בדרך כלל הנתב שיש לנו כבר משתמש כחומת אש בסיסית שמגינה על כל הרשת, בנוסף מערכת ההפעלה כוללת חומת אש מובנית שמגינה על המחשב בנפרד. הוספת התקן חומת אש (firewall) ייעודי לרשת הביתית או לעסק תספק לנו הגנה תכונות מתקדמת שבדרך כלל נמצא רק בארגונים. לרשת הביתית התקן חומת אש אינו בהכרח נחוץ אבל מעבר לשכבת ההגנה הוא ייתן לנו אפשרויות כמו ניהול חסימות של אתרי אינטרנט שיכול לשמש לצורך בקרת הורים או חסימה אוטומטית של אתרים זדוניים, ובנוסף, ניתור ושליטה מלאה של משאבי הרשת שלנו.
בסקירה התמקדתי בעיקר בחומות אש שניתן להרכיב והתקין לבד בחינם.
למה צריך חומת אש?
עסקים בדרך כלל משמשים כיעד להתקפות ולכן אפשרויות חסימה מתקדמות הם בגדר חובה. מעבר לחסימה של כתובות IP, פורטים ו DNS חומת אש כוללת כלים לחסימה וסינון אתרים ותוספות מתקדמות לזיהוי ומניעה של חדירות (IPS\DTS).
בבית יש לנו נתב שכבר משתמש כחומת אש בסיסית שמגינה על כל הרשת, בנוסף מערכת ההפעלה כוללת חומת אש מובנית שמגינה על המחשב בנפרד. לכן נתקין חומת אש במידה ויש לנו צורך בשירותים מתקדמים כמו הפרדת רשתות, VPN, והגנה מאתרים זדוניים.
VLANS
בארגונים נוהגים לחלק את הרשת לסגמנטים ועל ידי כך להפריד ולהכיל כללי אבטחה שונים לכל סגמנט. חלוקה נפוצה קיימת בין הרשת הארגונית לרשת האורחים ורשת השרתים חלוקת הרשת לסגמנטים גם מאפשרת ניהול עומסים.בבית נוכל לחלק את הרשת לסגמנטים ולהכיל על כל סגמנט חוקים שונים, הפרדת הרשת האלחוטית מהרשת החוטית או הפרדת הרשת של הילדים בבית.
VPN
Corporate VPN – משמש בעיקר כדי לאפשר עבודה מרוחקת וחיבור מאובטח לרשת הארגונית או כדי לחבר לסניפים ולשירותי ענן בצורה מאובטחת.VPN ביתי מסתיר את המיקום והפעילות שלנו מספק האינטרנט ומגורמים אחרים. אפשר להשתמש בהתקן Firewall כדי להגדיר חיבור VPN לכל הרשת בבית וגם לאפשר לבצע חיבור סלקטיבי כך שרק מכשירים מסוימים תמיד יהיו מחוברים ל VPN.
Traffic Shaping
Traffic shaping – מאפשר להגביל מכשיר שצורך את רוב רוחב הפס בבית (ילדים).
תיעוד.
חומת האש כוללת כלים שמתעדים את כל הפעילות ברשת. ומאפשרת לראות לאן גלש כל התקן בבית ואיזה התקנים צורכים את רוב רוחב הפס.
חסימת פרסומות.
חוסם פרסומות ברמת DNS ותחליף להתקנים כמו Pihole או Adguard
הקמת רשת אורחים
רשת נפרדת לאורחים כמו שיש בבתי קפה ומלונות
זמינות גבוהה
high availability פחות רלוונטי לבית ולעסק ביתי אבל חשוב לעסק שלא יכול להרשות לעצמו זמני השבתה (down time) עקב כשל חומרה.
אפשר לראות את רשימת הפיצ'רים המלאה באתרים של pfsense ו opnsense
חומות אש פופולריות וזולות לעסק קטן ולבית
חומות אש מבוססות קוד פתוח כמו PFSENSE ו OPNSENSE יכולות להחליף את הנתב ויהוו חלופות טובות ויציבות יותר מרוב הנתבים הזולים ונתבי הביניים בשוק, התקנת חומת אש מסוג pfsense או OPNsense ייתנו לנו אפשרויות מתקדמות שנמצאות בשימוש של נתבים ארגוניים בהתאם לחומרה שעליה הם יותקנו.
חומת האש לא כוללת התקן אלחוטי ולכן נצטרך לחבר למערכת access point לרשת אלחוטית ו switch לרשת חוטית. בבית אפשר להשתמש גם בנתב משולב ולהפוך אותו ל access point.
התמקדתי בעיקר בהתקנים לרשתות קטנות שמתאימות יותר לעסקים קטנים ולבית ולכן לא תראו כאן את המותגים המובילים בגלל העלויות הגבוהות שלהם (checkpoint, Cisco, Juniper וכו).
נוכל להתקין חומות האש שברשימה על מחשב (עם 2 כרטיסי רשת) ולחסוך את עלות החומרה או לרכוש התקנים מוכנים בעלות חלקית מהתקנים דומים של חברות כמו סיסקו, Juniper וצ'קפוינט.
יש יתרון ברכישת התקן מוכן מהיצרן מכיוון שנקבל מוצר שנבדק ונתמך על ידי החברה אבל בבית אפשר להשתמש במחשב ישן יחסית ולבנות חומת אש לבד ובחינם.
pfSense
Pfsense היא חומת אש פופולאית שמתבססות על הפצת לינוקס FreeBSD וקוד פתוח, המערכת מומלצת לעסק ביתי ולעסק קטן. ניתן לרכוש התקנים מוכנים מחברת Netgate או לבנות לבד על מחשב ולהשתמש במערכת בחינם, ללא הגבלות. בהמשך נראה איך מתקינים מערכת pfsense על מחשב סטנדרטי. לתאימות מרבית חשוב להקפיד להשתמש בכרטיסי רשת איכותיים של אינטל.
מערכת pfsense נמצאת בשימוש נרחב ונחשבת כאחת המערכות הטובות בתקציב נמוך. המערכת לא כל כך פשוטה לניהול וגם מי שבא מהתחום צריך ללמוד איך להשתמש בה ובתוספות שמשלימות אותה. למרות זאת היא מאפשרת לבצע את כל הפעולות ממשק גראפי ויש הרבה קורסים, פורומים, ומידע ברשת למי שרוצה ללמוד איך להשתמש בה.
ל pfsense יש תוסף פופולרי לסינון תכנים בשם pfBlockerNG . ותוספות מתקדמות כמו Suricata או Snort לזיהוי ומניעה של חדירות לרשת.
התקנת PFsense
חומרה
קיימת אפשרות לרכוש מכשיר מוכן מ Netgate שהיא המפיצה הרשמית של pfsense או לבנות ולהתקין מערכת לבד על מחשב.
אם החלטנו לבנות לבד את המערכת נראה הדרישות המינימליות הם מאוד נמוכות, אבל צריך לזכור שהדרישות תלויות במספר המשתמשים ולשירותים שנשתמש בהם, שימוש ב VPN, פרוקסי או בתוספות לסינון תכנים וזיהוי ומניעה של חדירות יעלו את הדרישות.
לרשת ביתית קטנה אפשר גם לעבוד עם הדרישות המינימליות ולהשמיש מחשב ישן מהעשור האחרון עם 2GB זכרון. כדי לעבוד בסביבה מרובת משתמשים כדאי להתקין על מחשב עם 4GB RAM ומעבד מתחת ל 10 שנים (עדיפות למעבד שתומך ב AES-NI, אבל לא חובה),AES-NI כולל הוראות הצפנה שישפרו ביצועים לחיבורי VPN.
צריך לפחות 2 כרטיסי רשת, לכן נצטרך להוסיף למחשב נייד כרטיס רשת. על פי היצרן מומלץ להשתמש בכרטיסי רשת PCIE של intel אבל לא חובה.
ההתקן יפעל 24 שעות ביממה וספק הכח של המחשב יצרוך יותר חשמל ממכשיר ייעודי. לכן ניתן גם לרכוש מחשב MINI PC עם מספר כרטיסי רשת מובנים שמיועד לתפקד כ Firewall ולא תופס הרבה מקום.
למכשיר לא תהיה נקודת גישה מובנית ובשביל WIFI צריך לחבר אותו לראוטר אלחוטי או לסוויטש ולנקודת גישה (AP) .
הערה: כדי להתנסות עם המערכת, ניתן להשתמש בכרטיס רשת USB חיצוני או להוסיף כרטיס רשת PCMCIA למחשב נייד אבל זו לא תצורה מומלצת למערכת יציבה.
הורדת המערכת
בדוגמה הזו אנחנו מעוניינים להתקין את המערכת על מחשב מ disk on key, נבצע את ההורדה מהאתר של pfsense ובשדות נבחר ארכיטקטורת AMD64: USB Memstick installer ו VGA.
נחלץ את הקובץ בעזרת תוכנiת כמו 7-zip או peazip וניצור ממנו מדית התקנה ל USB באמצעות תוכנה כמו Rufus. במידת הצורך אפשר להעזר במדריך יצירת דיסק הצלה USB עם RUFUS
חיבורים
נקצה כרטיס רשת אחד לשמש כ WAN וכרטיס רשת נוסף כ LAN.
נחבר קצה אחד של כבל הרשת מיציאת LAN של נתב הכבלים או DSL (שבדרך כלל סופק על ידי ספקית האינטרנט) ואת הקצה השני של כבל הרשת ליציאת ה- WAN של מכשיר\מחשב ה- pfsense.
לאחר מכן, נחבר כבל רשת נוסף מהמחשב ליציאת ה- LAN של מכשיר ה- pfsense.
הערה: בסיום ההתקנה כתובת ברירת המחדל של יציאת ה LAN תהיה 192.168.1.1\24 אם הכתובת הזו כבר תפוסה על ידי הראוטר שלכם תצטרכו להחליף את הכתובת של הראוטר לכתובת בסגמנט אחר לדוגמה 192.168.10.1\24 או 10.0.0.1\24. או לחלופין, לשנות בסוף ההתקנה את כתובת ה LAN ב pfsense.
התקנה
נכניס את הכונן הנשלף לכניסת USB ונאתחל את המחשב שיעדנו להתקנת pfsense מהדיסק הנשלף (USB) במקום מהכונן הקשיח.
כדי להפעיל את מדיית ההתקנה שהורדנו, יהיה עלינו להגדיר את המחשב לאתחל מהדיסק הנשלף (USB) במקום מהכונן הקשיח
התהליך שונה ממחשב למחשב אבל סדר הפעולות חוזר על אותו עיקרון. נאתחל את המחשב ונלחץ על מקש ה– BOOT SETUP כאשר המחשב מופעל לראשונה. המקשים הנפוצים ביותר הם F12 ו– Esc. בתפריט האתחול, נגדיר את כונן ה– USB כהתקן האתחול הראשי. במחשבים בהם אין אפשרות BOOT SETUP נאלץ להכנס ל BIOS Setup ולשנות את סדר הכוננים באופן ידני.
כשהמערכת תעלה נשתמש בכל הגדרות ברירת המחדל
Install pfSense-> continue with default keymap-> Guided disk setup
בסיום ההתקנה נבחר No בחלון Manual Configuration
נוציא את Disk on Key מהמחשב ונבצע אתחול:
הסרטון הבא מראה את כל השלבים:
לאחר האתחול, המערכת תנסה לזהות את היציאות בצורה אוטומטית. במידה והיא לא תצליח נתבקש לענות על מספר שאלות
Do Vlans need to be setup first? n בשלב זה אין צורך להגדיר VLANS , נבחר n
נתבקש להגדיר את יציאת ה WAN. יציאת ה WAN היא יציאת הרשת שמחוברת לראוטר.כדי לזהות את הכרטיסים אפשר לנתק ולחבר את כבל הרשת שמחובר לראוטר ולראות את שם ההתקן שנותק. לדוגמה:
em0 link state changed to DOWN
em0 link state changed to UPבדוגמה שלנו נגדיר את re0 כיציאת WAN ונרשום את היציאות:
em0 – WAN: כרטיס הרשת שמחובר לראוטר
em1 – LAN: כרטיס הרשת שמחובר למחשב
נמתין מספר דקות לסיום ההתקנה עד שיופיע התפריט הבא:
הערה: בתצלום השתמשתי במכונה וירטואלית ולכן כתובת ה WAN שונה ממה שתקבלו במכונה פיסית
נוכל תמיד לחזור על הגדרת כרטיסי הרשת על ידי בחירת אפשרות: assign interfaces מהתפריט.
כדי לשנות כתובות IP או לתת כתובת סטטית אפשר לבחור באפשרות Set interfaces IP address
הגדרות ברירת המחדל של pfsense:
- יציאת ה WAN מוגדרת לקבל כתובת DHCP מהראוטר.
- יציאת ה LAN מוגדרת ככתובת סטטית 192.168.1.1\24
- כל החיבורים הנכנסים ל- WAN חסומים על ידי pfsense.
- כל החיבורים היוצאים מ- LAN מורשים על ידי pfsense.
- pfsense מבצע NAT
- pfsense פועל כשרת DHCP
- שם המשתמש ברירת המחדל הוא admin סיסמה pfsense
- לינק לרשימה המלאה
מכאן נוכל להיכנס לממשק הגרפי ולהמשיך בהגדרות, נפתח דפדפן ונכניס את כתובת ה LAN: 192.168.1.1
שם המשתמש admin סיסמה pfsense
נבצע הגדרות בסיסיות בעזרת ה Wizard
נמלא את שם ההתקן ואת כתובות ה DNS. במידה ונסמן את המשבצת override DNS המערכת תשתמש בכתובות ה DNS של נתב ה ISP (בהנחה שאנחנו לא משתמשים בכתובת סטטית)
נבחר איזור
בשלב זה אפשר לשנות את כתובת ה WAN לכתובת סטטית. בדוגמה קיבלנו אוטומטית כתובת מהנתב של ספקית האינטרנט ולכן נשאיר את האפשרות DHCP
נשאר עם כתובת ברירת המחדל (בהמשך מומלץ לשקול לשנות את הכתובת מכיוון שהכתובת 192.168.1.1 נמצאת בשימוש נרחב)
השנה את הסיסמה לסיסמה מאובטחת
נלחץ על reload כדי לשמור את ההגדרות ולאתחל את המערכת
המערכת מוכנה לשימוש, מכאן אפשר להמשיך ולבצע הגדרות לפי הצורך.
דוגמאות
קונפיגורציה פשוטה לבית: ננתק את המחשב ונחבר ראוטר אלחוטי משולב ליציאת ה-LAN. נגדיר את הראוטר האלחוטי לתפקד כ- Access point וניתן לו כתובת סטטית 192.168.1.2
מכשירים שיתחברו לראוטר בצורה קווית או אלחוטית יהיו מאובטחים מאחורי חומת האש.
דוגמה לקונפיגורציה פשוטה נוספת עם הפרדה בין הרשת החוטית לרשת האלחוטית
דוגמאות, מדריכים, ומידע נוסף בערוץ של Netgate
Sophos XG Home Edition
Sophos היא לא מערכת קוד פתוח וצריך לבצע רישום ולקבל מספר סיריאלי מהחברה. הרשיון שניתן בחינם לגרסה הביתית מאפשר חיבור של עד 50 התקנים (בדרך כלל מספיק למשתמש הביתי). מעבר לכך, ולשימוש עסקי צריך לרכוש רשיון.
המערכת מתאימה מאוד לשימוש ביתי ודורשת פחות ידע טכני מ pfsense, למרות שההתקנה והרישום יכולים להיות קצת מתישים.
למערכת יש דרישות גבוהות יחסית לחומות האש האחרות שהוזכרו במדריך ומומלץ להשתמש במעבד עם לפחות שני ליבות, 4GB זכרון RAM ושני כרטיסי רשת.
התקנה
ניתן להוריד את המערכת מהלינק הרשמי באתר של Sophos
לאחר שנמלא את הפרטים נוכל להוריד את קובץ ההתקנה, קוד הרשיון ישלח למייל שנזין.
לאחר שנוריד את הקובץ נוכל ליצור ממנו מדיית התקנה באמצעות תוכנה כמו Rufus. לפרטים נוספים אפשר להעזר במדריך יצירת דיסק הצלה USB עם RUFUS. הדגש היחיד הוא לבחור (באופן חריג) באופציה Write in DD image mode.
נחבר קצה אחד של כבל הרשת מיציאת LAN של נתב הכבלים או DSL (שבדרך כלל סופק על ידי ספקית האינטרנט) ואת הקצה השני של כבל הרשת ליציאת ה- WAN של מכשיר\מחשב שיעדנו ל Sophos.
לאחר מכן, נחבר כבל רשת נוסף מהמחשב ליציאת ה- LAN של מכשיר ה- pfsense.
נכניס את הכונן הנשלף לכניסת USB ונאתחל את המחשב שיעדנו להתקנת Sophos XG Home Edition.
כדי להפעיל את מדיית ההתקנה שהורדנו, יהיה עלינו להגדיר את המחשב לאתחל מהדיסק הנשלף (USB).
נבחר y לביצוע ההתקנה, ובסיום ההתקנה נבחר y לאתחול המערכת
לאחר האתחול נקבל את המסך הבא: (אין צורך להכניס סיסמה)
נמשיך את ההתקנה מהממשק הגרפי. נפתח דפדפן ונקליד את הכתובת 172.16.16.16:4444.
לפני שנמשיך בהתקנה מומלץ ליצור קודם חשבון עם sophos. הסרטון הבא מסביר את המשך תהליך הרישום וההגדרות הראשוניות בממשק הגרפי, במדריך משתמשים בהתקן מוכן שנרכש מהחברה, בדוגמה שלנו הכנו את ההתקן ממחשב עם מספר כרטיסי רשת אבל הממשק יהיה אותו ממשק.
חומות אש נוספות בחינם
Opnsense גרסה שהתפצלה מ pfsense ב 2015 עקב מחלוקת בין המפתחים. בהשוואה ל pfsense שני המערכות בסופו של דבר די דומות אבל לOPNsense יש ממשק יותר ידידותי ונח. המערכת חדשה יחסית ל pfsense ולכן יש לה פחות מדרכים, קורסים ומידע ברשת.
לOpnsense יש תוסף פופולרי לסינון תכנים בשם Sensei שמאפשר סינון תכנים בצורה פשוטה אבל התוסף מוגבל בגרסה החינמית.
IPfire חומת אש קטנה ופשוטה, מבוססת קוד פתוח, שניתן להתקין גם על raspberry pie.
חומות אש בתשלום
Unifi Dream machine מתאים לבית או לעסק ביתי, שכולל ראוטר חומת אש ונקודת גישה במכשיר אחד. מגיע כהתקן מוכן ולא ניתן להתקנה על מחשב.
Untangle חומת אש קלה יותר לשימוש מ pfsense בעלות של $50 לשנה למשתמש ביתי בהתקנה עצמית
0 תגובות