O pfSense

Projeto iniciado em 2004 por Chris Buechler e Ullrich Scott, sendo que Buechler é atualmente o
CTO (Chief Technology Officer) traduzido para Diretor Tecnológico da BSD Perimeter. Scott, é o
arquiteto chefe dessa mesma empresa onde, além de cofundador, é o principal desenvolvedor
do pfSense. A BSD Perimeter é a empresa oficial de desenvolvimento das soluções de
segurança, suporte comercial e consultoria para Appliances Firewalls baseados em m0n0wall e
pfSense para o mundo todo.
O pfSense é baseado na então conhecida plataforma UNIX FreeBSD, ele possui um servidor
web e suporta aplicações em PHP, proporcionando uma interação amigável entre usuário e
sistema, chamada de Dashboard. Esse conceito de configuração em modo gráfico (WEBGUI)
utiliza os mesmos recursos de um serviço web. Essa ideia foi aproveitada do sistema m0n0wall,
seu irmão mais velho. Ele é uma versão reduzida de tudo que o UNIX FreeBSD possui de
essencial para tecnologias em rede; o m0n0wall ocupa pouco mais que 8Mb de espaço; por ser
um sistema tão reduzido, é possível ser gravado diretamente em pequenos dispositivos em
estado sólido (O silício) embarcados em Hardwares Appliances, podendo ser instalado também
em HDs ou Compact Flashes.
A criação do pfSense, utilizando o FreeBSD como base de sua construção, foi motivada pelo
fato de que este UNIX era o único que dominava a tecnologia wireless de forma bastante
avançada, possuindo até mesmo suporte à criptografia do tipo WPA2, o que não era possível
em outros sistemas na época. A opção por um BSD foi muito bem sucedida, principalmente
porque o pfSense herdara a pilha TCP/IP da família de sistemas UNIX, que é considerada a de
melhor performance e a mais robusta já existente. E não era pra menos, pois ela foi criada na
própria plataforma BSD (Berkeley Software Distribution) para suprir as necessidades da então
extinta ARPANET, hoje a Internet, tornando-se um padrão mundial.

O sistema pfSense utiliza a mesma licença da família BSD, que por sua vez é baseada em
código aberto, possuindo poucas diferenças comparadas com as impostas por licenças como a
GNU/GPL e a Copyright, ao ponto de poder ser chamada de licença de domínio público. É
possível encontrar o termo da licença no site oficial da comunidade.
Apesar do pfSense ser um Unix não é necessário que o usuário seja expert nesta modalidade
de sistema. Por ser um sistema pré-programado, basta apenas que, após a instalação sejam
adicionadas as configurações necessárias utilizando um navegador web; todavia, o utilizador
deve possuir conhecimentos em protocolos e segurança de rede para configurá-lo
corretamente.

Para configurar este tipo de sistema não é necessário estar na presença do servidor, é possível
fazê-lo remotamente, bastando digitar o IP pré-configurado na barra de endereço de um
navegador web, quando será solicitado login e senha; após a autenticação, receberá a
Dashboard, ou painel de controle do sistema.

Por esse motivo o equipamento onde o pfSense foi instalado sequer precisará de um monitor,
teclado ou mouse, podendo ser acessado remotamente, de onde se fará toda configuração e
monitoramento do mesmo.

Postfix Mailrelay - antispam

Todo sysadmin sabe que o SPAM está entre as pragas digitais mais complexas de se eliminar
em redes corporativas. Por mais que se invista em ferramentas (ONLY ou SOA), zerar o custo
de processamento, logística e armazenamento deste tipo de mensagem é praticamente
impossível. Mesmo empresas que investem algumas dezenas de milhões de dólares todos os
anos (caso do GMail, Hotmail, Yahoo, etc..) não conseguem vencer totalmente esta guerra.

Não há uma metodologia mágica para se tratar de SPAM e os equipamentos/soluções do tipo

UTM (Unified Threat Management) proprietários possuem um alto TCO e um custo de aquisição
considerável. Mas graças a tudo que já temos desenvolvido no pfSense e ao trabalho de um
dos commiters brasileiros mais ativos no momento, o Marcello Coutinho, já podemos
transformar nosso pfSense em um “MailScanner AntiSpam” de camada 7.

Postfix Forwarder. Segundo o próprio desenvolvedor, esta versão inclui:

Anti zumbi (postscreen)

Verificação de cabeçalho
Verificação de corpo de mensagem
Listas de acesso
consulta a listas de rbl
consulta a registro spf
Suporte a Sqlite para armazenamento dos logs
widget no dashboard com estatisticas de email
Ferramenta para pesquisa dos emails nas bases SQL
Algumas alterações na GUI para ajudar na configuração

Além disso tudo, ainda é possível encaminhar os emails a uma terceira verificação antispam
como, por exemplo, mailscanner ou policydv2.

Para instalar o Postfix Mailrelay, por hora, faça isso pela shell texto com o comando:

# pkg_add -r MailScanner

Nota importante: NUNCA tente instalar o pacote policydv2 do freebsd, ele vai acabar com seu
pfsense. Se você planeja usar o policyd, faça isso em outro servidor ou em um jail.

Todas as opções da GUI tem links para o site do postfix(caso seja necessário entender melhor o
recurso que esta habilitando).

Na aba ‘General’ você:

Habilita o serviço
Define em quais interfaces você vai usar
Define aonde você quer os logs
Configura os domínios locais

Na aba ‘Acls / Filter maps’ você define:

Que ips, domínios, assuntos, corpo de mensagem e remetentes você aceita ou rejeita receber.
Na aba ‘Valid Recipients’ você define quais são suas caixas postais internas podendo
configurar:

Extração dos emails via AD

Apontamento para um arquivo local (no pfsense) com a lista de emails
Colar uma lista com os endereços

Na aba ‘Antispam’ você define o grau de restrição e verificação do postfix.

Strong header check

Zombie blocker enabled with enforce
Todas as opções de ‘After greeting tests’
Soft bounces no postcreen
Buscar algumas listas de RBL na internet e bloquear ips que estão em pelo menos duas listas
Bloquear ips que não passaram no teste de SPF

O pacote do mailscanner ainda está em desenvolvimento mas, assim que estiver pronto vai
oferecer ainda mais recursos na luta contra o SPAM.

Na aba ‘XML RPC SYNC’ você replica as configurações do postfix para quantos
pfsenses você quiser.

As vantagens de se utilizar este recurso de filtragem no pfSense em estruturas que já contam

com um MTA fazendo isso, o desenvolvedor cita algumas delas:

Facilidade de configuração através da GUI

Extrair dados do AD, caso exista um
Interface para consultar o log do postfix
Export do log para Sqlite, abrindo um universo de possibilidades de relatórios
Widget com estatisticas e volume de email
Sincronia entre vários pfSenses

HAVP e SQUID
HAVP (HTTP Proxy antivírus) é um Proxy com um scanner do ClamAV antivírus. Os principais
objetivos são persistentes, sem bloquear downloads e com escaneamento suave do tráfego
HTTP. Ele pode ser usado com o Squid ou Autônomo.

Para instalar o Antivírus vá em System: Package Manager e instale o HAVP

Configurar o HAVP em Services  Antivírus

HTTP Antivírus Proxy (Stopped) é o serviço principal do Antivírus, o Proxy em si, que depende
essencialmente da base de dados do Clamav e seu Motor (Engine). Antes de fazer o download
da base de dados do Clamav, para que o Serviço funcione, deve-se configurar o HAVP.

Aba HTTP Proxy e, na primeira opção Enable, cheque a caixa de seleção “Check this for enable
Proxy”.

Segunda opção Proxy mode selecione Parent for Squid. Salve.

Aba Setting configure, clique no botão Update_AV para fazer o download da Base de Virus do
Clamav. Save.

Ao finalizar a instalação das assinaturas de viru, o serviço deverá estar ativo.

Certifique-se que o HAVP está integrado ao Squid em Proxy Server: General setting, na opção
Custom Options no pé da página.

Antivírus ativado, realize teste pagina link que contenha vírus.

(Não altere as configurações inseridas pelo HAVP no Squid).

Outro tipo de configuração para HAVP

HAVP pode ser configurado para uso como segue.

Escolha uma dessas opções - qualquer um é o preferido.

{inet} -> [HAVP] -> [Squid cache] -> {clients}

Setup

Squid:
Desativar proxy upstream (também auto-desativado por HAVP)

HAVP:
Selecione o modo Proxy campo como Parent for Squid e Save
Varrer o cache Squid com Antivírus: scanner de arquivo para a remoção de vírus em cache.
Se o planejamento para utilizar o modo Proxy Transparente: Squid transparente
(não exclua nenhum Squid Custom Options se existirem)

{inet} -> [Squid cache] -> [HAVP] -> {clients}

Setup

Squid:
Proxy Transparente off/ unchecked
Desativar X-Forward unchecked
Desativar VIA unchecked

HAVP:
Se proxy transparente é desejado, Selecione "Transparent" para o Modo de Proxy HAVP.
HAVP campo proxy pai (endereço LAN IP: squid port) ex. 192.168.0.1:3128
HAVP reenviar endereço IP verificado

Como obter um verdadeiro cliente IP nos logs HAVP

Normalmente, os logs HAVP com Squid em vez de exibir endereço clientes exibi endereço
127.0.0.1. Como corrigir isso:

Squid:
Desmarque a opção Disable X-Forward
Desmarque a opção Disable VIA
Salve
HAVP:
Verifique Enable Forwarded IP
Salve