

Ciddi Ev Kullanıcısı Donanım Önerileri (ve İşletmeler)

Bir ev kullanıcısının pfSense'in Snort, Anti-Virüs tarama, DNS kara listeye alma, web içeriği filtreleme gibi ekstra özellik ve işlevlerinin çoğunu etkinleştirmek istemesi durumunda, vb. önerilen donanım biraz daha işin içine giriyor.

pfSense güvenlik duvarındaki ekstra yazılım paketlerini desteklemek için aşağıdaki donanımın pfSense'e sağlanması önerilir:

  • En az 2,0 GHz hızında çalışan modern çok çekirdekli CPU
  • 4GB+ RAM
  • 10 GB+ HD alanı
  • 2 veya daha fazla Intel PCI-e ağ arayüz kartı

pfSense 2.4.4 kurulumu

Bu bölümde pfSense 2.4.4'ün (bu makalenin yazıldığı tarihteki en son sürüm) kurulumunu göreceğiz.

Laboratuvar Kurulumu

pfSense, güvenlik duvarlarına yeni başlayan kullanıcılar için genellikle sinir bozucudur. Birçok güvenlik duvarının varsayılan davranışı, iyi ya da kötü her şeyi engellemektir. Bu, güvenlik açısından harikadır ancak kullanılabilirlik açısından değildir. Kuruluma başlamadan önce, konfigürasyonlara başlamadan önce nihai hedefi kavramsallaştırmak önemlidir.

pfSense indiriliyor

Hangi donanım seçilirse seçilsin, pfSense'i donanıma yüklemek basit bir işlemdir ancak kullanıcının hangi ağ arabirimi bağlantı noktalarının hangi amaçla kullanılacağına (LAN, WAN, Kablosuz vb.) çok dikkat etmesini gerektirir.

Kurulum sürecinin bir kısmı, kullanıcının LAN ve WAN arayüzlerini yapılandırmaya başlamasının istenmesini içerecektir. Yazar, pfSense yapılandırılıncaya kadar yalnızca WAN arayüzünü takmanızı ve ardından LAN arayüzünü takarak kurulumu tamamlamanızı önerir.

İlk adım pfSense yazılımını https://www.pfsense.org/download/ adresinden edinmektir. Cihaza ve kurulum yöntemine bağlı olarak birkaç farklı seçenek mevcuttur ancak bu kılavuzda 'AMD64 CD (ISO) Yükleyici' kullanılacaktır.

Daha önce verilen bağlantıdaki açılır menüyü kullanarak dosyayı indirmek için uygun bir ayna seçin.

Yükleyici indirildikten sonra bir CD'ye yazılabilir veya çoğu Linux dağıtımında bulunan 'dd' aracıyla bir USB sürücüsüne kopyalanabilir.

Bir sonraki işlem, yükleyiciyi başlatmak için ISO'yu bir USB sürücüsüne yazmaktır. Bunu başarmak için Linux'taki 'dd' aracını kullanın. Öncelikle disk adının 'lsblk' ile bulunması gerekiyor.


lsblk

USB sürücüsünün adı '/dev/sdc' olarak belirlendiğinde, pfSense ISO'su 'dd' aracıyla sürücüye yazılabilir.


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Önemli : Yukarıdaki komut, " sudo ’ veya komutu çalıştırmak için kök kullanıcı olarak oturum açın, bu nedenle kök ayrıcalıklarını gerektirir. Ayrıca bu komut USB sürücüsünde her şeyi kaldıracaktır. Gerekli verileri yedeklediğinizden emin olun.

pfSense'in kurulumu

'dd' USB sürücüsüne yazmayı tamamladığında veya CD yazıldığında, medyayı pfSense güvenlik duvarı olarak kurulacak bilgisayara yerleştirin. Bu bilgisayarı bu ortama önyükleyin ve aşağıdaki ekran sunulacaktır.

Bu ekranda ya zamanlayıcının dolmasına izin verin ya da kurulum ortamına önyüklemeye devam etmek için 1 seçeneğini seçin. Yükleyici önyüklemeyi bitirdikten sonra sistem, klavye düzeninde istenen değişiklikleri isteyecektir. Her şey ana dilde gösteriliyorsa "Bu Ayarları Kabul Et" seçeneğini tıklamanız yeterlidir.

Bir sonraki ekran kullanıcıya 'Hızlı/Kolay Kurulum' seçeneğini veya daha gelişmiş kurulum seçeneklerini sunacaktır. Bu kılavuzun amaçları doğrultusunda, 'Hızlı/Kolay Kurulum' seçeneğinin kullanılması önerilmektedir.

Bir sonraki ekran, kullanıcının kurulum sırasında çok fazla soru sormayacak olan 'Hızlı/Kolay Kurulum' yöntemini kullanmak istediğini doğrulayacaktır.

Sunulması muhtemel ilk soru hangi çekirdeğin kurulacağını soracaktır. Yine çoğu kullanıcı için 'Standart Çekirdek'in kurulması önerilmektedir.

Yükleyici bu aşamayı tamamladığında yeniden başlatma isteyecektir. Makinenin yükleyiciye yeniden önyükleme yapmaması için yükleme medyasını da çıkardığınızdan emin olun.

pfSense Yapılandırması

Yeniden başlatma ve CD/USB ortamının çıkarılmasından sonra pfSense, yeni yüklenen işletim sistemini yeniden başlatacaktır. Varsayılan olarak pfSense, DHCP ile WAN arayüzü olarak kurulacak bir arayüz seçecek ve LAN arayüzünü yapılandırılmamış olarak bırakacaktır.

pfSense web tabanlı bir grafik yapılandırma sistemine sahip olsa da, güvenlik duvarının yalnızca LAN tarafında çalışıyor ancak şu anda LAN tarafı yapılandırılmamış olacak. Yapılacak ilk şey LAN arayüzünde bir IP adresi ayarlamak olacaktır.

Bunu yapmak için şu adımları izleyin:

  • VLAN'lar sorulduğunda 'n' yazın ve 'Enter' tuşuna basın.
  • WAN arayüzü istendiğinde birinci adımda kaydedilen arayüz adını yazın veya şimdi uygun arayüze geçin. Yine bu örnekte, 'em0' internete bakan arayüz olacağından WAN arayüzüdür.
  • Bir sonraki istemde LAN arayüzünü isteyecek, uygun arayüz adını tekrar yazın ve 'Enter' tuşuna basın. Bu kurulumda 'em1' LAN arayüzüdür.
  • pfSense, mevcut olması durumunda daha fazla arayüz istemeye devam edecektir ancak tüm arayüzler atanmışsa tekrar 'Enter' tuşuna basmanız yeterlidir.
  • pfSense artık arayüzlerin doğru şekilde atandığından emin olmanızı isteyecektir.

  • Arayüzler doğruysa 'y' yazın ve 'Enter' tuşuna basın.


    • Bir sonraki adım arayüzlere uygun IP yapılandırmasını atamak olacaktır. pfSense ana ekrana döndükten sonra '2' yazın ve 'Enter' tuşuna basın. (WAN ve LAN arayüzlerine atanan arayüz adlarını takip ettiğinizden emin olun).

    *NOT* Bu kurulum için WAN arayüzü DHCP'yi sorunsuz bir şekilde kullanabilir ancak statik adresin gerekli olabileceği durumlar olabilir. WAN üzerinde statik bir arayüz yapılandırma işlemi, yapılandırılmak üzere olan LAN arayüzü ile aynı olacaktır.

    Hangi arayüzün IP bilgisini ayarlayacağı sorulduğunda tekrar '2' yazın. Yine 2, bu kılavuzdaki LAN arayüzüdür.

    İstendiğinde bu arayüz için istediğiniz IPv4 adresini yazın ve 'Enter' tuşuna basın. Bu adres, ağ üzerinde başka hiçbir yerde kullanılmamalıdır ve muhtemelen bu arayüze takılacak ana bilgisayarlar için varsayılan ağ geçidi olacaktır.

    Bir sonraki komut istemi, önek maskesi formatı olarak bilinen alt ağ maskesini isteyecektir. Bu örnek ağ için basit bir /24 veya 255.255.255.0 kullanılacaktır. İşiniz bittiğinde "Enter" tuşuna basın.

    Bir sonraki soruda 'Yukarı Akış IPv4 Ağ Geçidi' hakkında soru sorulacaktır. LAN arayüzü şu anda yapılandırılmış olduğundan 'Enter' tuşuna basmanız yeterlidir.

    Bir sonraki istemde LAN arayüzünde IPv6'nın yapılandırılması istenecektir. Bu kılavuz yalnızca IPv4'ü kullanıyor ancak ortam IPv6 gerektiriyorsa şimdi yapılandırılabilir. Aksi halde "Enter" tuşuna basmak devam edecektir.

    Bir sonraki soruda LAN arayüzünde DHCP sunucusunun başlatılması hakkında soru sorulacaktır. Çoğu ev kullanıcısının bu özelliği etkinleştirmesi gerekecektir. Yine ortama bağlı olarak bunun ayarlanması gerekebilir.

    Bu kılavuz, kullanıcının güvenlik duvarının DHCP hizmetleri sağlamasını isteyeceğini ve pfSense cihazından IP adresi almak için diğer bilgisayarlara 51 adres tahsis edeceğini varsaymaktadır.

    Bir sonraki soruda pfSense'in web aracının HTTP protokolüne döndürülmesi istenecektir. HTTPS protokolü, web yapılandırma aracının yönetici şifresinin ifşa edilmesini önlemek için bir miktar güvenlik sağlayacağından, bunun YAPILMAMASI önemle tavsiye edilir.

    Kullanıcı 'Enter' tuşuna bastığında, pfSense arayüz değişikliklerini kaydedecek ve LAN arayüzünde DHCP hizmetlerini başlatacaktır.

    pfSense'in, güvenlik duvarı cihazının LAN tarafına takılı bir bilgisayar aracılığıyla web yapılandırma aracına erişim için web adresini sağlayacağına dikkat edin. Bu, güvenlik duvarı cihazını daha fazla yapılandırma ve kural için hazır hale getirmeye yönelik temel yapılandırma adımlarını tamamlar.

    Web arayüzüne, LAN arayüzünün IP adresine gidilerek bir web tarayıcısı aracılığıyla erişilir.

    Bu yazının yazıldığı sırada pfSense için varsayılan bilgiler aşağıdaki gibidir:

    
Username: admin
Password: pfsense

    Web arayüzü üzerinden ilk kez başarılı bir şekilde oturum açtıktan sonra pfSense, yönetici şifresini sıfırlamak için bir başlangıç kurulumu gerçekleştirecektir.

    İlk istem, otomatik yapılandırma yedeklemesi, pfSense eğitim materyallerine erişim ve pfSense geliştiricileriyle periyodik sanal toplantılar gibi avantajlara sahip olan pfSense Gold Aboneliğine kayıt olmaktır. Gold aboneliği satın almanıza gerek yoktur ve istenirse bu adım atlanabilir.

    Aşağıdaki adım, kullanıcıdan güvenlik duvarı için ana bilgisayar adı, etki alanı adı (varsa) ve DNS sunucuları gibi daha fazla yapılandırma bilgisi isteyecektir.

    Bir sonraki istem, Ağ Zaman Protokolü, NTP'yi yapılandırmak olacaktır. Farklı zaman sunucuları istenmediği sürece varsayılan seçenekler bırakılabilir.

    NTP'yi kurduktan sonra pfSense kurulum sihirbazı kullanıcıdan WAN arayüzünü yapılandırmasını isteyecektir. pfSense, WAN arayüzünü yapılandırmak için birden fazla yöntemi destekler.

    Çoğu ev kullanıcısı için varsayılan, DHCP kullanmaktır. Kullanıcının internet servis sağlayıcısından alınan DHCP, gerekli IP yapılandırmasını elde etmenin en yaygın yöntemidir.

    Bir sonraki adımda LAN arayüzünün yapılandırılması istenecektir. Kullanıcı web arayüzüne bağlıysa, LAN arayüzü muhtemelen zaten yapılandırılmıştır.

    Ancak LAN arayüzünün değiştirilmesi gerekiyorsa bu adım değişikliklerin yapılmasına olanak tanır. LAN IP adresinin neye ayarlandığını hatırladığınızdan emin olun, çünkü bu şekilde
    yönetici web arayüzüne erişecek!

    Güvenlik dünyasındaki her şeyde olduğu gibi, varsayılan şifreler de aşırı güvenlik riski taşır. Sonraki sayfada yöneticiden 'yönetici' kullanıcısının varsayılan şifresini pfSense web arayüzü olarak değiştirmesi istenecektir.

    Son adım, pfSense'in yeni yapılandırmalarla yeniden başlatılmasını içerir. "Yeniden yükle" düğmesini tıklamanız yeterlidir.

    pfSense yeniden yüklendikten sonra, tam web arayüzünde oturum açmadan önce kullanıcıya son bir ekran sunacaktır. Tam web arayüzüne giriş yapmak için ikinci 'Burayı Tıklayın'ı tıklamanız yeterlidir.

    Sonunda pfSense açıldı ve kuralları yapılandırmaya hazır!

    Artık pfSense çalışır durumda olduğuna göre, yöneticinin güvenlik duvarı üzerinden uygun trafiğe izin vermek için kurallar oluşturması ve kurallar oluşturması gerekecektir. pfSense'in varsayılan olarak tüm kurallara izin verme kuralına sahip olduğuna dikkat edilmelidir. Güvenlik açısından bunun değiştirilmesi gerekir ancak bu yine yöneticinin kararıdır.

    Ayrıca Okuyun : pfSense Güvenlik Duvarında DNS Kara Listesi için pfBlockerNg'yi Kurun ve Yapılandırın

    pfSense kurulumuyla ilgili bu TecMint makalesini okuduğunuz için teşekkür ederiz! pfSense'te bulunan daha gelişmiş seçeneklerden bazılarını yapılandırmaya ilişkin gelecekteki makaleler için bizi takip etmeye devam edin.