Escolar Documentos
Profissional Documentos
Cultura Documentos
Recapitulando
Olá Pessoal, bem vindos ao curso de firewall com pfSense.
Na última aula configuramos as regras de firewall para fazer a filtragem de conexões na camada 3 e 4, bloqueando ou liberando o acesso através dos
campos de endereço IP e porta dos hosts origem e destino da conexão.
Na aula de hoje, iremos configurar o filtro de internet, também conhecido como webproxy para limitarmos o acesso dos usuários a sites da internet. E
vamos fazer isso de uma maneira bem especial, pois eu vou fazer com você uma configuração que nunca encontrei na internet, que é utilizando a
autenticação transparente dos usuários nativamente no pfsense utilizando o protocolo Kerberos, isso vai fazer nossa rede mais segura, não pede senha para
o usuário navegar e registra o acesso no nome do usuário, independetemente do computador que ele estiver utilizando.
Ambiente
Nosso ambiente de laboratório é simplório, vamos utilizar apenas um firewall que é objeto de nosso estudo, um servidor windows com Active Directory
instalado e configurado para ser nossa fonte de usuarios e grupos, e tambem uma maquina com windows 10 inserida no dominio, que sera nossa maquina
de validação, ou seja, nossa maquina que o usuário final utilizará.
Treinamento Firewall pfSense
Hostname e Domínio
Vamos começar ajustando o hostname do firewall e o dominio. Devemos configurar um hostname válido que sera registrado no DNS, e configurar no
firewall o mesmo nome de dominio da nossa rede Active Directory. No meu caso o nome do firewall é fw01 e o nome do dominio é citrait.local.
Squid
SquidGuard
Lightsquid
Habilitar o proxy
Nas configurações do squid na aba Local Cache, marcar Disable Caching para desabilitar totalmente o cache.
Na guia geral, habilitar o proxy squid, habilitar o log e inserir 30 dias de retenção.
Na guia ACL no campo blacklist adicionar o site test.org.
Treinamento Firewall pfSense
Testar o proxy
Navegar no site test.org para verificar se foi bloqueado (não será)
Apontar o proxy manualmente no computador via configurações de internet (inetcpl.cpl)
Navegar no site test.org para ver que foi bloqueado pelo proxy e o proxy esta minimamente funcional
Exibir os registros de navegação pela aba real time do squid
Salvar a configuração.
[libdefaults]
default_realm = <DOMINIO.LOCAL>
dns_lookup_kdc = no
dns_lookup_realm = no
ticket_lifetime = 24h
default_keytab_name = /etc/proxy.keytab
[realms]
<DOMINIO.LOCAL> = {
kdc = <ad>.<dominio.local>
kdc = <ad2>.<dominio.local>
admin_server = <ad>.<dominio.local>
admin_server = <ad2>.<dominio.local>
default_domain = <dominio.local>
}
[domain_realm]
.<dominio.local> = <DOMINIO.LOCAL>
<dominio.local> = <DOMINIO.LOCAL>
ldapusersearch ldap://citrait.local:3268/DC=citrait,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=
INTERNET_BASICO,OU=Grupos,DC=citrait,DC=local))
Testar a navegação nos sites bloqueados via grupos, e ver se esta identificando e bloqueando corretamente os acessos dos usuários baseado nos
grupos.
Treinamento Firewall pfSense