آشنایی جامع با مفهوم رابط یا اینترفیس ( Interface ) در PfSense

با پایان یافتن نصب PfSense ، اولین گام پس از اجرای دوباره (Restart) سیستم عامل تازه نصب شده ، اختصاص کارتهای شبکه موجود در ماشین PfSense به رابط های تعریف شده در نرم افزار PfSense است.رابط یک ابزار مفهومی برای دادن نقش های گوناگون به کارتهای شبکه نصب شده در ماشین است ، برخی از مهمترین این نقشها عبارتند از LAN ، WAN و OPT کاربرد دیگر این مفهوم ارزشمند ساخت و مدیریت قواعد دیواره آتش به تفکیک هر رابط است. برای درک بهتر مفهوم رابط نیاز است بدانید که از دید امنیتی یک شبکه به سه بخش یا ناحیه اصلی افراز می شود :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

1-ناحیه داخلی (Internal) یا خصوصی (Private)

بخشی از شبکه است که مدیریت و مالکیت آن در اختیار ماست و امکان اعمال سیاست ها و خط مشی های امنیتی دقیق و نیز نظارت و دسترسی مستقیم به سخت افزار و نرم افزار های نصب شده درآن برای مدیران شبکه فراهم است. شبکه های محلی (LAN ) و شبکه های محلی بی سیم ( WLAN) در این دسته قراردارند. سرورها و سرویسهای حساس و مهمی چون پایگاه داده ، Active Directory و ... در این ناحیه از شبکه جای خواهند گرفت. و قواعد بسیار سخت گیرانه ای برای ارتباط شبکه های ناامن خارجی به این ناحیه از شبکه در دیواره آتش ساخته می شود.

2-ناحیه خارجی (External) یا عمومی (Public)

به هر شبکه جدا و مستقل از شبکه داخلی که مدیریت و مالکیت آن در اختیار ما نیست و در دست دیگری است شبکه خارجی گفته می شود ، شبکه جهانی Internet یا هر شبکه دیگری که الزامات کسب و کار ، قوانین و مقررات ملی یا بین المللی و سایر عوامل محیطی ما را ناگزیر از ارتباط و برهم کنش با آنها می کند در این گروه جای خواهند گرفت ، تامین کنندگان و توزیع کنندگان عمده ، سازمانهای دولتی و حتی گاهی بخشهای مستقل سازمان خودی نمونه هایی از این دست هستند.شبکه خارجی ، به تمامی ناامن و غیر قابل اعتماد در نظر گرفته می شود.

3-ناحیه غیر نظامی ( DMZ ) یا منطقه محیطی (Primeter)

به بخشی از شبکه گفته می شود که مدیریت و مالکیت آن در اختیار ماست و محل قرار گیری سرورها و سرویسهایی است که کاربران شبکه های نا امن خارجی مانند Internet می توانند با آنها ارتباط برقرارکرده و از خدمات ارائه شده توسط آنها استفاده کنند سرورهایی چون Web Server ، VPN Server و بطور کلی هر سرویسی که نیاز است تا توسط کاربران مستقر در یک شبکه خارجی مورد دستیابی قرار گیرد در این ناحیه جای خواهد گرفت.

به این دسته از سرورها سرورهای عمومی گفته می شود. مهم ترین علت پیش بینی این ناحیه ، نیاز به حفظ امنیت شبکه داخلی است چرا که اگر سرورهای عمومی درون شبکه خصوصی قرار گیرند چنانجه این سرورها به هر دلیلی توسط یک مهاجم خارجی مورد نفوذ قرارگرفته و اختیار آنها در دستان مهاجم قرارگیرد آنگاه تمامی سرورها و ماشینهای موجود در شبکه داخلی در معرض خطر قرار خواهند گرفت در حالی که اگر این شرایط برای سرورهای موجود در ناحیه DMZ پیش آید ، خطر تنها متوجه ماشینهای موجود در این ناحیه خواهد بود و آسیب به ناحیه داخلی گسترش نخواهد یافت.

نمای مفهومی از نواحی امنیتی شبکه

نمای مفهومی از نواحی امنیتی شبکه

اکنون که با نواحی امنیتی آشنا شده ایم زمان آن است که با انواع رابطها در نرم افزار PfSense آشنا شویم :

1-LAN Interface

به اولین رابطی که وظیفه اتصال PfSense به ناحیه داخلی (خصوصی) شبکه را بر عهده دارد LAN Interface گفته می شود به طور معمول کارت شبکه فیزیکی نصب شده در ماشین Pfsense که ماشین را به طور مستقیم به شبکه محلی (LAN) موجود در ناحیه داخلی متصل می کند به این رابط اختصاص می یابد و دارای این نقش خواهد شد.

2-OPT Interface

چنانچه در ناحیه داخلی افزون بر شبکه محلی (LAN) شبکه مجزای دیگری چون شبکه محلی بی سیم (WLAN) وجود داشته باشد و یا نیاز به پیش بینی ناحیه DMZ در شبکه است برای اتصالPfSense به این بخشها از OPT Interface یا رابط انتخابی استفاده می گردد که برمبنای تعداد رابط OPT مورد نیاز به صورت OPT1 ، OPT2 و ... نامگذاری می گردد بنابراین کارتهای شبکه فیزیکی نصب شده در ماشین PfSense که ماشین را به صورت مستقیم به این شبکه های مجزای داخلی متصل خواهند کرد نامزد اختصاص به این رابط بوده و پس از تخصیص دارای این نقش خواهند بود.

3-WAN Interface

به رابطی که وظیفه اتصال PfSense به ناحیه خارجی (عمومی) شبکه را بر عهده دارد WAN Interface گفته می شود به طور معمول ناحیه عمومی همان شبکه جهانی Internet است . کارت شبکه فیزیکی نصب شده در ماشین Pfsense که ماشین را به به شبکه خارجی متصل می کند به این رابط اختصاص می یابد و دارای این نقش خواهد شد. ترافیک رسیده از شبکه جهانی اینترنت از طریق این رابط به PfSense وارد می شود. در حالتی که سازمان از قابلیت Multi WAN نرم افزار PfSense استفاده می کند و ماشین PfSense بیش از یک ارتباط فیزیکی با شبکه جهانی Internet دارد به رابط اولیه ای که وظیفه اتصال PfSense به Internet را بر عهده دارد WAN Interface گفته می شود.

4-OPT WAN

رابط OPT WAN به اتصال PfSense از طریق رابط OPT با شبکه خارجی که به طور معمول اینترنت است اشاره دارد .

توصیف تصویری رابط LAN  و  رابط   WAN

توصیف تصویری رابط LAN و رابط WAN

اختصاص کارتهای شبکه به رابطها

با پایان یافتن نصب PfSense ، اولین گام پس از اجرای دوباره سیستم عامل تازه نصب شده ، اختصاص کارتهای شبکه موجود در ماشین PfSense به رابط ها ست بنا براین با نمایش یافتن صفحه زیر و با پیام مناسبی از کاربر خواسته می شود تا کارتهای شبکه شناسایی شده در ماشین را به رابط های LAN و WAN اختصاص دهد و آدرس IP ، Subnet Mask و سایر تنظیمات مورد نیاز رابط را تعریف نماید .

پنجره اختصاص کارتهای شبکه به رابط ها

پنجره اختصاص کارتهای شبکه به رابط ها

همان گونه که در تصویر مشاهده می کنید Pfsense موفق به شناسایی سه عدد کارت شبکه شده و نام و آدرس سخت افزاری آنها را برای کاربر به نمایش گذاشته است. چنانچه نرم افزار وجود link در هریک از کارتهای شبکه را تشخیص دهد وضعیت وصل بودن (UP) و یا قطع بودن (Down) لینک را نیز نمایش می دهد.در سیستم عامل FreeBSD کارتهای شبکه شناسایی شده در ماشین براساس نام درایور شبکه استفاده شده نامگذاری می شوند.

پس از نام ، شماره ای است که از صفر شروع می گردد و با افزودن هر کارت شبکه که از همان درایور استفاده می کند یک واحد به آن افزوده می شود. برای نمونه یکی از درایورهای شبکه متداول که برای کارتهای Intel Pro//100 استفاده می گردد درایور fxp است بنابراین اولین کارت شبکه Pro100 به نام fxp0 و دومین کارت شبکه Pro100 با نام fxp1 نامگذاری می شود. برخی دیگر از درایورهای شبکه معمول em و rl هستند که اولی مخصوص کارت شبکه Intel Pro1000 و دومی ویژه کارت شبکه Realtek 8129//8139 است بنابراین چنانچه ماشینی دارای یک کارت شبکه Intel Pro//1000 و یک کارت شبکه Realtek 8129/8139 باشد اولی با نام em0 و دومی با نام rl0 شناسایی می شوند.

در صفحه نمایش داده شده از کاریر خواسته می شود تا VLAN ها را پیکربندی کند چنانجه نیازی به تنظیم vlan ندارید با فشردن کلید n صفحه کلید از انجام این تنظیمات صرف نظر کنید.پس از این با نمایش پیامهایی از کاربر خواسته می شود تا به ترتیب کارتهای شبکه موجود را به WAN Interface و LAN Interface اختصاص داده و ip Address ، Subnet Mask و سایر تنظیمات مورد نیاز را در این رابط ها انجام دهد . ناگفته نماند که در فایل پیکربندی پیش فرض PfSense کارت شبکه em0 به Interface WAN و کارت شبکه em1 به رابط LAN Interface اختصاص یافته است بنابراین چنانچه در ماشین PfSense کارتهای شبکه em0 و em1 شناسایی شوند پیام اختصاص کارت شبکه های موجود به رابط ها برای کاربر نمایش داده نمی شود و کاربر به صفحه زیر هدایت می شود.

 

صفحه اصلی مدیریت Local ماشین PfSense

تنظیمات و پیکربندی پیش فرض PfSense

  1. آدرس IPv4 در رابط WAN به صورت DHCP پیکربندی شده است.
  2. آدرس IPv6 در رابط WAN به صورت DHCP پیکربندی شده است. و می تواندIPv6 prefix delegation را نیز درخواست نماید.
  3. آدرس IPv4 در رابط LAN به صورت دستی پیکربندی می شودو مقدار پیش فرض آدرس IP و نقاب شبکه آن 192.168.1.1/24 است (192.168.1.1 255.255.255.0)
  4. رابط LAN می تواند از یک delegated IPv6 address/prefix که از رابط WAN دریافت می کند استفاده کند.
  5. تمامی ترافیک ورودی به رابط WAN مسدود می شود به بیانی دیگر به صورت پیش فرض اجازه برقراری هیچگونه ارتباطی از شبکه ناامن خارجی به شبکه داخلی یا منطقه DMZ داده نمی شود.
  6. تمامی ترافیک خروجی از رابط LAN مجاز شمرده می شود. به بیانی دیگر به صورت پیش فرض اجازه برقراری هرگونه ارتباطی از شبکه داخلی به شبکه خارجی یا شبکه DMZ داده می شود.
  7. تمامی ترافیک مربوط به IPv4 با مبدا شبکه داخلی که از رابط WAN خارج می گرددبه صورت پیش فرض NAT شده است.
  8. IPv4 DHCP Server فعال است
  9. چنانچه یک prefix delegation از رابط WAN دریافت گردد و یا قابلیت SLAAC فعال باشد PfSense می تواند همانند یک IPv6 DHCPv6 Server عمل کند.
  10. SSh غیر فعال است
  11. نام کاربری مدیر سیستم admin و گذرواژه پیش فرض آن نیز pfsense است.
  12. رابط کاربری تحت وب (WebGUI) به صورت پیش فرض از پروتکل HTTPS و شماره پورت 443 استفاده می کند.
  13. DNS Resolver فعال است و PfSense می تواند به درخواستهای DNS پاسخ دهد

نظرات