Sicurezza Informatica

Pfsense è una distro affidabile per la sicurezza (e non solo)

PfSense – non è solo un firewall.

pfsense
pfsense

Il software pfSense ® include le stesse funzionalità delle soluzioni firewall commerciali più costose. In alcuni casi, pfSense include funzioni aggiuntive non disponibili nelle soluzioni commerciali.

Panoramica

Il progetto pfSense è una distribuzione gratuita di firewall basata sul sistema operativo FreeBSD con un kernel personalizzato e inclusi pacchetti software gratuiti di terze parti per funzionalità aggiuntive. Il software pfSense, con l’aiuto del sistema a pacchetti, è in grado di fornire la stessa funzionalità o più comuni firewall commerciali, senza alcuna limitazione. Ha sostituito con successo tutti i grandi firewall commerciali che si possono immaginare in numerose installazioni di tutto il mondo, tra cui Check Point, Cisco PIX, Cisco ASA, Juniper, Sonicwall, Netgear, Watchguard, Astaro e altro ancora.

Il software pfSense include un’interfaccia web per la configurazione di tutti i componenti. Non c’è bisogno di alcuna conoscenza di UNIX, non è necessario utilizzare la riga di comando e non è necessario modificare manualmente i set di regole. Gli utenti che hanno familiarità con i firewall commerciali possono accedere rapidamente all’interfaccia web, anche se può e deve essere considerata una curva di apprendimento per gli utenti che non conoscono firewall commerciali.

Installazione

La guida all’installazione chwe potete trovare sul sito o in giro per la rete, vi guiderà attraverso la selezione hardware, la configurazione iniziale pfSense e l’installazione del software pfSense sul disco rigido. L’installazione è rapida e indolore rendendo facile impostare la tua demo personale in un ambiente virtuale o in forma stabile e in fase di produzione.

 

PFSENSE
PFSENSE

 

Configurazione

Come configurare il software pfSense è in gran parte dipendente dalle esigenze che stai cercando di soddisfare. Ci sono tutorial e documentazione wiki per vari scenari di configurazione.
La maggior parte delle funzionalità non differiscono dall’al dimensionamento hardware, anche se alcune configurazioni avranno un impatto significativo sull’utilizzo dell’hardware come:

VPN – L’uso pesante di tutti i servizi VPN inclusi nel software pfSense aumenterà i requisiti della CPU. La crittografia e la decrittografia del traffico sono causa di lavoro intensivo per CPU. Il numero di connessioni è molto meno preoccupante della velocità richiesta. L’accelerazione AES-NI di IPsec riduce significativamente i requisiti della CPU sulle piattaforme che lo supportano.

Captive Portal – Mentre la preoccupazione principale è in genere il throughput, gli ambienti con centinaia di utenti simultanei richiedono un po ‘più potenza della CPU rispetto a quanto raccomandato in precedenza.

Large State Tables- Le voci della tabella di stato richiedono circa 1 KB di RAM ciascuna. La dimensione della tabella di stato predefinita viene calcolata in base al 10% della RAM disponibile nel firewall. Ad esempio, un firewall con 1 GB di RAM sarà predefinito a 100.000 stati che, quando pieno avrebbe usato circa 100 MB di RAM. Per ambienti di grandi dimensioni che richiedono tabelle di stato con diverse centinaia di migliaia di collegamenti o milioni di connessioni, assicurano che sia disponibile una RAM adeguata.

Pacchetti – Alcuni dei pacchetti aumentano significativamente i requisiti di RAM. Snort e ntop sono due che non dovrebbero essere installati in un sistema con meno di 1 GB di RAM.

Requisiti hardware e orientamento pfSense

Di seguito vengono descritti i requisiti hardware minimi per pfSense 2.x. Notare che i requisiti minimi non sono adatti a tutti gli ambienti. Potresti essere in grado di arrivare con meno di quello minimo, ma con meno memoria potresti iniziare a fare swap su disco, cosa che rallenterà drasticamente il sistema.
Requisiti generali:
Minimo
CPU – 500 Mhz – RAM – 512 MB
Consigliato
CPU – 1 Ghz  – RAM – 1 GB

Requisiti specifici per piattaforme singole:
Installazione completa
CD-ROM o USB per l’installazione iniziale
1 GB di disco rigido

Selezione della scheda di rete

La selezione delle schede di rete (NIC) è spesso il fattore di prestazione più importante. Le NIC a basso costo possono saturare la CPU con la gestione degli interrupt, causando pacchetti persi e la CPU a essere il collo di bottiglia. Una NIC di qualità può aumentare notevolmente il throughput del sistema. Quando si utilizza il software pfSense per proteggere la rete wireless o segmentare più segmenti LAN, il throughput tra le interfacce diventa più importante del throughput all’interfaccia WAN.

NIC basate su chipset Intel tendono ad essere le migliori e le più affidabili quando vengono utilizzate con il software pfSense. Pfsense raccomanda di acquistare schede Intel o sistemi con NIC integrati fino a 1 Gbps. Oltre 1Gbps, altri fattori e altri fornitori di dominano le prestazioni.

 

Pfsense
PfSense

 

Selezione della CPU

I numeri riportati nelle sezioni seguenti possono essere leggermente aumentati per le NIC di qualità e diminuite con NIC di bassa qualità. Tutti i numeri seguenti inoltre assumono che non sono installati pacchetti.

10-20 Mbps Si consiglia una CPU Intel o AMD moderna (meno di 4 anni) con almeno 500 MHz.
21-100 Mbps Si consiglia una moderna CPU da 1,0 GHz Intel o AMD.
101-500 Mbps Non meno di una moderna CPU Intel o AMD con clock a 2.0 GHz. Hardware di classe server con adattatori di rete PCI-e, o hardware più nuovo desktop con adattatori di rete PCI-e.
Sono richiesti 501 + Mbps più core a> 2,0 GHz. e quindi hardware di classe server con adattatori di rete PCI-e.

Elenco di compatibilità hardware

Poiché pfSense è basato su FreeBSD, la sua lista di compatibilità hardware è la stessa di FreeBSD. Il kernel pfSense include tutti i driver FreeBSD.

 

Un bel tutorial ……

 

 

Key

distro pfsense – firewall pfsense – pacchetto pfsense