loading...

همه چیز درباره امنیت اطلاعات ، امنیت شبکه ، هک و تست نفوذ قانونمند

پی اف سنس (PfSense) چیست؟ معرفی فایروال Pfsense به زبان ساده

شفق زندی
بازدید : 34
چهارشنبه 12 مهر 1402 زمان : 0:47

فایروال PfSense چیست؟ وقتی صحبت از فایروال شبکه می شود ، اکثرا اسامی مثل فورتیگیت ( Fortigate ) ، جونیپر ( Juniper ) ، سیسکو ( Cisco ASA ) ، سایبروم یا سوفوس ( Cyberoam or Sophos ) و ... به ذهن مخاطبین می رسد. این در حالی است که اکثر فایروال هایی که نام بردیم بسیار گرانقیمت هستند و از طرفی به دلیل حضور در ایران با مشکلات بسیار زیادی استفاده کردن از آنها همراه است که ساده ترین آنها به روز رسانی نشدن و نبود پشتیبانی در ایران است.

در کنار همه این اسامی یک فایروال به نام پی اف سنس ( PfSense ) وجود دارد که تقریبا این روزها همه افرادی که در حوزه امنیت شبکه فعالیت می کنند با اسم آن آشنایی دارند. فایروال PfSense یک فایروال یا بهتر بگوییم یک سیستم مدیریت تهدیدات یکپارچه شبکه یا UTM است که بصورت اوپن سورس ( Open Source ) یا متن باز ارائه می شود و تقریبا اکثر امکانات و ویژگی های امنیتی قابل استفاده از آن رایگان هستند.

رایگان بودن ، در دسترس بودن ، متن باز یا اوپن سورس بودن ، نصب شدن بر روی سیستم عامل FreeBSD که به خودی خود یک سیستم عامل رایگان است ، پشتیبانی بسیار عالی در Community ها و امکانات و ویژگی هایی که هر روز به این فایروال اضافه می شود از فایروال PfSense یک محصول قابل اعتماد و اتکا ساخته است که این روزها تقریبا هر جایی که نمی خواهد هزینه های سنگین برای تجهیزات امنیتی خود داشته باشد ، از فایروال PfSense برای بهتر کردن وضعیت امنیت شبکه خود استفاده می کند.

فایروال PFsense در ابتدا بسیار ساده و برای برطرف کردن نیازهای اولیه امنیت شبکه در سال 2004 و توسط دو متخصص و برنامه نویس حوزه امنیت شبکه به نامهای کریس بیچلر و اسکات اولریک بصورت تخصصی بر روی سیستم عامل FreeBSD طراحی و به دنیای اوپن سورس معرفی شد.

با توجه به اینکه ماهیت سیستم عامل FreeBSD بیشتر در حوزه امنیت است و این سیستم عامل در حوزه امنیت شبکه بسیار قابل اعتماد است ، فایروال PfSense توانست به مرور در بین جامعه متخصصین امنیت شبکه جا باز کند. این روزها فایروال PfSense یکی از رقیبان اصلی فایروال ها UTM های بزرگ دنیا مثل جونیپر و سیسکو به حساب می آید و در لیست مدعیان حوزه امنیت شبکه نیز قرار دارد.

ماهیت اوپن سورس این فایروال باعث شد که از سال 2004 تا به حال ، گروه های مختلفی بر روی توسعه این فایروال زمان و انرژی بگذارند و این روزها آنقدر امکانات و ویژگی های امنیتی به این فایروال اضافه شده است که می توان از آن به عنوان یکی از قدرتمندترین فایروال های یکپارچه ( UTM ) نام برد.

برای مثال در ابتدا مدیریت پهنای باند اینترنت ( Bandwidth Management ) و سیستم شناسایی و تشخیص نفوذ ( IDS IPS ) و همچنین مکانیزم Cache Server در PfSense وجود نداشت اما این روزها که در توسینسو بحث PfSense داغ است ، شاید همین الان که در حال خواندن این مقاله هستید ، قابلیت جدید امنیتی به Pfsense اضافه شده باشد.

مهمترین امکانات PfSense چیست؟

این روزها PfSense هم محیط گرافیکی یا GUI تحت وب برای مدیریت دارد و هم اینکه از طریق Shell و از راه دور قابل پیکربندی است. هم قابلیت گزارش دهی دارد و هم تنظیمات آن به مراتب بسیار ساده تر شده است و در عین حال با ابزارهای اوپن سورس لینوکسی هم براحتی یکپارچه می شود ، بد نیست بدانید که این روزها قابلیت یکپارچه سازی با سرویس های مانیتورینگ لینوکسی هم به آن اضافه شده است. اما اگر بخواهیم بصورت خلاصه مروری بر امکانات مهم PfSense داشته باشیم ، موارد زیر را می توانیم عنوان کنیم :

  1. PfSense بسیار قابل اعتماد است و درجه Reliability بالایی دارد
  2. PfSense هم رایگان است و هم اینکه اگر ماژول پولی داشته باشد بسیار به نسبت ارزان است
  3. PfSense بر روی امن ترین سیستم عامل دنیا یعنی FreeBSD طراحی و توسعه داده شده است
  4. PfSense دارای قدرت یکپارچگی و سازگاری بسیار خوبی با سرویس های دیگر شبکه دارد
  5. PfSense یک رابط کاربری تحت وب بسیار قوی و ساده دارد که کار کردن با آن را ساده می کند
  6. PfSense قابلیت گزارشگیری و مدیریت کردن را به مدیران شبکه می دهد و تنظیمات آن ساده است
  7. PfSense را می توان به عنوان یک مسیریاب یا روتر نیز در شبکه استفاده کرد
  8. PfSense امکان استفاده شدن در قالب Virtual Appliance یا ماشین مجازی را نیز دارد
  9. PfSense قابلیت نصب بر روی سخت افزارهای تخصصی شبکه و تبدیل شدن به یک فایروال مستقل را دارد
  10. PfSense امکان سفارشی سازی Rule های فایروال بر اساس اندازه و گستردگی شبکه شما را دارد
  11. PfSense امکان مدیریت ترافیک بر روی چند لینک ارتباطاتی را با استفاده از Failover و Load Balancing را دارد
  12. PfSense در این لحظه ایران را تحریم نکرده است و شما می توانید براحتی آن را به روز رسانی کنید
  13. PfSense از اکثر پروتکل های Tunneling از جمله IPsec ، PPTP ، L2TP و OpenVPN پشتیبانی می کند
  14. PfSense دارای ابزارهای متنوع مانیتورینگ سرویس می باشد
  15. PfSense امکان استفاده همزمان در چند شبکه و ارتباط WAN to LAN و ... را دارد
  16. PfSense امکان تبدیل شدن به یک کش سرور ( Cache Server ) اینترنتی با Squid را دارد
  17. PfSense امکان تبدیل شدن به یک پروکسی سرور ( Proxy Server ) قوی را دارد
  18. PfSense امکان تبدیل شدن به یک هات اسپات ( Hotspot ) اینترنتی را دارد
  19. PfSense امکانات بسیار خوبی برای فیلترینگ محتوا ( Content Filtering ) را ارائه می کند
  20. Pfsense امکان فعالیت به عنوان یک Reverse Proxy یا Port Forwarding را دارد
  21. PfSense امکان مدیریت ترافیک و پهنای باند ( Traffic Management ) اینترنت را دارد ( Captive Portal )
  22. PfSense امکان تبدیل شدن به یک DHCP Server حرفه ای را دارد
  23. PfSense امکان تبدیل شدن به یک NTP Server حرفه ای را دارد
  24. PfSense قابلیت استفاده از Wake On LAN و SNMP را دارد
  25. PfSense قابلیت DNS Forwarding و Dynamic DNS را دارد
  26. PfSense قابلیت فیلترینگ لایه دو و سه شبکه را دارد
  27. و ....

PfSense صد درصد نیازهای امنیتی شما را برطرف می کند و این روزها در ایران بسیاری از فایروال های بومی که تحت عنوان ایرانی معرفی می شوند ، با تغییر دادن شمایل و شکل ظاهری PfSense به عنوان بومی استفاده می شوند. شما می توانید با یادگیری PfSense عملا بر خیلی از فایروال های بومی که وجود دارند نیز تسلط پیدا کنید چون هسته اصلی اکثر آنها بر مبنای PfSense هستند.

برچسب ها آموزش Fortigate،آموزش فورتیگیت،آموزش Kerio Control،آموزش کریو کنترل ، آموزش FORTIWEB ،آموزش فورتی وب , آموزش CCNA ، آموزش CCNP ، آموزش سیسکو ،دوره سیسکو ،دوره آموزشی سیسکو ,

Routed Mode چیست؟ بررسی حالت مسیریابی شده در فایروال ASA سیسکو

شفق زندی
بازدید : 30
چهارشنبه 25 مرداد 1402 زمان : 1:47

فایروال شرکت سیسکو با نام Adaptive Security Appliance) ASA) تولید می شود که علاوه بر امکانات فایروال ، قابلیت های فراوانی را برای ما مهیا می سازد.فایروال ها وظیفه محافظت از شبکه داخلی را در برابر دسترسی غیر مجاز از بیرون شبکه دارند. علاوه بر این فایروال ها می توانند محافظت بخش های مختلف شبکه را نسبت به هم تامین کنند به طور مثال منابع شبکه را از کاربر شبکه جدا کنیم. همچنین فایروال امکان دسترسی به برخی از سرویس ها مانند وب که نیاز به ایجاد دسترسی برای کاربران خارج شبکه است را فراهم می کند.

به این صورت که سرورهای مربوطه را در یک شبکه جداگانه تحت عنوان Demilitarized Zone) DMZ) قرار می دهیم و توسط فایروال امکان دسترسی محدود از طریق محیط خارج از شبکه را به DMZ می دهیم. با اینکار یک محیط ایزوله ایجاد کرده ایم و در صورتی که حمله به این سرورها صورت گیرد فقط این سرورها تحت تاثیر قرار می گیرد و سرورهای داخلی از این حمله در امان هستند. علاوه بر این می توانید دسترسی کاربران به شبکه خارجی (مانند اینترنت) را نیز کنترل کنید مثلا به چه آدرس ها و سایت هایی دسترسی داشته باشند.

زمانی که بحث استفاده از فایروال در شبکه پیش می آید شبکه خارجی در مقابل فایروال است و شبکه داخلی و DMZ پشت فایروال قرار می گیرند و توسط آن محافظت می شوند و تنها اجازه دسترسی محدود به کاربران خارج از شبکه را به محیط DMZ می دهد. فایروال ASA دارای چندین اینترفیس است که می توان برای هر کدام آن سیاست های خاص خودش را در نظر گرفت. حتی شما می تواند چند شبکه داخلی ، DMZ و یا چند شبکه خارجی داشته باشید.

در دو Mode یا حالت Transparent و Routed کار می کند. در مقاله قبلی با عملکرد فایروال در حالت Transparent آشنا شدیم و در این مقاله می خواهیم مفاهیم ، نحوی عملکرد و ویژگی های Routed Mode را بررسی کنیم.

Routed Mode چیست؟

به صورت پیش فرض فایروال ASA در لایه سوم عمل می کند و بر پایه Packet و IP Address عمل می کند و کلیه عملیات بازرسی و انتقال ترافیک ، براساس پارامترهای لایه سوم انجام می گیرد هرچند که ASA می تواند در لایه های بالاتر نیز کنترل را انجام دهد. ASA با در نظر گرفتن IP Address برای اینترفیس ها ، خود را به عنوان یک روتر یا Gateway در شبکه ای که به آن متصل است معرفی کند. به این حالت Routed Mode گفته می شود.استفاده از این حالت نیاز به تغییرات در سیستم آدرس دهی IP دارد.در این حالت هر اینترفیس ASA باید به یک Subnet متصل و یک IP از آن Subnet به آن اینترفیس اختصاص داده شود در تصویر زیر حالت Routed Mode را می بینید که اینترفیس 0 به نام outside به شبکه 192.168.100.0/24 ، اینترفیس 1 به نام inside به شبکه 192.168.200.0/24 و اینترفیس 2 به نام DMZ به شبکه 192.168.1.1/24 متصل است.

پیاده سازی ASA در حالت Routed

زمانی که فایروال ASA را برای اولین بار در شبکه قرار می دهیم باید توپولوژی شبکه را نسبت به آن تغییر دهیم به این صورت که در هر سمت اینترفیس های ASA باید یک Subnet متفاوت داشته باشیم همانند یک روتر. به طور مثال ما یک شبکه با یک subnet داریم برای اینکه از ASA استفاده کنیم حداقل این شبکه را به دو Subnet باید تقسیم کنیم مثلا در یک سمت کلاینت ها و در سمت دیگر سرور ها را قرار می دهیم.

این تغییر توپولوژی با عث می شود که نصب ASA در حالت Routed را با مشکل مواجه کند چون نیاز به تغییرات در سیستم آدرس دهی شبکه دارد. ساده ترین حالت این است که IP کلاینت ها و دستگاه هایی که از اهمیت زیادی برخوردار نیست را تغییر ندهیم و آنها را به عنوان یک Subnet در نظر بگیریم و IP دستگاه هایی که نیاز به محافظت دارند را تغییر و در یک Subnet قرار دهیم زیرا معمولا تعداد این دستگاه ها کمتر است و IP دستگاه های کمتری را تغییر می دهیم.

حالت دیگر این است که می خواهیم فایروال را بین شبکه داخلی و اینترنت قرار دهیم. در این حالت تنها کافیست IP فعلی مودم (Gateway) را به ASA اختصاص دهیم و برای مودم یک IP در یک Subnet جدید در نظر بگیریم.علاوه بر اختصاص IP برای هر اینترفیس از یک Subnet باید یک نام و یک عدد تحت عنوان Security Level برای آن در نظر بگیریم این عدد که می تواند بین صفر تا صد باشد و مشخص کننده نحوی ارتباطات بین اینترفیس ها می باشد. به طور مثال یک اینترفیس Security Level صفر و دیگری Security Level صد دارد ترافیک از Security Level بالاتر اجازه ورود به Security Level پایین تر را دارد ولی برعکس آن امکان پذیر نیست مگر اینکه ما آنرا مجاز کنیم.

  • نکته : در صورتی که نام Inside را برای یک اینترفیس در نظر بگیرد به صورت پیش فرض مقدار Security Level برابر 100 خواهد شد و اگر نام Outside را برای آن در نظر بگیرید مقدار Security Level برابر 0 خواهد شد.
  • نکته : اگر دو اینترفیس دارای Security Level برابر باشند به صورت پیش فرض بین آنها ترافیک اجازه عبور ندارد.
  • نکته : به صورت پیش فرض ASA در حالت Routed کار می کند.

  • برای عمل Routing با توجه به اینکه در Routed Mode انتقال ترافیک براساس IP مقصد بسته ها صورت می گیرد می توان از Static Route یا Dynamic Route استفاده کرد.

    • نکته مهم : در حالت Routed Mode می توانیم از تمام امکانات فایروال استفاده کنیم

    برخی از قابلیت های ASA

    • Advanced Stateful Firewall
    • قابلیت استفاده از ماژول IPS) Intrusion Prevention System)
    • قابلیت استفاده از ماژول CSC) Content Security and Control)
    • Advanced inspection engines
    • transparent (Layer 2) firewall or routed (Layer 3) firewall
    • IPsec VPN
    • SSL VPN
    • clientless SSL VPN

برچسب ها آموزش CCNA ، آموزش CCNP ، آموزش سیسکو ،دوره سیسکو ،دوره آموزشی سیسکو ,

تعداد صفحات : -1

درباره ما
موضوعات
لینک دوستان
  • مو
    •
  • آموزش شبکه
    •
  • آموزش نتورک پلاس
    •
  • چگونه هکر شویم
    •
  • آموزش لینوکس
    •
  • آموزش SQL Server
    •
  • آموزش میکروتیک
    •
  • آموزش mcsa
    •
  • آموزش ceh
    •
  • آموزش هکر قانونمند
    •
  • آموزش سکیوریتی پلاس
    •
    آمار سایت
  • کل مطالب : 133
  • کل نظرات : 0
  • افراد آنلاین : 1
  • تعداد اعضا : 0
  • بازدید امروز : 144
  • بازدید کننده امروز : 0
  • باردید دیروز : 4
  • بازدید کننده دیروز : 0
  • گوگل امروز : 0
  • گوگل دیروز : 0
  • بازدید هفته : 145
  • بازدید ماه : 680
  • بازدید سال : 2190
  • بازدید کلی : 4659
    • <
    پیوندهای روزانه
  • آموزش mcsa (1)
    •
  • آرشیو لینک ها
    •
    آرشیو
  • 1402
    •
  • 1401
    •
    اطلاعات کاربری
    نام کاربری :
    رمز عبور :
  • فراموشی رمز عبور؟
    •
    خبر نامه
    معرفی وبلاگ به یک دوست


    ایمیل شما :

    ایمیل دوست شما :



    کدهای اختصاصی

    صفحه اصلی تالار گفتمان ثبت نام ورود آرشیو تماس با ما نیرو گرفته : تک بلاگ