TREINAMENTO

NINJA DO PFSENSE
Última Aula
Recapitulando 3ª Aula
• Mais de uma conexão WAN (Multi-Wan)
• VPN Site a Site
• VPN Cliente para Site
• Redundância nas conexões VPN – Site a Site e SSL
Objetivos
• Controle de internet com WebProxy
• Troubleshoot
• Boas práticas
• Próximos Passos
• Agendamento do exame
WebProxy
WebProxy
Objetivo
• “Controle de internet”
• Quais sites podem ser acessados, e por quem!
• Ex.: Estagiário apenas intranet, colaboradores navegação segura,
diretoria redes sociais ...
• Registro das conexões, auditoria, investigação de acidentes
• Segurança, bloqueio de conteúdo malicioso, procrastinação
• Conformidade com a política de segurança da empresa
WebProxy
• Squid
• Intercepta as conexões
• Filtragem básica: endereço origem, endereço destino

• Squidguard
• Plugin do Squid
• Filtragem avançada
• Grupos
• Categorias de sites liberados/bloqueados
WebProxy
Modo Manual
• As máquinas precisam apontar o endereço de proxy
• Criar regra para bloquear o acesso direto às portas 80/443
• Criar regra para sites exceções passarem direto
• Necessário informar exceções nas máquinas
• Configurar manualmente ou via GPO nas estações
• Configurar automático - WPAD (autodescoberta de proxy)

Modo Transparente
• As máquinas não precisam apontar o endereço do proxy
• As conexões são interceptadas de maneira “transparente”
• Criar regra com exceções para não serem interceptadas
WebProxy - Squid
Instalar pacote: Squid
Configuração:
Modo manual
• Aba local cache -> Recriar o cache
• Adicionar um site na ACL -> Blacklist
• Habilitar o squid
• Habilitar logs
• Apontar o proxy na estação cliente
• Testar site comum, testar site inserido na blacklist. Bloqueou?
WebProxy - Squid
Modo transparente
• Criar uma Autoridade Certificadora (também é possível importar)
• Habilitar o proxy transparente
• Habilitar interceptação SSL
• Não inspecionar tráfego SSL, apenas liberar ou bloquear a conexão
(splice all)
• Remover configuração manual do proxy na estação cliente
• Testar navegação http e https, site liberado e site bloqueado
WebProxy - Squidguard
Instalar pacote: Squidguard
Configuração:
• Adicionar um target category – blacklist com domínio para ser bloqueado
• Habilitar blacklist, baixar a lista de sites¹
• Configurar a ACL de acesso padrão
• Default access: permitir ou negar por padrão?
• Bloquear redes sociais
• Habilitar log
• Habilitar logs na configuração global
• Habilitar o Squidguard, aplicar configuração
• Testar sites liberados e sites bloqueados
¹http://pfsense.citrait.com.br/cfs_site_categories.tar.gz
WebProxy - Logs
Logs padrão
• Logs realtime – Squid
• Logs bloqueado – Squidguard
Logs - Squid
Conexões
• Data/Hora
• IP Origem
• Acesso liberado/bloqueado
• URL
• Usuário (se estiver habilitado autenticação)
• IP Destino
Logs - SquidGuard
Bloqueios
• Data/Hora
• IP Origem
• Usuário autenticado
• URL
• Motivo do bloqueio – grupo do usuário e categoria do website
Relatórios - LightSquid
• Classificação
• Por data
• Por usuário
• Arquivos grandes
• Top sites
• Gráfico de tráfego (MB) consumidos
• Websites acessados (e não bloqueados)
• horários que foi feito o acesso
WebProxy - Logs
Relatórios de navegação: Instalar pacote Lightsquid
• Status -> Squid Proxy Reports
• Pré-requisitos
• Definir senha de acesso
• IP Resolve Method: Squidauth
• Save!
• Forçar primeira compilação de relatório (Refresh)
• Acessar lightsquid
• Navegar pelo relatório Ano/Dia e visualizar os sites acessados
WebProxy – Bônus – Autenticação no AD
Autenticação LDAP
• Proxy manual – não funciona no modo transparente. Desabilitar modo transparente!
• LightSquid: Configurar Squid para aceitar conexões também na interface loopback
• LightSquid: Configurar IP Resolve Method (onde localizar nome do usuário): Squidauth
• Squid -> Autenticação -> LDAP
• Preencher
• Servidor
• Usuário de consulta no formato DOMÍNIO\\USUÁRIO
• Senha do usuário de consulta
• OU (pasta) de consulta no formato DC=DOMINIO,DC=LOCAL ex.: dc=citrait,dc=local
• LDAP Username: samaccountname
• LDAP Search Filter: (&(objectClass=person)(samaccountname=%s))
• LDAP Not Follow Referrals
• Salvar
• Testar
• Logs aparecem nome do usuário?
Quase acabando...
• Troubleshoot
• Boas práticas
• Onde buscar ajuda
• Próximos Passos
• Agendamento do exame
Troubleshoot
• Logs
• Backup e Restauração
• Reinstalação
• Reinstalação mantendo a configuração
Boas Práticas
• Configure o mais restritivo possível
• Permita apenas o que pode, bloqueie o restante
• Registre as conexões (log)
• Use senhas fortes de administrador e usuário
• Faça backups antes de toda alteração
• Planilhas de boas práticas –itens de configuração
Onde buscar ajuda
• Google is your best friend!
• Documentação Oficial pfSense – Netgate
• Fórum oficial pfSense https://forum.netgate.com
• Grupos WhatsApp
• Grupos Facebook
Próximos Passos
• Fazer laboratórios para testar e pôr em prática o conhecimento
adquirido
• Fazer a avaliação do curso
• Conferir a documentação oficial
• Testar OPNSense – Filho do pfSense e bem promissor

• Curso pfSense Avançado... Cenas dos próximos capítulos

Página intencionalmente deixada em branco.
 TREINAMENTO

NINJA DO PFSENSE
Última Aula