חומת אש (פיירוול) מומלצת לבית ולעסק קטן.

על ידי | פבר 28, 2021 | מדריכים, סקירות | אפס תגובות

בדרך כלל הנתב שיש לנו כבר משתמש כחומת אש בסיסית שמגינה על כל הרשת, בנוסף מערכת ההפעלה כוללת חומת אש מובנית שמגינה על המחשב בנפרד. הוספת התקן חומת אש (firewall) ייעודי לרשת הביתית או לעסק תספק לנו הגנה תכונות מתקדמת שבדרך כלל נמצא רק בארגונים. לרשת הביתית התקן חומת אש אינו בהכרח נחוץ אבל מעבר לשכבת ההגנה הוא ייתן לנו אפשרויות כמו ניהול חסימות של אתרי אינטרנט שיכול לשמש לצורך בקרת הורים או חסימה אוטומטית של אתרים זדוניים, ובנוסף, ניתור ושליטה מלאה של משאבי הרשת שלנו.

בסקירה התמקדתי בעיקר בחומות אש שניתן להרכיב והתקין לבד בחינם.

למה צריך חומת אש?

עסקים בדרך כלל משמשים כיעד להתקפות ולכן אפשרויות חסימה מתקדמות הם בגדר חובה. מעבר לחסימה של כתובות IP, פורטים ו DNS חומת אש כוללת כלים לחסימה וסינון אתרים ותוספות מתקדמות לזיהוי ומניעה של חדירות (IPS\DTS).

בבית יש לנו נתב שכבר משתמש כחומת אש בסיסית שמגינה על כל הרשת, בנוסף מערכת ההפעלה כוללת חומת אש מובנית שמגינה על המחשב בנפרד. לכן נתקין חומת אש במידה ויש לנו צורך בשירותים מתקדמים כמו הפרדת רשתות, VPN, והגנה מאתרים זדוניים.

VLANS

בארגונים נוהגים לחלק את הרשת לסגמנטים ועל ידי כך להפריד ולהכיל כללי אבטחה שונים לכל סגמנט. חלוקה נפוצה קיימת בין הרשת הארגונית לרשת האורחים ורשת השרתים חלוקת הרשת לסגמנטים גם מאפשרת ניהול עומסים.בבית נוכל לחלק את הרשת לסגמנטים ולהכיל על כל סגמנט חוקים שונים, הפרדת הרשת האלחוטית מהרשת החוטית או הפרדת הרשת של הילדים בבית.

VPN

Corporate VPN –  משמש בעיקר כדי לאפשר עבודה מרוחקת וחיבור מאובטח לרשת הארגונית או כדי לחבר לסניפים ולשירותי ענן בצורה מאובטחת.VPN ביתי מסתיר את המיקום והפעילות שלנו מספק האינטרנט ומגורמים אחרים. אפשר להשתמש בהתקן Firewall כדי להגדיר חיבור VPN לכל הרשת בבית וגם לאפשר לבצע חיבור סלקטיבי כך שרק מכשירים מסוימים תמיד יהיו מחוברים ל VPN.

Traffic Shaping

Traffic shaping – מאפשר להגביל מכשיר שצורך את רוב רוחב הפס בבית (ילדים).

תיעוד.

חומת האש כוללת כלים שמתעדים את כל הפעילות ברשת. ומאפשרת לראות לאן גלש כל התקן בבית ואיזה התקנים צורכים את רוב רוחב הפס.

חסימת פרסומות.

חוסם פרסומות ברמת DNS ותחליף להתקנים כמו Pihole  או Adguard

הקמת רשת אורחים

רשת נפרדת לאורחים כמו שיש בבתי קפה ומלונות

זמינות גבוהה

high availability פחות רלוונטי לבית ולעסק ביתי אבל חשוב לעסק שלא יכול להרשות לעצמו זמני השבתה (down time) עקב כשל חומרה.

אפשר לראות את רשימת הפיצ'רים המלאה באתרים של pfsense ו opnsense

חומות אש פופולריות וזולות לעסק קטן ולבית

חומות אש מבוססות קוד פתוח כמו PFSENSE ו OPNSENSE  יכולות להחליף את הנתב ויהוו חלופות טובות ויציבות יותר מרוב הנתבים הזולים ונתבי הביניים בשוק, התקנת חומת אש מסוג pfsense או OPNsense ייתנו לנו אפשרויות מתקדמות שנמצאות בשימוש של נתבים ארגוניים בהתאם לחומרה שעליה הם יותקנו.

חומת האש לא כוללת התקן אלחוטי ולכן נצטרך לחבר למערכת access point  לרשת אלחוטית ו switch לרשת חוטית. בבית אפשר להשתמש גם בנתב משולב ולהפוך אותו ל access point.

התמקדתי בעיקר בהתקנים לרשתות קטנות שמתאימות יותר לעסקים קטנים ולבית ולכן לא תראו כאן את המותגים המובילים בגלל העלויות הגבוהות שלהם (checkpoint, Cisco, Juniper  וכו).

נוכל להתקין חומות האש שברשימה על מחשב (עם 2 כרטיסי רשת) ולחסוך את עלות החומרה או  לרכוש התקנים מוכנים בעלות חלקית מהתקנים דומים של חברות כמו סיסקו, Juniper וצ'קפוינט.

יש יתרון ברכישת התקן מוכן מהיצרן מכיוון שנקבל מוצר שנבדק ונתמך על ידי החברה אבל בבית אפשר להשתמש במחשב ישן יחסית ולבנות חומת אש לבד ובחינם.

pfSense

Pfsense  היא חומת אש פופולאית שמתבססות על הפצת לינוקס FreeBSD  וקוד פתוח, המערכת מומלצת לעסק ביתי ולעסק קטן. ניתן לרכוש התקנים מוכנים מחברת Netgate  או  לבנות לבד על מחשב ולהשתמש במערכת בחינם, ללא הגבלות. בהמשך נראה איך מתקינים מערכת  pfsense  על מחשב סטנדרטי. לתאימות מרבית חשוב להקפיד להשתמש בכרטיסי רשת איכותיים של אינטל.

מערכת pfsense  נמצאת בשימוש נרחב ונחשבת כאחת המערכות הטובות בתקציב נמוך. המערכת לא כל כך פשוטה לניהול וגם מי שבא מהתחום צריך ללמוד איך להשתמש בה ובתוספות שמשלימות אותה. למרות זאת היא מאפשרת לבצע את כל הפעולות ממשק גראפי ויש הרבה קורסים, פורומים, ומידע ברשת למי שרוצה ללמוד איך להשתמש בה.

ל pfsense  יש תוסף פופולרי לסינון תכנים בשם pfBlockerNG . ותוספות מתקדמות כמו  Suricata  או Snort לזיהוי ומניעה של חדירות לרשת.

התקנת PFsense

חומרה

קיימת אפשרות לרכוש מכשיר מוכן מ Netgate שהיא המפיצה הרשמית של pfsense או לבנות ולהתקין מערכת לבד על מחשב.

Netgate appliance

אם החלטנו לבנות לבד את המערכת נראה הדרישות המינימליות הם מאוד נמוכות, אבל צריך לזכור שהדרישות תלויות במספר המשתמשים ולשירותים שנשתמש בהם, שימוש ב VPN, פרוקסי או בתוספות לסינון תכנים וזיהוי ומניעה של חדירות יעלו את הדרישות.

לרשת ביתית קטנה אפשר גם לעבוד עם הדרישות המינימליות ולהשמיש מחשב ישן מהעשור האחרון  עם 2GB זכרון. כדי לעבוד בסביבה מרובת משתמשים כדאי להתקין על מחשב עם 4GB RAM ומעבד מתחת ל 10 שנים (עדיפות למעבד שתומך ב AES-NI, אבל לא חובה),AES-NI כולל הוראות הצפנה שישפרו ביצועים לחיבורי VPN.

צריך לפחות 2 כרטיסי רשת, לכן נצטרך להוסיף למחשב נייד כרטיס רשת. על פי היצרן מומלץ להשתמש בכרטיסי רשת PCIE של intel אבל לא חובה.

Home built pfsense PC

ההתקן  יפעל 24 שעות ביממה וספק הכח של המחשב יצרוך יותר חשמל ממכשיר ייעודי. לכן ניתן גם לרכוש מחשב MINI PC עם  מספר כרטיסי רשת מובנים.

Mini PC

למכשיר לא תהיה נקודת גישה מובנית ובשביל WIFI צריך לחבר אותו לראוטר אלחוטי או לסוויטש ולנקודת גישה (AP) .

הערה: כדי להתנסות עם המערכת, ניתן להשתמש בכרטיס רשת USB חיצוני או להוסיף כרטיס רשת PCMCIA למחשב נייד אבל זו לא תצורה מומלצת למערכת יציבה.

הורדת המערכת

בדוגמה הזו אנחנו מעוניינים להתקין את המערכת על מחשב מ disk on key,  נבצע את ההורדה מהאתר של pfsense ובשדות נבחר ארכיטקטורת AMD64: USB Memstick installer ו VGA.

Pfsense Download

נחלץ את הקובץ בעזרת תוכנiת כמו 7-zip  או peazip וניצור ממנו  מדית התקנה ל USB באמצעות תוכנה כמו Rufus. במידת הצורך אפשר להעזר במדריך יצירת דיסק הצלה USB עם RUFUS

חיבורים

נקצה כרטיס רשת אחד לשמש כ WAN וכרטיס רשת נוסף כ LAN.

נחבר קצה אחד של כבל הרשת מיציאת LAN של נתב הכבלים או DSL (שבדרך כלל סופק על ידי ספקית האינטרנט) ואת הקצה השני של כבל הרשת  ליציאת ה- WAN של מכשיר\מחשב ה- pfsense.

לאחר מכן, נחבר כבל רשת נוסף מהמחשב  ליציאת ה- LAN של מכשיר ה- pfsense.

הערה: בסיום ההתקנה כתובת ברירת המחדל של יציאת ה LAN תהיה 192.168.1.1\24 אם הכתובת הזו כבר תפוסה על ידי הראוטר שלכם תצטרכו להחליף את הכתובת של הראוטר לכתובת בסגמנט אחר לדוגמה 192.168.10.1\24 או 10.0.0.1\24. או לחלופין, לשנות בסוף ההתקנה את כתובת ה LAN ב pfsense.

installation setup - connections

 

התקנה

נכניס את הכונן הנשלף לכניסת  USB ונאתחל את המחשב שיעדנו להתקנת pfsense מהדיסק הנשלף (USB) במקום מהכונן הקשיח.

כדי להפעיל את מדיית ההתקנה שהורדנו, יהיה עלינו להגדיר את המחשב לאתחל מהדיסק הנשלף (USB) במקום מהכונן הקשיח

התהליך שונה ממחשב למחשב אבל סדר הפעולות חוזר על אותו עיקרון. נאתחל את המחשב ונלחץ על מקש ה– BOOT SETUP כאשר המחשב מופעל לראשונה. המקשים הנפוצים ביותר הם F12 ו– Esc. בתפריט האתחול, נגדיר את כונן ה– USB כהתקן האתחול הראשי. במחשבים בהם אין אפשרות BOOT SETUP נאלץ להכנס ל BIOS Setup ולשנות את סדר הכוננים באופן ידני.

כשהמערכת תעלה נשתמש בכל הגדרות ברירת המחדל

Install pfSense-> continue with default keymap-> Guided disk setup

בסיום ההתקנה נבחר No בחלון Manual Configuration

נוציא את Disk on Key מהמחשב ונבצע אתחול:

הסרטון הבא מראה את כל השלבים:

לאחר האתחול, המערכת תנסה לזהות את היציאות בצורה אוטומטית. במידה והיא לא תצליח נתבקש לענות על מספר שאלות

Do Vlans need to be setup first? n 

בשלב זה אין צורך להגדיר VLANS , נבחר n

נתבקש להגדיר את יציאת ה WAN. יציאת ה WAN היא יציאת הרשת שמחוברת לראוטר.כדי לזהות את הכרטיסים אפשר לנתק ולחבר את כבל הרשת שמחובר לראוטר ולראות את שם ההתקן שנותק. לדוגמה:

em0 link state changed to DOWN
em0 link state changed to UP

בדוגמה שלנו נגדיר את re0 כיציאת WAN ונרשום את היציאות:

em0 – WAN: כרטיס הרשת שמחובר לראוטר

em1 – LAN: כרטיס הרשת שמחובר למחשב

pfsense setup - interfaces

נמתין מספר דקות לסיום ההתקנה עד שיופיע התפריט הבא:

pfsense setup  - menu

הערה: בתצלום השתמשתי במכונה וירטואלית ולכן כתובת ה WAN שונה ממה שתקבלו במכונה פיסית

נוכל תמיד לחזור על הגדרת כרטיסי הרשת על ידי בחירת אפשרות:  assign interfaces מהתפריט.

כדי לשנות כתובות IP או לתת כתובת סטטית אפשר לבחור באפשרות Set interfaces IP address

הגדרות ברירת המחדל של pfsense:

  • יציאת ה WAN מוגדרת לקבל כתובת DHCP  מהראוטר.
  • יציאת ה LAN מוגדרת ככתובת סטטית 192.168.1.1\24
  • כל החיבורים הנכנסים ל- WAN חסומים על ידי pfsense.
  • כל החיבורים היוצאים מ- LAN מורשים על ידי pfsense.
  • pfsense מבצע NAT
  • pfsense פועל כשרת DHCP
  • שם המשתמש ברירת המחדל הוא admin סיסמה pfsense
  • לינק לרשימה המלאה

מכאן נוכל להיכנס לממשק הגרפי ולהמשיך בהגדרות, נפתח דפדפן ונכניס את כתובת ה LAN: 192.168.1.1

browser

שם המשתמש admin סיסמה pfsense

console sign in

נבצע הגדרות בסיסיות בעזרת ה Wizard

pfsense wizard

נמלא את שם ההתקן ואת כתובות ה DNS. במידה ונסמן את המשבצת override DNS המערכת תשתמש בכתובות ה DNS של נתב ה ISP (בהנחה שאנחנו לא משתמשים בכתובת סטטית)

pfsense wizard - hostname and DNS

נבחר איזור

pfsense - Timezone

בשלב זה אפשר לשנות את כתובת ה WAN לכתובת סטטית. בדוגמה קיבלנו אוטומטית כתובת מהנתב של ספקית האינטרנט ולכן נשאיר את האפשרות DHCP

Pfsense - Configure LAN interface

נשאר עם כתובת ברירת המחדל (בהמשך מומלץ לשקול לשנות את הכתובת מכיוון שהכתובת 192.168.1.1 נמצאת בשימוש נרחב)

השנה את הסיסמה לסיסמה מאובטחת

Pfsense - set admin password

נלחץ על reload כדי לשמור את ההגדרות ולאתחל את המערכת

pfsense wizard reload

המערכת מוכנה לשימוש, מכאן אפשר להמשיך ולבצע הגדרות לפי הצורך.

דוגמאות

קונפיגורציה פשוטה לבית: ננתק את המחשב ונחבר ראוטר אלחוטי משולב ליציאת ה-LAN. נגדיר את הראוטר האלחוטי לתפקד כ- Access point וניתן לו כתובת סטטית 192.168.1.2

firewall home topology

מכשירים שיתחברו לראוטר בצורה קווית או אלחוטית יהיו מאובטחים מאחורי חומת האש.

דוגמה לקונפיגורציה פשוטה נוספת עם הפרדה בין הרשת החוטית לרשת האלחוטית

Firewall topology 2

דוגמאות, מדריכים, ומידע נוסף בערוץ של Netgate

Sophos XG Home Edition

Sophos היא לא מערכת קוד פתוח וצריך לבצע רישום ולקבל מספר סיריאלי מהחברה. הרשיון שניתן בחינם לגרסה הביתית מאפשר חיבור של עד 50 התקנים (בדרך כלל מספיק למשתמש הביתי). מעבר לכך, ולשימוש עסקי צריך לרכוש רשיון.

המערכת מתאימה מאוד לשימוש ביתי ודורשת פחות ידע טכני מ pfsense, למרות שההתקנה והרישום יכולים להיות קצת מתישים.

למערכת יש דרישות גבוהות יחסית לחומות האש האחרות שהוזכרו במדריך ומומלץ להשתמש במעבד עם לפחות שני ליבות, 4GB זכרון RAM ושני כרטיסי רשת.

התקנה

ניתן להוריד את המערכת מהלינק הרשמי באתר של Sophos

לאחר שנמלא את הפרטים נוכל להוריד את קובץ ההתקנה, קוד הרשיון ישלח למייל שנזין.

Sophos download

לאחר שנוריד את הקובץ נוכל ליצור ממנו מדיית התקנה באמצעות תוכנה כמו Rufus. לפרטים נוספים אפשר להעזר במדריך יצירת דיסק הצלה USB עם RUFUS. הדגש היחיד הוא לבחור (באופן חריג) באופציה Write in DD image mode.

Rufus DD image mode

נחבר קצה אחד של כבל הרשת מיציאת LAN של נתב הכבלים או DSL (שבדרך כלל סופק על ידי ספקית האינטרנט) ואת הקצה השני של כבל הרשת  ליציאת ה- WAN של מכשיר\מחשב שיעדנו ל Sophos.

לאחר מכן, נחבר כבל רשת נוסף מהמחשב  ליציאת ה- LAN של מכשיר ה- pfsense.

נכניס את הכונן הנשלף לכניסת  USB ונאתחל את המחשב שיעדנו להתקנת Sophos XG Home Edition.

כדי להפעיל את מדיית ההתקנה שהורדנו, יהיה עלינו להגדיר את המחשב לאתחל מהדיסק הנשלף (USB).

נבחר y לביצוע ההתקנה, ובסיום ההתקנה נבחר y לאתחול המערכת

sophos installation #1

לאחר האתחול נקבל את המסך הבא: (אין צורך להכניס סיסמה)

sophos installation #2

נמשיך את ההתקנה מהממשק הגרפי. נפתח דפדפן ונקליד את הכתובת 172.16.16.16:4444.

לפני שנמשיך בהתקנה מומלץ ליצור קודם חשבון עם sophos. הסרטון הבא מסביר את המשך תהליך הרישום וההגדרות הראשוניות בממשק הגרפי, במדריך משתמשים בהתקן מוכן שנרכש מהחברה, בדוגמה שלנו הכנו את ההתקן ממחשב עם מספר כרטיסי רשת אבל הממשק יהיה אותו ממשק.

חומות אש נוספות בחינם

Opnsense גרסה שהתפצלה מ pfsense ב 2015 עקב מחלוקת בין המפתחים. בהשוואה ל  pfsense שני המערכות בסופו של דבר די דומות אבל לOPNsense יש ממשק יותר ידידותי ונח. המערכת חדשה יחסית ל pfsense ולכן יש לה פחות מדרכים, קורסים  ומידע ברשת.

לOpnsense יש תוסף פופולרי לסינון תכנים בשם Sensei שמאפשר סינון תכנים בצורה פשוטה אבל התוסף מוגבל בגרסה החינמית.

IPfire חומת אש קטנה ופשוטה, מבוססת קוד פתוח, שניתן להתקין גם על raspberry pie.

חומות אש בתשלום

Unifi Dream machine מתאים לבית או לעסק ביתי, שכולל ראוטר חומת אש ונקודת גישה במכשיר אחד. מגיע כהתקן מוכן ולא ניתן להתקנה על מחשב.

Untangle חומת אש קלה יותר לשימוש מ pfsense בעלות של $50 לשנה למשתמש ביתי בהתקנה עצמית

0 תגובות

שלח תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

יצירת דיסק אתחול או דיסק הצלה מכונן USB

מדריך יצירת דיסק הפעלה או דיסק הצלה עם דוגמאות ליצירת דיסק בודד או דיסק Multiboot עם אפשרות הפעלה של מספר מערכות מדיסק אחד.דיסק אתחול יכול לשמש אותנו להתקנת מערכת הפעלה, או כדיסק הצלה למקרה שבו מערכת ההפעלה בכונן הקשיח הפנימי אינה נטענת.

מה ההבדל בין מודם לראוטר

מודם מקשר אותנו לספק האינטרנט דרך התשתית הקיימת (בזק, HOT), ראוטר הוא מכשיר שמעביר מידע בין רשתות ומאפשר למספר מכשירים לחלוק חיבור אינטרנט..