Kategória: Informatika

IT kategóriájú bejegyzések

Beküldve:

Jelszókezelő mizéria

Miért is használunk jelszókezelőt?

Többen érvelnek azzal, hogy nekik van már egy nagyon jól bevált, akár több mint 16 karakterből álló, kisbetűt, nagybetűt, még sepciális karaktert is tartalmazó jelszava, azt használja mindenütt, neki nincs szüksége jelszókezelőre…
Rendben – szoktam mondani erre -, tegyük fel, hogy a párunknak kinéztünk a „Mancika Webshop” oldalon egy ajándékot, amit megrendeltünk neki. Mint ma már minden webshop oldalon, itt is kötelező volt fiókot regisztrálni (sicc) , meg is tettük a szuper biztonságos kis jelszavunkkal. Majd kiderül (jobb esetben), hogy az adott oldalt feltörték és a felhasználói jelszavak kompromittálódtak, azok nem is titkosítva voltak tárolva (sicc)…
Akkor most hány helyen kell cserélnünk a szuperbiztonságos jelszavunkat!? Vezettünk erről egyáltalán nyilvántartást!?

Erre szokott jönni még a válasz, hogy a „nem fontos helyekre” van egy másik egyszerűbb jelszavam…
Egyrészről rendben, de akkor hány „nem fontos helyen” kell jelszót cserélnünk?
Másrészről a „fontos” helyeken is történt már incidens…
Harmadrészt a jelszavunk kikerülhet egy sikeres phising támadás által, vagy egy kompromittálódott eszközről is, stb…

Végül utolsó kapaszkodóként szokott jönni, hogy na jó, de nekem kétfaktoros azonosításom van!
Valóban, ez már egy nagy előrelépés, gratulálok! Néhány gondolatébresztő kérdés azért ebben az esetben is felmerül:

  • Mit használtál második faktornak?
    • E-mail?
      • Ott is van 2FA?
      • Ott is ugyan az a jelszavad!?
    • Authy, hogy több eszközön is kéznél legyen?
      • Az Authy jelszava is ugyan ez?
    • Milyen alternatív bejelentkezésed van, ha elérhetetlen az elsődleges 2FA?
      • Ott sem jelent problémát ha kiderült a jelszavad?
    • Ha kompromittálódott a jelszavad, akkor ez most szerinted továbbra is 2FA?

A fentieket még lehetne persze tovább sorolni, azonban remélem már ennyiből is látszik, hogy valamilyen jelszókezelőre szükségünk van a mai világban.

Ok, jelszókezelőt, na de mit?

Elsőre adódik, hogy használjuk a böngészőnkbe épített jelszókezelőt, hiszen túlnyomórészt valamilyen webes felületet használunk már majdnem mindenütt. Alapvetően ezzel már nagyot léphetünk előre, ugyanakkor jellemzően ezen megoldásoknál a kényelem volt az elsődleges szempont, nem az IT biztonsági megfontolások.
A böngészőkben tárolt jelszavak egyrészt jellemzően viszonylag könnyedén visszanyerhetők, másrészről ugyan vannak megoldások, hogy ezek szinkronizálódjanak a többi eszközünkkel, ezek implementációja, illetve felhasználhatósága nem feltétlenül zökkenőmentes…

Elérhetőek az operációs rendszerbe integrált megoldások is. Az IT biztonsági megfontolások itt már nagyobb hangsúlyt kapnak, ugyanakkor ezek jellemzően az adott platformhoz kötnek, illetve nem támogatnak ezek sem pl. csoportos jelszókezelést, ami nem csak munkánál, de a családban is sokszor jól jön, vagy különböző jelentéseket, stb.

Vannak a több platformra is elérhető „offline” jelszókezelők, az egyik legnépszerűbb a KeePass, illetve léteznek ennek különböző, akár felhő tárolást is implementáló megoldásai is. Itt a jelszavak gyakorlatilag egy titkosított fájlban vannak tárolva, mely állományt meg tudunk osztani másokkal, a jelszó ismeretében pedig láthatjuk is a benne tárolt jelszavakat.
A kezelése jellemzően vágólapozással tud történni, azonban mobil eszközön már macerásabb a használata, illetve ha kompromittálódik, a benne tárolt jelszavak lecserélését nem nagyon támogatja automatizmusokkal.

LastPass

Az egyik legnagyobb kifejezetten jelszókezelésre készült platform. Magam is sok-sok éven át használtam, nem csak én, hanem a Family előfizetéssel a család is. Gyakorlatilag amikor megoldást kerestem a jelszókezelésre, nem is nagyon találtam alternatíváját, 2015 -ben pedig megvette a magyar kötődésű LogMeIn (ma már GoTo), ami kapcsán csak még szimpatikusabb is lett.
Aztán 2021. decemberében önállósult újra, mondván, hogy még hatékonyabban tudjon fejlődni. Lehet itt ment félre valami, nem tudom, mindenesetre az elmúlt időkben lassan vezető hírré váltak a LastPass -t érintő incidensek.
Alapjában véve ezzel még nem is feltétlenül lenne gond, hiszen sejthető, hogy egy erre specializálódott vezető megoldásszállító a támadók célkeresztjében van, ugyanakkor a napvilágra került információktól, az incidensek részleteitől, valamint azok kezelésétől a hátamon felállt a szőr, így 2023. változást hozott nálam.

Bitwarden

Nem titok, erre tértem át, nálam sokat nyomott a latba, hogy Open Source. Nem csak azért, mert nyílt forráskód párti vagyok, hanem azért is mert úgy gondolom ez is hozzátesz a biztonságához.
Tudom, sokakban most felmerül, hogy a nyílt forráskódú szoftver az sokkal kevésbé biztonságos, én meg pont az ellenkezőjét állítom. Azért, mert így van. 🙂
Véleményem szerint ez egy banális tévedés, általánosságban véve a nyílt forráskódú rendszer igen is sokkal biztonságosabb tud lenni!
Anélkül, hogy nagyon belemennék a részletekbe (majd lehet erről is írok egy bejegyzést egyszer) azért gondolom ezt így, mert valóban, ha Pistike ír egy programot és közzéteszi a kódját, abban sokkal könnyebben felfedezhetünk a forráskódból a hibákat, mintha nem ismernénk azt, ugyanakkor egy nagy rendszernél ez pont az ellenkezőjére fordul át. Sokkal többen nézik a forráskódot, hamarabb kiderülnek a hibák, nem nagyon lehet eltusolni, stb…

Visszatérve a Bitwarden -re, a váltásnál a másik vetélytársa nálam a 1Password volt. A váltáskor ráadásul a security megoldások a 1Password felé tolták a súlyt, végül a Bitwarden Open Source volta, az árazása, (valamint a megelőlegezett bizalom, hogy a döntéskor gyengébbnek vélt biztonság hamarosan itt is változik) a Bitwarden felé vitt, azzal a megkötéssel, hogy ha nem jön be, majd megyek tovább…

Jó jó, de mire mondom, hogy a gyengébbnek vélt biztonság, amikor pont a biztonságról papolok? Az alkalmazott titkosításra, pontosabban a password hashing -re.

PBKDF2

PBKDF2, vagyis Password-Based Key Derivation Function 2. Van még kérdés? 🙂
Nem kell megijedni, az alapelve egyszerű.

Kezdjük onnan, hogy amikor egy jelszót ellenőrzünk, gyakorlatilag valamilyen algoritmus mentén elkódoljuk (hash), és azt ellenőrizzük, hogy az megegyezik e a tárolt adattal. Ez az algoritmus egy olyan matematikai eljárás, ami kvázi egyirányú, tehát az eredményéből a forrást nem (legalábbis belátható időn belül nem) tudjuk visszafejteni.
Viszont ha rendelkezünk a titkosított jelszóval, akkor már tudjuk próbálgatni, hogy az adott jelszóból előáll e ugyanaz a titkosított jelszó. Ezt hívják brute force módszernek.
A technika fejlődésével, pláne a GPU -k, vagyis videokártyák térnyerésének (részben köszönhetően a videojátékoknak, valamint bitcoin bányászatnak is) ezek a próbálkozások viszonylag gyorsan végrehajthatók.
Ezért kitalálták, hogy a kódolt jelszót még iterálják több lépésben, így a próbálkozáshoz szükséges idő megnő.
A PBKDF2 az egyik legelterjedtebb eljárás erre. Ezt alkalmazva megfelelő iterációt követően a másodpercenként több százezer próbálkozás lecsökkenthető több tízezerre, vagy még kevesebbre. Gyakorlatilag kellően hosszú jelszó esetén ellehetetleníti a brute force jellegű próbálkozásokat. Az ismert jelszó ellenőrzésénél ugyanakkor továbbra is egyszer kell csak futtatni az algoritmust és az iterációkat, ami még így is nagyon rövid idő alatt elvégezhető.
Ha szeretnénk dollárosítva látni, hogy körülbelül mennyibe kerülne egy-egy jelszót próbálkozással feltörni, a https://support.1password.com/pbkdf2/ oldalon megnézhetjük.

Amiért írtam, hogy az átálláskor a gyengébb volt a Bitwarden a 1Password -nél, az egyrészről az, hogy a 1Password 650.000 iterációt végez, másrészről még egy titkos kulccsal is kombinálja azt, ami csak a kliens eszközökön van jelen. (Így ha kikerül egy állomány, a jelszó önmagában kevés.)
Ezzel szemben a Bitwarden 200.001 iterációt használ „csak”. Azért az idézőjel, mert a LastPass 100.100 -at használt, így ahhoz képest ez is előrelépés.
A teljesség kedvéért meg kell jegyezni, hogy itt is volt egy kis „huncutság”, a 200.001 iteráció 100.000 szerver oldali és 100.001 kliens oldali iterációból jött össze, a mester jelszó iterációja így csak 100.000 volt, gyakorlatilag ugyan annyi, mint a LastPass esetében is. (sicc)
További nem elhanyagolható probléma az, hogy az OWASP (Open Worldwide Application Security Project) ajánlás ma 600.000 iteráció a PBKDF2 esetében…

Szerencsé(m)re február közepe óta a Bitwarden is megemelte és alapértelmezetten már 600.001 iterációt használ, továbbá paraméterezhetővé is tette, hogy kliens oldalon hányszor szeretnénk iterálni. Így akár 650.000 -re is állíthatjuk mint a 1Password, de akár még feljebb is mehetünk, ha szeretnénk. Nyilván ez kihat a teljesítményre, de ha nem régi hardverekkel dolgozunk, nem nagyon vesszük észre a változtatást. (Persze ésszerű keretek között maradva. 🙂 )

Fontos, hogy ha 2023. február előtt hoztuk létre a fiókunkat, akkor automatikusan nem történik meg az iteráció emelése, azt nekünk kell megtenni, a webes felületen belépve! (Account Settings / Security / Keys)

Sőt mi több, ezen túlmenően a Bitwarden ezzel egyidőben elérhetővé tette az Argon2id algoritmust is!

Argon2

Az argon2 nyerte a 2015. évi Password Hashing Competition -t, az Argon2id ennek egy hybrid változata, amit a kombinációja az adatfüggő és adatfüggetlen memória elérést (data-depending, data-independent memory accesses).
Az Argon2i ellenállóbb a side-channel cache timing támadásokkal szemben, az Argon2d pedig a GPU alapú támadásokkal szemben.
Az Argon2 szemben az egyéb algoritmusokkal 3 paramétert használ, egy memória méretet (m), egy iteráció számot (t), valamint egy párhuzamossági számot (p).
Az alapértelmezett a Bitwarden esetében a jelenlegi OWASP ajánlás felett van:
64MiB memória, 3 iteráció, 4 szálon.
(Bővebben a Bitwarden által használt titkosításról: https://bitwarden.com/help/what-encryption-is-used/ )

Akkor most PBKDF2 vagy Argon2? És milyen paraméterekkel?

Az aktuális OWASP ajánlást itt találjuk: https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html
A jelenlegi Bitwarden alapértelmezések mind teljesítik, vagy fölötte vannak az ajánlásnak, néhanapján azért érdemes lehet ránézni az ajánlásra és a beállításainkra.
Ha szeretnénk megfelelni a NIST ajánlásnak, vagy fontos a FIPS-140 szerinti működés, akkor maradhatunk PBKDF2 -n, a megfelelő iteráció alkalmazása mellett.
Ha gyorsabban szeretnénk haladni a korral, használhatjuk már most az Argon2 -t is, szintén az ajánlott beállítások figyelembevétele mellett.

Ok, átálltam a Bitwarden -re (vagy másik jelszókezelőre), akkor most biztonságban vagyok, hátradőlhetek?

Természetesen nem! 🙂
Egyrészről fontos, hogy időnként a szuperbiztonságosnak tituált, már csak és kizárólag a jelszókezelőnkben használt master jelszavunkat is időről időre cseréljük le. Hogy miért? Mint a hash algoritmusoknál is láthattad, az ajánlás időről időre változik, ahogy a technika fejlődik, úgy az algoritmusok is avulnak el, a paramétereiket is emelni kell.
Ha egy korábbi backup kikerül, és az abban alkalmazott algoritmus már gyenge, vagy az akkor használt jelszavunk kikerül, akkor az összes jelszavunk kompromittálódott!

Akkor most hiába az egész?
Nem! Csak tudjuk, hogy dolgunk van a jelszavainkkal.
Ezen jelszókezelő rendszerek mind támogatják a jelszócseréket automatizmusokkal (bár meg kell hagyjam ebben a LastPass erősebb volt mint a Bitwarden), jelentéseket tudnak adni arról, hogy valamelyik jelszavunk szerepel e valamelyik nyilvánosságra került adatbázisban, illetve azokat is legyűjthetjük, hogy melyik jelszavunkat mikor cseréltük le utoljára (bár a Bitwarden -ben ezt pont nem találtam meg, remélem csak nem kerestem eléggé), de a gyenge jelszavainkat is tudja listázni, illetve azon nem biztonságosnak nyilvánított web oldalakról is adnak listát, ahol fiókunk van.

Ajánlások a biztonságos jelszókezeléshez

  • Cseréljünk a jelszókezelőnk mester jelszavát legalább évente!
    A jelszó legyen kellően hosszú, legyen legalább 16 karakter, tartalmazzon kis és nagy betűket, valamint speciális karaktereket is.
  • Legyen kötelező legalább a jelszókezelőnkhöz a 2FA.
  • A jelszavainkat csoportosítsuk kritikusságuk szerint mappákba, ennek megfelelően szánjunk rá időt, és generáljunk új jelszavakat.
  • Mindenhol használjunk más jelszót, a jelszavainkat ha más nem indokolja generáljuk, legyen legalább 16 karakter, tartalmazzon kis és nagy betűket, valamint speciális karaktereket is.
  • Legalább évente gyűjtsük le a jelszókezelőben elérhető jelentéseket, és annak eredményétől függően tegyük meg a szükséges lépéseket.
  • Legalább évente, illetve a tömeges jelszócseréket követően végezzünk biztonsági mentést!
    A mentést tároljuk biztos helyen, a kornak megfelelő titkosítás alkalmazásával! Az új mentést követően a régit semmisítsük meg! (Emlékezz amit korábban írtam, lehet, hogy azon mentésnél alkalmazott titkosítás már nem megbízható…)
Beküldve:

Üzenetküldő alkalmazások amiket használok és amiket használtam

Mostanában hangos a sajtó attól, hogy az Apple kötelezővé tette, hogy az alkalmazásfejlesztők hozzák nyilvánosságra, hogy milyen adatokat gyűjtenek a felhasználóikról.
Magam részéről számos üzenetküldő alkalmazást használok használtam eddig, hogy minél könnyebben el lehessen érni, azonban nyilvánvaló, hogy ahogy a világon semmi, ez sincs ingyen.

Amiket eddig használtam, és amik maradtak (még):

  • Whatsapp
  • Viber
  • Messenger (Facebook)
  • Telegram
  • Signal

Nézzük meg őket részletesebben

Whatsapp

Az egyik első alkalmazás, ahol elérhető volt az end-to-end encryption, vagyis a végpontok közötti titkosított kapcsolat. Elég széles körben elterjedt, napi szinten kommunikálok rajta.

Mellette:

  • end-to-end encryption
  • széles körben elterjedt
  • desktop app elérhető

Ellene:

  • több fiókot (telefonszámot) nem tud kezelni
  • a gyűjtött adatok köre több mint elfogadható számomra

Gyűjtött adatok:

Whatsapp által hozzánk köthetően gyűjtött adatok (2020.01.11.)

Döntés

Megtartom, magán kommunikációra gyakran használom, bár az általa gyűjtött adatok köre túl sok…

Viber

Gyakorlatilag az első kimondottan „okos telefonokra” szánt üzenetküldő, a legszélesebb körben talán ez terjedt el (legalábbis az ismerőseim körében).
2016. óta van end-to-end titkosítás is benne, azt, hogy Magyarországon pontosan mióta nehéz megmondani, mert más volt a kommunikáció, mint a valóság, ezt anno egy Facebook post alatt ki is fejtettem:

Mellette:

  • end-to-end encryption
  • széles körben elterjedt
  • desktop app elérhető

Ellene:

  • több fiókot (telefonszámot) nem tud kezelni
  • a kommunikációjuk pontatlan, az end-to-end bevezetés kapcsán tapasztaltak miatt megingott a bizalmam feléjük
  • a gyűjtött adatok köre kicsit sok számomra

Gyűjtött adatok:

A Viber által gyűjtött adatok (2021.01.11.)

Döntés

Megtartom, magán kommunikációra (és sajnos magán számomon keresztül cégesre is) gyakran használom, bár az általa gyűjtött adatok köre számomra már kicsit sok.
Új kommunikációt én nem indítok már egy ideje ezen keresztül, de egyelőre sokak felé ez az egyetlen elérhetőség, így egyelőre nálam marad.

Messenger

A Facebook üzenetküldő alkalmazása.

Mellette:

  • szinte mindenkinek van Facebook profilja, így gyakorlatilag mindenkivel felvehető a kapcsolat a használatával
  • desktop app elérhető

Ellene:

  • túl sok adatot gyűjt (gyakorlatilag szinte mindent, amint csak megtudhat)
  • több fiókot nem tud kezelni

Gyűjtött adatok:

Döntés

Egyértelműen megválok tőle. Gyakorlatilag ha épp a Facebook oldalt böngészi az ember, akkor ott úgy is megkapja a küldött üzenteket (ha nagyon perverz, vagy sok ideje van még bekapcsolt értesítések mellet azonnal tudomást is szerez róla, akár facebook app -on keresztül is).

Telegram

A személyes kedvencem, nagyon egyszerű API -val rendelkezik, gyakorlatilag http hívásokkal vezérelhető.

Mellette:

  • end-to-end encryption
  • a gyűjtött adatok köre teljesen rendben van, csak ami tényleg szükséges
  • desktop app elérhető
  • támogatott több fiók kezelése, amivel kiemelkedik a többiek közül
  • egyszerű API
  • általam használt rendszerekből push üzenetküldésére ezt használom

Ellene:

  • itthon kevésbé elterjedt

Gyűjtött adatok:

Döntés

Egyértelműen megtartom, számomra must have kategória.

Signal

A paranoiások egyértelmű kedvence. 🙂
Nyílt forráskódú, a biztonságot fókuszba helyező alkalmazás.

Mellette:

  • nyílt forráskódú
  • end-to-end encryption
  • a gyűjtött adatok gyakorlatilag nincsenek 🙂
  • desktop app elérhető
  • nonprofit irányítás

Ellene:

  • több fiókot (telefonszámot) nem tud kezelni
  • itthon még nem elég elterjedt
  • néha akadnak vele problémák, túlterhelt tud lenni (non-profit háttér, gyak. adományokból üzemeltetik, így szűkebbek a lehetőségek)

Gyűjtött adatok:

Döntés

Egyértelműen megtartom. Nagyon várom, hogy több fiók is legyen támogatott, bár jelenleg ez úgy láttam tervben sincs sajnos. 🙁

Beküldve:

PfSense @APU2e4

Hardver választás

Az APU lapok esetében az APU utáni szám mondja meg a generációt, utána egy betű áll, ami az adott generáción belüli típust azonosítja, majd újból egy szám, ami pedig a memória méretére utal.
Jelenleg így néz ki a kínálat:

  • apu2d0 (2 GB DRAM, 2 i211AT NICs)
  • apu2e2 (2 GB DRAM, 3 i211AT NICs)
  • apu2e4 (4 GB DRAM, 3 i210AT NICs)
  • apu3c2 (2 GB DRAM, 3 i211AT NICs, optimized for 3G/LTE modems)
  • apu3c4 (4 GB DRAM, 3 i211AT NICs, optimized for 3G/LTE modems)
  • apu4d2 (2 GB DRAM, 4 i211AT NICs)
  • apu4d4 (4 GB DRAM, 4 i211AT NICs)

Gondolhatnánk, hogy minél nagyobb a generáció szám, annál jobb a lapka, de azért ez nem teljesen így van. A 3. generáció például a 3G/LTE modemekhez van optimalizálva.
A 4. generációs eszközökön már 4 ethernet port van, aminek elsőre megörülhetünk, azonban ha jobban megnézzük, láthatjuk, hogy az apu2e4 a hálózati chip kapcsán kilóg a sorból.

apu2 mainboard
apu2e4

Pont ez volt az, ami miatt elsőre a választásom erre esett. Az oka, hogy az i210AT portonként 4 TX és 4 RX queue -t tartalmaz, míg az i211AT esetében ez portonként csak 2-2. Ez egy pfSense router felhasználás esetében úgy gondolom számít. (Ezt majd a gyakorlatban szeretném méréssel is igazolni, ha eljutottam idáig, megírom.)

Összeszerelés

apu2 case
case1d2blku


Én egy case1d2blku -t házat választottam hozzá
Illetve rendeltem még egy gyári ac12veu32 AC adaptert,

apufix1a0

valamint egy apufix1a0 -et, ami egy egyszerű keret, hogy az összeszereléskor a hűtőbordát könnyen, pontosan a helyére lehessen tenni.

háttértárnak pedig egy SSD Kingston mSata 240GB UV500 -t.

builded
Összeszerelve

Telepítés:

A pfsense honlapján nagyon jó a leírás, mindenképpen érdemes elolvasni!
Nem csak a telepítésről, mindenről…
Én macOs alatt az alábbi paranccsal kiírtam egy pendrive -ra:
sudo dd if=pfSense-CE-memstick-serial-2.4.5-RELEASE-p1-amd64.img of=/dev/disk3
Aki nem ismerné a dd -t, az if= paraméterrel adjuk meg az inputot, of= -el az outputot, (hogy melyik a pendrive -unk macOs alatt a diskutil list paranccsal kérdezhetjük le.)

Mivel az apu2 lapoknak nincs video kimenetük, így soros porotn keresztül tudjuk elkezdeni a telepítést. Fontos, hogy NullModem kábellel kössük össze a soros portunkkal, a port beállításai 115200 8N1. Én erre a screen parancsot szoktam használni, nálam ez így néz ki:
screen /dev/cu.usbserial-A506ATOI 115200,cs8,-parenb,-cstopb,-hupcl

Miután elindítottuk (bedugtuk) az eszközünket, a soros porton már látjuk a boot üzeneteket, ítt amikor írja is, F10 -et nyomva elérjük a boot menüt, ahol ki kell választanunk a pendrive -ot, amire kiírtuk a telepítőt.
Miután elindult, megkéri, hogy válaszzuk ki a terminált:

A vt100 jó lesz.

Fogadjuk el a feltételeket

Válaszzuk az Install menüpontot a telepítéshez

Particionálásnál én az alapértelmezett UFS helyett az Auto (ZFS) -t választottam, ugyan egy lemezes konfig, de úgy gondolom akkor is megéri, esetünkben tól sok RAM -ot nem fog enni, ellenben jobban tűri a „váratlan” áramtalanítást, stb.

Ha kész, kiírja a változásokat, majd kicsomagolja és bemásolja a szükséges fájlokat… Megkérdezi akarunk e itt még kézzel valamit beállítani, de nekünk ennyi elég elsőre, újraindíthatunk.

Újraindításkor pendrive -ot vegyük ki, majd indul is:

Ha elindult a rendszer, egy kis zenével jelzi is, illetve soros porton látjuk, hogy betölti a menüt:

Én itt még rögtön engedélyezni szoktam az ssh -elérést is a 14 -es menüponttal. (Persze később is megtehetjük, akár a webes felületről is.)

Alapból 2 intterface -t használ, az első a WAN, a második a LAN, amin alap esetben dhcp szolgáltatás is fut, így erre dugva a számítógépünket kapni is fogunk egy IP címet a 192.168.1.0/24 tartományból.
Mivel 3 port van az eszközünkön, így jó eséllyel tippelhetünk arra, hogy a középső port lesz a LAN. 🙂 (Egyébként a soros port melletti lesz a WAN, az utolsó (USB) melletti pedig az AUX, illetve pfSense nevezéktanban az Opt1, amit alapértelmezetten nem használ.)

A telepítéssel gyakorlatilag végeztünk, jöhet a konfiguráció.
A LAN poroton kereszül a https://192.168.1.1 címen elérhető a webes felületet. (Az alapértelmezett bejelentkezés: admin / pfsense)

Webes bejelentkezés után egy varázslóval fogad, itt az alap beállításokat meg tudjuk tenni, többek között az admin fiók jelszavának cseréjét.

A varázsló után én még az alábbi beállításokat szoktam elvégezni:

  • Csomagok telepítése:
    • iperf (sebességtesztekhez)
  • Konzol elérése csak jelszóval:
    • System > Advanced > Admin Access : Console menuPassword protect the console menu
  • Dashboard beállítás
  • NTP Status
  • Firewall Logs
  • Traffic Graphs
  • Interface Statistics
  • Thermal Sensors (APU esetében itt kell még egy beállítás, lsd. lentebb)
  • S.M.A.R.T. Status
  • Services Status
  • OpenVPN

További Apu2 specifikus javasolt beállítások:

  • Thermal Sensors beállítása:
    • System > Advanced > Miscellaneous : Thermal Sensors section -> AMD K8,K10 and K11
  • Hálózati sebesség növelése
    • A BSD alapértelmezetten 1 CPU magot használ a hálózati forgalomra, ami miatt alap beállíással kb. 4-500Mbps sebességet lehetett mérni, amit több szálon fel lehett tornázni 8-900Mbps -re (iperf3 -c SERVER_IP -P 4)
    • Web panel -> System -> Advanced -> Networking alatt legyenek kikapcsolva:
      • Hardware Checksum Offloading
      • Hardware TCP Segmentation Offloading
      • Hardware Large Receive Offloading
    • /boot/loader.conf.local fájlba:
# agree with Intel license terms
legal.intel_ipw.license_ack=1
legal.intel_iwi.license_ack=1

# this is the magic. If you don't set this, queues won't be utilized properly
# allow multiple processes for receive/transmit processing
hw.igb.rx_process_limit="-1"
hw.igb.tx_process_limit="-1"

# more settings to play with below. Not strictly necessary.

# force NIC to use 1 queue (don't do it on APU)
# hw.igb.num_queues=1

# give enough RAM to network buffers (default is usually OK)
# kern.ipc.nmbclusters="1000000"

#net.pf.states_hashsize=2097152
#hw.igb.rxd=4096
#hw.igb.txd=4096

#net.inet.tcp.syncache.hashsize="1024"
#net.inet.tcp.syncache.bucketlimit="100"

A honlap további használatához a sütik használatát el kell fogadni. További információ

A süti beállítások ennél a honlapnál engedélyezett a legjobb felhasználói élmény érdekében. Amennyiben a beállítás változtatása nélkül kerül sor a honlap használatára, vagy az "Elfogadás" gombra történik kattintás, azzal a felhasználó elfogadja a sütik használatát.

Bezárás