TREINAMENTO

NINJA DO PFSENSE
Segunda Aula
Objetivos
• Atribuição automática de Ips nas estações (DHCP)
• Resolução de Nomes (DNS)
• Liberar e bloquear conexões de rede – Regras de Firewall
• Expor servidores internos - NAT
• Consultar os Logs
• Monitoramento: Sistema, atividades, tráfego de rede
Recapitulando 1ª Aula
• Modelo conceitual OSI para descrever comunicação em rede
• Demo com Packet Tracer
• PC -> Switch -> Roteador -> Internet <- Roteador <- Switch <- Servidor
• Vantagens / desvantagens pfSense
• Opções de Instalação (appliance, vm, máquina)
• Gestão de usuários e Grupos
• Permissões de acesso na administração web
DHCP
DHCP
• Dynamic Host Configuration Protocol
• Empréstimo de endereços para os clientes
• Mais fácil e centralizado que configurar 1 por 1
• Deve haver 1 servidor DHCP em cada rede, +1 se houver redundância
• Server ou Relay
• Intervalos de endereços ex.: 192.168.0.100 até 192.168.0.200
• Demais opções: gateway, servidores dns, nome de domínio, tempo de
concessão (empréstimo) do IP, outros.
Services -> DHCP Server -> LAN
• Enable
• Range – IP inicial -> IP final
• DNS – por padrão o próprio firewall
• Gateway – por padrão o próprio firewall
• Nome de domínio
• Tempo de concessão – padrão 2 horas
• Tempo máximo de concessão – 1 dia
• IP Estático – IP Fora do range
• Pools Adicionais – Mapear MAC de fabricantes em range específico (voip)
DHCP - Demo
• Obter um endereço usando uma máquina dentro da LAN
• Trocar o IP da rede LAN de 192.168.1.1/24 para 10.0.0.1/24
• Alterar range do DHCP, para 10.0.0.100 a 10.0.0.254
• Forçar a máquina na LAN a obter um IP da nova rede
• Testar conectividade
DNS
DNS
• Domain Name System
• Porque lembrar de números se é mais fácil lembrar de nomes?
• Nomes ficam em bancos de dados distribuídos – 13 servidores raízes
• Sempre que acessa um site pelo nome, o navegador primeiro usa o
dns para traduzir o nome em IP e conectar ao IP
• Comando útil: nslookup
DNS
• Servidor DNS da rede
• Servidores AD preferencialmente
• Firewall caso não se aplique servidores AD
• Caso o firewall não saiba resolver, encaminhar para outro servidor?
Também chamado de “Forwarders/Encaminhadores”
DNS
• Tipos de registros:
• A -> Traduz Nome para IP
• PTR -> Traduz Nome para IP
• AAAA -> Nome para IPv6
• NS -> Lista de servidores DNS para aquele domínio
• MX -> Lista de servidores de e-mail para aquele domínio
• TXT -> Informações extras
• [...]
 Nome para
traduzir

Servidor
DNS

Nome consultado

Resultado da consulta
DNS - Demo
• Qual o IP do site www.citrait.com.br ?
• Quais os servidores DNS do domínio citrait.com.br ?
• Quais os servidores de e-mail para citrait.com.br ?
Configuração DNS no pfSense
• System -> General Setup
• Servidores DNS
• Permitir que o DNS obtido pelo DHCP da WAN seja usado primeiro
• Comportamento:
• Usar o próprio firewall para resolver
• Usar outro servidor DNS se o próprio firewall falhar
• Encaminhar todas as consultas para outro servidor
• Services -> DNS Resolver
• Definir entradas manualmente / sobrescrever entradas existentes
• Encaminhar para outro servidor se não conseguir resolver internamente
DNS Demo - Configuração
• Configurar o firewall para usar o DNS da cloudfare: 1.1.1.1
• Consegue resolver nome de outra máquina dentro da rede?
• Apontar o DNS para o servidor AD.
• Consegue resolver nome de outra máquina dentro da rede?
• Split brain: fazer resolver o nome www.citrait.com.br para servidor
dentro da própria rede.
Regras de Firewall
• Liberam ou bloqueiam as conexões
• Ordem de avaliação
• Filtro por IP/Porta – origem e destino
• Regras são atribuído a cada interface
• Regras granulares – Float rules
• Aplicam se nenhuma outra regra aplicar
• Quick – aplicam imediatamente
• Direção de entrada ou saída da interface de rede
• Marcam a conexão para outra regra aplicar
Regras de Firewall – Demo Bloquear facebook
Cadastrar um alias com os endereços do facebook
• Firewall -> Alias -> Add:
facebook.com www.facebook.com static.xx.fbcdn.net fbcdn.net

Adicionar uma regra que bloqueie conexões com os endereços do facebook

• Firewall -> Rules -> LAN -> Add
• Ação: Rejeitar
• Protocol: TCP/*UDP
• Origem: LAN
• Destino: Single host or alias -> facebook
A regra de
bloqueio deve vir
acima das regras
de liberação!
Regras de Firewall – Boas práticas
• Libere estritamente o que pode, bloqueie todo o resto
• Remova as regras padrão da LAN -> comece com o mínimo
• Log/registro de tudo que é importante, não log o resto
• Cuidado com regras gerais – permitem mais do que devia
• Tráfego DNS -> Apenas servidores DNS externos confiáveis
• Aplique o mesmo princípio com Email, Web, Backup, FTP
• Use separadores para facilitar a visualização
• Use nomes dns / alias ao invés de IP’s
 Comece com um conjunto mínimo de regras

Regra
implícita
negar
todo o
restante
Não sei porque o site foi bloqueado...
NAT – Network Address Translation
NAT / PAT
• Várias máquinas na LAN <-> Firewall <-> Internet
• Com um único endereço IP válido. Como é possível?

• Tradução de endereços (NAT)

• Ao passar pelo firewall, o firewall troca o IP da máquina pelo próprio IP válido
na internet (WAN). Assim na volta, o servidor sabe para qual IP válido
encaminhar.
• Tradução de portas (PAT)
• Preciso publicar 10 sites dentro da empresa, mas somente tenho 1 IP válido
na internet.
 Origem: 200.251.13.56:80
Destino: 189.22.32.78:1153
Origem: 200.251.13.56:80
7 6 Destino: 189.22.32.78:1153

2
3
Origem: 189.22.32.78:1153
Destino:200.251.13.56:80 Origem: 189.22.32.78:1153
Origem: 200.251.13.56:80 Destino: 10.0.10.6:80
189.22.32.78 200.251.13.56
Destino: 192.168.0.10:1153
Origem: 10.0.10.6:80
Destino: 189.22.32.78:1153
8
5
1 Origem: 192.168.0.10:1153
Origem: 189.22.32.78:1153
Destino: 200.251.13.56:80
Destino: 10.0.10.6:80
4

192.168.0.10
10.0.10.6
NAT – Demo
• Liberar acesso externo a servidor interno
• Firewall -> NAT -> Port Forward -> Add
• Destination Port Range
• Redirect target ip – ip servidor interno
• Redirect target port – porta do serviço no servidor interno
• Nat 1:1
• Alocar um segundo IP Externo
• Criar 1:1
• Validar que todas as portas são direcionadas para o IP interno
Logs
Logs
• Registro de eventos
• Status -> System Logs
• Sistema
• Firewall
• DHCP
• Authentication
• IPSec
• PPP
• OpenVPN
• NTP
• Packages
• Settings
Logs - Configurações
• Status -> System Logs -> Aba Settings
• Forward/Reverse Display – Mostra eventos recentes no topo da lista
• GUI Log Entries – Quantos eventos mostrar na lista? 1.000.000 ?
• Log firewall default blocks – Registro de bloqueios implícitos
• Log Rotation Size – Arquivar o log atual quando atingir quantos bytes?
• Log Retention Count – Quantos arquivos de log manter arquivados?
• Enable Remote Logging – Enviar logs para um servidor de log remoto?
Logs - Demo
• Logs do Firewall
• Logs do DHCP
• Logs de acesso a interface web
• Logs de gateways
Monitoramento
Monitoramento
• O que está acontecendo no firewall? Status!
• Sistema - CPU/Memória
• Tráfego
• Dashboards
• Interfaces, gateways, conexões
• Endereços DHCP emprestados
• VPN, Serviços
• Rotas
Monitoramento - Demo
• Tráfego
• CPU/Memória/Disco
• States
• Rotas
• Qualidade do link (perda de pacotes, delay, média...)
• DHCP Leases
• Serviços
 TREINAMENTO

NINJA DO PFSENSE
Segunda Aula