Firewall pfSense: možnosti připojení a bezpečnost

WAN interface a jeho možnosti

Po instalaci pfSense nastavíme WAN interface pravděpodobně jako IPv4 static, případně jako DHCPv4, pokud jej ISP podporuje. Ale pokud nemáme Ethernetové připojení, máme další možnosti.

pfSense za xDSL modemem

V případě, že máme stávající xDSL modem od jakéhokoliv poskytovatele a z nějakého důvodu nám nevyhovují vlastnosti a možnosti nastaveni xDLS modemu. Můžeme modem překonfigurovat do režimu BRIDGE a propojit Ethernetem s WAN interface pfSense. Kde vybereme IPv4 Configuration Type – PPPoE což je Point-to-point protocol over Ethernet, který je v modemech běžně používán. Bridge v modemu nám přemostí komunikaci a pomyslně ji posune na náš router, který se zachová jako modem a předá DSLAMu uživatele a heslo, který u ISP bývá stejný, např. O2/O2. Pomocí PPPoE dojde k navázání spojeni a přidělení IPv4 adresy. Možnosti provozováni IPv6 si povíme v dalších dílech.

Ovšem někdy může být velmi zábavné překonfigurovávat modem do režimu BRIDGE konkrétně u Comtrend VR-3026e jsem si užil své.

WiFi

Do našeho hardware můžeme též přidat WiFi miniPCI modul Compex WLE200NX 802.11a/b/g/n a tím z routeru můžeme udělat AP nebo se jeho pomocí připojit k lokálnímu WiFi ISP, pokud nás tedy budou schopni a ochotni připojit pomocí vlastního přijímače.

Po vložení karty do HW a nastartování přiřadíme interface a pojmenujeme dle libosti, např. WLAN.

Nastavení WiFi interface je vždy závislé na možnostech a vlastnostech konkrétního HW.

• General Configuration
• Static IPv4 Configuration
• Common Wireless Configuration – Settings apply to all wireless networks on ath0.
• Regulatory Settings
• Network-Specific Wireless Configuration
• WPA
• 802.1× RADIUS Options
• Reserved Networks

Po připojení a asociaci WiFi zařízení jej máme možno vidět v menu  Status / Wireless.

4G/LTE

Další možností jak se připojit k internetu, může být využití mobilních technologií. Do Embedded routeru s deskou PC Engines APU.1D, 1D4, 2D2 a 2D4 se dá pořídit LTE modem Huawei ME909u-521, který je v poslední verzi pfSense i FreeBSD podporován. S deskou ALIX.6F2 by LTE modem měl též fungovat. Deska má jak SIM slot, tak mini PCI.

Ověřeno ve zdrojácích FreeBSD.

grep -iR ME909U /usr/src/sys/dev/*        
/usr/src/sys/dev/usb/serial/u3g.c:    U3G_DEV(HUAWEI, ME909U,U3GINIT_HUAWEISCSI2),
/usr/src/sys/dev/usb/usbdevs:product HUAWEI ME909U        0x1573  LTE modem

Po vložení karty do routeru a nastartování jen nakonfigurujeme WAN interface s použitím PPP prtokolu.

IPv4 Configuration Type     PPP
Country                     Czech Republic
Provider                    T-Mobile
Plan                        T-Mobile - internet.t-mobile.cz
Phone number                *99#
Access Point Name           internet.t-mobile.cz
Init string                 &F0E1Q0 +CMEE=2
Modem port                  /dev/cuaU0.0

Je samozřejmé, že k LTE modemu potřebujeme pigtail a patřičnou anténu. Karta disponuje vývody MAIN a AUX a je doporučeno zapojit dvě antény, pro lepší efektivitu příjmu signálu.

Podrobnosti o zprovoznění pfSense jako LTE router mám sepsané zde.

Firewall a definice pravidel

Jak je firewall bezpečný, bezesporu záleží na bezpečnostní politice, kterou pomocí firewallu uplatňujeme. Firewall pfSense po instalaci blokuje vše na interface, který jsme určili jako WAN. Interface pro interní použití LAN povoluje vše. Dále jsou v pfSense přítomna automatická pravidla, která nám přináší jistý komfort. Např. pokud budeme používat IPSec tunel, tak se nemusime starat o povolování komunikace mezi hraniční IPv4 veřejnými adresami např.  isakmp 500/udp a 500/tcp, ale řešíme jen interní komunikaci uvnitř tunelu. Pokud nám automatické povolení nevyhovují, lze je samozřejmě vypnout.

Dalšími automatickými pravidly jsou volby Block private networks and loopback addresses a Block bogon networks tyto volby jsou zapnutelné u jednotlivých interface a je jen na nás zda je využijeme. U WAN interface jsou defaultně zapnuté.

V pfSense jsou firewallová pravidla přiřazována vždy na nějaký interface. Buď fyzický nebo virtuální v podobě VLAN. V menu je položka Firewall, která nám umožňuje definovat Aliasy, NAT, samotná pravidla (Rules). Dále pak máme možnost nastavovat časově omezená pravidla a omezování rychlosti.

Pro definování pravidel je možné využívat Aliasy, což jsou množiny IP adres, portů, případně celých subnetů. Specialitou je URL Alias, který si router načte z nějaké adresy. Např. zde je seznam českých subnetů CZ.cidr, které když použijeme v nějakém blokovacím pravidle, velmi efektivně tím omezíme komunikaci nějakého obecně otevřeného portu (1194/tcp nebo udp #OpenVPN) jen z IPv4 adres, které jsou přiděleny českým ISP. Vždy je ovšem nutné si uvědomit, zda se někdo nebude připojovat ze zahraničí. Dále je nutno CZ.cidr soubor aktualizovat. Velké změny v něm patrně již nenastanou. IPv4 jsou již rozdělené a nějaké změny se asi dělají jen velmi málo.

Aliasy nám tedy umožňují definovat jedno pravidlo, které ma širší záběr. Pokud tedy chceme povolit komunikaci z nějaké IP, nebudeme vytvářet nové pravidlo, ale přidáme IP do patřičného aliasu, který je součástí pravidla.

Pro vzdálenou správu pfSense pomocí HTTPS a SSH můžeme takto vytvořit jedno povolovací pravidlo pro interface WAN.

Pokud nás zajímají jak jsou pravidla definována uvnitř pfSense v podobě Packet Filteru, můžeme nahlédnout pomocí příkazu pfctl.

Všechna pravidla ve kterých je alias ip_ADMIN.

pfctl -sr | grep ADMIN
pass in quick on ppp0 reply-to (ppp0 10.64.64.0) inet proto tcp from <ip_ADMIN> to 100.90.6.191 port = https flags S/SA keep state label "USER_RULE: Allow ADMINs"
pass in quick on ppp0 reply-to (ppp0 10.64.64.0) inet proto tcp from <ip_ADMIN> to 100.90.6.191 port = ssh flags S/SA keep state label "USER_RULE: Allow ADMINs"

Výpis všech Packet Filter tabulek. Je nutno si všimnout, že Port alias je uložen mimo Packet Filter, protože Alias p_ADMIN mezi tabulkami není.

pfctl -sT
bogons
ip_ADMIN
ip_CZ_IP_RANGE
ip_Facebook_AS
ip_MONITOR
snort2c
sshlockout
virusprot
webConfiguratorlockout

Výpis objemné tabulky čítá bezmála 1000 záznamů.

pfctl -t ip_CZ_IP_RANGE -T show | wc -l
     942

IPv4 adresa www.root.cz je obsažena v patřičném subnetu.

pfctl -t ip_CZ_IP_RANGE -T show | grep 91.213.160
   91.213.160.0/24

Závěr

V dalším díle seriálu o pfSense si povíme podrobněji o správci certifikátů, správě uživatelů a využití obou při konfiguraci OpenVPN.