instalacao_configuracao_e_manutenção_do_pfsense _tecnologia_da_informação_eficienti

14/06/12 Instalação, Configuração e Manutenção do PFSense | Tecnologia da Informação – EficienTI

1/13eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/

Instalação, Configuração e Manutenção do PFSensePosted on fevereiro 2, 2011 by Thiago L Oliveira

TreinamentoEficienTI

Administração de um Firewall PFSense

Treinamentos

Emissão: 15 de Janeiro de 2011

Validade: Indeterminada

Conteúdo

SUMÁRIO EXECUTIVO

ADMINISTRAÇÃO DO PFSENSE

1. OBJETIVO

2. SOBRE O PFSENSE

3. PRÉ-REQUISITOS

4. INTRODUÇÃO À SEGURANÇA EM REDE

4.1. Definição

5. PRÉ-REQUISITOS PARA INSTALAÇÃO DO

PFSENSE

5.1. Compatibilidade de Hardware

5.2. Mídia do PFSENSE

5.3. Requisitos de Hardware

6. INSTALAÇÃO DO PFSENSE

8. AUMENTANDO A SEGURANÇA DO PFSENSE

9. INSTALAÇÃO DE PACKAGES

9.1. Instalando os Packages

9.2. Verificando Packages instalados

10. RULES: DEFININDO REGRAS DE ACESSO

11. PROXY: CONFIGURAÇÕES DO SQUID

11.1. Configurações Iniciais do Serviço de Proxy

11.2. Métodos de Autenticação

11.3. Cache

11.4. Access Control

12. PROXY: CONFIGURAÇÕES DO SQUIDGUARD

12.1. Baixando BlackLists

12.2. Gerenciando BlackLists

12.3. SquidGuard Logs

13. DHCP SERVER

14. DHCP RELAY

15. NAT PORT FORWARD

15.1. Port Forward

15.2. NAT 1:1

16. BACKUP / RESTORE

Tecnologia da Informação – EficienTI



7. CONFIGURAÇÕES INICIAIS DO PFSENSE

Sumário Executivo

A EficienTI é uma empresa de prestação de serviços de Infra-Estrutura de TI, originada a partir de uma

empresa parceira Gold Microsoft, especializada em Infra-Estrutura de TI.

Outros serviços oferecidos pela EficienTI incluem soluções de hospedagem, terceirização de serviços de TI e

serviços de ServiceDesk.

A EficienTI se caracteriza pelo compromisso absoluto com a entrega de soluções de alta qualidade, dentro do

prazo e custo estimados. Nossos gerentes são especializados na entrega de soluções que melhor atendam a

necessidade dos clientes, de maneira eficiente e de acordo com o escopo definido.

A EficienTI possui profissionais com especialização nas competências Microsoft relativas a NetWorking Infrastructure Solutions,

Linux, Gerência, Melhores Práticas e Controle de T.I. Entre as certificações de seus profissionais estão ITILF, COBITF, CSM, LPIC-1,

LPIC-2, MCTS, MCSE, MCSA, MCDBA, MCSD e MCAD.

Administração do PFSENSE

Objetivo

Capacitar à instalar, configurar e administrar recursos de Firewall, Proxy, DHCP, NAT Port Forwarding e VPN

utilizando o pfSense, um firewall estavel montado sobre a plataforma FreeBSD.

Sobre o PFSense

O pfSense é um dos mais conhecidos e provavelmente mais rico, em recursos, entre os sistemas para appliance

pré-configurado. Nascido em uma versão customizada do estável FreeBSD, conta com uma interface amigável

que facilita a administração. Com gerenciamento via Web, oferece inúmeros recursos, focado para ambiente

de roteamento e firewalling, bem como segurança de networking, excelente solução para VPN entre outros

diversos recursos.

Pré-Requisitos

Conhecimento básico em redes de computadores

Introdução à Segurança em Rede

Definição

Consiste em atuar em uma linha de defesa eficaz em três pontos principais em uma rede:

Defesa contra catástrofes

Defesa contra falhas previsíveis

Defesa contra acesso não autorizado

Para atacas essas áreas com eficiência, podemos trabalhar com os seguintes recursos de TI:

Criptografia

Gestão de Chaves Públicas

Firewalls



Sistema de Detecção de Intrusão

Redes Virtuais Privadas (VPN)

Segurança em Redes Sem Fio

Pré-Requisitos para Instalação do PFSense

Compatibilidade de Hardware

Antes de iniciar a instalação do PFSense, recomenda-se verificar no centro de compatibilidade do FreeDSD

afim de escolher o melhor hardware possível para a instalação:

http://www.freebsd.org/releases/7.2R/hardware.html

Mídia do PFSENSE

Primeiramente devemos baixar a ultima versão estável do PFSense disponível no site do PFSEnse.org

http://www.pfsense.org/mirror.php?section=downloads

Após realizar o Download da imagem através de um dos mirro’s disponíveis, podemos usar o 7-zip para

Descompactar a imagem e finalmente o um gravador de imagem (.ISO), cito por exemplo, o BurnWare Free

Requisitos de Hardware

Recomenda-se utilizar um servidor com pelo menos 1.5 Ghz de processador e 512MB de Ram.

Necessário utilizarmos no mínimo 2 placas de rede

Instalação do PFSense Passo a Passo

Passo 1

O CD baixado no site do PFSense, funciona com um “live cd”, ou seja, todo o sistema pfsense já está

previamente carregado e pronto para uso ao iniciarmos o nosso servidor a partir do CD Rom. Isso pode ser

muito útil para casos de emergência em que faz-se necessário subir rapidamente o firewall, tendo que apenas

iniciar o servidor a partir do cd e importar as configurações que podem ser salvas em um arquivo XML.

Passo 2

Ao inicializar o cd será carregado o sistema PFSense até que seja necessário realizar as configurações

iniciais de rede conforme print abaixo

Passo 3

As interfaces de rede disponíveis serão exibidas, como no exemplo acima, como em0 e em1. Quando for

perguntado se você quer configurar uma vlan responda que não digitando N e em seguida enter.

Você será perguntado agora quais são as suas interfaces LAN e WAN, basta definir de acordo com a sua

preferência conforme print abaixo:



Passo 4

Após esse processo o PFSense já estará pronto para utilização visto que é um live cd, porem recomenda-se

realizar a instalação no próprio disco rígido para maior performance e estabilidade do sistema. Faça isso

usando a opção 99

Passo 5

Aceite as configurações de console atuais (vídeo, teclado etc…)

Passo 6

Quick Install para uma instalação automatizada

Passo 7

1. Será exibido um alerta de que seu HD será formatado e o PFSense instalado no disco rigido, clique ok



Passo 8

Quando for perguntado da instalação do Kernel, marque a opção que melhor se adequar ao seu

processador. Basicamente, se você estiver utilizando um único processador escolha “Uniprocessor Kernel”

caso esteja usando mais de um processador marque “Symmetric Multiprocessing Kernel”

Passo 9

Quando for exibida a tela abaixo você terá finalizado a instalação do PFSense com sucesso. Será solicitado

o Reboot do servidor, lembrando que será necessário retirar o cd da unidade

Configurações Iniciais do PFSense

Passo 1

Após a instalação e reboot do PFSENSE (Boot a partir do HD), estaremos com nosso sistema pronto para

ser configurado via Web

Passo 2

Caso necessário, podemos alterar o IP da rede interna com a opção 2.

Obs: Lembre-se de não habilitar o DHCP no seu PFSense caso não seja realmente necessário.

Após a definição do IP correto da rede interna podemos acessar o PFSense a partir de uma estação na sua

rede interna, digitando pelo seu navegador o endereço da LAN do PFSense.

Digite as credenciais: Usuario: Admin; Password: pfsense, para inicializar o wizard de configuração

inicial.



Passo 3

Configure o Nome do seu servidor Proxy/firewall, domínio e o DNS apontando para os servidores interno, caso

disponível.

Passo 4

Altere o timezone para America/São Paulo

Passo 5

Configure sua interface WAN de acordo com as configurações da sua prestadora de serviço de internet

Passo 6

Confirme as configurações da sua LAN e redefina e documente sua senha de acesso ao PFSENSE. Será

solicitado que você recarregue as configurações do PFSense:



Passo 7

Com isso o PFSense já esta devidamente configurado com as configurações básicas e apto a navegação de seus

clientes.

Aumentando a Segurança do PFSENSE

Para uma melhor experiência com o PFSense, devemos deixar a tela do console bloqueada para acesso

somente autorizado com senha, para isso basta navegar em System, Advanced e na opção Miscellaneous

marque a Check-box Password protect… salve as alterações e reinicie o PFSENSE

Instalação de Packages

Instalando os Packages

Selecionamos alguns dos pacotes mais importantes para nossa estrutura inicial. Abaixo a lista dos Packages

que devemos instalar. Para instalá-los navegue em SYSTEM > PACKAGES e clique no botão “+” ao lado

da descrição do pacote. Execute a instalação na seguinte ordem:

1 – squid: Servidor Proxy. Reduz utilização da conexão e melhora tempo de resposta fazendo cachê de suas

requisições além de prover um nível básico de controle e segurança no acesso à URL’s potencialmente

perigosos

2 – Lightsquid: Ferramenta responsável pela geração de relatórios de acesso

3 – squidGuard: Poderosa ferramenta de acesso que integrado ao squid permite controlar a navegação

baseado no endereço de origem, destino, URL, Hoário ou combinações desses itens. Conta com blacklists

agrupados em categorias de sites e atende 1000.000 solicitações em 10 segundos segundo o site oficial.

Verificando Packages instalados

Poderemos consultar os pacotes instalados posteriormente em Installed Packages.



Rules: Definindo Regras de Acesso

Firewall > Rules: Podemos editar nossas regras permitindo ou negando o acesso à protocolos e portas de

qualquer origem para qualquer destino, defindo conforme política de segurança da TI da empresa ou Grupo.

Caso você não tenha nenhuma regra de liberação criada o comportamento do PFSense é de bloquear todo

trafego de entrada e saída.

Proxy: Configurações do Squid

Services > Proxy Server:

Configurações Iniciais do Serviço de Proxy

Na aba General do nosso Proxy Server podemos definir as configurações básicas do nosso serviço tais como:

Interface

Habilitar Proxy Transparente

Log

Porta

Servidores DNS

Métodos de Autenticação

Para configuração do Squid como proxy da nossa organização, podemos utilizar basicamente 3 metodos de

acesso:

Transparent Proxy

Autenticação com usuario Local do PFSense

Autenticação Integrada com recursos Externos (LDAP – Windows Active Directory)

Transparent Proxy: A estação de trabalho se conecta ao PFSense como Gateway que se apropria da

requisição para sair para internet como Proxy. Para habilitar basta marcar a check box correspondente na aba

geral do Proxy Server

PFSense Local User: Para este método de autenticação deve-se criar um ou mais usuarios na ana

Local Users e em seguida em Auth Settings definir o metodo de autenticação como Local.

Autenticação Integrada com AD (LDAP): Para que os usuarios de um dominio Windows 2003

possam autenticar com seus usuarios do AD no PFSense devemos definir em Auth Setting o método

de autenticação LDAP seguindo as configurações abaixo:

Versão do LDAP: 3 (para Windows 2003 Server)

Authentication Server: IP ou FQDN do Servidor

Authentiocation Port: 389

User DN (user1 criado no dominio dom1.local por exemplo):

cn=user1,cn=Users,dc=dom1,dc=local

LDAP Password: Senha do usuarios definido em User DN



LDAP Base Domain: dc=dom1,dc=local (conforme exemplo do dominio dom1.local)

User DN Attribute: uid

Search Filter: sAMAccountName=%s

Cache

Na Aba Cache Mgmt podemos configurar as opções de cache do pfsense.

Recomendações da comunidade PFSense:

HardDiskSize 3000 (3GB)

Memory: 50% da Capacidade do seu server

Minimum object size: 0

Maximum object size: opcional

Hard disk cache system: aufs (é uma versão alternativa de unionfs que tem como objetivo melhorar a

confiabilidade e o desempenho do sistema de armazenamento)

Access Control

Na aba access control do Proxy Server temos a opção de configurar um controle básico de acesso definindo por

exemplo, uma blascklist básica para o serviço squid

Proxy: Configurações do SquidGuard

Services > Proxy Filter

Baixando BlackLists

Com a configuração de Blacklists, através do serviço do SQUID Guard, podemos baixar listas organizadas

por grupos e categorias para facilitar o bloqueio ou liberação para maquinas, usuários e grupos. Para isto

devemos adicionar o seguinte endereço à BLACK LIST URL:

http://www.shallalist.de/Downloads/shallalist.tar.gz

Com esse endereço devidamente adicionado clique em Upload URL e aguarde alguns minutos.

Obs: Lembre-se de Salvar e aplicar as alterações após a finalização do Upload

Gerenciando BlackLists

Você pode gerenciar sua Blacklist por grupos ou simplesmente configurar sua regra default.

Para isso basta acessar a Aba Default em Proxy Filter e clicando em: Destination Ruleset, gerenciar as

listas baixadas, liberando ou bloqueando o s acessos conforme a necessidade e política da empresa.

A criação e gerenciamento de grupos customizados por maquinas ou usuário (caso você integre o PFSENSE ao

Active Directory), pode ser feito na aba

ACL do Proxy Filter. Lembre-se de sempre salvar as configurações realizadas, clicando em Save no fim da

página e aplicar as alterações clicando em Apply na aba General settings.



SquidGuard Logs

Na aba Log do ProxyFilter podemos acompanhar uma lista de urls que foram bloqueadas acessando a oção

Blocked.

Outra opção interessante do Log do Sq uid Guard esta na opção Filter Log, onde você pode acompanhar o

funcionamento ou parada do serviço SquidGuard. Essa opção pode ser útil para um troubleshoting aonde

podemos verificar se o serviço está iniciado se o último log gerado for uma mensagem semelhante à

“squidGuard ready for requests“, ou se o serviço está parado quando também explícito na ultima entrada

do Log.

DHCP Server

Services > DHCP Server: Para ativação do serviço basta marcar a check box Enable DHCP Server e definir

o escopo para sua rede interna.

DHCP Relay

Services > DHCP Server: Para recebimento automatico de um IP em uma rede, a estação que faz a

solicitação necessita iniciar a negociação com um broadcast na rede afim de encontrado o Servidor DHCP,

porem por default a maioria dos roteadores não encaminham tráfego de broadcast. Podem haver casos em que

o servidor DHCP está localizado em uma sub-rede que conecta-se a outra sub-rede através de um roteador (no

nosso caso o pfsense). Nesse caso devemos configurar o DHCP Relay que se encarregará de pegar os pacotes

enviados pelo cliente DHCP e encaminhará para o servidor DHCP

NAT Port Forward

Firewall > Port Foward:

Port Forward

Consiste em redirecionar uma porta específica de um nó para outro.

Por exemplo: O WebSite da minha empresa, configurado em um servidor na minha rede interna,

precisa ser publicado para acesso externo. Para que isso seja possível devemos criar um port foward

redirecionando todo trafego que chegar na porta 80 da interface wan do PFSense para a porta 80 do

meu servidor web interno.

NAT 1:1

Destinado a ligar dois nós de redes distintas aonde todo trafego de internet (para o IP publico especificado) é

direcionado a um IP especifico da nossa rede interna. Para Permitir o tráfego à partir da internet deve-se criar

uma regra do firewall (rules).



Sobre Thiago L Oliveira

MCP 2.0; MCSA; MCTS: ISA Server 2006, Windows Server 2008 Active Directory Configuration; Windows Server 2008

Network Infrastructure Configuration;

Ver todos posts de Thiago L Oliveira →

Backup / Restore

Para importar as configurações do PFSense, Navegue por Diagnostics, Backup/Restore e importe as

configurações em XML que contem as configurações desejadas. Você pode editar o arquivo XML com um

bloco de notas a fim de realizar os ajustes necessários antes de realizar o import.

ATENÇÃO!!!!!!!!!!

No campo “Restore Area” você deve restaurar exatamente a configuração especifica que deseja, por exemplo:

Configurações de Rules.. Configuração de TUDO (All)… Caso seja feito algum restore em área incorreta, isto

pode fazer com que o pfsense pare de funcionar visto que serão feitas alterações em locais incorretos.

NOME DATA HORA STATUS DESCRIÇÃO DAS ALTERAÇÕES

Thiago Lima 15/01/2011 12:00 Pendente Adição de VPN e Correções

One blogger likes this.

Esta entrada foi publicada em Soluções Técnicas. Adicione o link permanente aos seus favoritos.

10 respostas para Instalação, Configuração e Manutenção do PFSense

Gosto

DANIEL disse:

fevereiro 8, 2011 às 3:55 pm

CARO AMIGO GOSTEI MUITO DO SEU T´PICO FOI O ÚNICO QUE CONSEGUI APREBDER A FAZER ALGO NO

PFSENSE GOSTARIA DE ME APROFUNDAR MASI SERÁ QUE VC PODERIA ME PASSAR ALGUNS TUTORIAIS??

AGRADEÇO DESDE JÁ.

Thiago L Oliveira disse:


Blz Daniel?

Primeiramente obrigado pelo comentario, realmente é dificil encontrar material de qualidade em portugues sobre

PFSense na internet. A ideia é finalizar esse post que vai servir como base para um treinamento que estou

planejando aqui na empresa. Vou adicionar sim mais informações inclusive de como fazer uma vpn entre fortigate e

pfsense, como adicionar uma terceira interface para utilização de um segundo link de internet, load balance.. enfim..

realmente o PFSense tem muito conteudo e conforme for a disponibilidade de tempo eu vou estar adicionando

informações… mas se você tiver alguma dúvida imediata pode me enviar um email que agente vai trocando ideia:

[email protected]



bzanelato disse:

fevereiro 9, 2011 às 11:22 am

Muito bom ! continue atualizando

Thiago disse:


olá amigo,

otimo o seu post sobre o pfsense.

estou tendo um dificuldade com o nosso servidor, será que teria como em dar uma força?

o que acontece é o seguinte, internamente temos um servidor com serviços web, eu criei um host em nosso servidor de

hospedagem direcionando um determinado host para o nosso servidor, mas quando tento acessar esse host pela rede interna

ele não acessa. apenas quando se está fora da rede.

tem alguma ideia do que pode ser?

desde já agradeço a atenção.



Oi Thiago! Checa para onde esta apontando sua publicação (www.meusite.com.br por exemplo), se no seu servidor

Web você tem mais de um website configurado recebendo solicitações no mesmo ip e porta…. Nesse caso o acesso

deve estar sendo feito com base no hostreader dos seus websites. Essa é uma possibilidade já que estou imaginando

que internamente vc esta acessando o seu website pelo endereço da rede local enquanto pela internet vc deve estar

acessando pelo endereço publico. É possivel tambem que seu firewall esteja bloquando o acesso da sua rede local

para o seu apptier.

Checa esses pontos e no que eu puder ajudar pode mandar um email pra [email protected].

Thiago disse:


“Sintoma: Acesso a um determinado website da minha rede interna era possivel quando feito de fora da

empresa mas não era possivel de ser realizado de dentro da rede interna”

Olá Thiago, muito obrigado pela força, mas acabei encontrando o problema (ou a solução) logo após enviar e-

mail para vc.

O que acontecia comigo era que nas configurações avançadas do Pfsense (Menu System / opção advanced),

tinha uma caixa que estava marcada – Disable NAT Reflection – logo após desmarcar esta opção e salvar o

sites em questão abriu normalmente.

Agradeço a prontidão Thiago muito obrigado

gostaria de aproveitar e dar uma sugestão de pauta. como sou novo no pfsense eu praticamente não instalei

nenhum package nele, seria legal falar sobre os packages disponiveis e quais vc sugere para uso.

vlw



Oi Thiago, da uma lida do topico 9.1 desse tutorial (instalando Packages)

Mega Link T.I disse:

abril 11, 2011 às 12:05 am



Os comentários estão fechados.

Tecnologia da Informação – EficienTI

Excelente! Parabens!.

Trabalho com outros tipos de sistema. Conheci o PfSense atraves de um amigo, comecei a pesquisar sobre e estou muito

empolgado com as possibilidade que o sistema oferece.

Minha dificuldade foi encontrar material e documentaçao falando sobre o sistema. Seu post com ctza vai nos ajudar demais, i o

que puder contribuir conosco, seremos eternamente agradecidos.

Msn: [email protected]

ronaldo disse:

abril 23, 2011 às 7:04 pm

ola

muito bom o tutorial

vc poderia adicionar um tutorial baseado em uma restricao de sites baseado no grupos do AD

valew


maio 2, 2011 às 1:01 pm

Basta configurar o pfsense integrado com o AD conforme descrito no blog e criar ACL’s adicionando o nome dos

usuriarios que farão parte desse grupo de acesso/restrição

vlw

Tema: Twenty Ten Blog no WordPress.com.

instalacao_configuracao_e_manutenção_do_pfsense _tecnologia_da_informação_eficienti

Documents