Você está na página 1de 61

Tutorial

Instalao e Configuraes B
Aires Santos, Caque Cabral, Jss
Menezes e Oscar Junior



Esse tutorial explica detalhadamente a instalao do software P
firewall. O processo descrito aplicado a uma maquina virtual, mas tambm pode ser realizado
em um servidor real.

Tutorial Pfsense
Instalao e Configuraes Bsicas

Cabral, Jssica Silva, Juliana Farias,
Menezes e Oscar Junior
Maro de 2013
mente a instalao do software PFSENSE, destinado a servidores
firewall. O processo descrito aplicado a uma maquina virtual, mas tambm pode ser realizado
Tutorial desenvolvido como requisito
parcial para aprovao n
Redes de Comput
Rafael Reale)
Informtica, Modalidade Subsequente,
do Instituto Federal da Bahia
Campus Valena.
Pfsense
sicas
Farias, Luiz Henrique
, destinado a servidores
firewall. O processo descrito aplicado a uma maquina virtual, mas tambm pode ser realizado
rial desenvolvido como requisito
parcial para aprovao na disciplina de
Redes de Computadores II (Prof.
Rafael Reale) do Curso Tc. em
, Modalidade Subsequente,
tuto Federal da Bahia
Valena.

Antes de iniciarmos nosso tutorial, vamos esclarecer alguns conceitos bsicos para a
futura implementao do nosso servidor Pfsense:

O que firewall?
Firewall pode ser definido como uma barreira de proteo, que controla o trfego de dados entre
seu computador e a Internet(ou entre a rede onde seu computador est instalado e a Internet).
Seu objetivo permitir somente a transmisso e a recepo de dados autorizados. Existem
firewalls baseados na combinao de hardware e software e firewalls baseados somente em
software. Este ltimo o tipo recomendado ao uso domstico e tambm o mais comum.

Explicando de maneira mais precisa, o firewall um mecanismo que atua como "defesa" de um
computador ou de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem
de dados. A vantagem do uso de firewalls em redes, que somente um computador pode atuar
como firewall, no sendo necessrio instal-lo em cada mquina conectada.
Firewall em forma de softwares
Aplicaes com a funo de firewall j so parte integrante de qualquer sistema operacional
moderno, garantindo a segurana do seu PC desde o momento em que ele ligado pela
primeira vez. Os firewalls trabalham usando regras de segurana, fazendo com que pacotes de
dados que estejam dentro das regras sejam aprovados, enquanto todos os outros nunca
chegam ao destino final.
Outra medida muito usada so os filtros por portas e aplicativos. Com eles, o firewall pode
determinar, exatamente, quais programas do seu computador podem ter acesso ao link de
internet ou no. As portas de comunicao tambm podem ser controladas da mesma forma,
permitindo que as portas mais visadas pelos malware sejam bloqueadas terminantemente.
Firewall como hardware
Os firewalls em forma de hardware so equipamentos especficos para este fim e so mais
comumente usados em aplicaes empresariais. A vantagem de usar equipamentos desse tipo
que o hardware dedicado em vez de compartilhar recursos com outros aplicativos. Dessa
forma, o firewall pode ser capaz de tratar mais requisies e aplicar os filtros de maneira mais
gil.
Filtragem de pacotes
O firewall que trabalha na filtragem de pacotes muito utilizado em redes pequenas ou de porte
mdio. Por meio de um conjunto de regras estabelecidas, esse tipo de firewall determina que
endereos IPs e dados possam estabelecer comunicao e/ou transmitir/receber dados. Alguns
sistemas ou servios podem ser liberados completamente (por exemplo, o servio de e-mail da
rede), enquanto outros so bloqueados por padro, por terem riscos elevados (como softwares
de mensagens instantneas, tal como o ICQ). O grande problema desse tipo de firewall, que
as regras aplicadas podem ser muito complexas e causar perda de desempenho da rede ou no
ser eficaz o suficiente.
Este tipo se restringe a trabalhar nas camadas TCP/IP, decidindo quais pacotes de dados
podem passar e quais no. Tais escolhas so regras baseadas nas informaes endereo IP
remoto, endereo IP do destinatrio, alm da porta TCP usada.
Quando devidamente configurado, esse tipo de firewall permite que somente "computadores
conhecidos troquem determinadas informaes entre si e tenham acesso a determinados
recursos". Um firewall assim, tambm capaz de analisar informaes sobre a conexo e notar
alteraes suspeitas, alm de ter a capacidade de analisar o contedo dos pacotes, o que
permite um controle ainda maior do que pode ou no ser acessvel.
Firewall de aplicao
Firewalls de controle de aplicao (exemplos de aplicao: SMTP, FTP, HTTP, etc.) so
instalados geralmente em computadores servidores e so conhecidos como Proxy. Este tipo no
permite comunicao direta entre a rede e a Internet. Tudo deve passar pelo firewall, que atua
como um intermediador. O Proxy efetua a comunicao entre ambos os lados por meio da
avaliao do nmero da sesso TCP dos pacotes.
Este tipo de firewall mais complexo, porm muito seguro, pois todas as aplicaes precisam de
um Proxy. Caso no haja, a aplicao simplesmente no funciona. Em casos assim, uma
soluo criar um "Proxy genrico", atravs de uma configurao que informa que
determinadas aplicaes usaro certas portas. Essa tarefa s bem realizada por
administradores de rede ou profissionais de comunicao qualificados.
O firewall de aplicao permite um acompanhamento mais preciso do trfego entre a rede e a
Internet (ou entre a rede e outra rede). possvel, inclusive, contar com recursos de log e
ferramentas de auditoria. Tais caractersticas deixam claro que este tipo de firewall voltado a
redes de porte mdio ou grande e que sua configurao exige certa experincia no assunto.



O que Pfsense?
O Pfsense um dos mais conhecidos e provavelmente mais rico, em recursos, entre os
sistemas para appliance pr-configurado, pronto amigvel, amistoso e facilitado uso por interface
Web de uma verso customizada do FreeBSD que oferece inmeros recursos, focado para
ambiente de roteamento e firewalling, bem como segurana de networking, com excelente
soluo para VPN, entre outros diversos recursos. um projeto descendente do famoso
m0n0wall, e que provavelmente, voc j ouviu falar. Ao lado do (mais especfico) FreeNAS, e
recentemente colocado por Patrick Tracanelli na FUG o artigo sobre oAskoziaPBX, so os
principais e grandes projetos derivados do m0n0wall.
O Pfsense chegou a um nvel de desenvolvimento que no h muito mais o que fazer o que
integrar, a no ser manter a atualizao e estabilidade, alm de melhoria dos recursos atuais.
Talvez o nico recurso que o Pfsense no integre por opo dos criadores do Projeto um
IPS (Intrusion Prevention System). O resto, de controle de banda avanado, VPN, passando
por Captive Portal, autenticao RADIUS, etc., rico em recursos.

O que squid?
O Squid um servidor proxy que suporta HTTP, HTTPS, FTP e outros. Ele reduz a utilizao da
conexo e melhora os tempos de resposta fazendo cache de requisies freqentes de pginas
web numa rede de computadores. Ele pode tambm ser usado como um Proxy reverso.
O Squid foi escrito originalmente para rodar em sistema operacional tipo Unix, mas ele tambm
funciona em sistemas Windows desde sua verso.


Servidor Proxy
No cache so armazenados os objetos da Internet (ex. dados de pginas web) disponveis
via protocolo HTTP, FTP e Gopher num sistema mais prximo ao do cliente.
Os navegadores podem ento usar o Squid local como um servidor Proxy HTTP, reduzindo o
tempo de acesso aos objetos e reduzindo a utilizao da conexo. Isto muito usado
por provedores no mundo todo para melhorar a velocidade de navegao para seus clientes e
tambm em LAN que compartilham a mesma conexo Internet. Ele pode
fornecer anonimato e segurana dado ser um intermedirio no acesso aos objetos. No entanto a
sua utilizao pode gerar preocupaes a respeito da privacidade, pois o Squid capaz de
armazenar registros sobre os acessos, incluindo URLs acedidas, a data e hora exatas, e quem
acedeu.
A aplicao cliente (ex. navegador) dever especificar explicitamente o servidor Proxy que quer
utilizar (tpico para os clientes de provedores), ou poder utilizar um Proxy transparente, em que
todos os pedidos HTTP para fora, so interceptados pelo Squid e todas as respostas so
armazenadas em cache, dessa forma no sendo necessrio configurar o navegador.
Squid tem algumas funcionalidades que permitem tornar as conexes annimas, tais como
desabilitar ou alterar campos especficos do cabealho dos pedidos HTTP do cliente. Se isto
feito e como, controlado pela pessoa que administra a mquina que corre o Squid. As pessoas
que requisitam pginas numa rede que usa Squid de forma transparente podem no saber que
esta informao est a ser registrada.

O que Captive Portal?
Captive portal um programa de computador responsvel por controlar e gerenciar o acesso a
Internet em redes pblicas, de forma "automatizada". Ao digitar o endereo de qualquer site no
navegador o usurio interceptado pelo sistema do Captive Portal e redirecionado para uma
interface que solicita a autenticao.
importante lembrar que no existe uma frmula ou receita pronta que indique passo-a-passo
como o PfSense deve ser a configurado. Pois, tudo depende da necessidade da aplicao do
mesmo. Neste caso, estaremos, inicialmente, demonstrando a criao da mquina virtual,
depois a instalao do PfSense na mquina criada e, em seguida, mostrando de maneira
simples algumas configuraes bsicas para proteo de uma rede.









Requisitos:
A seguir descreve os requisitos mnimos de hardware para Pfsense 1.2.x. Observe os requisitos
mnimos no so adequados para todos os ambientes.

CPU - Pentium 100 MHz
RAM - 128 MB

Requisitos especficos para plataformas individuais seguir.

Live CD
CD-ROM
USB flash drive ou disquete para armazenar arquivo de configurao

Instalao no disco rgido
CD-ROM para instalao inicial
GB de um disco rgido

Incorporado
512 MB carto Compact Flash
porta de srie para o console

A ISO do Pfsense pode ser baixada gratuitamente aqui:
http://www.pfsense.org/mirror.php?section=downloads
























Tutorial de instalao do Pfsense

Configurao da Maquina Virtual

Para instalar o servidor do Pfsense utilizaremos uma mquina virtual, ela simula atravs de um software
um outro computador dentro do sistema operacional presente na mquina real, essa tcnica se chama
virtualizao e utilizaremos o VMware Workstation para tal.

1- No VMware criaremos uma nova maquina virtual na aba File > New Virtual Machine





















2- Na janela que aparecer, deixe marcada a opo Typical (recomended) e clique em Next


3-Na janela abaixo, caso a imagem do Pfsense seja esteja gravada no CD escolha a opo Installer disc
e insira o CD no seu drive, mas como no o nosso caso escolheremos a ISO que foi baixada no site do
pfSense clicando em Browse







4- Encontre a imagem salva e clique em Abrir



5- Em seguida clique em Next






6- Essa janela pergunta qual sistema operacional voc est instalando. Clique em Other e abaixo
selecione FreeBSD. *O pfSense uma distribuio do FreeBSD


7- Aqui escolha o nome da sua maquina virtual e o local de instalao pode deixar o local padro.




8- Aqui se escolhe o tamanho do HD da maquina virtual. Como no necessrio muito espao para a
instalao do sistema operacional, destinamos apenas 20GB. Deixe a opo Store virtual disk as a single
fie marcada e clique em Next.


9- Na prxima janela clique em Customize Hardware






10-Aumente a memria RAM da Maquina virtual: Na aba Memory deslize para 512MB


11- Agora adicione mais uma placa de rede clicando em Add





12- Clique em Network Adapter e em seguida em Next


13- Configure a nova placa de rede como Bridged, como mostra a imagem abaixo:







14- Agora a maquina virtual possui 2 placas de rede, a rescem-criada e configurada como Bridged e a
que j existia por padro do pfSense. D um clique na placa que j existia e configure-a como Host Only
como mostra a imagem abaixo:
Em seguida clique em Close


15- Mantenha a opo Power on this virtual machine after create one clique em Finish




Instalao
16- A maquina virtual ser iniciada. Essa a tela inicial de instalao do PfSense, para instalar digite i .
Ateno: Voc tem apenas 8 segundos para escolher sua opo.

17- Neste campo escolha a opo Accept these settings para aceitar as configuraes padres.
Porque agente no quer mudar o vdeo nem o teclado.





17- Aps isso escolha uma das opes abaixo para instalar o Pfsense. A primeira opo Quick/Easy
Install, instala de maneira fcil e rpida. A opo Custom Install instala de maneira personalizada,
Rescue config. xml recupera as configuraes de uma outra instalao. Reboot reinicia, Exit sa da
tela de configurao.
Para esse tipo de instalao escolha a opo: Quick/Easy Install.


















18- Em seguida, aparece uma tela de confirmao com a seguinte mensagem:
Aviso: Esta instalao ir apagar todo o contedo em seu disco rgido! Esta ao irreversvel, tem
certeza que deseja continuar?
Caso a instalao seja pelo Vmware no apagar as informaes em seu HD. Mas se a instalao for na
mquina real, certifique-se de fazer um backup do seus arquivos.
Aps isso clique em OK.



















19- Em seguida aguarde o trmino da instalao.

























20- Na tela de Install Kernel(s) selecione: Symmetric multiprocessing kernel (more thanone
processador) pressione: Enter. A segunda opo serve para instalar o kernel do sistema operacional
em dispositivos que no possuem sada de vdeo ou entrada para teclado. A terceira opo para
desenvolvedores que desejam fazer alteraes no cdigo.

























21- Na tela abaixo avisa que sua mquina vai reiniciar, mas antes voc ter que retirar o cd e depois
clicar em Reboot. Como estamos instalando pelo Vmware, teremos que desconectar virtualmente.






















22- Para isso clique no cd, no rodap do VMware e clique em desconectar. Em seguida volte a tela do
VMware e clique em Reboot.























23- Essa a tela inicial de configurao do PfSense. Nessa tela mostra as placas de rede instaladas,
sendo elas ( em0 e em1). E faz a seguinte pergunta ao usurio:Voc gostaria de configurar as redes
virtuais locais agora? (y;n). Nesse caso, digitaremos n.




















24- Em seguida vamos desconectar o cabo da conexo com a internet e conectar para identificar a WAN.
Para isso clique no rodap do Vmware com o boto direito no cone de rede da bridge. E clique em
desconectar e logo em seguida conectar. Vai aparecer a seguinte mensagem na tela: - (em1: link state
changed to down) - (em1:link state changed to Up). Neste nosso caso a placa WAN em1.





















25- Pronto, j identificamos quem a nossa placa WAN, digite em1 na tela para confirmar.
Como s temos duas placas a outra ser a LAN. Neste caso em0.
























26- Digite em0 para confirmar a escolha.

























27- Em seguida ir aparecer na tela as configuraes das placas. Sendo elas:
Wan -> em1
LAN-> em0
Depois aparece uma mensagem de confirmao, digite y , caso suas placas estejam configuradas
corretamente.


















28- Nessa tela iremos alterar o endereo Ip da Lan. Digite sua opo. Nesse caso 2.
























29- Como iremos alterar o Ip da Lan, digite o nmero 2 novamente, caso fosse da WAN seria 1, como
mostra a seguir:
























30- Agora iremos digitar o ip desejado para nossa LAN. Nesse caso usaremos o seguinte Ip:
172.16.254.254. Pressione Enter em seguida.























31- Agora iremos escolher qual a mscara. Nesse caso ser 16 (Por padro). Mas dependendo do ip
digitado h as opes 24 e 8.























32- Logo em seguida aparecer uma mensagem: Voc deseja permitir o servidor DHCP na LAN?.
Digite y para confirmar.






















33- Agora vamos configurar nossa faixa de endereamento IP. Comeando em: 172.16.0.100 e
terminando em 172.16.10.100.

























34- Caso voc deseje converter a para HTTP da LAN para o webConfigurador do PFSense, digite y.























35- Pronto. Na tela ir aparecer uma mensagem de confirmao. Pressione Enter para continuar.
Iremos agora configurar nosso PC para aceitar o endereo IP que criamos isso ir criar uma conexo do
servidor para a mquina.





















36- Abra as conexes locais do seu computador e procure a rede do Vmware.



37- Clique em Propriedades e na opo Protocolo TCP/IP Verso4(TCP/IPv4), clique em
propriedades novamente.


38- Altere seu endereo Ip de acordo com o configurado no Pfsense. Nesse caso foi 172.16.0.1.
Mscara: 255.255.0.0, Gateway e Servidor DNS 172.16.254.254. Depois clique em OK.


39- Para saber se sua configurao est correta, voc pode fazer um teste simples usando o Prompt de
comando do Windows. Clique em iniciar, digite cmd, d enter e digite Ping 172.16.254.254.
Caso aparea a seguinte tela, mostrando resposta do Ip, est tudo certo.


Configurao atravs do navegador
40- No seu navegador digite o endereo IP configurado anteriormente (172.16.254.254)
Se tudo estiver configurado corretamente essa tela aparecer:




41- Digite no Username: admin e no Password: pfsense e clique em Login, para entrar.













Essa a tela inicial do Pfsense














42- Clique em System depois em Setup Wizard para abrir o assistente de configurao.



43- Clique em Next.

44- Nesta tela voc ir definir os parmetros Pfsense gerais. Como est sendo especificado na seguinte
tela.
Hostname: Defina o nome do servidor apenas com letras minsculas(Mais indicado).
Domain: Nome do domnio do servidor
Primary/Secondary DNS Server: Endereos do servidor DNS preferencial
Deixe a opo Allow DNS servers to be overriden by DHCP/PPP on WAN desabilitada, para que seja
utilizado apenas o servidor DNS selecionado acima.

Clique em Next para continuar.







45- Agora escolha o fuso horrio local. Neste exemplo utilizamos o horrio da Bahia.

Clique em Next para continuar












45- Agora escolha o tipo de conexo com a internet. Nesse caso utilizamos uma conexo que adquire o
endereo IP* automaticamente via DHCP. Ento apenas selecionaremos a interface WAN como DHCP
(*IP: Endereo individual que identifica os computadores numa rede TCP/IP)

Role at o fim da pgina e clique em Next
46- Nessa janela pode-se escolher o endereo IP do servidor, mas como j foi configurado anteriormente
no necessria nenhuma alterao. Clique em Next


47- Nos campos a seguir digite a nova senha de acesso do admnistrador do servidor.

Clique em Next.








48- Agora clique em Reload para o que sejam salvas as novas configuraes













49- Clique na segunda palavra here para continuar a configurao. (ou na primeira, para fazer uma
doao para a equipe Pfsense)
















Instalao de pacotes
No pfSense possivel instalar novos pacotes, que adicionam novas funcionalidades ao servidor, vamos
aprender a instalar e configurar duas delas: Squid Como visto anteriormente ele tem a funo de proxy,
filtra conteudos da WAN que podero ser acessados na LAN e possui funo Proxy Cache, que
arnazena dados baixados da WEB no HD do servidor, para um acesso mais rpido atravs da rede local.
E o LightSquid que gera relatrios do squid.
50- Acesse o menu de pacotes em System>Packages

51- Available Packages para ver os pacotes disponveis para download.

52- Encontre o pacote squid e clique no boto Install package como mostra a imagem abaixo.

Clique OK para iniciar a instalao









53- Aguarde o processo de download e instalao.


Instalao concluda


54- Agora instale o Lightsquid, da mesma forma do anterior.



Configurao do Squid
55- Agora configuraremos o Squid para entrar nas suas configuraes v em Services> Proxy Server.












56- Na pagina do Squid escolha a interface LAN.
- Marque a opo Transparent Proxy para que no ter que informar o Squid na porta do navegador.
- Escolha o idioma dos avisos (Language- Portugus).
- Marcamos Alow users on interfaces para os usurios conectados interface selecionada no campo
"interface de Proxy 'ser permitido para usar o Proxy, ou seja, no haver necessidade de adicionar sub-
rede da interface para a lista de sub-redes permitidos.
- Escolhemos a porta (3128) Esta a porta do servidor Proxy ir escutar,













57- Gerenciamento do cache: O gerenciamento do cache uma ferramenta til para conexes de
internet lentas, pois armazena os ltimos dados baixados no HD do servidor, disponibilizando-os com
maior velocidade quando solicitados novamente.
- Na pgina do squid clique na aba Cache Mgnt
- Escolha o tamanho do disco reservado ao cache, (colocamos 1024mb).
- A memria RAM reservada ao cache (128mb).
- Tamanho mximo dos objetos armazenados (8192kb).
- E o tamanho mximo da memria RAM a ser utilizada por cada objeto (32kb [padro])
- Em (Memory replacement policy) escolha (GDSF) que poltica de substituio de memria determina
quais objetos so removidos da memria quando o espao necessrio.
- E em (Cache replacement policy ) escolha( LFUDA) que poltica de substituio do cache que
determina quais objetos so removidos da memria quando o espao necessrio.










58- Ainda na pagina do Squid, clique na aba controle de acesso (Access Control).
Nesta pagina voc pode determinar quais sites ou endereos IPs pode ou no ser acessados.
Neste exemplo bloqueamos o site google.com, logo os usurios no podero acess-lo.



















Lightsquid
59- Para entrar na pagina de configurao do Lightsquid v em Status> Proxy report.


60- Na primeira pagina coloque o idioma para (Portugus-Brasil).
Para ver os relatrios dos usurios s clicar em (Refresh now e depois Refresh full).
E depois em (Lightsquid Report) para abrir uma nova janela com os relatrios.








61- Esta a tela dos relatrios. Para ver mais detalhadamente clique em um dia.




Relatrio detalhado.






























Configurao Captive Portal (Portal de Autenticao)
62- Para acessar a tela do Captive Portal v em Services> Captive Portal.


63- Antes de tudo habilite este recurso, marcando Enable captive portal.
-Depois selecione a interface LAN para que a autenticao seja feita pelos usurios da rede local.
-Ative janela de logout, para que o usurio possa se desconectar, assim os minutos do seu Voucher no
sero gastos quando ele no estiver conectado.
-Escolha a pagina que o usurio ser redirecionado aps a autenticao.
-Altere a forma de autenticao (Authentication) para Local User Manager/Voucher





64- Para criar vouchers ou (Cdigos gerados para acesso a internet) v a aba Vouchers.
Clique em (Enable vouchers) para habilitar.




















65- Para criar regras no vouchers Escolha quantos minutos cada ticket poder acessar e depois quantos
tickets deseja, coloque o nome da regra e clique em

66- Para baixar os cdigos, volte para aba vouchers e clica no (i)





Escolha quantos minutos cada ticket poder acessar e depois quantos
o nome da regra e clique em Save.
para aba vouchers e clica no (i) ao lado da regra criada
Escolha quantos minutos cada ticket poder acessar e depois quantos

ao lado da regra criada.

Cdigos baixados
67- Tente acessar qualquer site, e uma janela como essa aparecer, pedindo o Voucher.
Insira um dos Vouchers criados no campo indicado e clique em continue.






Tente acessar qualquer site, e uma janela como essa aparecer, pedindo o Voucher.
Insira um dos Vouchers criados no campo indicado e clique em continue.

Tente acessar qualquer site, e uma janela como essa aparecer, pedindo o Voucher.


68- Voc ser redirecionado para a pgina configurada pelo Captive portal.


E uma janela Pop-up ser aberta para que seja possvel fazer Logout, fazendo com que no se gaste os
minutos do voucher cedido.
Voc ser redirecionado para a pgina configurada pelo Captive portal.









up ser aberta para que seja possvel fazer Logout, fazendo com que no se gaste os

up ser aberta para que seja possvel fazer Logout, fazendo com que no se gaste os