Quale hardware utilizzi per pfSense?

giovedì 30 agosto 2012

Accesso WiFi con captive portal e vouchers - Parte 2

Il Captive Portal di pfSense permette di redirigere tutto il traffico verso una pagina web dove può essere richiesta l'autenticazione o semplicemente l'accettazione di condizioni d'uso prima che l'utente possa iniziare la sua navigazione. Captive Portal viene solitamente utilizzato per autorizzare la navigazione attraverso hot spot. Il Captive Portal può essere usato anche con le connessioni via cavo.

martedì 28 agosto 2012

Accesso WiFi con captive portal e vouchers - Parte 1

Se sei interessato a realizzare un accesso WiFi per un locale, un albergo, o qualsiasi altra cosa, non puoi certamente perdere questa serie di articoli in cui spiegherò come fare. In questi articoli vedremo come creare  una soluzione sicura e professionale impiegando soluzioni opensource.

In particolare vedremo come configurare AccessPoint, Switch e Firewall per gestire connessioni WiFi (parte 1) poi impareremo a configurare il captive portal per l'accesso tramite vouchers con validità temporanea (Parte 2) e termineremo con due procedure per stampare tesserine personalizzate contenenti i codici di accesso temporanei.

domenica 26 agosto 2012

Resettare la password di amministratore

Non mi capita spesso di dover resettare la password di admin dei sistemi che gestisco ma, può capitare di essere chiamati a gestire un firewall di cui nessuno ricorda più la password oppure di inserire una password particolare e finire poi per dimenticarsela.

Ultimamente mi è capitato di dover riprendere il controllo di un firewall pfSense dopo che il vecchio amministratore di sistema se n'era andato con tanto di password.
Per questo motivo ho pensato potesse essere utile riportare una procedura di recupero password.

sabato 18 agosto 2012

Trasformare pfSense in un sistema IDS/IPS

Un firewall basato solo sul filtro dei pacchetti può non essere sufficiente o comunque sarebbe poco efficace, per questo motivo negli ultimi anni i firewall più completi includono anche un sistema IDS e IPS. Con quest'articolo vedremo cos'è un IDS/IPS e come trasformare il nostro pfSense in un potente firewall completo di sistema IDS/IPS in grado di competere con le maggiori soluzioni presenti sul mercato.

Un Intrusion Detection System è un insieme di tecniche e metodologie realizzate ad-hoc per rilevare pacchetti dati sospetti a livello di rete, di trasporto o di applicazione. A differenza di un packet filter, non si limita a guardare se i pacchetti in transito sono originati e destinati secondo regole stabilite dall'utente, ma effettua un'analisi più approfondita dei pacchetti. Un IDS non effettua nessun tipo di blocco delegando quest'attività al firewall.

Un Intrusion Prevention System può essere considerato come un dispositivo in grado di completare il lavoro dell'IDS andando a bloccare il traffico identificato dall'IDS come pericoloso. Quest'attività può essere fatta in modo autonomo o semplicemente generando dinamicamente delle regole di firewall. Quindi, in modo molto sintetico, un IPS non è altro che il dispositivo che permette il dialogo tra IDS e firewall.

Anche pfSense come tutti i firewall moderni può essere dotato di sistema IDS/IPS installando il pacchetto Snort.

sabato 11 agosto 2012

Attivare il controllo S.M.A.R.T. in pfSense

pfSense è un sistema che può essere avviato da differenti dispositivi di memorizzazione (CompactFlash, USB, HDD, SSD ecc...). Molte installazioni utilizzano questa peculiarità per sostituire componenti meccanici con componenti puramente elettronici come le schede CompactFlash, perchè ritenuti più affidabili. In alcune installazioni, specialmente in presenza di componenti proxy come squid, è necessario l'impiego di un HDD quindi è importante riuscire a limitare il rischio di guasti improvvisi, per fare questo è possibile attivare il sistema S.M.A.R.T.

venerdì 10 agosto 2012

Alerting e Reporting di pfSense


In molte situazioni è utile poter ricevere alert via email quando si verificano eventi di particolare importanza.
Nella versione 2.0 di pfSense vengono segnalati via mail tutti quegli avvisi che causano anche delle notifiche sull'interfaccia grafica. Nella versione 2.1 dovrebbe essere possibile selezionare quali eventi debbano generare degli alert via email in modo da personalizzare il servizio.


Oltre alla notifica di alert è possibile inviare dei report periodici sullo stato di pfsense. Questi report includono il traffico per porta, l'utilizzo del processore, della ram, tabelle di stato ecc...


martedì 7 agosto 2012

Separare l'accesso WiFi per utenti ed ospiti

In molti casi può essere utile configurare l'accesso ad internet in modo che utenti della lan ed ospiti possano navigare in modo isolato e controllato da regole differenti.
Per esempio, supponiamo di voler far in modo che nella nostra rete siano disponibili:
1) un punto d'accesso wireless con SSID UTENTI che dia accesso a tutte le risorse di rete;
2) un punto d'accesso wireless con SSID OSPITI che dia accesso solo ad internet e solo tramite i protocolli HTTP ed HTTPS.
Vediamo come configurare i dispositivi di rete e come configurare il nostro firewall affinchè tutto funzioni alla perfezione.

venerdì 3 agosto 2012

Come limitare la banda in upload e download

In molti casi può essere utile limitare la banda in upload e/o download. Dalla versione 2.0 di pfSense è possibile creare in modo semplice e veloce delle regole per limitare l'utilizzo di banda in modo molto granulare.

Per limitare il traffico occorre effettuare due operazioni:
  1. Creare almeno un "limitatore" per il traffico (è consigliabile crearne uno per direzione IN/OUT);
  2. Creare una regola a cui assegnare il limitatore.
Nel nostro esempio proveremo a limitare la banda in entrada ed uscita per un server HTTP. Immaginiamo di avere una connessione da 4 Mbit simmetrica e di voler limitare la banda utilizzata dal servizio HTTP a 1 Mbit sia in entrata che in uscita.

giovedì 2 agosto 2012

OpenVPN con autenticazione LDAP su dominio Windows 2003

Oggi proveremo a mettere insieme quanto appreso nei due precedenti post per creare qualcosa di molto professionale: una connessione OpenVPN con autenticazione tramite Domain Controller Windows 2003.
Questa funzionalità, spesso molto richiesta, è prerogativa dei firewall più costosi e blasonati mentre noi vedremo come sia possibile realizzare tutto con un firewall opensource e senza impazzire in configurazioni impossibili.

mercoledì 1 agosto 2012

Configurare OpenVPN Server su pfSense

Tra le varie funzionalità offerte da pfSense troviamo la possibilità di terminare diverse tipologie di VPN. Quella che prenderemo in esame oggi è OpenVPN.

Per poter procedere con la configurazione di OpenVPN server occorre effettuare alcune operazioni preliminari che prevedono la creazione dei certificati digitali.

Per iniziare dobbiamo creare 3 tipi di certificati:
  • Un certificato per la nostra Certification Authority;
  • Un certificato di tipo server per il nostro pfSense;
  • Un certificato di tipo user per gli utenti che dovranno conettersi a pfSense.
Creazione del certificato della CA:
Portarsi nel menù System > Cert Manager > CAs
Cliccare su Add
Compilare in modo preciso i campi sotto ripotati per la creazione del nostro certificato
  1. Description Name: Nome del certificato
  2. Method: Create an internal Certificate Authority
  3. Key length: 2048
  4. Lifetime: 3650 days (10 anni)
  5. Distinguished Name:
  6. Country Code:
  7. State or Province:
  8. City:
  9. Organization:
  10. Email Address:
  11. Common Name: internal-ca
Cliccare su Save
 
Creazione del certificato Server:
Potarsi nel menù System > Cert Manager > Certificates
Cliccare su Add
Compilare in modo preciso i campi sotto ripotati per la creazione del nostro certificato
  1. Method: Create an internal Certificate
  2. Descriptive Name: Nome del certificato
  3. Certificate Authority: Nome impostato nel certificato della CA
  4. Key length: 2048
  5. Certificate Type: Server Certificate
  6. Lifetime: 3650 days (10 anni)
  7. Distinguished Name:
  8. Country Code:
  9. State or Province:
  10. City:
  11. Organization:
  12. Email Address:
  13. Common Name: nome dns firewall
Cliccare su Save

Creazione del certificato Utente:
Potarsi nel menù System > Cert Manager > Certificates
Cliccare su Add
Compilare in modo preciso i campi sotto ripotati per la creazione del nostro certificato
  1. Method: Create an internal Certificate
  2. Descriptive Name: Nome del certificato
  3. Certificate Authority: Nome impostato nel certificato della CA
  4. Key length: 2048
  5. Certificate Type: User Certificate
  6. Lifetime: 3650 days (10 anni)
  7. Distinguished Name:
  8. Country Code:
  9. State or Province:
  10. City:
  11. Organization:
  12. Email Address:
  13. Common Name: nome dns firewall
Cliccare su Save