pfSense: Instalação e

Configuração
Eduardo Camilotti
 O pfSense é um sistema de segurança
gratuito que contempla os seguintes
O Que é o recursos:
• Firewall
pfSense? • Proxy
• IDS(Intrusion dectection system)
• Load Balance com Failover
• VPN entre matriz e filiais
Recursos utilizados nesse servidor
Regras de firewall e acesso remoto

Proxy E2Guardian

IDS Snort

Load Balance com Failover

VPN Via OpenVPN

 pfSense: como fazer o download e gravação no pendrive
1. Acessar o site www.pfsense.org
2. Ir na aba download e selecionar conforme abaixo:
3.Baixar o software Etcher através do site etcher.io, este software vai gravar a
imagem do pfSense que baixamos no pendrive.
4.Depois de instalado o software selecionar a imagem e clicar em flash, conforme
abaixo:
 Processador:I3- Placa mãe:ECS-
2100 3.10Ghz H61H2-M2

Hardware Memória:8GB
Placa de
rede:2X Dual
Utilizado NIC Flexport

HD:SSD 120GB
Kingston.
Setup inicial pfSense: está demonstrado nas telas a seguir
 Obs.: Desmarcar essas opções, pois em algumas situações de links ADSL com
modem Roteado, pode não haver conexão de internet, em virtude de bloqueios
SENHA INTERFACE WEB
(RECOMENDADO SENHA FORTE)
Clicar em reload e esperar recarregar as configurações feitas
Verificar por atualizações do pfSense clicando
em: check for updates
Se houver versão nova como vemos abaixo e
confirmamos a atualização
Aguardar o download de instalação e
reinicialização do servidor
DASHBOARD INICIAL PELA PRIMEIRA
VEZ
Configuração gateway das WAN system>routing>gateways>add
Apply Changes

Sempre que aparecer algum aviso com botão apply changes clicar,
senão nao aplica as configurações.
Configuração IP da Interface WAN
Exemplo de configuração em PPPOE
Recomenda-se
para melhor
performance,
em links ADSL
configurar o
modem em
modo bridge.
A configuração
de modem em
bridge não é o
intuito deste
tutorial.
Configurar tempo de reset da conexão PPPOE,
pois alguns modens costumam travar em modo
bridge.
Load Balance e Failover: conceito

 Load balance: é um sistema que faz o balanceamento das cargas em

links de internet de acordo com a prioridade configurada.
Ex.: em uma rede com dois ou mais links, o sistema soma e joga na
rede como se fosse um único link.

 Failover: é um sistema de redundância, ou seja, quando um link cair os

demais assumem automaticamente.
 Como criar Load Balance
Ir em: system>routing>gateway groups
Ativar LoadBalance nas regras de Firewall
Ativando LoadBalance como Gateway Default
Ir em System>package manager e instalar snort
e system_patches
E2Guardian o que é?

● É um webfilter fork do Dansguardian, e com mais recursos que

o conhecido Squid(Lula) e o Squidguardian;
● É usado em servidores Linux e nos servidores pfSense.
● Sua função é fazer filtro de conteúdo como por exemplo
bloqueio a sites por categoria, e aplicações.
Como instalar o E2Guardian
Passo a passo para habilitar repositório do Marcelo Coutinho

1- Instale o pacote System_Patches (gerenciador de aplicativos)

2 - vá em system / patches
-preencha os campos Description com algum nome qualquer e o campo URL/Commit ID com o link do patch:
https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/244_unofficial_packages_list.patch
-campo Path Strip Count: 1
-selecione Ignore Whitespace e Auto Apply
-salve

3 - Clique em Fetch e em Apply

4 - Vá em Diagnostics - Command Prompt e execute o comando abaixo

fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/
master/Unofficial.conf

5 - E2guardian e demais pacotes estarão disponíveis lá em system – Packages

Demonstrado nos próximos slides
Ir em system>patches e instalar o patch necessário para o E2Guardian funcionar
adequadamente
Ir em diagnostics>Command prompt

Resultado esperado:
Ir em system>package manager>avaliable Packages e procurar
pelo E2Guardian e clicar em install
Ir em system>package manager>avaliable Packages e procurar pelo Speedtest e clicar
em install
Ir em system>advanced e trocar a porta padrão da WebGUI e SSH para maior
segurança e habilitar o SSH.
Testar acesso SSH através do PuTTY, disponível em <putty.org>.

Clicar em sim, pois no

primeiro acesso, o putty
solicita para gravarmos a
chave do servidor no micro
cliente.
Logar com usuário admin e senha definida na instalação:
este é o resultado esperado
 Ir em:
System>Cert Manager;>ir em CA>clicar em Add e criar a CA
Snort o que é?

● Snort é um sistema de detecção de intrusão criado por Martin Roesch, onde sua
função é através de análise de tráfego e de conteúdo. Detecta se há tráfego
indevido, como por exemplo um hacker tentando por meio do acesso de um site,
com objetivo de capturar a sua senha de banco ou mesmo evitar Ransomware na
sua rede, e que esses ataques cheguem ao seu servidor. Quando o sistema
detecta tal tráfego o endereço de origem é bloqueado, assim protegendo sua
rede.
Ir em services>Snort>Global Settings e configurar conforme abaixo:

OinkCode Master é criado

através de uma conta no site
www.snort.org através de um
usuário e uma senha
previamente criados.
Substituir pelo seu, no vídeo
explica como obter.
Ir em updates e Clicar em Update Rules e aguardar o download.
Resultado esperado depois de efetuado o download
Ir em Firewall>Alias e criar um alias chamado DNS_SERVERS E clicar em
import e colocar os DNS dos seus links de internet e salvar.
Ir em Passlist e clicar em add e seguir conforme abaixo.
Suppress list
• É uma lista de supressão: são alertas que devem ser ignorados pelo IDS
Exemplo de Suppress List
(a lista padrão que nós utilizamos está anexa a esse tutorial).
Ir em Snort Interfaces e adicionar conforme abaixo nas interfaces WAN,WAN2,LAN
 Ir em Wan categories e clicar conforme abaixo e salvar

Habilitar o Snort em cada interface clicando no botão de play e o resultado deve ser
conforme abaixo:
Ir em services>E2Guardian>Daemon e seguir as instruções:
 Obs.: Esta CA é a mesma criada no slide 36

No próximo slide Ir em services>E2Guardian>General e seguir as

instruções:
Para criação de grupos, seguir conforme abaixo.
Ir em:<services>e2Guardian>groups>
ACL é uma regra de acesso - Como criar: seguir o abaixo
Fazer download da CA e instalar como
autoridade raiz de certificação confiável.
Como instalar o certificado do Proxy
Relatório de LOG do E2guardian, para saber se tem erros ou não
 Exemplo Tela de Bloqueio.
Alguns sites não redirecionam para tela de bloqueio
Aba IPS do E2guardian, nesta aba colocamos os ips no
grupo desejado conforme solicitação do cliente.
OpenVPN
É uma rede virtual privada utilizada para interligar duas redes em locais
físicos diferentes. Exemplo Matriz com seu servidor e a Filial conectando-se
ao servidor como se estivesse na mesma rede e vice e versa.
Instruções utilizadas estão disponíveis em:
<http://professor.prochnow.com.br/artigo/vpn-openvpn-site-to-site-ponto-a-ponto-com-pfsense >
OBS.: Onde interface citada é wan trocar para LoadBalance no final da
configuração.

Quando o cliente tem dois ou mais links o recomendado é fazer a

configuração na LAN e fazer os NAT correspondentes em cada link.
Como criar um alias para acesso externo ao servidor.
Exemplo de regra de nat para acesso ao servidor.
Liberar portas 4439 e 24816.
RULE OPENVPN: Regra para acesso externo do Open VPN
Regra de Firewall para a rede LAN não comunicar com a Wlan e
vice e versa.

Além desta regra criar

uma onde o source é a
WLAN net e o destino
é a LAN NET.
A importância de se ter um sistema de segurança.
● Com o crescente número de sequestro de dados, as empresas tem
sempre mais se preocupado em adotar medidas de prevenção, visto que
as empresas dependem cada vez mais da tecnologia, mantendo todos os
dados integrados.
● Exemplos: Um supermercado de porte médio que mantém controle
fiscal e gerencial.
● Um escritório contábil, que contém dados fiscais e contábeis de seus
clientes.
Consequências da ausência de proteção

● Se não tiver backup, o custo de resgatar o dado, ou de inserir novamente

no sistema.
● Prejuízo como multas de entregas da obrigações acessórias, perda do
controle da empresa, como por exemplo contas a receber , controle de
estoque, perda de venda, preços errados(por não ter ferramenta para
alterar) entre outros.