نوشته‌ها

آشنایی با مفهوم رابط (Interface) در Pfsense

آشنایی با مفهوم رابط (Interface) در Pfsense

آشنایی با مفهوم رابط (Interface) در Pfsense: با پايان يافتن نصب PfSense، اولين گام پس از اجراي دوباره (Restart) سيستم عامل تازه نصب شده، اختصاص کارتهاي شبکه موجود در ماشين PfSense به رابط هاي تعريف شده در نرم افزار PfSense است. رابط يک ابزار مفهومي براي دادن نقش هاي گوناگون به کارتهاي شبکه نصب شده در ماشين است، برخي از مهمترين اين نقش ها عبارتند از LAN ، WAN و OPT. کاربرد ديگر اين مفهوم ارزشمند ساخت و مديريت قواعد ديواره آتش به تفکيک هر رابط است. براي درک بهتر مفهوم رابط نياز است بدانيد که از ديد امنيتي يک شبکه به سه بخش يا ناحيه اصلي تشکیل مي شود:

1-ناحيه داخلي (Internal) يا خصوصي (Private)

بخشي از شبکه است که مديريت و مالکيت آن در اختيار ماست و امکان اعمال سياست ها و خط مشي هاي امنيتي دقيق و نيز نظارت و دسترسي مستقيم به سخت افزار و نرم افزار هاي نصب شده در آن براي مديران شبکه فراهم است. شبکه هاي محلي (LAN ) و شبکه هاي محلي بي سيم ( WLAN)، در اين دسته قرار دارند. سرورها و سرويس هاي حساس و مهمي چون پايگاه داده، Active Directory و … در اين ناحيه از شبکه جاي خواهند گرفت. و قواعد بسيار سخت گيرانه اي براي ارتباط شبکه هاي ناامن خارجي به اين ناحيه از شبکه در ديواره آتش ساخته مي شود.

2-ناحيه خارجي (External) يا عمومي (Public)

به هر شبکه جدا و مستقل از شبکه داخلي که مديريت و مالکيت آن در اختيار ما نيست و در دست ديگري است شبکه خارجي گفته مي شود، شبکه جهاني Internet يا هر شبکه ديگري که الزامات کسب و کار، قوانين و مقررات ملي يا بين المللي و ساير عوامل محيطي ما را ناگزير از ارتباط و برهم کنش با آنها مي کند در اين گروه جاي خواهند گرفت. تامين کنندگان و توزيع کنندگان عمده، سازمانهاي دولتي و حتي گاهي بخشهاي مستقل سازمان خودي نمونه هايي از اين دست هستند. شبکه خارجي، به تمامي ناامن و غير قابل اعتماد در نظر گرفته مي شود.

3-ناحيه غير نظامي ( DMZ ) يا منطقه محيطي (Primeter)

به بخشي از شبکه گفته مي شود که مديريت و مالکيت آن در اختيار ماست و محل قرار گيري سرورها و سرويسهايي است که کاربران شبکه هاي نا امن خارجي مانند Internet، مي توانند با آنها ارتباط برقرارکرده و از خدمات ارائه شده توسط آنها استفاده کنند. سرورهايي چون Web Server ، VPN Server و بطور کلي هر سرويسي که نياز است تا توسط کاربران مستقر در يک شبکه خارجي مورد دستيابي قرار گيرد، در اين ناحيه جاي خواهد گرفت. به اين دسته از سرورها سرورهاي عمومي گفته مي شود. مهم ترين علت پيش بيني اين ناحيه، نياز به حفظ امنيت شبکه داخلي است چرا که اگر سرورهاي عمومي درون شبکه خصوصي قرار گيرند چنانجه اين سرورها به هر دليلي توسط يک مهاجم خارجي مورد نفوذ قرارگرفته و اختيار آنها در دستان مهاجم قرار گيرد، آنگاه تمامي سرورها و ماشينهاي موجود در شبکه داخلي در معرض خطر قرار خواهند گرفت در حالي که اگر اين شرايط براي سرورهاي موجود در ناحيه DMZ پيش آيد، خطر تنها متوجه ماشينهاي موجود در اين ناحيه خواهد بود و آسيب به ناحيه داخلي گسترش نخواهد يافت.

اکنون که با نواحي امنيتي آشنا شده ايم زمان آن است که با انواع رابط ها در نرم افزار PfSense آشنا شويم:

1-LAN Interface

به اولين رابطي که وظيفه اتصال PfSense به ناحيه داخلي (خصوصي) شبکه را بر عهده دارد LAN Interface گفته مي شود به طور معمول کارت شبکه فيزيکي نصب شده در ماشين Pfsense که ماشين را به طور مستقيم به شبکه محلي (LAN) موجود در ناحيه داخلي متصل مي کند به اين رابط اختصاص مي يابد و داراي اين نقش خواهد شد.

2-OPT Interface

چنانچه در ناحيه داخلي افزون بر شبکه محلي (LAN)، شبکه مجزاي ديگري چون شبکه محلي بي سيم (WLAN)، وجود داشته باشد و يا نياز به پيش بيني ناحيه DMZ در شبکه است براي اتصالPfSense به اين بخشها از OPT Interface يا رابط انتخابي استفاده مي گردد که برمبناي تعداد رابط OPT مورد نياز به صورت OPT1 ، OPT2 و … نامگذاري مي گردد. بنابراين کارت هاي شبکه فيزيکي نصب شده در ماشين PfSense که ماشين را به صورت مستقيم به اين شبکه هاي مجزاي داخلي متصل خواهند کرد، نامزد اختصاص به اين رابط بوده و پس از تخصيص داراي اين نقش خواهند بود.

3-WAN Interface

به رابطي که وظيفه اتصال PfSense به ناحيه خارجي (عمومي) شبکه را بر عهده دارد WAN Interface گفته مي شود به طور معمول ناحيه عمومي همان شبکه جهاني Internet است . کارت شبکه فيزيکي نصب شده در ماشين Pfsense که ماشين را به به شبکه خارجي متصل مي کند به اين رابط اختصاص مي يابد و داراي اين نقش خواهد شد. ترافيک رسيده از شبکه جهاني اينترنت از طريق اين رابط به PfSense وارد مي شود. در حالتي که سازمان از قابليت Multi WAN نرم افزار PfSense استفاده مي کند و ماشين PfSense بيش از يک ارتباط فيزيکي با شبکه جهاني Internet دارد به رابط اوليه اي که وظيفه اتصال PfSense به Internet را بر عهده دارد WAN Interface گفته مي شود.

4-OPT WAN:

رابط OPT WAN به اتصال PfSense از طريق رابط OPT با شبکه خارجي که به طور معمول اينترنت است اشاره دارد.

آشنایی با مفهوم رابط (Interface) در Pfsense

آشنایی با مفهوم رابط (Interface) در Pfsense

اختصاص کارتهاي شبکه به رابط ها

با پايان يافتن نصب PfSense، اولين گام پس از اجراي دوباره سيستم عامل تازه نصب شده، اختصاص کارتهاي شبکه موجود در ماشين PfSense به رابط ها ست، بنا براين با نمايش يافتن صفحه زير و با پيام مناسبي از کاربر خواسته مي شود تا کارتهاي شبکه شناسايي شده در ماشين را به رابط هاي LAN و WAN اختصاص دهد و آدرس IP، Subnet Mask و ساير تنظيمات مورد نياز رابط را تعريف نمايد.

آشنایی با مفهوم رابط (Interface) در Pfsense

آشنایی با مفهوم رابط (Interface) در Pfsense

همان گونه که در تصوير مشاهده مي کنيد Pfsense موفق به شناسايي سه عدد کارت شبکه شده و نام و آدرس سخت افزاري آنها را براي کاربر به نمايش گذاشته است. چنانچه نرم افزار وجود link در هريک از کارت هاي شبکه را تشخيص دهد، وضعيت وصل بودن (UP) و يا قطع بودن (Down) لينک را نيز نمايش مي دهد. در سيستم عامل FreeBSD کارتهاي شبکه شناسايي شده در ماشين براساس نام درايور شبکه استفاده شده نامگذاري مي شوند. پس از نام، شماره اي است که از صفر شروع مي گردد و با افزودن هر کارت شبکه که از همان درايور استفاده مي کند، يک واحد به آن افزوده مي شود. براي نمونه يکي از درايورهاي شبکه متداول که براي کارتهاي Intel Pro/100 استفاده مي گردد، درايور fxp است. بنابراين اولين کارت شبکه Pro100 به نام fxp0 و دومين کارت شبکه Pro100 با نام fxp1 نامگذاري مي شود. برخي ديگر از درايورهاي شبکه معمول em و rl هستند که اولي مخصوص کارت شبکه Intel Pro1000 و دومي ويژه کارت شبکه Realtek 8129/8139 است بنابراين چنانچه ماشيني داراي يک کارت شبکه Intel Pro/1000 و يک کارت شبکه Realtek 8129/8139 باشد اولي با نام em0 و دومي با نام rl0 شناسايي مي شوند.

تنظيمات و پيکربندي پيش فرض PfSense

1- آدرس IPv4 در رابط WAN به صورت DHCP پيکربندي شده است.
2- آدرس IPv6 در رابط WAN به صورت DHCP پيکربندي شده است. و مي تواندIPv6 prefix delegation را نيز درخواست نمايد.
3- آدرس IPv4 در رابط LAN به صورت دستي پيکربندي مي شود و مقدار پيش فرض آدرس IP و نقاب شبکه آن 192.168.1.1/24 است (192.168.1.1 255.255.255.0).
4- رابط LAN مي تواند از يک delegated IPv6 address/prefix که از رابط WAN دريافت مي کند استفاده کند.
5- تمامي ترافيک ورودي به رابط WAN مسدود مي شود، به بياني ديگر به صورت پيش فرض اجازه برقراري هيچگونه ارتباطي از شبکه ناامن خارجي به شبکه داخلي يا منطقه DMZ داده نمي شود.
6- تمامي ترافيک خروجي از رابط LAN مجاز شمرده مي شود. به بياني ديگر به صورت پيش فرض اجازه برقراري هرگونه ارتباطي از شبکه داخلي به شبکه خارجي يا شبکه DMZ داده مي شود.
7- تمامي ترافيک مربوط به IPv4 با مبدا شبکه داخلي که از رابط WAN خارج مي گرددبه صورت پيش فرض NAT شده است.
8- IPv4 DHCP Server فعال است.
9- چنانچه يک prefix delegation از رابط WAN دريافت گردد و يا قابليت SLAAC فعال باشد، PfSense مي تواند همانند يک IPv6 DHCPv6 Server عمل کند.
10- SSh غير فعال است.
11- نام کاربري مدير سيستم admin و گذرواژه پيش فرض آن نيز pfsense است.
12- رابط کاربري تحت وب (WebGUI) به صورت پيش فرض از پروتکل HTTPS و شماره پورت 443 استفاده مي کند.
13- DNS Resolver فعال است و PfSense مي تواند به درخواستهاي DNS پاسخ دهد.

منبع:itpro.ir