Sejarah
pfSense adalah FreeBSD berbasis sistem operasi, diturunkan dari m0n0wall, OS yang menggunakan penyaring paket OpenBSD pf. pfSense dirancang untuk digunakan sebagai firewall dan router. Selain menjadi kuat, fleksibel firewall dan routing platform, ini meliputi daftar panjang fitur terkait dan sistem paket yang memungkinkan upgrade lebih lanjut tanpa menambah gembung dan potensi kerentanan keamanan ke basis distribusi.
pfSense adalah proyek yang populer dengan lebih dari 1 juta download sejak awal, dan terbukti dalam instalasi yang tak terhitung mulai dari jaringan rumah kecil melindungi PC dan Xbox untuk perusahaan besar, universitas dan organisasi-organisasi lain melindungi ribuan perangkat jaringan.
Proyek ini dimulai pada tahun 2004 sebagai pencabangan dari proyek monowall, tetapi fokus terhadap instalasi PC lengkap daripada perangkat keras yang tertanam fokus m0n0wall. pfSense juga menawarkan gambar tertanam untuk instalasi berbasis Compact Flash, namun itu bukan fokus utama kami.
Sejarah Rilis
1. 4 Oktober 2006 pfSense versi 1.0 dirilis [1].
2. 20 Oktober 2006 pfSense versi 1.0.1 dirilis [2].
3. 25 Februari 2008 pfSense versi 1.2 dirilis [3].
4. 26 Desember 2008 pfSense versi 1.2.1 dirilis [4].
5. 7 Januari 2009 pfSense versi 1.2.2 dirilis [5].
6. 10 Desember 2009 pfSense versi 1.2.3 dirilis [6].
Struktur kernel pfSense
Ø Monolithic kernel
Kernel yang menyediakan abstraksi perangkat keras yang kaya dan tangguh.
Ø Microkernel
Kernel yang menyediakan hanya sekumpulan kecil abstraksi perangkat keras sederhana, dan menggunakan aplikasi-aplikasi yang disebut sebagai server untuk menyediakan fungsi-fungsi lainnya.
Ø Hybrid(modifikasi dari microkernel).
Kernel yang mirip microkernel, tetapi ia juga memasukkan beberapa kode tambahan di kernel agar ia menjadi lebih cepat
Ø Exokernel
Kernel yang tidak menyediakan sama sekali abstraksi hardware, tapi ia menyediakan sekumpulan pustaka yang menyediakan fungsi-fungsi akses ke perangkat keras secara langsung atau hampir-hampir langsung.
Fasilitas pfSense
Ø Firewall
Ø Network Address Translation (NAT)
Firewall
Ø Menyaring oleh IP sumber dan tujuan, IP protokol, port sumber dan tujuan untuk TCP dan UDP lalu lintas
Ø Dapat untuk membatasi koneksi simultan pada per-aturan
Ø PfSense menggunakan p0f, sebuah OS pasif maju / fingerprinting jaringan utilitas untuk memungkinkan Anda untuk menyaring oleh Sistem Operasi memulai sambungan. Ingin memungkinkan mesin FreeBSD dan Linux ke Internet, tapi blok mesin Windows? pfSense dapat melakukannya (di antara banyak kemungkinan lain) dengan pasif mendeteksi Sistem Operasi yang digunakan.
Ø Pilihan untuk log atau tidak sesuai aturan lalu lintas log masing-masing.
Ø Sangat kebijakan rute yang fleksibel mungkin dengan memilih gateway berdasarkan per-aturan (untuk load balancing, failover, beberapa WAN, dsb)
Ø Alias memungkinkan pengelompokan dan penamaan IP, jaringan dan port. Hal ini membantu menjaga ruleset firewall Anda bersih dan mudah dimengerti, khususnya di lingkungan dengan beberapa IP publik dan server banyak.
Ø Transparan 2 firewall lapisan mampu - dapat menjembatani antarmuka dan filter lalu lintas di antara mereka, bahkan memungkinkan untuk firewall-IP kurang (meskipun Anda mungkin menginginkan IP untuk tujuan manajemen).
Deskripsi
paket normalisasi-dari dokumentasi pf menggosok-"'Menggosok' adalah normalisasi paket jadi tidak ada ambiguitas dalam interpretasi oleh tujuan akhir dari paket tersebut. Direktif gosok juga reassembles paket terfragmentasi, melindungi beberapa sistem operasi dari beberapa bentuk serangan, dan tetes paket TCP yang memiliki kombinasi bendera tidak valid. "
Ø Diaktifkan di pfSense secara default
Ø Dapatkah menonaktifkan jika perlu. Pilihan ini menyebabkan masalah untuk beberapa implementasi NFS, tapi aman dan harus meninggalkan diaktifkan pada instalasi paling.
Ø Filter Nonaktifkan - Anda dapat menonaktifkan firewall filter sepenuhnya jika Anda ingin mengaktifkan pfSense menjadi router murni.
Negara tabel firewall memelihara informasi tentang koneksi jaringan terbuka. pfSense adalah firewall stateful, secara default semua peraturan yang stateful. Kebanyakan firewall tidak memiliki kemampuan untuk mengendalikan meja halus negara.pfSense memiliki banyak fitur yang memungkinkan kontrol granular tabel negara bagian, berkat kemampuan pf OpenBSD's.
Ukuran tabel negara Adjustable - ada beberapa pfSense instalasi produksi dengan menggunakan beberapa ratus ribu negara. Negara standar ukuran tabel adalah 10.000, tetapi dapat ditingkatkan dengan cepat ke ukuran yang Anda inginkan. Setiap negara berlangsung sekitar 1 KB RAM, sehingga tetap dalam penggunaan memori pikiran ketika ukuran tabel negara Anda. Jangan sewenang-wenang menetapkan tinggi.
Pada basis per-aturan:
· Batasi koneksi klien secara simultan
· Batas negara per host
· Batas koneksi baru per detik
· Tentukan negara timeout
· Tentukan tipe negara
Negara jenis - pfSense menawarkan beberapa pilihan untuk menangani negara.
· Simpan negara - Bekerja dengan semua protokol. Default untuk semua peraturan.
· mengatur negara - Bekerja hanya dengan TCP. pfSense akan menghasilkan kuat Initial Sequence Numbers (ISNs) atas nama host.
· Synproxy negara - Proxy koneksi TCP masuk untuk membantu melindungi server dari spoofed banjir TCP SYN. Pilihan ini termasuk fungsi menjaga negara dan mengatur negara gabungan.
· Tidak ada - Jangan menyimpan entri negara untuk lalu lintas ini. Hal ini sangat jarang diinginkan, namun tersedia karena dapat berguna dalam beberapa situasi terbatas.
Negara opsi optimasi tabel - pf menawarkan empat pilihan untuk optimasi tabel negara.
· Normal - algoritma default
· Tinggi latensi - Berguna untuk link latensi tinggi, seperti koneksi satelit. koneksi Berakhir idle lebih dari normal.
· Agresif - Berakhir koneksi idle lebih cepat. Lebih efisien penggunaan sumber daya perangkat keras, tetapi bisa drop koneksi yang sah.
· Konservatif - Mencoba untuk menghindari jatuh koneksi yang sah atas biaya penggunaan memori meningkat dan penggunaan CPU.
Network Address Translation (NAT)
Ø Depan Port termasuk kompor dan penggunaan beberapa IP publik
Ø 1:01 NAT untuk IP individu atau seluruh subnet.
Ø Outbound NAT
· Default pengaturan NAT semua lalu lintas keluar ke WAN IP. Dalam skenario beberapa WAN, pengaturan default outbound NAT lalu lintas ke IP dari interface WAN yang digunakan.
· Advanced NAT memungkinkan Outbound perilaku default yang akan dinonaktifkan, dan memungkinkan penciptaan NAT sangat fleksibel (atau tidak NAT) aturan.
NAT Refleksi - dalam beberapa konfigurasi, refleksi NAT adalah layanan mungkin sehingga dapat diakses oleh publik IP dari jaringan internal.
Keterbatasan NAT
· PPTP dan GRE Batasan - Keadaan kode pelacakan di pf untuk protokol GRE hanya dapat melacak sesi tunggal per IP publik per server eksternal. Ini berarti jika menggunakan koneksi VPN PPTP, hanya satu mesin internal dapat terhubung secara bersamaan ke server PPTP di Internet. Seribu mesin dapat terhubung secara bersamaan sampai ribuan server PPTP yang berbeda, tetapi hanya satu secara bersamaan ke server tunggal. Pekerjaan hanya tersedia sekitar adalah dengan menggunakan beberapa IP publik pada firewall, satu per klien, atau menggunakan beberapa IP publik di server PPTP eksternal. Ini bukan masalah dengan jenis lain koneksi VPN. Sebuah solusi untuk ini saat ini sedang dalam pembangunan.
· SIP Batasan - Secara default, semua lalu lintas TCP dan UDP selain SIP dan IPsec mendapatkan sumber port ditulis ulang. Informasi lebih lanjut tentang hal ini dapat ditemukan dalam dokumentasi pelabuhan statis. Karena sumber ini port menulis ulang adalah bagaimana pf track yang IP internal membuat koneksi ke server eksternal yang diberikan, dan hampir semua lalu lintas SIP menggunakan sumber yang sama port, hanya satu perangkat SIP dapat terhubung secara bersamaan ke server tunggal di Internet. Kecuali Anda SIP perangkat dapat beroperasi dengan port sumber penulisan ulang (paling tidak bisa), Anda dapat tidak menggunakan beberapa ponsel dengan server di luar tunggal tanpa menggunakan IP publik yang didedikasikan per perangkat. Paket sipproxd sekarang menyediakan solusi untuk masalah ini di pfSense dan yang lebih baru.
NAT refleksi keterbatasan Refleksi
NAT - hanya dapat digunakan dengan kisaran port kurang dari 500 pelabuhan dan tidak dapat digunakan dengan host 1:01 NAT.
Redundansi
Dua atau lebih firewall dapat dikonfigurasi sebagai kelompok failover. Jika satu antarmuka gagal pada primer atau utama berjalan offline sepenuhnya, menjadi sekunder aktif. pfSense juga mencakup kemampuan konfigurasi sinkronisasi, sehingga dapat membuat perubahan pada konfigurasi primer dan mereka secara otomatis melakukan sinkronisasi dengan firewall sekunder.
pfsync memastikan tabel negara adalah firewall failover direplikasi ke semua dikonfigurasi firewall. Ini berarti koneksi yang ada akan dipertahankan dalam kasus kegagalan, yang penting untuk mencegah gangguan jaringan.
Keterbatasan
· Hanya bekerja dengan IP publik statis, tidak bekerja dengan DHCP, PPPoE, PPTP, atau jenis WAN Bigpond (akan diselesaikan di masa mendatang)
· Membutuhkan minimal tiga alamat IP publik (akan diselesaikan di masa mendatang)
· Cadangan firewall yang idle (failover aktif-pasif), tidak ada clustering aktif-aktif adalah mungkin pada saat ini.
· Failover tidak instan, dibutuhkan sekitar 5 detik untuk beralih host cadangan untuk master. Selama waktu lalu lintas tidak akan berlalu, tetapi negara-negara yang ada akan menjaga konektifitas failover setelah selesai. Ini outage 5 detik selama kegagalan bahkan tidak terlihat pada kebanyakan lingkungan.
Load Balancing
Load balancing outbound digunakan dengan koneksi beberapa WAN untuk menyediakan kemampuan load balancing dan failover. Lalu lintas diarahkan ke gateway load balancing yang diinginkan atau kolam di dasar per-aturan firewall.
Inbound load balancing digunakan untuk mendistribusikan beban antara beberapa server. Ini biasanya digunakan dengan server web, server mail, dan lain-lain. Server yang gagal untuk menanggapi permintaan ping atau koneksi port TCP dikeluarkan dari kolam.
Kelemahan
· Sama mendistribusikan beban antara semua server yang tersedia - tidak dapat mendistribusikan beban tidak merata antara server saat ini.
· Hanya memeriksa apakah server merespon koneksi port ping atau TCP. Tidak dapat memeriksa apakah server kembali konten yang valid.
Kekurangan & Kelebihan pfSense
Ø Kelebiahan
ü Gratis
ü Dapat menghubungkan beberapa koneksi WAN dan load balancing.
ü Captive Portal yang meninggalkan administrator untuk membatasi sesi(dalam cara yang serupa dengan program yang digunakan oleh kafe internet)
ü stable
ü fitur banyak
Ø Kekuranagan
ü Banyak memerlukan RAM
0 komentar:
Posting Komentar