Você está na página 1de 8

IMPLANTAÇÃO DO PFSENSE COMO UTM FIREWALL NAS UNIDADES DE

SAÚDE DA CIDADE DE MONTES CLAROS MG

Justificativas:
A necessidade de proteção do perímetro de rede de computadores local das
unidades de saúde; a possibilidade de gestão do referido ambiente de rede;
controles de acessos web; controle de tráfego tcp/ip; a possibilidade de suporte
remoto com segurança a este ambiente; melhoria no acesso aos sistemas e
aumento de desempenho da rede como um todo entre outros. A escolha do pfsense
como solução se baseia por se tratar de um software opensource que não trará ao
município qualquer ônus referente a licenciamento. Trata-se ainda de uma solução
amplamente difundida no mundo e com muita oferta de material de suporte
disponível em fóruns da internet. Há ainda muita oferta de mão de obra técnica com
conhecimentos desta solução.

Modelo básico:
solução composta por um microcomputador com duas placas de rede e o pfsense
instalado irá funcionar como gateway de rede com a placa de rede externa (wan)
conectada ao modem do fornecedor de internet recebendo o ip público, a placa de
rede interna (lan) deverá ser conectada ao switch ou ponto de acesso sem fio,
também fará o endereçamento automático dos dispositivos conectados a rede e o
range de ips atribuídos será entre o 10 ao 60, o proxy configurado conta com
método de detecção automática pelos navegadores, através de um script de
configuração passado por dhcp e dns, o proxy conta ainda com uma lista gratuita
de categorização de controle de conteúdo web disponível em ​www.shallalist.de​,
permitindo que categoria de sites como redes sociais, filmes, músicas e conteúdo
adulto entre outros sejam bloqueados, há também um relatório de acesso simples, o
firewall (regras de filtragem de tráfego) foi configurado tendo como base listas de
exceção de origem e destino além de porta permitidas liberando apenas o
configurado em suas regras respectivas, em cada um está configurado ainda um
openvpn server em modo de client to site, podendo ser adicionados novos clientes a
qualquer momento para acessos externos seguros aumentando a possibilidade
suporte e viabilidade de novas soluções que dependam de comunicação segura.
Observações gerais ao instalar novos, ou reinstalar e de funcionamento:
verificar o nome do host em system, general setup, endereços de rede lan, e alterar
parâmetros sensíveis como ips nas configurações das interfaces de rede LAN, nas
configurações do proxy squid, nas configurações do squidguard, no squidguard
também devem ser baixados as listas na aba blacklist, o arquivo “proxy.pac” deve
ser colocado no diretório /usr/local/www, deve ser alterado o ip do servidor proxy,
também devem ser criados dois links simbólicos para esse arquivo, ‘wpad.dat’ e
‘wpad.da’ neste mesmo diretório, na opção dns resolver devemos trocar o endereço
ip do host override ‘wpad’, também devem ser trocados na regra de nat para
administração remota, ou regras de firewall e configurações de vpn, além das
configurações do dhcp server,

a administração remota via web gui está liberada para os ips da sede da pmmc e
para a sede da secretaria de saúde sendo “​http://ip_da_wan:8181​” o endereço para
acesso
Backup automático na nuvem da netgate
Em Services/Auto Configuration/BackupRestore temos a possibilidade de salvar
automaticamente backups de maneira agendada cópias de backup das
configurações dos firewalls, bastando guardar identificador, hostname e senha de
segurança, OBS: numero de copias limitadas verificar documentação.

Monitoramento de qualidade de link e tráfego:


Em Status/Monitoring está configurado o monitoramento de qualidade de link e
tráfego total que pode ser visualizado realizando filtros por período.
Controle de navegação:
o controle de navegação e realizado pelo proxy server squid e o proxy list
squidguard ambos instalados como pacotes adicionais ao pfsense disponíveis no
menu serviços ativos e parametrizados para suas respectivas redes locais.
Categorização do acesso web.
Com o auxílio das listas de sites categorizados disponiveis em
http://www.shallalist.de/ conseguimos bloquear e liberar os acessos baseados em
tipos de conteúdos melhorando a eficiência dos bloqueios.

Também é possível criar categorias alvo personalizadas para ajustes finos dos
controles de acessos liberando ou bloqueando sites específicos mesmo estando
eles em categorias já controladas.
Controles de portas e regras de firewall.
A entrada de tráfego pela WAN é por padrão bloqueada, sendo permitidas somente
os tráfegos expressamente permitidos.

da mesma forma ocorre com o tráfego de saída a partir da LAN, somente o'que está
especificamente nas regras será liberado. estamos utilizando ainda o conceito de
alias para o controle de portas de serviços
Controle de portas liberadas para tráfego de saída.
Em Firewall/ Aliases/ Ports, temos cadastrado um alias “prt_liberadas” que serve
de conjunto de portas tcp e udp liberadas para saída da rede interna, bastando
adicionar ou remover uma porta para liberar ou bloquear respectivamente é
importante também adicionar um descritivo sobre a referência da mesma.

Você também pode gostar