TREINAMENTO

NINJA DO PFSENSE
Primeira Aula
Sobre o Instrutor – Luciano Rodrigues
• Cursou Ciência da Computação – Faculdade Pitágoras
• Demonstrou a possibilidade de vazamento de dados no portal da faculdade.
• Atualmente cursando Análise e Desenvolvimento
• Reciclagem, atualização de assuntos acadêmicos
• Já fazia firewalls Linux + IPTables + Squid – como estagiário em 2013
• Certificações: Cisco CCNA, CyberOps, DCPT, Sophos Engenheiro, ISO 27001, outras
• Usa pfSense desde 2015 – “quando eu cheguei aqui era tudo mato...”
• Strema – Suporte Sophos escopo nacional
• Integração Squid/AD após cancelamento PF2AD
• Atualmente trabalha com treinamentos e consultoria na...
• CitraIT
Objetivos do Curso
• Recapitular Redes
• Conhecer o Firewall pfSense
• pfSense como alternativa aos firewalls comerciais
• Entender quando e onde usar pfSense
• Entender as funcionalidades “Core” do firewall
Após o Curso
• Prestar consultoria de instalação e suporte
• Planejar ambiente do cliente
• Dimensionar o firewall corretamente
• Resolver problemas comuns
• Antecipar problemas
• Dar garantia do seu trabalho
• Seguir boas práticas de mercado
• Garantir para seu cliente que o firewall atende ao requisitos LGPD
Revisão de Redes
REVISÃO REDES – MODELO OSI
• 7 Camadas para descrever a comunicação em redes
• Modelo teórico
• Há também o modelo TCP/IP descrevendo 4 camadas condensadas
• Protocolos empilhados
• Camadas adjacentes
• Cada camada conversa apenas com a camada adjacente
• Cada camada adiciona cabeçalhos antes de enviar para a próxima
camada
Camada 1 - Física
• Transporte de dados lógicos através do meio físico (analógico)
• Cabo de rede
• Placa de rede
• Hub
• Fibra
• Multiplexador
Camada 2 – Data Link
• Menor unidade lógica de dados
• Frames enviados e recebidos
• Composta de protocolos que identificam dois hosts diretamente
conectados no mesmo switch – ex.: ARP, MPLS, PPP, etc.
• Apenas conexões com o próximo Host
• Mesmo domínio de broadcast
• VLANs
Camada 3 - Rede
• Pacotes
• Endereçamento lógico de cada Host (IP) (como se fosse um CEP)
• Roteamento
• Switches L3 e não mais hubs “burros”
• Redes Remotas
• IPv4, IPv6
Camada 4 - Transporte
• Até então preocupamos com a conexão entre dois hosts
• Fornece mecanismo de transporte de dados entre duas aplicações
• Segmentos
• Pode ser baseado em conexão (sessão) ou não. Ex.: TCP/UDP.
• Controle de fluxo, congestão
• Fragmentação
Camada 5 - Sessão
• Sessão na comunicação: estabelecimento, controle e encerramento
• ex.: Logins, logoff de ftp.
• Melhor interpretado nas funções lógicas da camada de aplicação
• Duas requisições HTTP simultâneas – em qual devolver a página A e
em qual devolver a página B?
Camada 6 - Apresentação
• Bits e Bytes em informações legíveis
• Ex.: Criptografia
• Ex.: Caracteres regionais
• Compressão de dados (zip)
Camada 7 - Aplicação
• Mais próximo do usuário, geralmente texto legível
• Protocolo do software final ex.: Firefox e Apache
• HTTP, FTP, SMB, SMTP, POP, IMAP, Telnet, SSH, SNMP, DHCP, etc
Packet Tracer Demonstração
Onde entra o Firewall?
Responsabilidades do Firewall
• Conectar redes distintas – Geralmente é o gateway em redes SMB
• Proteger a rede interna sendo um intermediador com redes externas
• Ter conhecimento de todas as conexões passantes
• Implementar a política de rede
• Permitir o que pode, bloquear o que não deve
Visão Geral do pfSense
Firewall pfSense
• História (FreeBSD pf -> M0n0wall 2003 -> pfSense 2006 -> Netgate)
• Open Source -> pode usar mas não pode revender
• Firewall Open Source mais utilizado globalmente
• Interface limpa, consistente
• Performance em hardware commodity
• Documentação oficial & comunidade
 Funcionalidades
• Firewall
• Roteador
• Prevenção de ataques de rede
• VPN
• Proxy e webfilter
• HA Load Balancer
• Serviços de rede (DNS, DHCP, NTP, outros)
• Autenticação de usuário
• Monitoramento / Relatórios

*https://www.netgate.com/pfsense-features
Em comparação com outras soluções
O que precisa melhorar?
• API / Administração centralizada
• Melhores relatórios
• Wizard de configurações
• Dependências de terceiros (ex.: categorias do webfilter)
• Menos cliques para configurar
• Performance em ambientes ocupados
Deployment
• Appliance Netgate
• Appliance terceiros
• Cloud
• Máquina Virtual
• Hardware commodity
Pré-Requisitos
• CPU 600 MHz
• 512MB Ram
• 4GB Disco
• Placas de rede compatíveis
• Boot CD ou USB
• Serial ou VGA
Instalação
Download

• https://www.pfsense.org/download/
1. Boot na mídia de Instalação
2. Termo de Licença (copyright)
3. Instalação
4. Teclado
5. Sistema de Arquivos
6. Pool ZFS
7. Redundância de Disco
8. Disco de Sistema
9. Confirmar Formatação
10. Aguardar
11. Alteração Manual Final?
12. Reboot
13. Boot
14. Acesso WebGUI
15. Wizard - Bem Vindo
16. Wizard – Suporte Netgate
17. Wizard – Informações Gerais
18. Wizard – Time Server
19. Wizard – Interface WAN
20. Wizard – Interface LAN
21. Wizard – Senha Admin
22. Wizard - Reload
23. Wizard – Reloading...
24. Wizard - Completado
25. Copyright
26. Obrigado
Enfim
Configurações Gerais
Configurações Gerais
• System -> General Setup
• Hostname
• Domain
• DNS Server
• DNS Resolution
• Timezone
• Language
Usuários e Grupos
Usuários
• Criar usuário sem permissão
• Login – consegue acessar alguma página?
• Atribuir permissão somente página dashboard
• Atribuir permissões em cada página
Grupos
• Criar grupo Teste
• Atribuir usuário ao grupo
• Atribuir permissão ao grupo
• Testar acesso do usuário baseado na permissão dada ao grupo
Autenticação
• System -> User Manager -> Authentication Servers
• Autenticação Local, LDAP ou RADIUS
• LDAP: Active Directory Windows AD e Linux (samba)
• Importar certificado CA no Firewall
• Usar FQDN do servidor LDAP (firewall deve conseguir resolver dns)
• Criar parâmetros de conexão
• Diagnostics -> Authentication
• Testar
Certificados
Autoridade Certificadora
• System -> Cert. Manager -> CA
• Certificado PAI de outros certificados.
• Quem confia no certificado PAI confia nos certificados FILHOS
• Criar uma nova CA ou importar do Active Directory
• Marcar Trust Store. Confiar na CA e seus certificados emitidos a nível
de sistema operacional
Autoridade Certificadora
• System -> Cert. Manager -> CA
• Add
• Descrição
• Método: Criar uma autoridade certificadora interna
• Trust store: check
• Common name: um nome sugestivo
• Informações organizacionais: Country,State,City,organization,Dept.
• Save
Certificado de Servidor
• System -> Cert. Manager -> Certificates
• Exemplo de uso: WebGUI ou VPN
• Certificado Filho da CA criada anteriormente
• Tipo: Servidor -> em serviços ou Usuário -> autenticação na vpn
• Common Name Importa! Nome fqdn do firewall ex.: fw01.citrait.local
• Alternative Names: IP Address para confiar também no ip do firewall
• Alterar certificado da WebGUI: System -> Advanced -> SSL Certificate
• Importar CA do firewall na máquina do Administrador/usuários
Certificado de Servidor
• Importar a CA nas estações de usuário/administrador
• System -> Cert. Manager -> CA’s
• Actions: Exportar

Na estação
• Abrir o gerenciador de certificados do Windows: Certmgr.msc
• Selecionar pasta Autoridades de Certificação Raiz Confiáveis
• Importar o arquivo exportado anteriormente
• Selecionar o certificado.
• Confirmar
• Fechar e abrir o browser.
• Deverá aparecer que a conexão é segura
Certificado de Cliente
• Será utilizado na autenticação de VPN.
• Próximos capítulos...
Dever de casa
Atividade
• Resumo da aula 1 – pode ser mapa mental
• Setup de um firewall pfSense.
• Enviar resumo e print da configuração finalizada no email:
luciano@citrait.com.br
Cenas do próximo capítulo
Firewall e Serviços de Rede
• > DHCP
• > DNS
• > Regras de Firewall
• > Regras de NAT
• > Logs
• > Monitoramento
 TREINAMENTO

NINJA DO PFSENSE
Primeira Aula