instalacao_configuracao_e_manutenção_do_pfsense _tecnologia_da_informação_eficienti
TRANSCRIPT
14/06/12 Instalação, Configuração e Manutenção do PFSense | Tecnologia da Informação – EficienTI
1/13eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
Instalação, Configuração e Manutenção do PFSensePosted on fevereiro 2, 2011 by Thiago L Oliveira
TreinamentoEficienTI
Administração de um Firewall PFSense
Treinamentos
Emissão: 15 de Janeiro de 2011
Validade: Indeterminada
Conteúdo
SUMÁRIO EXECUTIVO
ADMINISTRAÇÃO DO PFSENSE
1. OBJETIVO
2. SOBRE O PFSENSE
3. PRÉ-REQUISITOS
4. INTRODUÇÃO À SEGURANÇA EM REDE
4.1. Definição
5. PRÉ-REQUISITOS PARA INSTALAÇÃO DO
PFSENSE
5.1. Compatibilidade de Hardware
5.2. Mídia do PFSENSE
5.3. Requisitos de Hardware
6. INSTALAÇÃO DO PFSENSE
8. AUMENTANDO A SEGURANÇA DO PFSENSE
9. INSTALAÇÃO DE PACKAGES
9.1. Instalando os Packages
9.2. Verificando Packages instalados
10. RULES: DEFININDO REGRAS DE ACESSO
11. PROXY: CONFIGURAÇÕES DO SQUID
11.1. Configurações Iniciais do Serviço de Proxy
11.2. Métodos de Autenticação
11.3. Cache
11.4. Access Control
12. PROXY: CONFIGURAÇÕES DO SQUIDGUARD
12.1. Baixando BlackLists
12.2. Gerenciando BlackLists
12.3. SquidGuard Logs
13. DHCP SERVER
14. DHCP RELAY
15. NAT PORT FORWARD
15.1. Port Forward
15.2. NAT 1:1
16. BACKUP / RESTORE
Tecnologia da Informação – EficienTI
14/06/12 Instalação, Configuração e Manutenção do PFSense | Tecnologia da Informação – EficienTI
2/13eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
7. CONFIGURAÇÕES INICIAIS DO PFSENSE
Sumário Executivo
A EficienTI é uma empresa de prestação de serviços de Infra-Estrutura de TI, originada a partir de uma
empresa parceira Gold Microsoft, especializada em Infra-Estrutura de TI.
Outros serviços oferecidos pela EficienTI incluem soluções de hospedagem, terceirização de serviços de TI e
serviços de ServiceDesk.
A EficienTI se caracteriza pelo compromisso absoluto com a entrega de soluções de alta qualidade, dentro do
prazo e custo estimados. Nossos gerentes são especializados na entrega de soluções que melhor atendam a
necessidade dos clientes, de maneira eficiente e de acordo com o escopo definido.
A EficienTI possui profissionais com especialização nas competências Microsoft relativas a NetWorking Infrastructure Solutions,
Linux, Gerência, Melhores Práticas e Controle de T.I. Entre as certificações de seus profissionais estão ITILF, COBITF, CSM, LPIC-1,
LPIC-2, MCTS, MCSE, MCSA, MCDBA, MCSD e MCAD.
Administração do PFSENSE
Objetivo
Capacitar à instalar, configurar e administrar recursos de Firewall, Proxy, DHCP, NAT Port Forwarding e VPN
utilizando o pfSense, um firewall estavel montado sobre a plataforma FreeBSD.
Sobre o PFSense
O pfSense é um dos mais conhecidos e provavelmente mais rico, em recursos, entre os sistemas para appliance
pré-configurado. Nascido em uma versão customizada do estável FreeBSD, conta com uma interface amigável
que facilita a administração. Com gerenciamento via Web, oferece inúmeros recursos, focado para ambiente
de roteamento e firewalling, bem como segurança de networking, excelente solução para VPN entre outros
diversos recursos.
Pré-Requisitos
Conhecimento básico em redes de computadores
Introdução à Segurança em Rede
Definição
Consiste em atuar em uma linha de defesa eficaz em três pontos principais em uma rede:
Defesa contra catástrofes
Defesa contra falhas previsíveis
Defesa contra acesso não autorizado
Para atacas essas áreas com eficiência, podemos trabalhar com os seguintes recursos de TI:
Criptografia
Gestão de Chaves Públicas
Firewalls
14/06/12 Instalação, Configuração e Manutenção do PFSense | Tecnologia da Informação – EficienTI
3/13eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
Sistema de Detecção de Intrusão
Redes Virtuais Privadas (VPN)
Segurança em Redes Sem Fio
Pré-Requisitos para Instalação do PFSense
Compatibilidade de Hardware
Antes de iniciar a instalação do PFSense, recomenda-se verificar no centro de compatibilidade do FreeDSD
afim de escolher o melhor hardware possível para a instalação:
http://www.freebsd.org/releases/7.2R/hardware.html
Mídia do PFSENSE
Primeiramente devemos baixar a ultima versão estável do PFSense disponível no site do PFSEnse.org
http://www.pfsense.org/mirror.php?section=downloads
Após realizar o Download da imagem através de um dos mirro’s disponíveis, podemos usar o 7-zip para
Descompactar a imagem e finalmente o um gravador de imagem (.ISO), cito por exemplo, o BurnWare Free
Requisitos de Hardware
Recomenda-se utilizar um servidor com pelo menos 1.5 Ghz de processador e 512MB de Ram.
Necessário utilizarmos no mínimo 2 placas de rede
Instalação do PFSense Passo a Passo
Passo 1
O CD baixado no site do PFSense, funciona com um “live cd”, ou seja, todo o sistema pfsense já está
previamente carregado e pronto para uso ao iniciarmos o nosso servidor a partir do CD Rom. Isso pode ser
muito útil para casos de emergência em que faz-se necessário subir rapidamente o firewall, tendo que apenas
iniciar o servidor a partir do cd e importar as configurações que podem ser salvas em um arquivo XML.
Passo 2
Ao inicializar o cd será carregado o sistema PFSense até que seja necessário realizar as configurações
iniciais de rede conforme print abaixo
Passo 3
As interfaces de rede disponíveis serão exibidas, como no exemplo acima, como em0 e em1. Quando for
perguntado se você quer configurar uma vlan responda que não digitando N e em seguida enter.
Você será perguntado agora quais são as suas interfaces LAN e WAN, basta definir de acordo com a sua
preferência conforme print abaixo:
14/06/12 Instalação, Configuração e Manutenção do PFSense | Tecnologia da Informação – EficienTI
4/13eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
Passo 4
Após esse processo o PFSense já estará pronto para utilização visto que é um live cd, porem recomenda-se
realizar a instalação no próprio disco rígido para maior performance e estabilidade do sistema. Faça isso
usando a opção 99
Passo 5
Aceite as configurações de console atuais (vídeo, teclado etc…)
Passo 6
Quick Install para uma instalação automatizada
Passo 7
1. Será exibido um alerta de que seu HD será formatado e o PFSense instalado no disco rigido, clique ok
14/06/12 Instalação, Configuração e Manutenção do PFSense | Tecnologia da Informação – EficienTI
5/13eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
Passo 8
Quando for perguntado da instalação do Kernel, marque a opção que melhor se adequar ao seu
processador. Basicamente, se você estiver utilizando um único processador escolha “Uniprocessor Kernel”
caso esteja usando mais de um processador marque “Symmetric Multiprocessing Kernel”
Passo 9
Quando for exibida a tela abaixo você terá finalizado a instalação do PFSense com sucesso. Será solicitado
o Reboot do servidor, lembrando que será necessário retirar o cd da unidade
Configurações Iniciais do PFSense
Passo 1
Após a instalação e reboot do PFSENSE (Boot a partir do HD), estaremos com nosso sistema pronto para
ser configurado via Web
Passo 2
Caso necessário, podemos alterar o IP da rede interna com a opção 2.
Obs: Lembre-se de não habilitar o DHCP no seu PFSense caso não seja realmente necessário.
Após a definição do IP correto da rede interna podemos acessar o PFSense a partir de uma estação na sua
rede interna, digitando pelo seu navegador o endereço da LAN do PFSense.
Digite as credenciais: Usuario: Admin; Password: pfsense, para inicializar o wizard de configuração
inicial.
14/06/12 Instalação, Configuração e Manutenção do PFSense | Tecnologia da Informação – EficienTI
6/13eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
Passo 3
Configure o Nome do seu servidor Proxy/firewall, domínio e o DNS apontando para os servidores interno, caso
disponível.
Passo 4
Altere o timezone para America/São Paulo
Passo 5
Configure sua interface WAN de acordo com as configurações da sua prestadora de serviço de internet
Passo 6
Confirme as configurações da sua LAN e redefina e documente sua senha de acesso ao PFSENSE. Será
solicitado que você recarregue as configurações do PFSense:
14/06/12 Instalação, Configuração e Manutenção do PFSense | Tecnologia da Informação – EficienTI
7/13eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
Passo 7
Com isso o PFSense já esta devidamente configurado com as configurações básicas e apto a navegação de seus
clientes.
Aumentando a Segurança do PFSENSE
Para uma melhor experiência com o PFSense, devemos deixar a tela do console bloqueada para acesso
somente autorizado com senha, para isso basta navegar em System, Advanced e na opção Miscellaneous
marque a Check-box Password protect… salve as alterações e reinicie o PFSENSE
Instalação de Packages
Instalando os Packages
Selecionamos alguns dos pacotes mais importantes para nossa estrutura inicial. Abaixo a lista dos Packages
que devemos instalar. Para instalá-los navegue em SYSTEM > PACKAGES e clique no botão “+” ao lado
da descrição do pacote. Execute a instalação na seguinte ordem:
1 – squid: Servidor Proxy. Reduz utilização da conexão e melhora tempo de resposta fazendo cachê de suas
requisições além de prover um nível básico de controle e segurança no acesso à URL’s potencialmente
perigosos
2 – Lightsquid: Ferramenta responsável pela geração de relatórios de acesso
3 – squidGuard: Poderosa ferramenta de acesso que integrado ao squid permite controlar a navegação
baseado no endereço de origem, destino, URL, Hoário ou combinações desses itens. Conta com blacklists
agrupados em categorias de sites e atende 1000.000 solicitações em 10 segundos segundo o site oficial.
Verificando Packages instalados
Poderemos consultar os pacotes instalados posteriormente em Installed Packages.
14/06/12 Instalação, Configuração e Manutenção do PFSense | Tecnologia da Informação – EficienTI
8/13eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
Rules: Definindo Regras de Acesso
Firewall > Rules: Podemos editar nossas regras permitindo ou negando o acesso à protocolos e portas de
qualquer origem para qualquer destino, defindo conforme política de segurança da TI da empresa ou Grupo.
Caso você não tenha nenhuma regra de liberação criada o comportamento do PFSense é de bloquear todo
trafego de entrada e saída.
Proxy: Configurações do Squid
Services > Proxy Server:
Configurações Iniciais do Serviço de Proxy
Na aba General do nosso Proxy Server podemos definir as configurações básicas do nosso serviço tais como:
Interface
Habilitar Proxy Transparente
Log
Porta
Servidores DNS
Métodos de Autenticação
Para configuração do Squid como proxy da nossa organização, podemos utilizar basicamente 3 metodos de
acesso:
Transparent Proxy
Autenticação com usuario Local do PFSense
Autenticação Integrada com recursos Externos (LDAP – Windows Active Directory)
Transparent Proxy: A estação de trabalho se conecta ao PFSense como Gateway que se apropria da
requisição para sair para internet como Proxy. Para habilitar basta marcar a check box correspondente na aba
geral do Proxy Server
PFSense Local User: Para este método de autenticação deve-se criar um ou mais usuarios na ana
Local Users e em seguida em Auth Settings definir o metodo de autenticação como Local.
Autenticação Integrada com AD (LDAP): Para que os usuarios de um dominio Windows 2003
possam autenticar com seus usuarios do AD no PFSense devemos definir em Auth Setting o método
de autenticação LDAP seguindo as configurações abaixo:
Versão do LDAP: 3 (para Windows 2003 Server)
Authentication Server: IP ou FQDN do Servidor
Authentiocation Port: 389
User DN (user1 criado no dominio dom1.local por exemplo):
cn=user1,cn=Users,dc=dom1,dc=local
LDAP Password: Senha do usuarios definido em User DN
14/06/12 Instalação, Configuração e Manutenção do PFSense | Tecnologia da Informação – EficienTI
9/13eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
LDAP Base Domain: dc=dom1,dc=local (conforme exemplo do dominio dom1.local)
User DN Attribute: uid
Search Filter: sAMAccountName=%s
Cache
Na Aba Cache Mgmt podemos configurar as opções de cache do pfsense.
Recomendações da comunidade PFSense:
HardDiskSize 3000 (3GB)
Memory: 50% da Capacidade do seu server
Minimum object size: 0
Maximum object size: opcional
Hard disk cache system: aufs (é uma versão alternativa de unionfs que tem como objetivo melhorar a
confiabilidade e o desempenho do sistema de armazenamento)
Access Control
Na aba access control do Proxy Server temos a opção de configurar um controle básico de acesso definindo por
exemplo, uma blascklist básica para o serviço squid
Proxy: Configurações do SquidGuard
Services > Proxy Filter
Baixando BlackLists
Com a configuração de Blacklists, através do serviço do SQUID Guard, podemos baixar listas organizadas
por grupos e categorias para facilitar o bloqueio ou liberação para maquinas, usuários e grupos. Para isto
devemos adicionar o seguinte endereço à BLACK LIST URL:
http://www.shallalist.de/Downloads/shallalist.tar.gz
Com esse endereço devidamente adicionado clique em Upload URL e aguarde alguns minutos.
Obs: Lembre-se de Salvar e aplicar as alterações após a finalização do Upload
Gerenciando BlackLists
Você pode gerenciar sua Blacklist por grupos ou simplesmente configurar sua regra default.
Para isso basta acessar a Aba Default em Proxy Filter e clicando em: Destination Ruleset, gerenciar as
listas baixadas, liberando ou bloqueando o s acessos conforme a necessidade e política da empresa.
A criação e gerenciamento de grupos customizados por maquinas ou usuário (caso você integre o PFSENSE ao
Active Directory), pode ser feito na aba
ACL do Proxy Filter. Lembre-se de sempre salvar as configurações realizadas, clicando em Save no fim da
página e aplicar as alterações clicando em Apply na aba General settings.
14/06/12 Instalação, Configuração e Manutenção do PFSense | Tecnologia da Informação – EficienTI
10/13eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
SquidGuard Logs
Na aba Log do ProxyFilter podemos acompanhar uma lista de urls que foram bloqueadas acessando a oção
Blocked.
Outra opção interessante do Log do Sq uid Guard esta na opção Filter Log, onde você pode acompanhar o
funcionamento ou parada do serviço SquidGuard. Essa opção pode ser útil para um troubleshoting aonde
podemos verificar se o serviço está iniciado se o último log gerado for uma mensagem semelhante à
“squidGuard ready for requests“, ou se o serviço está parado quando também explícito na ultima entrada
do Log.
DHCP Server
Services > DHCP Server: Para ativação do serviço basta marcar a check box Enable DHCP Server e definir
o escopo para sua rede interna.
DHCP Relay
Services > DHCP Server: Para recebimento automatico de um IP em uma rede, a estação que faz a
solicitação necessita iniciar a negociação com um broadcast na rede afim de encontrado o Servidor DHCP,
porem por default a maioria dos roteadores não encaminham tráfego de broadcast. Podem haver casos em que
o servidor DHCP está localizado em uma sub-rede que conecta-se a outra sub-rede através de um roteador (no
nosso caso o pfsense). Nesse caso devemos configurar o DHCP Relay que se encarregará de pegar os pacotes
enviados pelo cliente DHCP e encaminhará para o servidor DHCP
NAT Port Forward
Firewall > Port Foward:
Port Forward
Consiste em redirecionar uma porta específica de um nó para outro.
Por exemplo: O WebSite da minha empresa, configurado em um servidor na minha rede interna,
precisa ser publicado para acesso externo. Para que isso seja possível devemos criar um port foward
redirecionando todo trafego que chegar na porta 80 da interface wan do PFSense para a porta 80 do
meu servidor web interno.
NAT 1:1
Destinado a ligar dois nós de redes distintas aonde todo trafego de internet (para o IP publico especificado) é
direcionado a um IP especifico da nossa rede interna. Para Permitir o tráfego à partir da internet deve-se criar
uma regra do firewall (rules).
14/06/12 Instalação, Configuração e Manutenção do PFSense | Tecnologia da Informação – EficienTI
11/13eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
Sobre Thiago L Oliveira
MCP 2.0; MCSA; MCTS: ISA Server 2006, Windows Server 2008 Active Directory Configuration; Windows Server 2008
Network Infrastructure Configuration;
Ver todos posts de Thiago L Oliveira →
Backup / Restore
Para importar as configurações do PFSense, Navegue por Diagnostics, Backup/Restore e importe as
configurações em XML que contem as configurações desejadas. Você pode editar o arquivo XML com um
bloco de notas a fim de realizar os ajustes necessários antes de realizar o import.
ATENÇÃO!!!!!!!!!!
No campo “Restore Area” você deve restaurar exatamente a configuração especifica que deseja, por exemplo:
Configurações de Rules.. Configuração de TUDO (All)… Caso seja feito algum restore em área incorreta, isto
pode fazer com que o pfsense pare de funcionar visto que serão feitas alterações em locais incorretos.
NOME DATA HORA STATUS DESCRIÇÃO DAS ALTERAÇÕES
Thiago Lima 15/01/2011 12:00 Pendente Adição de VPN e Correções
One blogger likes this.
Esta entrada foi publicada em Soluções Técnicas. Adicione o link permanente aos seus favoritos.
10 respostas para Instalação, Configuração e Manutenção do PFSense
Gosto
DANIEL disse:
fevereiro 8, 2011 às 3:55 pm
CARO AMIGO GOSTEI MUITO DO SEU T´PICO FOI O ÚNICO QUE CONSEGUI APREBDER A FAZER ALGO NO
PFSENSE GOSTARIA DE ME APROFUNDAR MASI SERÁ QUE VC PODERIA ME PASSAR ALGUNS TUTORIAIS??
AGRADEÇO DESDE JÁ.
Thiago L Oliveira disse:
fevereiro 8, 2011 às 4:21 pm
Blz Daniel?
Primeiramente obrigado pelo comentario, realmente é dificil encontrar material de qualidade em portugues sobre
PFSense na internet. A ideia é finalizar esse post que vai servir como base para um treinamento que estou
planejando aqui na empresa. Vou adicionar sim mais informações inclusive de como fazer uma vpn entre fortigate e
pfsense, como adicionar uma terceira interface para utilização de um segundo link de internet, load balance.. enfim..
realmente o PFSense tem muito conteudo e conforme for a disponibilidade de tempo eu vou estar adicionando
informações… mas se você tiver alguma dúvida imediata pode me enviar um email que agente vai trocando ideia:
14/06/12 Instalação, Configuração e Manutenção do PFSense | Tecnologia da Informação – EficienTI
12/13eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
bzanelato disse:
fevereiro 9, 2011 às 11:22 am
Muito bom ! continue atualizando
Thiago disse:
fevereiro 23, 2011 às 6:57 pm
olá amigo,
otimo o seu post sobre o pfsense.
estou tendo um dificuldade com o nosso servidor, será que teria como em dar uma força?
o que acontece é o seguinte, internamente temos um servidor com serviços web, eu criei um host em nosso servidor de
hospedagem direcionando um determinado host para o nosso servidor, mas quando tento acessar esse host pela rede interna
ele não acessa. apenas quando se está fora da rede.
tem alguma ideia do que pode ser?
desde já agradeço a atenção.
Thiago L Oliveira disse:
fevereiro 23, 2011 às 7:06 pm
Oi Thiago! Checa para onde esta apontando sua publicação (www.meusite.com.br por exemplo), se no seu servidor
Web você tem mais de um website configurado recebendo solicitações no mesmo ip e porta…. Nesse caso o acesso
deve estar sendo feito com base no hostreader dos seus websites. Essa é uma possibilidade já que estou imaginando
que internamente vc esta acessando o seu website pelo endereço da rede local enquanto pela internet vc deve estar
acessando pelo endereço publico. É possivel tambem que seu firewall esteja bloquando o acesso da sua rede local
para o seu apptier.
Checa esses pontos e no que eu puder ajudar pode mandar um email pra [email protected].
Thiago disse:
fevereiro 24, 2011 às 2:21 pm
“Sintoma: Acesso a um determinado website da minha rede interna era possivel quando feito de fora da
empresa mas não era possivel de ser realizado de dentro da rede interna”
Olá Thiago, muito obrigado pela força, mas acabei encontrando o problema (ou a solução) logo após enviar e-
mail para vc.
O que acontecia comigo era que nas configurações avançadas do Pfsense (Menu System / opção advanced),
tinha uma caixa que estava marcada – Disable NAT Reflection – logo após desmarcar esta opção e salvar o
sites em questão abriu normalmente.
Agradeço a prontidão Thiago muito obrigado
gostaria de aproveitar e dar uma sugestão de pauta. como sou novo no pfsense eu praticamente não instalei
nenhum package nele, seria legal falar sobre os packages disponiveis e quais vc sugere para uso.
vlw
Thiago L Oliveira disse:
fevereiro 24, 2011 às 2:37 pm
Oi Thiago, da uma lida do topico 9.1 desse tutorial (instalando Packages)
Mega Link T.I disse:
abril 11, 2011 às 12:05 am
14/06/12 Instalação, Configuração e Manutenção do PFSense | Tecnologia da Informação – EficienTI
13/13eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
Os comentários estão fechados.
Tecnologia da Informação – EficienTI
Excelente! Parabens!.
Trabalho com outros tipos de sistema. Conheci o PfSense atraves de um amigo, comecei a pesquisar sobre e estou muito
empolgado com as possibilidade que o sistema oferece.
Minha dificuldade foi encontrar material e documentaçao falando sobre o sistema. Seu post com ctza vai nos ajudar demais, i o
que puder contribuir conosco, seremos eternamente agradecidos.
Msn: [email protected]
ronaldo disse:
abril 23, 2011 às 7:04 pm
ola
muito bom o tutorial
vc poderia adicionar um tutorial baseado em uma restricao de sites baseado no grupos do AD
valew
Thiago L Oliveira disse:
maio 2, 2011 às 1:01 pm
Basta configurar o pfsense integrado com o AD conforme descrito no blog e criar ACL’s adicionando o nome dos
usuriarios que farão parte desse grupo de acesso/restrição
vlw
Tema: Twenty Ten Blog no WordPress.com.