오픈소스 방화벽 pfSense 설치하기 (1)

오픈소스 방화벽 pfSense 설치하기 (1) - pfSense 설치

1. 오픈소스 방화벽 pfSense 설치하기 (1) - pfSense 설치

목차

1. 목차

2. 개요

3. pfSense란?

4. 네트워크 구성

5. pfSense 설치

6. pfSense 네트워크 설정

7. GUI 페이지 접근설정

8. 마치며

개요

오랜만의 포스팅입니다. 한달 간 많은 일이 있었습니다. 최근 여러 고객사들이 DDoS 공격을 받아 보안 이슈가 회사의 주 된 이슈로 떠올랐습니다. 사내 보안 전문 인력이 없다보니 최소한의 보안 정책으로 일을 하고 있던 저희도, DDoS 공격을 대비하기 위해 바삐 움직여야했습니다. pfSense는 사내 보안 강화 프로젝트의 일환으로 테스트하고 있습니다. 앞으로 포스팅에서 pfSense를 설치해 다양한 기능을 사용 해 볼 예정입니다.

pfSense란?

pfSense는 무료로 사용 할 수 있는 오픈소스 소프트웨어 방화벽입니다. FreeBSD 기반에서 동작하며 매우 가볍습니다. 최근 pfSense의 상용화 버전인 pfSense Plus 버전도 출시되었다고 합니다. 저희는 테스트 용도로 사용 해 볼 예정이니, pfSense CE 버전으로 설치하도록 합시다.

네트워크 구성

pfSense는 우선 외부 네트워크인 WAN과 내부 네트워크인 LAN이 필수적으로 필요합니다. 저는 host pc를 클라우드 컴퓨터로 만든 후, 그 안에 각각 pfsense vm, web서버 vm을 만들어 테스트를 진행하려 합니다. pfsense의 WAN 네트워크는 host pc 네트워크와 동일한 대역 공인 IP를 할당받아 설정하였고, LAN 네트워크는 사설 네트워크를 구성해 각각 web서버와 통신이 가능하도록 구축 할 예정입니다.

pfSens 설치

우선 iso 파일을 다운로드 해 봅시다.

https://www.pfsense.org/download/

위 경로로 들어가 자신에게 맞는 CPU 아키텍처를 선택 후에 ISO 이미지를 다운받아줍니다.

iso 파일을 다운받았으면 각자 해당 iso로 VM, 서버 등등에 설치합니다. 저는 4코어에 8기가 메모리로 생성하였습니다. 주의하실 점은 pfSense는 WAN과 LAN 네트워크를 필요로 하기 때문에 반드시 두 개의 서로 다른 네트워크 디바이스를 추가하여 주셔야 합니다.

그 후 아래 이미지를 따라 설치를 진행해주시면 됩니다. 따로 설명이 필요하지 않은 부분은 넘어가도록 하겠습니다.

VLAN 설정이 필요하신 분들은 위 옵션에서 y를 눌러 VLAN 설정을 진행해주시고, 각각 WAN에 사용 할 인터페이스와 LAN에 사용 할 인터페이스를 설정해줍니다. 저는 현재 인터페이스가 1개만 있기 때문에 WAN 인터페이스만 설정하고 추후 LAN 인터페이스를 추가로 설정 할 예정입니다.

이렇게 모든 pfSense 설치가 끝났습니다.

pfSense 네트워크 설정

이제 pfSense WAN 과 LAN 네트워크를 설정해줍시다. 그 전에 저처럼 네트워크 인터페이스를 1개만 넣어서 생성하신 분들은 네트워크 인터페이스를 한개 더 추가하셔서 2개로 만들어 진행해주시면 됩니다.

먼저 네트워크를 설정 하기 전에 인터페이스를 지정해줍니다. 설치 하실 때 WAN과 LAN 인터페이스를 설정 해 주신 분들은 이 부분은 건너뛰셔도 무방합니다.

1번을 입력하여 네트워크 인터페이스 설정 창으로 들어갑니다.

네트워크 설치 할 때와 동일하게 VLAN 설정 및 WAN, LAN 인터페이스를 지정 해 줍니다. 혹시 WAN, LAN 말고 다른 인터페이스도 추가 해 주고 싶으시면 기타 인터페이스도 설정 해 줍니다. 그 후 설정 완료를 해 주시면 인터페이스가 정상적으로 설정 된 것을 확인 할 수 있습니다.

본격적으로 네트워크 ip를 설정 해 줍니다.

2번을 입력하여 네트워크 ip 설정 창으로 들어갑니다.

먼저 WAN 네트워크 부터 설정 해 줍니다. WAN 네트워크는 host PC와 동일한 공인 IP 대역을 DHCP로 받아 올 예정이기 때문에 DHCP 설정을 yes로 해주고, DHCP6는 사용하지 않을 예정이기 때문에 no로 설정 해 줍니다. 웹 프로토콜은 HTTPS를 쓸 예정이기 때문에 no로 설정 해 줍시다.

LAN 네트워크는 static으로 사설 네트워크를 설정 해 줄 예정이기 때문에 ip를 입력 해 줍니다. 서브넷 마스크와 게이트웨이도 설정 해 준 후 ( 사설 네트워크는 게이트웨이가 필요 없기 때문에 생략 해 줍니다. ) 마찬가지로 웹 프로토콜을 HTTPS로 설정 해 줍니다.

여기까지 설정을 완료 하시면 각각 WAN 및 LAN 네트워크에 ip가 할당 된 것을 확인 하실 수 있습니다.

GUI 페이지 접근 설정

pfSense는 기본적으로 web GUI 페이지를 LAN 네트워크를 통해서만 접속 할 수 있습니다. 언제든지 LAN 네트워크에 접속 할 수 있는 환경이 된다면 굳이 따로 설정하실 필요가 없지만, 관리적인 측면 때문에 공인 네트워크로 접속 할 수 있어야하는 상황이 발생 할 수 있기 때문에 공인 네트워크로도 pfSense 웹 페이지에 접근 할 수 있게 설정 해 봅시다.

8번을 입력하여 커맨드를 입력 할 수 있는 shell로 전환합니다. 그 후 pfctl -d 커맨드를 입력합니다. 해당 커맨드는 pfSense의 방화벽을 disable 하는 설정으로, 일시적으로 모든 방화벽 설정이 비활성화 됩니다. 물론 해당 명령어는 보안에 매우 취약하고 일시적 설정이기 때문에 pfSense에서 설정을 다시 변경할 시에 방화벽이 다시 적용됩니다. web GUI 접근 설정을 하는 동안에는 계속해서 설정이 바뀌어 방화벽이 다시 활성화 되므로, 접속이 안될 때 마다 해당 명령어를 다시 입력 해 주시면 됩니다.

위 명령어를 입력 후 WAN ip 주소로 접속 해 보시면 정상적으로 pfSense GUI 페이지로 들어가는 걸 확인 하실 수 있습니다. pfSense의 초기 비밀번호는 ID : admin / PASSWD : pfsense로 추후 꼭 변경 해 주시길 바랍니다.

이제 web GUI에 접속 할 수 있는 ip를 alias로 묶어서 관리 할 수 있도록 설정 해 봅시다. Firewall > Aliases > IP 탭에서 Add 버튼을 눌러 Management IP를 등록 해 줍니다.

마찬가지로 관리 할 port를 alias로 묶어주도록 합시다. Firewall > Aliases > Ports 탭에서 Add 버튼을 눌러 Managerment Port를 등록합니다. 저는 web에 접근 할 수 있는 80, 443 그리고 외부 네트워크로 CLI 모드도 관리하기 위해 22번 포트를 같이 설정 해 주었습니다.

management ip와 port를 설정 해 주었으니 이제 해당 ip가 해당 port로 접근 할 수 있도록 rule을 만들어 줍니다. Firewall > Rules > WAN 탭에서 Add 버튼을 눌러 먼저 Pass rule을 만들어줍니다. Sources는 ManagementAccess로 설정하고, Destination은 This firewall, 포트는 ManagementPorts로 설정하여 이 방화벽에 management IP가 management Port로 접근하면 허용하도록 만들어줍니다.

그 후 Blcok rule을 만들어 management ip 외의 모든 ip는 차단하도록 만들어 줍니다. 마찬가지로 Firewall > Rules > WAN 탭에서 Add 버튼을 누르고 Sources는 any로 설정하여 모든 ip에 대한 rule을 만들어주시고 Destination은 Pass rule과 동일하게 설정해줍니다.

마지막으로 두 rule의 순서를 위와같이 Pass rule이 위로 오게 변경 해 주신 후 Apply Changes를 눌러주시면 이제 WAN ip로 외부에서 접속 하실 수 있습니다. pfSense rule은 위에서부터 아래 순서로 적용되기 때문에 꼭 순서를 Pass rule이 위로 오게 설정해주세요.

마치며

이렇게 pfSense를 사용하기 위한 모든 준비가 끝났습니다. pfSense는 기본적인 방화벽 룰 이외에도 패키지를 설치하여 다양한 기능을 사용 할 수 있습니다. 다음 포스팅에서는 pfSense 및 패키지의 다양한 기능을 소개하도록 하겠습니다.