Instalação, Configuração e Manutenção do PFSense

fevereiro 2, 2011

Treinamento
EficienTI

Administração de um Firewall PFSense

Treinamentos

Versão 1

Emissão: 15 de Janeiro de 2011

Validade: Indeterminada

Conteúdo

SUMÁRIO EXECUTIVO
ADMINISTRAÇÃO DO PFSENSE
1.    OBJETIVO
2.    SOBRE O PFSENSE

3.    PRÉ-REQUISITOS

4.    INTRODUÇÃO À SEGURANÇA EM REDE

4.1.    Definição

5.    PRÉ-REQUISITOS PARA INSTALAÇÃO DO PFSENSE

5.1.    Compatibilidade de Hardware

5.2.    Mídia do PFSENSE

5.3.    Requisitos de Hardware

6.    INSTALAÇÃO DO PFSENSE

7.    CONFIGURAÇÕES INICIAIS DO PFSENSE

8.    AUMENTANDO A SEGURANÇA DO PFSENSE
9.    INSTALAÇÃO DE PACKAGES
9.1.    Instalando os Packages
9.2.    Verificando Packages instalados

10.    RULES: DEFININDO REGRAS DE ACESSO

11.    PROXY: CONFIGURAÇÕES DO SQUID

11.1.    Configurações Iniciais do Serviço de Proxy

11.2.    Métodos de Autenticação

11.3.    Cache

11.4.    Access Control

12.    PROXY: CONFIGURAÇÕES DO SQUIDGUARD
12.1.    Baixando BlackLists
12.2.    Gerenciando BlackLists
12.3.    SquidGuard Logs

13.    DHCP SERVER

14.    DHCP RELAY

15.    NAT PORT FORWARD

15.1.    Port Forward

15.2.    NAT 1:1

16.    BACKUP / RESTORE

Sumário Executivo

A EficienTI é uma empresa de prestação de serviços de Infra-Estrutura de TI, originada a partir de uma empresa parceira Gold Microsoft, especializada em Infra-Estrutura de TI.

Outros serviços oferecidos pela EficienTI incluem soluções de hospedagem, terceirização de serviços de TI e serviços de ServiceDesk.

A EficienTI se caracteriza pelo compromisso absoluto com a entrega de soluções de alta qualidade, dentro do prazo e custo estimados. Nossos gerentes são especializados na entrega de soluções que melhor atendam a necessidade dos clientes, de maneira eficiente e de acordo com o escopo definido.

A EficienTI possui profissionais com especialização nas competências Microsoft relativas a NetWorking Infrastructure Solutions, Linux, Gerência, Melhores Práticas e Controle de T.I. Entre as certificações de seus profissionais estão ITILF, COBITF, CSM, LPIC-1, LPIC-2, MCTS, MCSE, MCSA, MCDBA, MCSD e MCAD.

Administração do PFSENSE

Objetivo

Capacitar à instalar, configurar e administrar recursos de Firewall, Proxy, DHCP, NAT Port Forwarding e VPN utilizando o pfSense, um firewall estavel montado sobre a plataforma FreeBSD.

Sobre o PFSense

O pfSense é um dos mais conhecidos e provavelmente mais rico, em recursos, entre os sistemas para appliance pré-configurado. Nascido em uma versão customizada do estável FreeBSD, conta com uma interface amigável que facilita a administração. Com gerenciamento via Web, oferece inúmeros recursos, focado para ambiente de roteamento e firewalling, bem como segurança de networking, excelente solução para VPN entre outros diversos recursos.

Pré-Requisitos

Conhecimento básico em redes de computadores

Introdução à Segurança em Rede

Definição

Consiste em atuar em uma linha de defesa eficaz em três pontos principais em uma rede:

  • Defesa contra catástrofes
  • Defesa contra falhas previsíveis
  • Defesa contra acesso não autorizado

Para atacas essas áreas com eficiência, podemos trabalhar com os seguintes recursos de TI:

  • Criptografia
  • Gestão de Chaves Públicas
  • Firewalls
  • Sistema de Detecção de Intrusão
  • Redes Virtuais Privadas (VPN)
  • Segurança em Redes Sem Fio

Pré-Requisitos para Instalação do PFSense

Compatibilidade de Hardware

Antes de iniciar a instalação do PFSense, recomenda-se verificar no centro de compatibilidade do FreeDSD afim de escolher o melhor hardware possível para a instalação: http://www.freebsd.org/releases/7.2R/hardware.html

Mídia do PFSENSE

Primeiramente devemos baixar a ultima versão estável do PFSense disponível no site do PFSEnse.org http://www.pfsense.org/mirror.php?section=downloads

Após realizar o Download da imagem através de um dos mirro’s disponíveis, podemos usar o 7-zip para Descompactar a imagem e finalmente o um gravador de imagem (.ISO), cito por exemplo, o BurnWare Free

Requisitos de Hardware

Recomenda-se utilizar um servidor com pelo menos 1.5 Ghz de processador e 512MB de Ram.

Necessário utilizarmos no mínimo 2 placas de rede

Instalação do PFSense Passo a Passo

Passo 1

O CD baixado no site do PFSense, funciona com um “live cd”, ou seja, todo o sistema pfsense já está previamente carregado e pronto para uso ao iniciarmos o nosso servidor a partir do CD Rom. Isso pode ser muito útil para casos de emergência em que faz-se necessário subir rapidamente o firewall, tendo que apenas iniciar o servidor a partir do cd e importar as configurações que podem ser salvas em um arquivo XML.

Passo 2

Ao inicializar o cd será carregado o sistema PFSense até que seja necessário realizar as configurações iniciais de rede conforme print abaixo

Passo 3

As interfaces de rede disponíveis serão exibidas, como no exemplo acima, como em0 e em1. Quando for perguntado se você quer configurar uma vlan responda que não digitando N e em seguida enter.

Você será perguntado agora quais são as suas interfaces LAN e WAN, basta definir de acordo com a sua preferência conforme print abaixo:


Passo 4

Após esse processo o PFSense já estará pronto para utilização visto que é um live cd, porem recomenda-se realizar a instalação no próprio disco rígido para maior performance e estabilidade do sistema. Faça isso usando a opção 99

Passo 5

Aceite as configurações de console atuais (vídeo, teclado etc…)

Passo 6

Quick Install para uma instalação automatizada

Passo 7

  1. Será exibido um alerta de que seu HD será formatado e o PFSense instalado no disco rigido, clique ok

    Passo 8

    Quando for perguntado da instalação do Kernel, marque a opção que melhor se adequar ao seu processador. Basicamente, se você estiver utilizando um único processador escolha “Uniprocessor Kernel” caso esteja usando mais de um processador marque “Symmetric Multiprocessing Kernel”

    Passo 9

    Quando for exibida a tela abaixo você terá finalizado a instalação do PFSense com sucesso. Será solicitado o Reboot do servidor, lembrando que será necessário retirar o cd da unidade

    Configurações Iniciais do PFSense

    Passo 1

    Após a instalação e reboot do PFSENSE (Boot a partir do HD), estaremos com nosso sistema pronto para ser configurado via Web

    Passo 2

    Caso necessário, podemos alterar o IP da rede interna com a opção 2.

    Obs: Lembre-se de não habilitar o DHCP no seu PFSense caso não seja realmente necessário.

    Após a definição do IP correto da rede interna podemos acessar o PFSense a partir de uma estação na sua rede interna, digitando pelo seu navegador o endereço da LAN do PFSense.

    Digite as credenciais: Usuario: Admin; Password: pfsense, para inicializar o wizard de configuração inicial.

    Passo 3

Configure o Nome do seu servidor Proxy/firewall, domínio e o DNS apontando para os servidores interno, caso disponível.

Passo 4

Altere o timezone para America/São Paulo

Passo 5

Configure sua interface WAN de acordo com as configurações da sua prestadora de serviço de internet

Passo 6

Confirme as configurações da sua LAN e redefina e documente sua senha de acesso ao PFSENSE. Será solicitado que você recarregue as configurações do PFSense:

Passo 7

Com isso o PFSense já esta devidamente configurado com as configurações básicas e apto a navegação de seus clientes.

Aumentando a Segurança do PFSENSE

Para uma melhor experiência com o PFSense, devemos deixar a tela do console bloqueada para acesso somente autorizado com senha, para isso basta navegar em System, Advanced e na opção Miscellaneous marque a Check-box Password protect… salve as alterações e reinicie o PFSENSE

Instalação de Packages

Instalando os Packages

Selecionamos alguns dos pacotes mais importantes para nossa estrutura inicial. Abaixo a lista dos Packages que devemos instalar. Para instalá-los navegue em SYSTEM > PACKAGES e clique no botão “+” ao lado da descrição do pacote. Execute a instalação na seguinte ordem:

1 – squid: Servidor Proxy. Reduz utilização da conexão e melhora tempo de resposta fazendo cachê de suas requisições além de prover um nível básico de controle e segurança no acesso à URL’s potencialmente perigosos

2 – Lightsquid: Ferramenta responsável pela geração de relatórios de acesso

3 – squidGuard: Poderosa ferramenta de acesso que integrado ao squid permite controlar a navegação baseado no endereço de origem, destino, URL, Hoário ou combinações desses itens. Conta com blacklists agrupados em categorias de sites e atende 1000.000 solicitações em 10 segundos segundo o site oficial.


Verificando Packages instalados

Poderemos consultar os pacotes instalados posteriormente em Installed Packages.

Rules: Definindo Regras de Acesso

Firewall > Rules: Podemos editar nossas regras permitindo ou negando o acesso à protocolos e portas de qualquer origem para qualquer destino, defindo conforme política de segurança da TI da empresa ou Grupo.

Caso você não tenha nenhuma regra de liberação criada o comportamento do PFSense é de bloquear todo trafego de entrada e saída.

Proxy: Configurações do Squid

Services > Proxy Server:

Configurações Iniciais do Serviço de Proxy

Na aba General do nosso Proxy Server podemos definir as configurações básicas do nosso serviço tais como:

  • Interface
  • Habilitar Proxy Transparente
  • Log
  • Porta
  • Servidores DNS

Métodos de Autenticação

Para configuração do Squid como proxy da nossa organização, podemos utilizar basicamente 3 metodos de acesso:

  • Transparent Proxy
  • Autenticação com usuario Local do PFSense
  • Autenticação Integrada com recursos Externos (LDAP – Windows Active Directory)

Transparent Proxy: A estação de trabalho se conecta ao PFSense como Gateway que se apropria da requisição para sair para internet como Proxy. Para habilitar basta marcar a check box correspondente na aba geral do Proxy Server

PFSense Local User: Para este método de autenticação deve-se criar um ou mais usuarios na ana Local Users e em seguida em Auth Settings definir o metodo de autenticação como Local.

Autenticação Integrada com AD (LDAP): Para que os usuarios de um dominio Windows 2003 possam autenticar com seus usuarios do AD no PFSense devemos definir em Auth Setting o método de autenticação LDAP seguindo as configurações abaixo:

  • Versão do LDAP: 3 (para Windows 2003 Server)
  • Authentication Server: IP ou FQDN do Servidor
  • Authentiocation Port: 389
  • User DN (user1 criado no dominio dom1.local por exemplo):
    • cn=user1,cn=Users,dc=dom1,dc=local
  • LDAP Password: Senha do usuarios definido em User DN
  • LDAP Base Domain: dc=dom1,dc=local (conforme exemplo do dominio dom1.local)
  • User DN Attribute: uid
  • Search Filter: sAMAccountName=%s

Cache

Na Aba Cache Mgmt podemos configurar as opções de cache do pfsense.

Recomendações da comunidade PFSense:

  • HardDiskSize 3000 (3GB)
  • Memory: 50% da Capacidade do seu server
  • Minimum object size: 0
  • Maximum object size: opcional
  • Hard disk cache system: aufs (é uma versão alternativa de unionfs que tem como objetivo melhorar a confiabilidade e o desempenho do sistema de armazenamento)

Access Control

Na aba access control do Proxy Server temos a opção de configurar um controle básico de acesso definindo por exemplo, uma blascklist básica para o serviço squid

Proxy: Configurações do SquidGuard

Services > Proxy Filter

Baixando BlackLists

Com a configuração de Blacklists, através do serviço do SQUID Guard, podemos baixar listas organizadas por grupos e categorias para facilitar o bloqueio ou liberação para maquinas, usuários e grupos. Para isto devemos adicionar o seguinte endereço à BLACK LIST URL: http://www.shallalist.de/Downloads/shallalist.tar.gz

Com esse endereço devidamente adicionado clique em Upload URL e aguarde alguns minutos.

Obs: Lembre-se de Salvar e aplicar as alterações após a finalização do Upload

Gerenciando BlackLists

Você pode gerenciar sua Blacklist por grupos ou simplesmente configurar sua regra default.
Para isso basta acessar a Aba Default em Proxy Filter e clicando em: Destination Ruleset, gerenciar as listas baixadas, liberando ou bloqueando o s acessos conforme a necessidade e política da empresa.
A criação e gerenciamento de grupos customizados por maquinas ou usuário (caso você integre o PFSENSE ao Active Directory), pode ser feito na aba
ACL do Proxy Filter. Lembre-se de sempre salvar as configurações realizadas, clicando em Save no fim da página e aplicar as alterações clicando em Apply na aba General settings.

SquidGuard Logs

Na aba Log do ProxyFilter podemos acompanhar uma lista de urls que foram bloqueadas acessando a oção Blocked.

Outra opção interessante do Log do Sq    uid Guard esta na opção Filter Log, onde você pode acompanhar o funcionamento ou parada do serviço SquidGuard. Essa opção pode ser útil para um troubleshoting aonde podemos verificar se o serviço está iniciado se o último log gerado for uma mensagem semelhante à “squidGuard ready for requests“, ou se o serviço está parado quando também explícito na ultima entrada do Log.

DHCP Server

Services > DHCP Server: Para ativação do serviço basta marcar a check box Enable DHCP Server e definir o escopo para sua rede interna.

DHCP Relay

Services > DHCP Server: Para recebimento automatico de um IP em uma rede, a estação que faz a solicitação necessita iniciar a negociação com um broadcast na rede afim de encontrado o Servidor DHCP, porem por default a maioria dos roteadores não encaminham tráfego de broadcast. Podem haver casos em que o servidor DHCP está localizado em uma sub-rede que conecta-se a outra sub-rede através de um roteador (no nosso caso o pfsense). Nesse caso devemos configurar o DHCP Relay que se encarregará de pegar os pacotes enviados pelo cliente DHCP e encaminhará para o servidor DHCP

NAT Port Forward

Firewall > Port Foward:

Port Forward

Consiste em redirecionar uma porta específica de um nó para outro.

  • Por exemplo: O WebSite da minha empresa, configurado em um servidor na minha rede interna, precisa ser publicado para acesso externo. Para que isso seja possível devemos criar um port foward redirecionando todo trafego que chegar na porta 80 da interface wan do PFSense para a porta 80 do meu servidor web interno.

NAT 1:1

Destinado a ligar dois nós de redes distintas aonde todo trafego de internet (para o IP publico especificado) é direcionado a um IP especifico da nossa rede interna. Para Permitir o tráfego à partir da internet deve-se criar uma regra do firewall (rules).

Backup / Restore

Para importar as configurações do PFSense, Navegue por Diagnostics, Backup/Restore e importe as configurações em XML que contem as configurações desejadas. Você pode editar o arquivo XML com um bloco de notas a fim de realizar os ajustes necessários antes de realizar o import.

ATENÇÃO!!!!!!!!!!

No campo “Restore Area” você deve restaurar exatamente a configuração especifica que deseja, por exemplo: Configurações de Rules.. Configuração de TUDO (All)… Caso seja feito algum restore em área incorreta, isto pode fazer com que o pfsense pare de funcionar visto que serão feitas alterações em locais incorretos.

Maiores informações clique aqui…

NOME

DATA

HORA

STATUS

DESCRIÇÃO DAS ALTERAÇÕES

Thiago Lima

15/01/2011

12:00

Pendente

Adição de VPN e Correções

Anúncios

10 Respostas to “Instalação, Configuração e Manutenção do PFSense”

  1. DANIEL Says:

    CARO AMIGO GOSTEI MUITO DO SEU T´PICO FOI O ÚNICO QUE CONSEGUI APREBDER A FAZER ALGO NO PFSENSE GOSTARIA DE ME APROFUNDAR MASI SERÁ QUE VC PODERIA ME PASSAR ALGUNS TUTORIAIS??

    AGRADEÇO DESDE JÁ.


    • Blz Daniel?

      Primeiramente obrigado pelo comentario, realmente é dificil encontrar material de qualidade em portugues sobre PFSense na internet. A ideia é finalizar esse post que vai servir como base para um treinamento que estou planejando aqui na empresa. Vou adicionar sim mais informações inclusive de como fazer uma vpn entre fortigate e pfsense, como adicionar uma terceira interface para utilização de um segundo link de internet, load balance.. enfim.. realmente o PFSense tem muito conteudo e conforme for a disponibilidade de tempo eu vou estar adicionando informações… mas se você tiver alguma dúvida imediata pode me enviar um email que agente vai trocando ideia: thiago.limax64@gmail.com

  2. bzanelato Says:

    Muito bom ! continue atualizando

  3. Thiago Says:

    olá amigo,

    otimo o seu post sobre o pfsense.

    estou tendo um dificuldade com o nosso servidor, será que teria como em dar uma força?
    o que acontece é o seguinte, internamente temos um servidor com serviços web, eu criei um host em nosso servidor de hospedagem direcionando um determinado host para o nosso servidor, mas quando tento acessar esse host pela rede interna ele não acessa. apenas quando se está fora da rede.
    tem alguma ideia do que pode ser?

    desde já agradeço a atenção.


    • Oi Thiago! Checa para onde esta apontando sua publicação (www.meusite.com.br por exemplo), se no seu servidor Web você tem mais de um website configurado recebendo solicitações no mesmo ip e porta…. Nesse caso o acesso deve estar sendo feito com base no hostreader dos seus websites. Essa é uma possibilidade já que estou imaginando que internamente vc esta acessando o seu website pelo endereço da rede local enquanto pela internet vc deve estar acessando pelo endereço publico. É possivel tambem que seu firewall esteja bloquando o acesso da sua rede local para o seu apptier.
      Checa esses pontos e no que eu puder ajudar pode mandar um email pra thiago.limax64@gmail.com.

      • Thiago Says:

        “Sintoma: Acesso a um determinado website da minha rede interna era possivel quando feito de fora da empresa mas não era possivel de ser realizado de dentro da rede interna”

        Olá Thiago, muito obrigado pela força, mas acabei encontrando o problema (ou a solução) logo após enviar e-mail para vc.

        O que acontecia comigo era que nas configurações avançadas do Pfsense (Menu System / opção advanced), tinha uma caixa que estava marcada – Disable NAT Reflection – logo após desmarcar esta opção e salvar o sites em questão abriu normalmente.

        Agradeço a prontidão Thiago muito obrigado

        gostaria de aproveitar e dar uma sugestão de pauta. como sou novo no pfsense eu praticamente não instalei nenhum package nele, seria legal falar sobre os packages disponiveis e quais vc sugere para uso.

        vlw


      • Oi Thiago, da uma lida do topico 9.1 desse tutorial (instalando Packages) 😉


  4. Excelente! Parabens!.

    Trabalho com outros tipos de sistema. Conheci o PfSense atraves de um amigo, comecei a pesquisar sobre e estou muito empolgado com as possibilidade que o sistema oferece.
    Minha dificuldade foi encontrar material e documentaçao falando sobre o sistema. Seu post com ctza vai nos ajudar demais, i o que puder contribuir conosco, seremos eternamente agradecidos.

    Msn: cleber@megalinkti.com.br

  5. ronaldo Says:

    ola
    muito bom o tutorial
    vc poderia adicionar um tutorial baseado em uma restricao de sites baseado no grupos do AD

    valew


    • Basta configurar o pfsense integrado com o AD conforme descrito no blog e criar ACL’s adicionando o nome dos usuriarios que farão parte desse grupo de acesso/restrição

      vlw


Comentários encerrados.

%d blogueiros gostam disto: