Try   HackMD
tags: IDS/IPS Systems, Firewall

Настройка pfSense

Структурная схема сети

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Смысл разделения сети на зоны DMZ и LAN в ограничивании доступа к ресурсам локальной сети из DMZ или из глобальной сети.

DMZ - Demilitarized Zone — демилитаризованная зона, сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных.
Цель DMZ— добавить дополнительный уровень безопасности в локальной сети, позволяющий минимизировать ущерб в случае атаки на один из общедоступных сервисов: внешний злоумышленник имеет прямой доступ только к оборудованию в DMZ

Настройка WAN Firewall

Изменение IP адреса интерфейса.

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

1 — Выбор необходимого действия (установка IP адреса на интерфейс)
2 — Выбор интерфейса на котором будет производиться смена IP адреса
3 — Ввод IP адреса
4 — Установка маски подсети

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

5 — Gateway (указывается при необходимости)
6 — IPv6 адрес
7 — Нужен ли DHCP сервер на интерфейсе
8 — Использовать HTTP протокол для WEB интерфейса
9 — Завершение настройки
Web конвигуратор будет доступен по указанному адресу.

Настройка доверенной зоны

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Выбрать пункт меню «Firewall → Aliases», добавить новый Aliases - «Add»

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

1 — Название Aliases
2 — Подпись (Описание Aliases)
3 — Тип Aliases
4 — Сети входящие в Aliases
5 — Кнопка добавления сетией
6 — Сохранение
Применить настройки

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Настройка маршрутизации:

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Interface — Интерфейс через который будет проходит маршрут
Address Family — Версия IP
Name — Название правила
Gateway — IP адрес на который будут идти запросы

Сохранить правило

Указать дефолтные значения маршрутизации

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Сохранить и применить изменения

Создание статической маршрутизации:
«Routing → Static Routes → add»

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Distantion network — доверенные удаленные сети
Gateway — ранее созданное правило маршрутизации
Discription — Описание правила

Сохранить правило

Добавить разрешающее правило в Firewall:

«Firewall → Rules → LAN → add»

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Interface — Интерфейс на котором будет работать правило
Address Family — версия IP адреса
Protocol — Протокол
Source — IP с которого приходит запрос или список адресов
Destintion — Адрес назначения или список адресов

Сохранить и применить настройки

Настройка WAN Firewall завершена

Настройка LAN Firewall:

Первоначальные настройки идентичны настройке WAN Firewall.
Отключение NAT: «Firewall → NAT → Outbound → Disable Outbound NAT»
Сохранить настройки

В случае установки двух независимых взаимозаменяемых фаерволов для доступа к глобальной сети можно сгруппировать их и при отказе одного из них маршруты пойдут через резервный.

Для настройки групповых маршрутов нжно создать второй Gatawey «System → Routing → add»

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Сохранить настройки

Создать группу «System → Routing → Gateway Groups → add»

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Сохранить настройки

Указать в настройках поумодчанию созданую группу

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Сохранить и применить настройки

Просмотр состаяния

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Last changed by 
bigkreck
0
1051

Read more

IDS/IPS Systems

Настройка Suricata Настройка Suricata будет поизводиться на Firewall pfSense, в зоне DMZ как отдельный сервис. Установить пакет Suricata "System -> Package Manager -> Available Packege", найти пакет suricata, нажать установить. После установки будут доступны настройки "Services -> Suricata" Добавить настройки интерфейса на котором будет работать Suricata: Interface - Интерфейс на котором работает Suricata Description - Описание

Jun 30, 2021
Сканирование хоста на наличае расшареных папок

Основное сканирование Просканировать сеть на наличе открытых портов nmap -sV -vv -sS atackhost Результат сканирования показал открытые портами 139, 445 Выполнение сканирования с использованием скриптов для определения количества расшареных папок nmap -p 445 --script=smb-enum-shares.nse,smb-enum-users.nse atackhost

Jun 29, 2021
Установка и настройка сервера ELK (Elasticsearch Logstash Kibana)

Установка ELK - сервер обработки и визуализации логированной информации Сервер ELK устанавливается на чистую ОС Linux Debian версии от 9 и выше Настройка сетевого интерфейса nano /etc/network/interface auto ens3

Jun 23, 2021
Port forwarding на Pfsense

Пример настройки фаерволов pfsense для перенаправления подключеняия по ssh из сети интернет к компьютеру в локальной сети Настройки FW-1 Перенаправление портов задается в разделе Firewall -> NAT при добавлении правила необходимо заполнить следующие поля Interface - интерфейс на который будут приходить запросы Address Family - адрес IPv4, IPv6 или IPv4+IPv6 Protocol - протокол по которому будут приходить запросы

Jun 14, 2021
Read more from bigkreck
Published on HackMD