Академический Документы
Профессиональный Документы
Культура Документы
14
Treinamento EficienTI
Administrao de um Firewall PFSense
Treinamentos
Verso 1
Contedo
SUMRIO EXECUTIVO ADMINISTRAO DO PFSENSE 1. OBJETIVO ;. AUMENTANDO A SE URANA DO 12. PROXCB CONFI URA:ES DO
PFSENSE <. <.1. INSTA)AO DE PAC=A ES I$7-, /, $0' '7 P, > ?, @!7
SQUID UARD 12.1. 12.2. B, #F, $0' B/, > ?)#7-7 !2!$> #, $0' B/, > ?)#7-7
2.
SOBRE O PFSENSE <.2. V!2#"#> , $0' P, > ?, @!7 #$7-, /, 0'7 12.3. S56#0 6, 20 )'@7
3.
4.
INTRODUO SE URANA EM REDE 11. PROXCB CONFI URA:ES DO SQUID 14. D1CP RE)AC
4.1.
D!"#$#%&' 11.1. C'$"#@62, %D!7 I$#> #, #7 0' S!2E#%' 0! P2'FG 1(. NAT PORT FORJARD
(.
PR-REQUISITOS PARA INSTA)AO DO 11.2. MH-'0'7 0! A6-!$-#> , %&' 1(.1. P'2- F'23, 20
PFSENSE
(.1.
11.3. C, > I!
1(.2.
NAT 1B1
(.2.
M40#,0' PFSENSE
18.
BAC=UP K RESTORE
(.3.
R!56#7#-'7 0! 1, 203, 2!
8.
INSTA)AO DO PFSENSE
9.
Seguir
I--+BKK!"#> #!$-#.3'20+2!77.> '*K2A11KA2KA2K#$7-, /, > , '-> '$"#@62, > , '-!-*, $6-!$> , '-0'-...
14KA3K2A12
Sumrio Executivo
A EficienTI uma empresa de prestao de servios de Infra-Estrutura de TI, originada a partir de uma empresa parceira Gold Microsoft, especializada em Infra-Estrutura de TI. utros servios oferecidos pela EficienTI incluem solu!es de "ospedagem, terceirizao de servios de TI e servios de #ervice$es%. A EficienTI se caracteriza pelo compromisso a&soluto com a entrega de solu!es de alta 'ualidade, dentro do prazo e custo estimados. (ossos gerentes so especializados na entrega de solu!es 'ue mel"or atendam a necessidade dos clientes, de maneira eficiente e de acordo com o escopo definido.
A EficienTI possui profissiona is com especia liza o na s competncia s Microsoft rela tiva s aNetWorkin Infra structure Solutions! "inux! #erncia ! Mel$ores %rtica s e &ontrole 'e T(I( Entre a s certifica )es 'e seus profissiona is esto ITI"*! &+,IT*! &SM! "%I&-.! "%I&-/! M&TS! M&SE! M&SA! M&0,A! M&S0 e M&A0(
So1re o %*Sense
+ pfSense 8 um 'os ma is con$eci'os e prova velmente ma is rico! em recursos! entre os sistema s pa ra a pplia nce pr8 -confi ura 'o( Na sci'o em uma verso customiza 'a 'o estvel *ree,S0! conta com uma interfa ce a mi vel 9ue fa cilita a a 'ministra o( &om erencia mento via We1! oferece in:meros recursos! foca 'o pa ra a m1iente 'e rotea mento e fire4a llin ! 1em como se ura na 'e net4orkin ! excelente soluo pa ra 7%N entre outros 'iversos recursos(
%r8-;e9uisitos
&on$ecimento 1sico em re'es 'e computa 'ores
I--+BKK!"#>#!$-#.3'20+2!77.>'*K2A11KA2KA2K#$7-,/,>,'->'$"#@62,>,'-!-*,$6-!$>,'-0'-...
14KA3K2A12
Gesto de Chaves Pblicas Firewalls Sistema de Deteco de Intru so Redes Virtu ais Privadas (VP ! Se"u rana em Redes Sem Fio
%asso /
Ao inicializar o c' se r carrea'o o siste ma %*Se nse at8 9ue se 2a ne ce ssrio re alizar as confi ura)e s iniciais 'e re 'e conforme print a1aixo
%asso J
Seguir
I--+BKK!"#>#!$-#.3'20+2!77.>'*K2A11KA2KA2K#$7-,/,>,'->'$"#@62,>,'-!-*,$6-!$>,'-0'-...
14KA3K2A12
As interfaces 'e re'e 'ispon<veis sero exi1i'as! como no exemplo acima! como em0 e em1. Kuan'o for per unta'o se voc 9uer confi urar uma vlan respon'a 9ue no 'i itan'o N e em se ui'a enter( 7oc ser per unta'o a ora 9uais so as suas interfaces LAN e WAN! 1asta 'efinir 'e acor'o com a sua preferncia conforme print a1aixo=
%asso L
ApBs esse processo o %*Sense 2 estar pronto para utilizao visto 9ue 8 um live c'! porem recomen'a-se realizar a instalao no prBprio 'isco r< i'o para maior performance e esta1ili'a'e 'o sistema( *aa isso usan'o a opo MM
%asso F
Aceite as confi ura)es 'e console atuais Dv<'eo! tecla'o etcNE
%asso O
Kuick Install para uma instalao automatiza'a
Seguir
I--+BKK!"#>#!$-#.3'20+2!77.>'*K2A11KA2KA2K#$7-,/,>,'->'$"#@62,>,'-!-*,$6-!$>,'-0'-...
14KA3K2A12
%asso ?
.( Ser exi1i'o um alerta 'e 9ue seu 60 ser formata'o e o %*Sense instala'o no 'isco ri i'o! cli9ue ok
%asso P
Kuan'o for per unta'o 'a instalao 'o Qernel! mar9ue a opo 9ue mel$or se a'e9uar ao seu processa'or( ,asicamente! se voc estiver utilizan'o um :nico processa'or escol$a GRniprocessor QernelH caso este2a usan'o mais 'e um processa'or mar9ue GS5mmetric Multiprocessin QernelH
%asso M
Kuan'o for exi1i'a a tela a1aixo voc ter finaliza'o a instalao 'o %*Sense com sucesso( Ser solicita'o o ;e1oot 'o servi'or! lem1ran'o 9ue ser necessrio retirar o c' 'a uni'a'e
Seguir
I--+BKK!"#>#!$-#.3'20+2!77.>'*K2A11KA2KA2K#$7-,/,>,'->'$"#@62,>,'-!-*,$6-!$>,'-0'-...
14KA3K2A12
Passo 2
Caso necessrio, podemos alterar o IP da rede interna com a opo 2. Obs: Lembre-se de no habilitar o DHCP no se P!"ense caso no se#a realmente necessrio. $p%s a de&inio do IP correto da rede interna podemos acessar o P!"ense a partir de ma estao na s a rede interna, di'itando pelo se na(e'ador o endereo da L$) do P!"ense. Di'ite as credenciais: *s ario: Admin; Pass+ord: pfsense, para iniciali,ar o +i,ard de con&i' rao inicial.
Passo Con&i' re o )ome do se ser(idor Pro./0&ire+all, dom1nio e o D)" apontando para os ser(idores interno, caso dispon1(el.
Passo 2
$ltere o time,one para $merica0"o Pa lo
Passo 3
Con&i' re s a inter&ace 4$) de acordo com as con&i' ra5es da s a prestadora de ser(io de internet
Seguir
'tt()##eficienti"*ord(ress"com#&$11#$&#$&#instalacao+configuracao+e+manutencao+do+"""
14#$%#&$1&
Passo 6
Con&irme as con&i' ra5es da s a L$) e rede&ina e doc mente s a senha de acesso ao P!"7)"7. "er solicitado 8 e (oc9 recarre' e as con&i' ra5es do P!"ense:
Passo :
Com isso o P!"ense # esta de(idamente con&i' rado com as con&i' ra5es bsicas e apto a na(e'ao de se s clientes.
Instalao de Pac<a'es
Instalando os Pac<a'es
"elecionamos al' ns dos pacotes mais importantes para nossa estr t ra inicial. $bai.o a lista dos Pac<a'es 8 e de(emos instalar. Para instal-los na(e' e em SYSTEM > PACKAGES e cli8 e no boto =>? ao lado da descrio do pacote. 7.ec te a instalao na se' inte ordem: @ A s8 id: "er(idor Pro./. Bed , tili,ao da cone.o e melhora tempo de resposta &a,endo cach9 de s as re8 isi5es alCm de pro(er m n1(el bsico de controle e se' rana no acesso D *BLEs potencialmente peri'osos 2 A Li'hts8 id: !erramenta respons(el pela 'erao de relat%rios de acesso
Seguir
'tt()##eficienti"*ord(ress"com#&$11#$&#$&#instalacao+configuracao+e+manutencao+do+"""
14#$%#&$1&
- A s8 idF ard: Poderosa &erramenta de acesso 8 e inte'rado ao s8 id permite controlar a na(e'ao baseado no endereo de ori'em, destino, *BL, Horio o combina5es desses itens. Conta com blac<lists a'r pados em cate'orias de sites e atende @GGG.GGG solicita5es em @G se' ndos se' ndo o site o&icial.
;Ctodos de $ tenticao
Para con&i' rao do "8 id como pro./ da nossa or'ani,ao, podemos tili,ar basicamente - metodos de acesso: Iransparent Pro./ $ tenticao com s ario Local do P!"ense $ tenticao Inte'rada com rec rsos 7.ternos JLD$P A 4indo+s $cti(e Director/K
Seguir
'tt()##eficienti"*ord(ress"com#&$11#$&#$&#instalacao+configuracao+e+manutencao+do+"""
14#$%#&$1&
Transparent Pro&'( $ estao de trabalho se conecta ao P!"ense como Fate+a/ 8 e se apropria da re8 isio para sair para internet como Pro./. Para habilitar basta marcar a chec< bo. correspondente na aba 'eral do Pro./ "er(er P"Sense )ocal *ser( Para este mCtodo de a tenticao de(e-se criar m o mais s arios na ana Local *sers e em se' ida em $ th "ettin's de&inir o metodo de a tenticao como Local. A$tentica+,o Inte!rada com A- .)-AP/( Para 8 e os s arios de m dominio 4indo+s 2GGpossam a tenticar com se s s arios do $D no P!"ense de(emos de&inir em $ th "ettin' o mCtodo de a tenticao LD$P se' indo as con&i' ra5es abai.o: Herso do LD$P: - Jpara 4indo+s 2GG- "er(erK $ thentication "er(er: IP o !LD) do "er(idor $ thentiocation Port: -MN *ser D) J ser@ criado no dominio dom@.local por e.emploK:
cn=user1,cn=Users,dc=dom1,dc=local
LDAP Password: Senha do usuarios definido em User DN LDAP Base Domain: dc=dom1,dc=local (conforme exemplo do dominio dom1 local! User DN A""ri#u"e: uid Search $il"er: sA%Accoun"Name=&s
Cache
Na Aba Cache Mgmt podemos configurar as opes de cache do pfsense. Recomendaes da comunidade PFSense: Hard is!Si"e #$$$ %#&'( Memor): *$+ da Capacidade do seu ser,er Minimum ob-ect si"e: $ Ma.imum ob-ect si"e: opciona/ Hard dis! cache s)stem: aufs %0 uma ,ers1o a/ternati,a de unionfs 2ue tem como ob-eti,o me/horar a confiabi/idade e o desempenho do sistema de arma"enamento(
$ccess Control
Na aba access contro/ do Pro.) Ser,er temos a op1o de configurar um contro/e b3sico de acesso definindo por e.emp/o4 uma b/asc!/ist b3sica para o ser,io s2uid
Oai.ando Olac<Lists
Com a con&i' rao de Olac<lists, atra(Cs do ser(io do S0*I- G$ard, podemos bai.ar listas or'ani,adas por 'r pos e cate'orias para &acilitar o blo8 eio o liberao para ma8 inas, s rios e 'r pos. Para isto de(emos adicionar o se' inte endereo D 1)ACK )IST *#)( http:00+++.shallalist.de0Do+nloads0shallalist.tar.', Com esse endereo de(idamente adicionado cli8 e em *pload *#) e a' arde al' ns min tos.
Seguir
'tt()##eficienti"*ord(ress"com#&$11#$&#$&#instalacao+configuracao+e+manutencao+do+"""
14#$%#&$1&
Pgina 1$ de 14
Ferenciando Olac<Lists
Hoc9 pode 'erenciar s a Olac<list por 'r pos o simplesmente con&i' rar s a re'ra de&a lt. Para isso basta acessar a $ba -efa$lt em Pro&' "ilter e clicando em: -estination #$leset, 'erenciar as listas bai.adas, liberando o blo8 eando o s acessos con&orme a necessidade e pol1tica da empresa. $ criao e 'erenciamento de 'r pos c stomi,ados por ma8 inas o $cti(e Director/K, pode ser &eito na aba AC) do Pro&' "ilter. Lembre-se de sempre sal(ar as con&i' ra5es reali,adas, clicando em Sa%e no &im da p'ina e aplicar as altera5es clicando em Appl' na aba General settin!s. s rio Jcaso (oc9 inte're o P!"7)"7 ao
funcionamento ou parada do ser$io !quid"uard. &ssa opo pode ser 'til para um troubleshoting aonde podemos $erificar se o ser$io est( iniciado se o 'ltimo log gerado for uma mensagem semelhante ) *squidGuard ready for requests*# ou se o ser$io est( parado quando tamb+m expl,cito na ultima entrada do Log.
DHCP "er(er
Ser%ices > -2CP Ser%er( Para ati(ao do ser(io basta marcar a chec< bo. 7nable DHCP "er(er e de&inir o escopo para s a rede interna.
DHCP Bela/
Seguir
'tt()##eficienti"*ord(ress"com#&$11#$&#$&#instalacao+configuracao+e+manutencao+do+"""
14#$%#&$1&
Pgina 11 de 14
Services > DHCP Server: Para recebimento automatico de um IP em uma rede, a estao que faz a solicitao necessita iniciar a negociao com um broadcast na rede afim de encontrado o Servidor DHCP, porem por default a maioria dos roteadores no encaminham tr fego de broadcast! Podem haver casos em que o servidor DHCP est localizado em uma sub"rede que conecta"se a outra sub"rede atrav#s de um roteador $no nosso caso o pfsense%! &esse caso devemos configurar o DHCP 'ela( que se encarregar de pegar os pacotes enviados pelo cliente DHCP e encaminhar para o servidor DHCP
Port +or,ard
Consiste em redirecionar uma porta especfica de um n para outro. Por exemplo: O WebSite da minha empresa, configurado em um servidor na minha rede interna, precisa ser publicado para acesso externo. Para ue isso se!a possvel devemos criar um port fo"ard redirecionando todo trafego ue chegar na porta #$ da interface "an do P%Sense para a porta #$ do meu servidor "eb interno.
&)* -.&estinado a ligar dois ns de redes distintas aonde todo trafego de internet 'para o (P publico especificado) * direcionado a um (P especifico da nossa rede interna. Para Permitir o tr+fego , partir da internet deve-se criar uma regra do fire"all 'rules).
/ac0up 1 'estore
Para importar as configura2es do P+Sense, &avegue por Diagnostics, Backup/Restore e importe as configura2es em 345 que contem as configura2es dese6adas! 7oc8 pode editar o arquivo 345 com um bloco de notas a fim de realizar os a6ustes necess rios antes de realizar o import!
A !"#$%&&&&&&&&&& &o campo 9'estore )rea: voc8 deve restaurar e;atamente a configurao especifica que dese6a, por e;emplo. Configura2es de 'ules!! Configurao de *<D= $)ll%> Caso se6a feito algum restore em rea incorreta, isto pode fazer com que o pfsense pare de funcionar visto que sero feitas altera2es em locais incorretos!
NOME DATA HORA STATUS DESCRIO DAS ALTERAES
Thiago Lima
15/01/2011
12:00
Pendente
$eg%ir
14 !" #!1#
Pgina 1# de 14
So're (iago ) %liveira 4CP ?!@A 4CS)A 4C*S. IS) Server ?@@B, Cindo,s Server ?@@D )ctive Director( ConfigurationA Cindo,s Server ?@@D &et,or0 Infrastructure ConfigurationA 7er todos posts de *hiago 5 =liveira
Esta entrada foi publicada em Solues Tcnicas. Adicione o link permanente aos seus favoritos.
C)'= )4IE= E=S*FI 4<I*= D= SF< *GPIC= +=I = H&IC= I<F C=&SFE<I )P'F/DF' ) +)JF' )5E= &= P+SF&SF E=S*)'I) DF 4F )P'=+<&D)' 4)SI SF'K I<F 7C P=DF'I) 4F P)SS)' )5E<&S *<*='I)ISLL )E')DFM= DFSDF NK!
/lz DanielL Primeiramente obrigado pelo comentario, realmente # dificil encontrar material de qualidade em portugues sobre P+Sense na internet! ) ideia # finalizar esse post que vai servir como base para um treinamento que estou plane6ando aqui na empresa! 7ou adicionar sim mais informa2es inclusive de como fazer uma vpn entre fortigate e pfsense, como adicionar uma terceira interface para utilizao de um segundo lin0 de internet, load balance!! enfim!! realmente o P+Sense tem muito conteudo e conforme for a disponibilidade de tempo eu vou estar adicionando informa2es> mas se voc8 tiver alguma dOvida imediata pode me enviar um email que agente vai trocando ideia. thiago!lima;BPQgmail!com
'+anelato disse:
fevereiro &, 20 !s #22 am
(iago disse:
fevereiro 2", 20 !s '#$( pm
ol amigo, otimo o seu post sobre o pfsense! estou tendo um dificuldade com o nosso servidor, ser que teria como em dar uma foraL o que acontece # o seguinte, internamente temos um servidor com servios ,eb, eu criei um host em nosso servidor de hospedagem direcionando um determinado host para o nosso servidor, mas quando tento acessar esse host pela rede interna ele no acessa! apenas quando se est fora da rede! tem alguma ideia do que pode serL desde 6 agradeo a ateno!
Se)uir
14 !" #!1#
Pgina 1" de 14
=i *hiagoR Checa para onde esta apontando sua publicao $,,,!meusite!com!br por e;emplo%, se no seu servidor Ceb voc8 tem mais de um ,ebsite configurado recebendo solicita2es no mesmo ip e porta>! &esse caso o acesso deve estar sendo feito com base no hostreader dos seus ,ebsites! Fssa # uma possibilidade 6 que estou imaginando que internamente vc esta acessando o seu ,ebsite pelo endereo da rede local enquanto pela internet vc deve estar acessando pelo endereo publico! S possivel tambem que seu fire,all este6a bloquando o acesso da sua rede local para o seu apptier! Checa esses pontos e no que eu puder a6udar pode mandar um email pra thiago!lima;BPQgmail!com!
(iago disse:
fevereiro 2%, 20 !s 2#2 pm
9Sintoma. )cesso a um determinado ,ebsite da minha rede interna era possivel quando feito de fora da empresa mas no era possivel de ser realizado de dentro da rede interna: =l *hiago, muito obrigado pela fora, mas acabei encontrando o problema $ou a soluo% logo apTs enviar e" mail para vc! = que acontecia comigo era que nas configura2es avanadas do Pfsense $4enu S(stem 1 opo advanced%, tinha uma cai;a que estava marcada U Disable &)* 'eflection U logo apTs desmarcar esta opo e salvar o sites em questo abriu normalmente! )gradeo a prontido *hiago muito obrigado gostaria de aproveitar e dar uma sugesto de pauta! como sou novo no pfsense eu praticamente no instalei nenhum pac0age nele, seria legal falar sobre os pac0ages disponiveis e quais vc sugere para uso! vl,
F;celenteR ParabensR! *rabalho com outros tipos de sistema! Conheci o PfSense atraves de um amigo, comecei a pesquisar sobre e estou muito empolgado com as possibilidade que o sistema oferece! 4inha dificuldade foi encontrar material e documentaao falando sobre o sistema! Seu post com ctza vai nos a6udar demais, i o que puder contribuir conosco, seremos eternamente agradecidos! 4sn. cleberQmegalin0ti!com!br
ronaldo disse:
a bril 2", 20 !s (#0% pm
ola muito bom o tutorial vc poderia adicionar um tutorial baseado em uma restricao de sites baseado no grupos do )D vale,
Se)uir
14 !" #!1#
Pgina 14 de 14
/a sta configura r o pfsense integra do com o )D conforme descrito no blog e cria r )C5Ws a diciona ndo o nome dos usuria rios que fa ro pa rte desse grupo de a cesso1restrio vl,
Se)uir
14 !" #!1#