آموزش نرم افزار PfSense بخش نخست
PfSense یک نرم افزار رایگان و منبع باز مدیریت یکپارچه تهدیدات ([1]UTM) است که مبتنی بر یک هسته تخصصی شده از سیستم عامل FreeBsd است و با بهره گیری از بسته های نرم افزاری رایگان ، منبع باز و امتحان پس داده ای چون Squid ، Snort و ... قابلیت ها و امکانات امنیتی فراوانی را در اختیار مدیران شبکه و کاربران قرار می دهد .
PfSense دارای ویژگیهایی است که تنها در ابزارهای تجاری و گرانقیمتی چون Cisco ASA ، Juniper ، Astaro و ... دیده می شود ، افزون بر این سامانه فوق دارای قابلیتهایی است که حتی در ابزارهای تجاری فاقد ویژگی منبع باز نیز وجود ندارد. برای نمونه توانایی این نرم افزار در مسدود کردن ترافیک شبکه بر اساس سیستم عاملی که ترافیک را ایجاد کرده است یکی از این توانایی ها است.
پروژه PfSense در سال 2004 و به وسیله کریس بیچلر[2] و اسکات اولریک[3] آغاز گردید . و به عنوان یک پروژه منبع باز تحت مجوز Apachi2.0[4] توزیع می شود ، این مجوز به کاربران اجازه تغییر ، باز توزیع و استفاده از نرم افزار با هر هدفی را می دهد.
امکانات PfSense :
1- PfSense دارای یک رابط کاربری تحت وب بسیار غنی است که امکان پیکر بندی و تنظیم تمامی اجزای نرم افزار را در اختیار کار بر قرار می دهد و برای بهره گیری از همه امکانات آن، نیازی به آشنایی با سیستم عامل Unix وجود ندارد.
2- دیواره آتش[5] نیرومند و دارای توانمندی های گسترده که از نوع حالتمند [6] بوده و جدول وضعیت[7] آن اطلاعاتی دقیق از اتصالات برقرار شده از شبکه داخلی به یک شبکه ناامن خارجی را نگهداری می کند و تنها به بسته هایی اجازه ورود به شبکه داخلی داده می شود که در پاسخ به یک درخواست صورت گرفته از شبکه داخلی بوده و رکورد معتبری از آن در جدول وضعیت وجود داشته باشد. برخلاف بسیاری از فایروالها که اجازه تنظیم جدول وضعیت خود را به کاربر نمی دهند PfSense اجازه تنظیم و نظارت دقیق بر جدول وضعیت را به کاربر می دهد ، که این توانایی مرهون استفاده هنرمندانه PfSense از فایروال بسیار توانای سیستم عامل FreeBsd یعنی [8]Pf است. برای نمونه مدیر شبکه بنا بر نیاز امکان اعمال تنظیمات ذیل را خواهد داشت :
1- تغییر اندازه جدول وضعیت با توجه به میزان حافظه موجود در ماشینی که PfSense در آن نصب گردیده است.
2- به ازای هر قاعده (Rule) تعریف شده می توان قابلیتهای ذیل را در اختیار داشت :
Ø محدود کردن بیشینه اتصالات همزمانی که هر دستگاه می تواند برقرار کند
Ø محدود کردن تعداد رکورد های وضعیت ذخیره شده در جدول وضعیت به ازای هردستگاه
Ø محدود کردن ایجاد اتصال جدید در هر ثانیه
Ø تعریف زمان انقضای وضعیت ذخیره شده در جدول وضعیت
Ø سایر ...
3- امکان تعریف نوع وضعیت (State Type) با توجه به شرایط مورد نیاز در محیط شبکه و نظر مدیر سیستم ، برای نمونه گزینه Synproxy state با پراکسی کردن اتصالات TCP ورودی به حفاظت از سرورها ی موجود درشبکه در برابر حملات از SYN floods کمک می کند و گزینه Keep state امکان کار با تمامی پروتکلها را داشته و گزینه پیش فرض برای کلیه قواعد تعریف شده در فایروال است.
4- امکان بهینه سازی جدول وضعیت با انتخاب گزینه های ذیل و بر اساس شرایط موجود :
Ø Normal
که الگوریتم پیش فرض است
Ø High latency
مناسب برای لینک های با تاخیر بالا است که برای نمونه در ارتباطات ماهواره ای مشاهده می شود. با انتخاب این گزینه اتصالات بی کار(Idle) بیش از حالت معمول در جدول وضعیت ماندگار هستند به بیان دیگر طول عمراتصالات بی کار در این حالت بیش از طول عمر اتصالات بی کار در حالت معمول است.
Ø Aggressive
اتصالات بی کار سریعتر از جدول وضعیت حذف می شوند ، این گزینه برای استفاده کارآمد از سخت افزار بسیار مناسب است اما خطر حذف اتصالات فعال از جدول وضعیت در این حالت وجود خواهد داشت.
Ø Conservative
در این حالت تلاش می دشود تا از حذف اتصالات فعال در مقایسه با هزینه افزایش استفاده از حافظه و یا بهره گیری بیشتر از پردازشگراجتناب گردد به بیان ساده تر حفظ اتصالات فعال بر استفاده کارآمدتر از منابع سخت افزاری برتری خواهد داشت.
ناگفته نماند که PfSense امکان عمل در سطح یک دیواره آتش از نوع پالایش بسته[9] را داشته و می توان قواعدی[10] تعریف کرد که ترافیک شبکه را بر اساس اطلاعات و گزینه های موجود در سرآیند پروتکل های IP ، TCP ، UDP و ... پالایش کند
3- ترجمه آدرس شبکه ([11]NAT) شامل قابلیتهایی چونPort forwards ، NAT 1:1 ، Outbound NAT و NAT Reflection که بنا بر نیازها و الزامات امنیتی محیط شبکه قابل پیاده سازی و بهره برداری خواهد بود.
4- قابلیت تحمل خرابی[12]
PfSense با ترکیب قابلیتهای ذاتی خود نظیر pfsync و پروتکل CARP[13] امکان پیکر بندی دو یا چند فایروال به عنوان یک گروه یا خوشه[14] Failover را فراهم ساخته و امکان همگام سازی جدول وضعیت و تنظیمات انجام شده در تمامی فایروالهای موجود در خوشه را ممکن می سازد.
5- شبکه های گسترده چند گانه (Multi-WAN)
این قابلیت امکان بهره گیری همزمان از چندین ارتباط اینترنتی را ممکن می سازد برای نمونه با اتصال همزمان یک مودم Adsl و یک مودم وایمکس یا LTE به PfSense و با فعال کردن قابلیتهایی چون Balancing Load و Failover می توان شاخص در دسترس بودن اینترنت[15] و توزیع استفاده از پهنای باند را بهبود بخشید.
6- شبکه مجازی خصوصی ([16]VPN)
در نرم افزار PfSense امکان راه اندازی شبکه مجازی خصوصی با استفاده از پروتکلهای , L2TP IpSec و Open Vpn فراهم است و با استفاده از قابلیتهای موجود و سیاستهای تعریف شده در سطح شبکه می توان اقدام به پیاده سازی راه حل هایی چون Site-To-Site vpn وRemote Access Vpn نمود
7- امکان استفاده به عنوان سرور PPPOE[17]
8- امکان گزارش گیری و نظارت
PfSense دارای امکانات بسیار در ثبت وقایع و نظارت بر رویدادهای سیستم است این نظارت هم می تواند بی درنگ و در لحضه باشد و هم با استفاده از داده های ذخیره شده می توان رویدادهای رخ داده در یک بازه زمانی مورد نظر را بررسی و مورد تجزیه و تحلیل قرار داد نمودارهای گرافیکی و زیبای رسم شده توسط PfSense می تواند در خلاصه سازی و درک بهتر اطلاعات ثبت شده شمارا یاری دهد.
9- ارائه سرویسهای گوناگون و کاربردی چون : Dns Server ، Dhcp Server ، Ntp Server ، Captive Portal و ... که با نصب بسته های نرم افزاری می توان قابلیت ها و امکانات PfSense را افزایش داد برای نمونه با نصب Squid می توان از PfSense به عنوان یک Proxy استفاده کرد.
10- Captive Portal
با بهره گیری از قابلیت Captive Portal می توان نسبت به راه اندازی یک HotSpot اقدام کرد و یک لایه امنیتی جداگانه برای شبکه های بی سیم (Wire Less) و یا دسترسی به اینترنت فراهم آورد. این قابلیت با اجبار کاربران به احرازهویت موجب هدایت آنان به سمت یک صفحه وب می گردد که از کاربر نام کاربری و گذرواژه را درخواست می کند و چنانچه کاربر نام کاربری و گذرواژه معتبری در این صفحه وارد کند می تواند به صفحه وب درخواستی دسترسی یابد.
برخی از ویژگی های Captive Portal موجود در PfSense عبارتند از :
•Maximum concurrent connections
محدودکردن تعداد اتصالات همزمان برقرار شده به Captive Portal به ازای هر IP که موجب جلوگیری از حملات منع سرویس (DOS) به این سرویس می گردد.
•Idle timeout
قطع ارتباط ایستگاه های کاری که وضعیت اتصال آنها بیش از مقدار زمانی تعریف شده بر حسب دقیقه در حالت بیکار (Idle) قرار گرفته باشد.
•Hard timeout
قطع ارتباط اجباری تمامی ایستگاههای کاری بعد از مدت زمان تعریف شده بر حسب دقیقه
.
•Logon pop up window
نمایش یک پنجره دارای دکمه خروج از سیستم
•URL Redirection
امکان هدایت کاربر به یک نشانی اینترنتی خاص بعد از احراز هویت موفق
•MAC filtering
فیلترهای captive portal به صورت پیش فرض از آدرس سخت افزاری MAC استفاده می کنند بنابراین چنانچه در پشت یک روتر متصل به اینترفیسی از PfSense که بر روی آن captive portal فعال است یک زیر شبکه (Sub Net) وجود داشته باشد ، با اجازه یافتن اولین ایستگاه کاری موجود در این زیر شبکه سایر ایستگاههای کاری موجود در این زیر شبکه نیز اجازه دسترسی به اینترنت را خواهند داشت بنابراین در این شرایط بهترین گزینه غیر فعال کردن Mac Filtering است.
•Authentication options
درcaptive portal سه گزینه احراز هویت در دسترس است :
Ø No authentication
در این حالت کاربر بدون احراز هویت می تواند از منابع شبکه استفاده کند.
Ø Local user manager
در این حالت از کاربران محلی تعریف شده بر روی خود PfSense برای اعتبار سنجی نام کاربری و گذرواژه وارد شده توسط کاربران استفاده می شود
Ø RADIUS authentication
این گزینه مناسب محیط های بزرگ نظیر شرکتها و سازمانهای دارای کاربران بسیار است در این حالت می توان از اکتیو دایرکتوری مایکروسافت و یا سرورهای Radius برای اعتبار سنجی و احرازهویت کاربران استفاده کرد
دریافت نسخه PfSense آموزش نرم افزار Pdf بخش نخست
[1] Unified threat management
[2] Chris Buechler
[3] Scott Ulrich
[4] http://www.apache.org/licenses/LICENSE-2.0
[5] FireWall
[6] Stateful Firewall
[7] State Table
[8] Packet Filter
[9] Packet Filtering
[10] Rules
[11] Network Address Translation
[12] High Availability
[13] Common Address Redundancy Protocol
[14] Cluster
[15] Internet availability
[16] Virtual Private Network
[17] Point-to-Point Protocol over Ethernet (PPPoE)