Você está na página 1de 61

Tutorial Pfsense

Instalao e Configuraes Bsicas Bsicas


Aires Santos, Caque Cabral, Jssica Jss Silva, Juliana Farias, Luiz Henrique Menezes e Oscar Junior
Maro de 2013

Tutorial rial desenvolvido como requisito parcial para aprovao na n disciplina de Redes de Computadores Comput II (Prof. Rafael Reale) do Curso Tc. em Informtica, , Modalidade Subsequente, do Instituto tuto Federal da Bahia Campus Valena.

Esse tutorial explica detalhadamente mente a instalao do software PFSENSE, P , destinado a servidores firewall. O processo descrito aplicado a uma maquina virtual, mas tambm pode ser realizado em um servidor real.

Antes de iniciarmos nosso tutorial, vamos esclarecer alguns conceitos bsicos para a futura implementao do nosso servidor Pfsense:

O que firewall?
Firewall pode ser definido como uma barreira de proteo, que controla o trfego de dados entre seu computador e a Internet(ou entre a rede onde seu computador est instalado e a Internet). Seu objetivo permitir somente a transmisso e a recepo de dados autorizados. Existem firewalls baseados na combinao de hardware e software e firewalls baseados somente em software. Este ltimo o tipo recomendado ao uso domstico e tambm o mais comum.

Explicando de maneira mais precisa, o firewall um mecanismo que atua como "defesa" de um computador ou de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados. A vantagem do uso de firewalls em redes, que somente um computador pode atuar como firewall, no sendo necessrio instal-lo em cada mquina conectada. Firewall em forma de softwares Aplicaes com a funo de firewall j so parte integrante de qualquer sistema operacional moderno, garantindo a segurana do seu PC desde o momento em que ele ligado pela primeira vez. Os firewalls trabalham usando regras de segurana, fazendo com que pacotes de dados que estejam dentro das regras sejam aprovados, enquanto todos os outros nunca chegam ao destino final. Outra medida muito usada so os filtros por portas e aplicativos. Com eles, o firewall pode determinar, exatamente, quais programas do seu computador podem ter acesso ao link de internet ou no. As portas de comunicao tambm podem ser controladas da mesma forma, permitindo que as portas mais visadas pelos malware sejam bloqueadas terminantemente.

Firewall como hardware


Os firewalls em forma de hardware so equipamentos especficos para este fim e so mais comumente usados em aplicaes empresariais. A vantagem de usar equipamentos desse tipo que o hardware dedicado em vez de compartilhar recursos com outros aplicativos. Dessa forma, o firewall pode ser capaz de tratar mais requisies e aplicar os filtros de maneira mais gil.

Filtragem de pacotes
O firewall que trabalha na filtragem de pacotes muito utilizado em redes pequenas ou de porte mdio. Por meio de um conjunto de regras estabelecidas, esse tipo de firewall determina que endereos IPs e dados possam estabelecer comunicao e/ou transmitir/receber dados. Alguns sistemas ou servios podem ser liberados completamente (por exemplo, o servio de e-mail da rede), enquanto outros so bloqueados por padro, por terem riscos elevados (como softwares de mensagens instantneas, tal como o ICQ). O grande problema desse tipo de firewall, que as regras aplicadas podem ser muito complexas e causar perda de desempenho da rede ou no ser eficaz o suficiente. Este tipo se restringe a trabalhar nas camadas TCP/IP, decidindo quais pacotes de dados podem passar e quais no. Tais escolhas so regras baseadas nas informaes endereo IP remoto, endereo IP do destinatrio, alm da porta TCP usada. Quando devidamente configurado, esse tipo de firewall permite que somente "computadores conhecidos troquem determinadas informaes entre si e tenham acesso a determinados recursos". Um firewall assim, tambm capaz de analisar informaes sobre a conexo e notar alteraes suspeitas, alm de ter a capacidade de analisar o contedo dos pacotes, o que permite um controle ainda maior do que pode ou no ser acessvel.

Firewall de aplicao
Firewalls de controle de aplicao (exemplos de aplicao: SMTP, FTP, HTTP, etc.) so instalados geralmente em computadores servidores e so conhecidos como Proxy. Este tipo no permite comunicao direta entre a rede e a Internet. Tudo deve passar pelo firewall, que atua como um intermediador. O Proxy efetua a comunicao entre ambos os lados por meio da avaliao do nmero da sesso TCP dos pacotes. Este tipo de firewall mais complexo, porm muito seguro, pois todas as aplicaes precisam de um Proxy. Caso no haja, a aplicao simplesmente no funciona. Em casos assim, uma soluo criar um "Proxy genrico", atravs de uma configurao que informa que determinadas aplicaes usaro certas portas. Essa tarefa s bem realizada por administradores de rede ou profissionais de comunicao qualificados. O firewall de aplicao permite um acompanhamento mais preciso do trfego entre a rede e a Internet (ou entre a rede e outra rede). possvel, inclusive, contar com recursos de log e ferramentas de auditoria. Tais caractersticas deixam claro que este tipo de firewall voltado a redes de porte mdio ou grande e que sua configurao exige certa experincia no assunto.

O que Pfsense?
O Pfsense um dos mais conhecidos e provavelmente mais rico, em recursos, entre os sistemas para appliance pr-configurado, pronto amigvel, amistoso e facilitado uso por interface Web de uma verso customizada do FreeBSD que oferece inmeros recursos, focado para ambiente de roteamento e firewalling, bem como segurana de networking, com excelente soluo para VPN, entre outros diversos recursos. um projeto descendente do famoso m0n0wall, e que provavelmente, voc j ouviu falar. Ao lado do (mais especfico) FreeNAS, e recentemente colocado por Patrick Tracanelli na FUG o artigo sobre oAskoziaPBX, so os principais e grandes projetos derivados do m0n0wall. O Pfsense chegou a um nvel de desenvolvimento que no h muito mais o que fazer o que integrar, a no ser manter a atualizao e estabilidade, alm de melhoria dos recursos atuais. Talvez o nico recurso que o Pfsense no integre por opo dos criadores do Projeto um IPS (Intrusion Prevention System). O resto, de controle de banda avanado, VPN, passando por Captive Portal, autenticao RADIUS, etc., rico em recursos.

O que squid?
O Squid um servidor proxy que suporta HTTP, HTTPS, FTP e outros. Ele reduz a utilizao da conexo e melhora os tempos de resposta fazendo cache de requisies freqentes de pginas web numa rede de computadores. Ele pode tambm ser usado como um Proxy reverso. O Squid foi escrito originalmente para rodar em sistema operacional tipo Unix, mas ele tambm funciona em sistemas Windows desde sua verso.

Servidor Proxy No cache so armazenados os objetos da Internet (ex. dados de pginas web) disponveis via protocolo HTTP, FTP e Gopher num sistema mais prximo ao do cliente. Os navegadores podem ento usar o Squid local como um servidor Proxy HTTP, reduzindo o tempo de acesso aos objetos e reduzindo a utilizao da conexo. Isto muito usado por provedores no mundo todo para melhorar a velocidade de navegao para seus clientes e tambm em LAN que compartilham a mesma conexo Internet. Ele pode fornecer anonimato e segurana dado ser um intermedirio no acesso aos objetos. No entanto a sua utilizao pode gerar preocupaes a respeito da privacidade, pois o Squid capaz de armazenar registros sobre os acessos, incluindo URLs acedidas, a data e hora exatas, e quem acedeu. A aplicao cliente (ex. navegador) dever especificar explicitamente o servidor Proxy que quer utilizar (tpico para os clientes de provedores), ou poder utilizar um Proxy transparente, em que todos os pedidos HTTP para fora, so interceptados pelo Squid e todas as respostas so armazenadas em cache, dessa forma no sendo necessrio configurar o navegador. Squid tem algumas funcionalidades que permitem tornar as conexes annimas, tais como desabilitar ou alterar campos especficos do cabealho dos pedidos HTTP do cliente. Se isto feito e como, controlado pela pessoa que administra a mquina que corre o Squid. As pessoas que requisitam pginas numa rede que usa Squid de forma transparente podem no saber que esta informao est a ser registrada.

O que Captive Portal?


Captive portal um programa de computador responsvel por controlar e gerenciar o acesso a Internet em redes pblicas, de forma "automatizada". Ao digitar o endereo de qualquer site no navegador o usurio interceptado pelo sistema do Captive Portal e redirecionado para uma interface que solicita a autenticao. importante lembrar que no existe uma frmula ou receita pronta que indique passo-a-passo como o PfSense deve ser a configurado. Pois, tudo depende da necessidade da aplicao do mesmo. Neste caso, estaremos, inicialmente, demonstrando a criao da mquina virtual, depois a instalao do PfSense na mquina criada e, em seguida, mostrando de maneira simples algumas configuraes bsicas para proteo de uma rede.

Requisitos:
A seguir descreve os requisitos mnimos de hardware para Pfsense 1.2.x. Observe os requisitos mnimos no so adequados para todos os ambientes. CPU - Pentium 100 MHz RAM - 128 MB Requisitos especficos para plataformas individuais seguir. Live CD CD-ROM USB flash drive ou disquete para armazenar arquivo de configurao Instalao no disco rgido CD-ROM para instalao inicial GB de um disco rgido Incorporado 512 MB carto Compact Flash porta de srie para o console A ISO do Pfsense pode ser baixada gratuitamente aqui: http://www.pfsense.org/mirror.php?section=downloads

Tutorial de instalao do Pfsense


Configurao da Maquina Virtual
Para instalar o servidor do Pfsense utilizaremos uma mquina virtual, ela simula atravs de um software um outro computador dentro do sistema operacional presente na mquina real, essa tcnica se chama virtualizao e utilizaremos o VMware Workstation para tal. 1- No VMware criaremos uma nova maquina virtual na aba File > New Virtual Machine

2- Na janela que aparecer, deixe marcada a opo Typical (recomended) e clique em Next

3-Na janela abaixo, caso a imagem do Pfsense seja esteja gravada no CD escolha a opo Installer disc e insira o CD no seu drive, mas como no o nosso caso escolheremos a ISO que foi baixada no site do pfSense clicando em Browse

4- Encontre a imagem salva e clique em Abrir

5- Em seguida clique em Next

6- Essa janela pergunta qual sistema operacional voc est instalando. Clique em Other e abaixo selecione FreeBSD. *O pfSense uma distribuio do FreeBSD

7- Aqui escolha o nome da sua maquina virtual e o local de instalao pode deixar o local padro.

8- Aqui se escolhe o tamanho do HD da maquina virtual. Como no necessrio muito espao para a instalao do sistema operacional, destinamos apenas 20GB. Deixe a opo Store virtual disk as a single fie marcada e clique em Next.

9- Na prxima janela clique em Customize Hardware

10-Aumente a memria RAM da Maquina virtual: Na aba Memory deslize para 512MB

11- Agora adicione mais uma placa de rede clicando em Add

12- Clique em Network Adapter e em seguida em Next

13- Configure a nova placa de rede como Bridged, como mostra a imagem abaixo:

14- Agora a maquina virtual possui 2 placas de rede, a rescem-criada e configurada como Bridged e a que j existia por padro do pfSense. D um clique na placa que j existia e configure-a como Host Only como mostra a imagem abaixo: Em seguida clique em Close

15- Mantenha a opo Power on this virtual machine after create one clique em Finish

Instalao
16- A maquina virtual ser iniciada. Essa a tela inicial de instalao do PfSense, para instalar digite i . Ateno: Voc tem apenas 8 segundos para escolher sua opo.

17- Neste campo escolha a opo Accept these settings para aceitar as configuraes padres. Porque agente no quer mudar o vdeo nem o teclado.

17- Aps isso escolha uma das opes abaixo para instalar o Pfsense. A primeira opo Quick/Easy Install, instala de maneira fcil e rpida. A opo Custom Install instala de maneira personalizada, Rescue config. xml recupera as configuraes de uma outra instalao. Reboot reinicia, Exit sa da tela de configurao. Para esse tipo de instalao escolha a opo: Quick/Easy Install.

18- Em seguida, aparece uma tela de confirmao com a seguinte mensagem: Aviso: Esta instalao ir apagar todo o contedo em seu disco rgido! Esta ao irreversvel, tem certeza que deseja continuar? Caso a instalao seja pelo Vmware no apagar as informaes em seu HD. Mas se a instalao for na mquina real, certifique-se de fazer um backup do seus arquivos. Aps isso clique em OK.

19- Em seguida aguarde o trmino da instalao.

20- Na tela de Install Kernel(s) selecione: Symmetric multiprocessing kernel (more thanone processador) pressione: Enter. A segunda opo serve para instalar o kernel do sistema operacional em dispositivos que no possuem sada de vdeo ou entrada para teclado. A terceira opo para desenvolvedores que desejam fazer alteraes no cdigo.

21- Na tela abaixo avisa que sua mquina vai reiniciar, mas antes voc ter que retirar o cd e depois clicar em Reboot. Como estamos instalando pelo Vmware, teremos que desconectar virtualmente.

22- Para isso clique no cd, no rodap do VMware e clique em desconectar. Em seguida volte a tela do VMware e clique em Reboot.

23- Essa a tela inicial de configurao do PfSense. Nessa tela mostra as placas de rede instaladas, sendo elas ( em0 e em1). E faz a seguinte pergunta ao usurio:Voc gostaria de configurar as redes virtuais locais agora? (y;n). Nesse caso, digitaremos n.

24- Em seguida vamos desconectar o cabo da conexo com a internet e conectar para identificar a WAN. Para isso clique no rodap do Vmware com o boto direito no cone de rede da bridge. E clique em desconectar e logo em seguida conectar. Vai aparecer a seguinte mensagem na tela: - (em1: link state changed to down) - (em1:link state changed to Up). Neste nosso caso a placa WAN em1.

25- Pronto, j identificamos quem a nossa placa WAN, digite em1 na tela para confirmar. Como s temos duas placas a outra ser a LAN. Neste caso em0.

26- Digite em0 para confirmar a escolha.

27- Em seguida ir aparecer na tela as configuraes das placas. Sendo elas: Wan -> em1 LAN-> em0 Depois aparece uma mensagem de confirmao, digite y , caso suas placas estejam configuradas corretamente.

28- Nessa tela iremos alterar o endereo Ip da Lan. Digite sua opo. Nesse caso 2.

29- Como iremos alterar o Ip da Lan, digite o nmero 2 novamente, caso fosse da WAN seria 1, como mostra a seguir:

30- Agora iremos digitar o ip desejado para nossa LAN. Nesse caso usaremos o seguinte Ip: 172.16.254.254. Pressione Enter em seguida.

31- Agora iremos escolher qual a mscara. Nesse caso ser 16 (Por padro). Mas dependendo do ip digitado h as opes 24 e 8.

32- Logo em seguida aparecer uma mensagem: Voc deseja permitir o servidor DHCP na LAN?. Digite y para confirmar.

33- Agora vamos configurar nossa faixa de endereamento IP. Comeando em: 172.16.0.100 e terminando em 172.16.10.100.

34- Caso voc deseje converter a para HTTP da LAN para o webConfigurador do PFSense, digite y.

35- Pronto. Na tela ir aparecer uma mensagem de confirmao. Pressione Enter para continuar. Iremos agora configurar nosso PC para aceitar o endereo IP que criamos isso ir criar uma conexo do servidor para a mquina.

36- Abra as conexes locais do seu computador e procure a rede do Vmware.

37- Clique em Propriedades e na opo Protocolo TCP/IP Verso4(TCP/IPv4), clique em propriedades novamente.

38- Altere seu endereo Ip de acordo com o configurado no Pfsense. Nesse caso foi 172.16.0.1. Mscara: 255.255.0.0, Gateway e Servidor DNS 172.16.254.254. Depois clique em OK.

39- Para saber se sua configurao est correta, voc pode fazer um teste simples usando o Prompt de comando do Windows. Clique em iniciar, digite cmd, d enter e digite Ping 172.16.254.254. Caso aparea a seguinte tela, mostrando resposta do Ip, est tudo certo.

Configurao atravs do navegador


40- No seu navegador digite o endereo IP configurado anteriormente (172.16.254.254) Se tudo estiver configurado corretamente essa tela aparecer:

41- Digite no Username: admin e no Password: pfsense e clique em Login, para entrar.

Essa a tela inicial do Pfsense

42- Clique em System depois em Setup Wizard para abrir o assistente de configurao.

43- Clique em Next.

44- Nesta tela voc ir definir os parmetros Pfsense gerais. Como est sendo especificado na seguinte tela. Hostname: Defina o nome do servidor apenas com letras minsculas(Mais indicado). Domain: Nome do domnio do servidor Primary/Secondary DNS Server: Endereos do servidor DNS preferencial Deixe a opo Allow DNS servers to be overriden by DHCP/PPP on WAN desabilitada, para que seja utilizado apenas o servidor DNS selecionado acima.

Clique em Next para continuar.

45- Agora escolha o fuso horrio local. Neste exemplo utilizamos o horrio da Bahia.

Clique em Next para continuar

45- Agora escolha o tipo de conexo com a internet. Nesse caso utilizamos uma conexo que adquire o endereo IP* automaticamente via DHCP. Ento apenas selecionaremos a interface WAN como DHCP (*IP: Endereo individual que identifica os computadores numa rede TCP/IP)

Role at o fim da pgina e clique em Next

46- Nessa janela pode-se escolher o endereo IP do servidor, mas como j foi configurado anteriormente no necessria nenhuma alterao. Clique em Next

47- Nos campos a seguir digite a nova senha de acesso do admnistrador do servidor.

Clique em Next.

48- Agora clique em Reload para o que sejam salvas as novas configuraes

49- Clique na segunda palavra here para continuar a configurao. (ou na primeira, para fazer uma doao para a equipe Pfsense)

Instalao de pacotes
No pfSense possivel instalar novos pacotes, que adicionam novas funcionalidades ao servidor, vamos aprender a instalar e configurar duas delas: Squid Como visto anteriormente ele tem a funo de proxy, filtra conteudos da WAN que podero ser acessados na LAN e possui funo Proxy Cache, que arnazena dados baixados da WEB no HD do servidor, para um acesso mais rpido atravs da rede local. E o LightSquid que gera relatrios do squid. 50- Acesse o menu de pacotes em System>Packages

51- Available Packages para ver os pacotes disponveis para download.

52- Encontre o pacote squid e clique no boto Install package como mostra a imagem abaixo.

Clique OK para iniciar a instalao

53- Aguarde o processo de download e instalao.

Instalao concluda

54- Agora instale o Lightsquid, da mesma forma do anterior.

Configurao do Squid
55- Agora configuraremos o Squid para entrar nas suas configuraes v em Services> Proxy Server.

56- Na pagina do Squid escolha a interface LAN. - Marque a opo Transparent Proxy para que no ter que informar o Squid na porta do navegador. - Escolha o idioma dos avisos (Language- Portugus). - Marcamos Alow users on interfaces para os usurios conectados interface selecionada no campo "interface de Proxy 'ser permitido para usar o Proxy, ou seja, no haver necessidade de adicionar subrede da interface para a lista de sub-redes permitidos. - Escolhemos a porta (3128) Esta a porta do servidor Proxy ir escutar,

57- Gerenciamento do cache: O gerenciamento do cache uma ferramenta til para conexes de internet lentas, pois armazena os ltimos dados baixados no HD do servidor, disponibilizando-os com maior velocidade quando solicitados novamente. - Na pgina do squid clique na aba Cache Mgnt - Escolha o tamanho do disco reservado ao cache, (colocamos 1024mb). - A memria RAM reservada ao cache (128mb). - Tamanho mximo dos objetos armazenados (8192kb). - E o tamanho mximo da memria RAM a ser utilizada por cada objeto (32kb [padro]) - Em (Memory replacement policy) escolha (GDSF) que poltica de substituio de memria determina quais objetos so removidos da memria quando o espao necessrio. - E em (Cache replacement policy ) escolha( LFUDA) que poltica de substituio do cache que determina quais objetos so removidos da memria quando o espao necessrio.

58- Ainda na pagina do Squid, clique na aba controle de acesso (Access Control). Nesta pagina voc pode determinar quais sites ou endereos IPs pode ou no ser acessados. Neste exemplo bloqueamos o site google.com, logo os usurios no podero acess-lo.

Lightsquid
59- Para entrar na pagina de configurao do Lightsquid v em Status> Proxy report.

60- Na primeira pagina coloque o idioma para (Portugus-Brasil). Para ver os relatrios dos usurios s clicar em (Refresh now e depois Refresh full). E depois em (Lightsquid Report) para abrir uma nova janela com os relatrios.

61- Esta a tela dos relatrios. Para ver mais detalhadamente clique em um dia.

Relatrio detalhado.

Configurao Captive Portal (Portal de Autenticao)


62- Para acessar a tela do Captive Portal v em Services> Captive Portal.

63- Antes de tudo habilite este recurso, marcando Enable captive portal. -Depois selecione a interface LAN para que a autenticao seja feita pelos usurios da rede local. -Ative janela de logout, para que o usurio possa se desconectar, assim os minutos do seu Voucher no sero gastos quando ele no estiver conectado. -Escolha a pagina que o usurio ser redirecionado aps a autenticao. -Altere a forma de autenticao (Authentication) para Local User Manager/Voucher

64- Para criar vouchers ou (Cdigos gerados para acesso a internet) v a aba Vouchers. Clique em (Enable vouchers) para habilitar.

65- Para criar regras no vouchers Escolha quantos minutos cada ticket poder acessar e depois quantos tickets deseja, coloque o nome da regra e clique em Save.

66- Para baixar os cdigos, volte para aba vouchers e clica no (i) ao lado da regra criada. criada

Cdigos baixados

67- Tente acessar qualquer site, e uma janela como essa aparecer, pedindo o Voucher. Insira um dos Vouchers criados no campo indicado e clique em continue.

68- Voc ser redirecionado para a pgina configurada pelo Captive portal.

E uma janela Pop-up up ser aberta para que seja possvel fazer Logout, fazendo com que no se gaste os minutos do voucher cedido.