Treinamentos

Verso 1
Emisso: 15 de Janeiro de 2011
Validade: Indeterminada

Contedo
SUMRIO EXECUTIVO
ADMINISTRAO DO PFSENSE
8. AUMENTANDO A
1. OBJETIVO
SEGURANA DO PFSENSE
2. SOBRE O PFSENSE
9. INSTALAO DE
PACKAGES
3. PR-REQUISITOS
9.1. Instalando os Packages
9.2. Verificando Packages
4. INTRODUO
instalados
SEGURANA EM REDE
4.1.

Definio

10. RULES: DEFININDO

REGRAS DE ACESSO

12. PROXY:
CONFIGURAES DO
SQUIDGUARD
12.1. Baixando BlackLists
12.2. Gerenciando BlackLists
12.3. SquidGuard Logs
13.

DHCP SERVER

5. PR-REQUISITOS PARA
INSTALAO DO PFSENSE

5.2.

11. PROXY:
14. DHCP RELAY
CONFIGURAES DO SQUID
15. NAT PORT FORWARD
Compatibilidade de Hardware 11.1. Configuraes Iniciais do
Servio de Proxy
15.1. Port Forward
Mdia do PFSENSE

5.3.

Requisitos de Hardware

5.1.

6.

INSTALAO DO PFSENSE

7. CONFIGURAES INICIAIS
DO PFSENSE

11.2.

Mtodos de Autenticao 15.2.

11.3.

Cache

11.4.

Access Control

16.

NAT 1:1
BACKUP / RESTORE

Sumrio Executivo
A EficienTI uma empresa de prestao de servios de Infra-Estrutura
de TI, originada a partir de uma empresa parceira Gold Microsoft,
especializada em Infra-Estrutura de TI.
Outros servios oferecidos pela EficienTI incluem solues de
hospedagem, terceirizao de servios de TI e servios de
ServiceDesk.
A EficienTI se caracteriza pelo compromisso absoluto com a entrega
de solues de alta qualidade, dentro do prazo e custo estimados.
Nossos gerentes so especializados na entrega de solues que

melhor atendam a necessidade dos clientes, de maneira eficiente e

de acordo com o escopo definido.
A EficienTI possui profissionais com especializao nas competncias Microsoft
relativas a NetWorking Infrastructure Solutions, Linux, Gerncia, Melhores Prticas e
Controle de T.I. Entre as certificaes de seus profissionais esto ITILF, COBITF, CSM,
LPIC-1, LPIC-2, MCTS, MCSE, MCSA, MCDBA, MCSD e MCAD.

Administrao do PFSENSE
Objetivo
Capacitar instalar, configurar e administrar recursos de Firewall, Proxy, DHCP, NAT
Port Forwarding e VPN utilizando o pfSense, um firewall estavel montado sobre a
plataforma FreeBSD.

Sobre o PFSense
O pfSense um dos mais conhecidos e provavelmente mais rico, em recursos, entre os
sistemas para appliance pr-configurado. Nascido em uma verso customizada do
estvel FreeBSD, conta com uma interface amigvel que facilita a administrao. Com
gerenciamento via Web, oferece inmeros recursos, focado para ambiente de
roteamento e firewalling, bem como segurana de networking, excelente soluo para
VPN entre outros diversos recursos.

Pr-Requisitos
Conhecimento bsico em redes de computadores

Introduo Segurana em Rede

Definio
Consiste em atuar em uma linha de defesa eficaz em trs pontos
principais em uma rede:

Defesa contra catstrofes

Defesa contra falhas previsveis

Defesa contra acesso no autorizado

Para atacas essas reas com eficincia, podemos trabalhar com os

seguintes recursos de TI:

Criptografia
Gesto de Chaves Pblicas

Firewalls

Sistema de Deteco de Intruso

Redes Virtuais Privadas (VPN)

Segurana em Redes Sem Fio

Pr-Requisitos para Instalao do PFSense

Compatibilidade de Hardware
Antes de iniciar a instalao do PFSense, recomenda-se verificar no centro de
compatibilidade do FreeDSD afim de escolher o melhor hardware possvel para a
instalao: http://www.freebsd.org/releases/7.2R/hardware.html

Mdia do PFSENSE
Primeiramente devemos baixar a ultima verso estvel do PFSense disponvel no site do
PFSEnse.org http://www.pfsense.org/mirror.php?section=downloads
Aps realizar o Download da imagem atravs de um dos mirros disponveis, podemos
usar o 7-zip para Descompactar a imagem e finalmente o um gravador de imagem
(.ISO), cito por exemplo, o BurnWare Free

Requisitos de Hardware
Recomenda-se utilizar um servidor com pelo menos 1.5 Ghz de processador e 512MB
de Ram.
Necessrio utilizarmos no mnimo 2 placas de rede

Instalao do PFSense Passo a Passo

Passo 1
O CD baixado no site do PFSense, funciona com um live cd, ou seja, todo o sistema
pfsense j est previamente carregado e pronto para uso ao iniciarmos o nosso servidor
a partir do CD Rom. Isso pode ser muito til para casos de emergncia em que faz-se
necessrio subir rapidamente o firewall, tendo que apenas iniciar o servidor a partir do
cd e importar as configuraes que podem ser salvas em um arquivo XML.

Passo 2
Ao inicializar o cd ser carregado o sistema PFSense at que seja necessrio realizar
as configuraes iniciais de rede conforme print abaixo

Passo 3
As interfaces de rede disponveis sero exibidas, como no exemplo acima, como em0 e
em1. Quando for perguntado se voc quer configurar uma vlan responda que no
digitando N e em seguida enter.
Voc ser perguntado agora quais so as suas interfaces LAN e WAN, basta definir de
acordo com a sua preferncia conforme print abaixo:

Passo 4
Aps esse processo o PFSense j estar pronto para utilizao visto que um live cd,
porem recomenda-se realizar a instalao no prprio disco rgido para maior
performance e estabilidade do sistema. Faa isso usando a opo 99

Passo 5
Aceite as configuraes de console atuais (vdeo, teclado etc)

Passo 6
Quick Install para uma instalao automatizada

Passo 7
1. Ser exibido um alerta de que seu HD ser formatado e o PFSense instalado no
disco rigido, clique ok

Passo 8
Quando for perguntado da instalao do Kernel, marque a opo que melhor se
adequar ao seu processador. Basicamente, se voc estiver utilizando um nico
processador escolha Uniprocessor Kernel caso esteja usando mais de um
processador marque Symmetric Multiprocessing Kernel

Passo 9
Quando for exibida a tela abaixo voc ter finalizado a instalao do PFSense
com sucesso. Ser solicitado o Reboot do servidor, lembrando que ser
necessrio retirar o cd da unidade

Configuraes Iniciais do PFSense

Passo 1

Aps a instalao e reboot do PFSENSE (Boot a partir do HD), estaremos com

nosso sistema pronto para ser configurado via Web

Passo 2
Caso necessrio, podemos alterar o IP da rede interna com a opo 2.
Obs: Lembre-se de no habilitar o DHCP no seu PFSense caso no seja
realmente necessrio.
Aps a definio do IP correto da rede interna podemos acessar o PFSense a
partir de uma estao na sua rede interna, digitando pelo seu navegador o
endereo da LAN do PFSense.
Digite as credenciais: Usuario: Admin; Password: pfsense, para inicializar o
wizard de configurao inicial.

Passo 3
Configure o Nome do seu servidor Proxy/firewall, domnio e o DNS apontando para os
servidores interno, caso disponvel.

Passo 4
Altere o timezone para America/So Paulo

Passo 5
Configure sua interface WAN de acordo com as configuraes da sua prestadora de
servio de internet

Passo 6
Confirme as configuraes da sua LAN e redefina e documente sua senha de acesso ao
PFSENSE. Ser solicitado que voc recarregue as configuraes do PFSense:

Passo 7
Com isso o PFSense j esta devidamente configurado com as configuraes bsicas e
apto a navegao de seus clientes.

Aumentando a Segurana do PFSENSE

Para uma melhor experincia com o PFSense, devemos deixar a tela do console
bloqueada para acesso somente autorizado com senha, para isso basta navegar em
System, Advanced e na opo Miscellaneous marque a Check-box Password protect
salve as alteraes e reinicie o PFSENSE

Instalao de Packages
Instalando os Packages
Selecionamos alguns dos pacotes mais importantes para nossa estrutura inicial.
Abaixo a lista dos Packages que devemos instalar. Para instal-los navegue em
SYSTEM > PACKAGES e clique no boto + ao lado da descrio do pacote.
Execute a instalao na seguinte ordem:
1 squid: Servidor Proxy. Reduz utilizao da conexo e melhora tempo de resposta
fazendo cach de suas requisies alm de prover um nvel bsico de controle e
segurana no acesso URLs potencialmente perigosos
2 Lightsquid: Ferramenta responsvel pela gerao de relatrios de acesso
3 squidGuard: Poderosa ferramenta de acesso que integrado ao squid permite
controlar a navegao baseado no endereo de origem, destino, URL, Horio ou

combinaes desses itens. Conta com blacklists agrupados em categorias de sites e

atende 1000.000 solicitaes em 10 segundos segundo o site oficial.

Verificando Packages instalados

Poderemos consultar os pacotes instalados posteriormente em Installed Packages.

Rules: Definindo Regras de Acesso

Firewall > Rules: Podemos editar nossas regras permitindo ou negando o acesso
protocolos e portas de qualquer origem para qualquer destino, defindo conforme poltica
de segurana da TI da empresa ou Grupo.
Caso voc no tenha nenhuma regra de liberao criada o comportamento do PFSense
de bloquear todo trafego de entrada e sada.

Proxy: Configuraes do Squid

Services > Proxy Server:

Configuraes Iniciais do Servio de Proxy

Na aba General do nosso Proxy Server podemos
configuraes bsicas do nosso servio tais como:

Interface
Habilitar Proxy Transparente

Log

definir

as

Porta

Servidores DNS

Mtodos de Autenticao
Para configurao do Squid como proxy da nossa organizao, podemos utilizar
basicamente 3 metodos de acesso:

Transparent Proxy
Autenticao com usuario Local do PFSense

Autenticao Integrada com recursos Externos (LDAP Windows Active

Directory)

Transparent Proxy: A estao de trabalho se conecta ao PFSense como Gateway que

se apropria da requisio para sair para internet como Proxy. Para habilitar basta marcar
a check box correspondente na aba geral do Proxy Server
PFSense Local User: Para este mtodo de autenticao deve-se criar um
ou mais usuarios na ana Local Users e em seguida em Auth Settings definir
o metodo de autenticao como Local.
Autenticao Integrada com AD (LDAP): Para que os usuarios de um
dominio Windows 2003 possam autenticar com seus usuarios do AD no
PFSense devemos definir em Auth Setting o mtodo de autenticao LDAP
seguindo as configuraes abaixo:

Verso do LDAP: 3 (para Windows 2003 Server)

Authentication Server: IP ou FQDN do Servidor

Authentiocation Port: 389

User DN (user1 criado no dominio dom1.local por exemplo):

o

cn=user1,cn=Users,dc=dom1,dc=local

LDAP Password: Senha do usuarios definido em User DN

LDAP Base Domain: dc=dom1,dc=local (conforme exemplo do dominio

User DN Attribute: uid

Search Filter: sAMAccountName=%s

dom1.local)

Cache
Na Aba Cache Mgmt podemos configurar as opes de cache do
pfsense.
Recomendaes da comunidade PFSense:

HardDiskSize 3000 (3GB)

Memory: 50% da Capacidade do seu server

Minimum object size: 0

Maximum object size: opcional

Hard disk cache system: aufs ( uma verso alternativa de

unionfs que tem como objetivo melhorar a confiabilidade e
o desempenho do sistema de armazenamento)

Access Control
Na aba access control do Proxy Server temos a opo de configurar
um controle bsico de acesso definindo por exemplo, uma blascklist
bsica para o servio squid

Proxy: Configuraes do SquidGuard

Services > Proxy Filter

Baixando BlackLists
Com a configurao de Blacklists, atravs do servio do SQUID Guard, podemos
baixar listas organizadas por grupos e categorias para facilitar o bloqueio ou liberao
para maquinas, usurios e grupos. Para isto devemos adicionar o seguinte endereo
BLACK LIST URL: http://www.shallalist.de/Downloads/shallalist.tar.gz
Com esse endereo devidamente adicionado clique em Upload URL e aguarde alguns
minutos.

Obs: Lembre-se de Salvar e aplicar as alteraes aps a finalizao do Upload

Gerenciando BlackLists
Voc pode gerenciar sua Blacklist por grupos ou simplesmente configurar sua regra
default.

Para isso basta acessar a Aba Default em Proxy Filter e clicando em: Destination
Ruleset, gerenciar as listas baixadas, liberando ou bloqueando o s acessos conforme a
necessidade e poltica da empresa.
A criao e gerenciamento de grupos customizados por maquinas ou usurio (caso voc
integre o PFSENSE ao Active Directory), pode ser feito na aba
ACL do Proxy Filter. Lembre-se de sempre salvar as configuraes realizadas,
clicando em Save no fim da pgina e aplicar as alteraes clicando em Apply na aba
General settings.

SquidGuard Logs
Na aba Log do ProxyFilter podemos acompanhar uma lista de urls que
foram bloqueadas acessando a oo Blocked.
Outra opo interessante do Log do Sq uid Guard esta na opo
Filter Log, onde voc pode acompanhar o funcionamento ou parada
do servio SquidGuard. Essa opo pode ser til para um
troubleshoting aonde podemos verificar se o servio est iniciado se o
ltimo log gerado for uma mensagem semelhante squidGuard
ready for requests, ou se o servio est parado quando tambm
explcito na ultima entrada do Log.

DHCP Server
Services > DHCP Server: Para ativao do servio basta marcar a check box Enable
DHCP Server e definir o escopo para sua rede interna.

DHCP Relay
Services > DHCP Server: Para recebimento automatico de um IP em uma rede, a
estao que faz a solicitao necessita iniciar a negociao com um broadcast na rede
afim de encontrado o Servidor DHCP, porem por default a maioria dos roteadores no

encaminham trfego de broadcast. Podem haver casos em que o servidor DHCP est
localizado em uma sub-rede que conecta-se a outra sub-rede atravs de um roteador (no
nosso caso o pfsense). Nesse caso devemos configurar o DHCP Relay que se
encarregar de pegar os pacotes enviados pelo cliente DHCP e encaminhar para o
servidor DHCP

NAT Port Forward

Firewall > Port Foward:

Port Forward
Consiste em redirecionar uma porta especfica de um n para outro.

Por exemplo: O WebSite da minha empresa, configurado

em um servidor na minha rede interna, precisa ser
publicado para acesso externo. Para que isso seja possvel
devemos criar um port foward redirecionando todo trafego
que chegar na porta 80 da interface wan do PFSense para
a porta 80 do meu servidor web interno.

NAT 1:1
Destinado a ligar dois ns de redes distintas aonde todo trafego de
internet (para o IP publico especificado) direcionado a um IP
especifico da nossa rede interna. Para Permitir o trfego partir da
internet deve-se criar uma regra do firewall (rules).

Backup / Restore
Para importar as configuraes do PFSense, Navegue por Diagnostics,
Backup/Restore e importe as configuraes em XML que contem as configuraes
desejadas. Voc pode editar o arquivo XML com um bloco de notas a fim de realizar os
ajustes necessrios antes de realizar o import.

ATENO!!!!!!!!!!
No campo Restore Area voc deve restaurar exatamente a configurao especifica que
deseja, por exemplo: Configuraes de Rules.. Configurao de TUDO (All) Caso
seja feito algum restore em rea incorreta, isto pode fazer com que o pfsense pare de
funcionar visto que sero feitas alteraes em locais incorretos.