14/06/12

Instalao, Configurao e Manuteno do PFSense | Tecnologia da Informao EficienTI

Tecnologia da Informao EficienTI

Instalao, Configurao e Manuteno do PFSense

Posted on fevereiro 2, 2011 by Thiago L Oliveira

Treinamento EficienTI

Administrao de um Firewall PFSense

Treinamentos

Emisso: 15 de Janeiro de 201

Validade: Indeterminad

Contedo
SUMRIO EXECUTIVO ADMINISTRAO DO PFSENSE 1. OBJETIVO 8. AUMENTANDO A SEGURANA DO PFSENSE 9. INSTALAO DE PACKAGES 9.1. Instalando os Packages 12. PROXY: CONFIGURAES DO SQUIDGUARD 12.1. Baixando BlackLists 12.2. Gerenciando BlackLists

2. SOBRE O PFSENSE

9.2. Verificando Packages instalados

12.3. SquidGuard Logs

3. PR-REQUISITOS

10. RULES: DEFININDO REGRAS DE ACESSO

13. DHCP SERVER

4. INTRODUO SEGURANA EM REDE

11. PROXY: CONFIGURAES DO SQUID

14. DHCP RELAY

4.1. Definio

11.1. Configuraes Iniciais do Servio de Proxy

15. NAT PORT FORWARD

5. PR-REQUISITOS PARA INSTALAO DO PFSENSE

11.2. Mtodos de Autenticao

15.1. Port Forward

11.3. Cache 5.1. Compatibilidade de Hardware 11.4. Access Control 5.2. Mdia do PFSENSE

15.2. NAT 1:1

16. BACKUP / RESTORE

5.3. Requisitos de Hardware

6. INSTALAO DO PFSENSE

eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/

1/13

14/06/12

Instalao, Configurao e Manuteno do PFSense | Tecnologia da Informao EficienTI

7. CONFIGURAES INICIAIS DO PFSENSE

Sumrio Executivo
empresa parceira Gold Microsoft, especializada em Infra-Estrutura de TI. Outros servios oferecidos pela EficienTI incluem solues de hospedagem, terceirizao de servios de TI servios de ServiceDesk.

A EficienTI uma empresa de prestao de servios de Infra-Estrutura de TI, originada a partir de um

A EficienTI se caracteriza pelo compromisso absoluto com a entrega de solues de alta qualidade, dentro d prazo e custo estimados. Nossos gerentes so especializados na entrega de solues que melhor atendam necessidade dos clientes, de maneira eficiente e de acordo com o escopo definido.

A EficienTI possui profissionais com especializao nas competncias Microsoft relativas a NetWorking Infrastructure Solution Linux, Gerncia, Melhores Prticas e Controle de T.I. Entre as certificaes de seus profissionais esto ITILF, COBITF, CSM, LPICLPIC-2, MCTS, MCSE, MCSA, MCDBA, MCSD e MCAD.

Administrao do PFSENSE
Objetivo
utilizando o pfSense, um firewall estavel montado sobre a plataforma FreeBSD.

Capacitar instalar, configurar e administrar recursos de Firewall, Proxy, DHCP, NAT Port Forwarding e VPN

Sobre o PFSense

O pfSense um dos mais conhecidos e provavelmente mais rico, em recursos, entre os sistemas para appliance que facilita a administrao. Com gerenciamento via Web, oferece inmeros recursos, focado para ambiente de roteamento e firewalling, bem como segurana de networking, excelente soluo para VPN entre outros diversos recursos.

pr-configurado. Nascido em uma verso customizada do estvel FreeBSD, conta com uma interface amigvel

Pr-Requisitos
Conhecimento bsico em redes de computadores

Introduo Segurana em Rede

Definio
Consiste em atuar em uma linha de defesa eficaz em trs pontos principais em uma rede: Defesa contra catstrofes Defesa contra falhas previsveis Defesa contra acesso no autorizado Para atacas essas reas com eficincia, podemos trabalhar com os seguintes recursos de TI: Criptografia Gesto de Chaves Pblicas Firewalls
eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/ 2/13

14/06/12

Instalao, Configurao e Manuteno do PFSense | Tecnologia da Informao EficienTI

Sistema de Deteco de Intruso Redes Virtuais Privadas (VPN) Segurana em Redes Sem Fio

Pr-Requisitos para Instalao do PFSense

Compatibilidade de Hardware
Antes de iniciar a instalao do PFSense, recomenda-se verificar no centro de compatibilidade do FreeDSD afim de escolher o melhor hardware possvel para a instalao: http://www.freebsd.org/releases/7.2R/hardware.html

Mdia do PFSENSE
Primeiramente devemos baixar a ultima verso estvel do PFSense disponvel no site do PFSEnse.org http://www.pfsense.org/mirror.php?section=downloads

Aps realizar o Download da imagem atravs de um dos mirros disponveis, podemos usar o 7-zip par Descompactar a imagem e finalmente o um gravador de imagem (.ISO), cito por exemplo, o BurnWare Free

Requisitos de Hardware
Recomenda-se utilizar um servidor com pelo menos 1.5 Ghz de processador e 512MB de Ram. Necessrio utilizarmos no mnimo 2 placas de rede

Instalao do PFSense Passo a Passo

Passo 1

O CD baixado no site do PFSense, funciona com um live cd, ou seja, todo o sistema pfsense j est

previamente carregado e pronto para uso ao iniciarmos o nosso servidor a partir do CD Rom. Isso pode se iniciar o servidor a partir do cd e importar as configuraes que podem ser salvas em um arquivo XML.

muito til para casos de emergncia em que faz-se necessrio subir rapidamente o firewall, tendo que apena

Passo 2
Ao inicializar o cd ser carregado o sistema PFSense at que seja necessrio realizar as configuraes iniciais de rede conforme print abaixo

Passo 3
As interfaces de rede disponveis sero exibidas, como no exemplo acima, como em0 e em1. Quando for perguntado se voc quer configurar uma vlan responda que no digitando N e em seguida enter. Voc ser perguntado agora quais so as suas interfaces LAN e WAN, basta definir de acordo com a sua preferncia conforme print abaixo:
eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/ 3/13

14/06/12

Instalao, Configurao e Manuteno do PFSense | Tecnologia da Informao EficienTI

Passo 4

Aps esse processo o PFSense j estar pronto para utilizao visto que um live cd, porem recomenda-s usando a opo 99

realizar a instalao no prprio disco rgido para maior performance e estabilidade do sistema. Faa iss

Passo 5
Aceite as configuraes de console atuais (vdeo, teclado etc)

Passo 6
Quick Install para uma instalao automatizada

Passo 7
1. Ser exibido um alerta de que seu HD ser formatado e o PFSense instalado no disco rigido, clique ok

eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/

4/13

14/06/12

Instalao, Configurao e Manuteno do PFSense | Tecnologia da Informao EficienTI

Passo 8
Quando for perguntado da instalao do Kernel, marque a opo que melhor se adequar ao seu processador. Basicamente, se voc estiver utilizando um nico processador escolha Uniprocessor Kernel caso esteja usando mais de um processador marque Symmetric Multiprocessing Kernel

Passo 9
Quando for exibida a tela abaixo voc ter finalizado a instalao do PFSense com sucesso. Ser solicitado o Reboot do servidor, lembrando que ser necessrio retirar o cd da unidade

Configuraes Iniciais do PFSense

Passo 1
Aps a instalao e reboot do PFSENSE (Boot a partir do HD), estaremos com nosso sistema pronto para ser configurado via Web

Passo 2
Caso necessrio, podemos alterar o IP da rede interna com a opo 2. Obs: Lembre-se de no habilitar o DHCP no seu PFSense caso no seja realmente necessrio. Aps a definio do IP correto da rede interna podemos acessar o PFSense a partir de uma estao na sua rede interna, digitando pelo seu navegador o endereo da LAN do PFSense. Digite as credenciais: Usuario: Admin; Password: pfsense, para inicializar o wizard de configurao inicial.

eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/

5/13

14/06/12

Instalao, Configurao e Manuteno do PFSense | Tecnologia da Informao EficienTI

Passo 3

Configure o Nome do seu servidor Proxy/firewall, domnio e o DNS apontando para os servidores interno, caso disponvel.

Passo 4
Altere o timezone para America/So Paulo

Passo 5
Configure sua interface WAN de acordo com as configuraes da sua prestadora de servio de internet

Passo 6
Confirme as configuraes da sua LAN e redefina e documente sua senha de acesso ao PFSENSE. Ser solicitado que voc recarregue as configuraes do PFSense:

eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/

6/13

14/06/12

Instalao, Configurao e Manuteno do PFSense | Tecnologia da Informao EficienTI

Passo 7

Com isso o PFSense j esta devidamente configurado com as configuraes bsicas e apto a navegao de seu clientes.

Aumentando a Segurana do PFSENSE

Para uma melhor experincia com o PFSense, devemos deixar a tela do console bloqueada para acesso somente autorizado com senha, para isso basta navegar em System, Advanced e na opo Miscellaneous marque a Check-box Password protect salve as alteraes e reinicie o PFSENSE

Instalao de Packages
Instalando os Packages

Selecionamos alguns dos pacotes mais importantes para nossa estrutura inicial. Abaixo a lista dos Package que devemos instalar. Para instal-los navegue em SYSTEM > PACKAGES e clique no boto + ao lado da descrio do pacote. Execute a instalao na seguinte ordem: 1 squid: Servidor Proxy. Reduz utilizao da conexo e melhora tempo de resposta fazendo cach de suas requisies alm de prover um nvel bsico de controle e segurana no acesso URLs potencialmente perigosos 2 Lightsquid: Ferramenta responsvel pela gerao de relatrios de acesso 3 squidGuard: Poderosa ferramenta de acesso que integrado ao squid permite controlar a navegao baseado no endereo de origem, destino, URL, Horio ou combinaes desses itens. Conta com blacklists agrupados em categorias de sites e atende 1000.000 solicitaes em 10 segundos segundo o site oficial.

Verificando Packages instalados

Poderemos consultar os pacotes instalados posteriormente em Installed Packages.

eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/

7/13

14/06/12

Instalao, Configurao e Manuteno do PFSense | Tecnologia da Informao EficienTI

Rules: Definindo Regras de Acesso

qualquer origem para qualquer destino, defindo conforme poltica de segurana da TI da empresa ou Grupo.

Firewall > Rules: Podemos editar nossas regras permitindo ou negando o acesso protocolos e portas d

Caso voc no tenha nenhuma regra de liberao criada o comportamento do PFSense de bloquear tod trafego de entrada e sada.

Proxy: Configuraes do Squid

Services > Proxy Server:

Configuraes Iniciais do Servio de Proxy

Na aba General do nosso Proxy Server podemos definir as configuraes bsicas do nosso servio tais como: Interface Habilitar Proxy Transparente Log Porta Servidores DNS

Mtodos de Autenticao

Para configurao do Squid como proxy da nossa organizao, podemos utilizar basicamente 3 metodos d acesso: Transparent Proxy Autenticao com usuario Local do PFSense Autenticao Integrada com recursos Externos (LDAP Windows Active Directory)

Transparent Proxy: A estao de trabalho se conecta ao PFSense como Gateway que se apropria d geral do Proxy Server

requisio para sair para internet como Proxy. Para habilitar basta marcar a check box correspondente na ab

PFSense Local User: Para este mtodo de autenticao deve-se criar um ou mais usuarios na an Local Users e em seguida em Auth Settings definir o metodo de autenticao como Local.

Autenticao Integrada com AD (LDAP): Para que os usuarios de um dominio Windows 200 de autenticao LDAP seguindo as configuraes abaixo: Verso do LDAP: 3 (para Windows 2003 Server) Authentication Server: IP ou FQDN do Servidor Authentiocation Port: 389 User DN (user1 criado no dominio dom1.local por exemplo):
cn=user1,cn=Users,dc=dom1,dc=local
LDAP Password: Senha do usuarios definido em User DN

possam autenticar com seus usuarios do AD no PFSense devemos definir em Auth Setting o mtod

eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/

8/13

14/06/12

Instalao, Configurao e Manuteno do PFSense | Tecnologia da Informao EficienTI

LDAP Base Domain: dc=dom1,dc=local (conforme exemplo do dominio dom1.local) User DN Attribute: uid Search Filter: sAMAccountName=%s

Cache
Na Aba Cache Mgmt podemos configurar as opes de cache do pfsense. Recomendaes da comunidade PFSense: HardDiskSize 3000 (3GB) Memory: 50% da Capacidade do seu server Minimum object size: 0 Maximum object size: opcional Hard disk cache system: aufs ( uma verso alternativa de unionfs que tem como objetivo melhorar confiabilidade e o desempenho do sistema de armazenamento)

Access Control

Na aba access control do Proxy Server temos a opo de configurar um controle bsico de acesso definindo po exemplo, uma blascklist bsica para o servio squid

Proxy: Configuraes do SquidGuard

Services > Proxy Filter

Baixando BlackLists
Com a configurao de Blacklists, atravs do servio do SQUID Guard, podemos baixar listas organizadas por grupos e categorias para facilitar o bloqueio ou liberao para maquinas, usurios e grupos. Para isto devemos adicionar o seguinte endereo BLACK LIST URL: http://www.shallalist.de/Downloads/shallalist.tar.gz Com esse endereo devidamente adicionado clique em Upload URL e aguarde alguns minutos.

Obs: Lembre-se de Salvar e aplicar as alteraes aps a finalizao do Upload

Gerenciando BlackLists
Voc pode gerenciar sua Blacklist por grupos ou simplesmente configurar sua regra default. Para isso basta acessar a Aba Default em Proxy Filter e clicando em: Destination Ruleset, gerenciar as listas baixadas, liberando ou bloqueando o s acessos conforme a necessidade e poltica da empresa. Active Directory), pode ser feito na aba ACL do Proxy Filter. Lembre-se de sempre salvar as configuraes realizadas, clicando em Save no fim da pgina e aplicar as alteraes clicando em Apply na aba General settings.
eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/ 9/13

A criao e gerenciamento de grupos customizados por maquinas ou usurio (caso voc integre o PFSENSE ao

14/06/12

Instalao, Configurao e Manuteno do PFSense | Tecnologia da Informao EficienTI

SquidGuard Logs

Na aba Log do ProxyFilter podemos acompanhar uma lista de urls que foram bloqueadas acessando a o Blocked. Outra opo interessante do Log do Sq uid Guard esta na opo Filter Log, onde voc pode acompanhar

funcionamento ou parada do servio SquidGuard. Essa opo pode ser til para um troubleshoting aond podemos verificar se o servio est iniciado se o ltimo log gerado for uma mensagem semelhante do Log.

squidGuard ready for requests, ou se o servio est parado quando tambm explcito na ultima entrad

DHCP Server
o escopo para sua rede interna.

Services > DHCP Server: Para ativao do servio basta marcar a check box Enable DHCP Server e defini

DHCP Relay
Services > DHCP Server: Para recebimento automatico de um IP em uma rede, a estao que faz

solicitao necessita iniciar a negociao com um broadcast na rede afim de encontrado o Servidor DHCP

porem por default a maioria dos roteadores no encaminham trfego de broadcast. Podem haver casos em qu

o servidor DHCP est localizado em uma sub-rede que conecta-se a outra sub-rede atravs de um roteador (n enviados pelo cliente DHCP e encaminhar para o servidor DHCP

nosso caso o pfsense). Nesse caso devemos configurar o DHCP Relay que se encarregar de pegar os pacote

NAT Port Forward

Firewall > Port Foward:

Port Forward
Consiste em redirecionar uma porta especfica de um n para outro.

Por exemplo: O WebSite da minha empresa, configurado em um servidor na minha rede interna

precisa ser publicado para acesso externo. Para que isso seja possvel devemos criar um port fowar meu servidor web interno.

redirecionando todo trafego que chegar na porta 80 da interface wan do PFSense para a porta 80 d

NAT 1:1
Destinado a ligar dois ns de redes distintas aonde todo trafego de internet (para o IP publico especificado) uma regra do firewall (rules).
eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/ 10/13

direcionado a um IP especifico da nossa rede interna. Para Permitir o trfego partir da internet deve-se cria

14/06/12

Instalao, Configurao e Manuteno do PFSense | Tecnologia da Informao EficienTI

Backup / Restore
Para importar as configuraes do PFSense, Navegue por Diagnostics, Backup/Restore e importe as configuraes em XML que contem as configuraes desejadas. Voc pode editar o arquivo XML com um bloco de notas a fim de realizar os ajustes necessrios antes de realizar o import.

ATENO!!!!!!!!!! No campo Restore Area voc deve restaurar exatamente a configurao especifica que deseja, por exemplo: Configuraes de Rules.. Configurao de TUDO (All) Caso seja feito algum restore em rea incorreta, isto pode fazer com que o pfsense pare de funcionar visto que sero feitas alteraes em locais incorretos.
NOME DATA HORA STATUS DESCRIO DAS ALTERAES

Thiago Lima

15/01/2011

12:00

Pendente

Adio de VPN e Correes

Gosto One blogger likes this.

Sobre T hiago L Oliveira MCP 2.0; MCSA; MCTS: ISA Server 2006, Windows Server 2008 Active Directory Configuration; Windows Server 2008 Network Infrastructure Configuration; Ver todos posts de Thiago L Oliveira

Esta entrada foi publicada em Solues Tcnicas. Adicione o link permanente aos seus favoritos.

10 respostas para Instalao, Configurao e Manuteno do PFSense

DANIEL disse:
fevereiro 8, 2011 s 3:55 pm

CARO AMIGO GOSTEI MUITO DO SEU TPICO FOI O NICO QUE CONSEGUI APREBDER A FAZER ALGO NO PFSENSE GOSTARIA DE ME APROFUNDAR MASI SER QUE VC PODERIA ME PASSAR ALGUNS TUTORIAIS?? AGRADEO DESDE J.

Thiago L Oliveira disse:

fevereiro 8, 2011 s 4:21 pm

Blz Daniel?

Primeiramente obrigado pelo comentario, realmente dificil encontrar material de qualidade em portugues sobre PFSense na internet. A ideia finalizar esse post que vai servir como base para um treinamento que estou planejando aqui na empresa. Vou adicionar sim mais informaes inclusive de como fazer uma vpn entre fortigate pfsense, como adicionar uma terceira interface para utilizao de um segundo link de internet, load balance.. enfim realmente o PFSense tem muito conteudo e conforme for a disponibilidade de tempo eu vou estar adicionando informaes mas se voc tiver alguma dvida imediata pode me enviar um email que agente vai trocando ideia: thiago.limax64@gmail.com
eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/ 11/13

14/06/12

Instalao, Configurao e Manuteno do PFSense | Tecnologia da Informao EficienTI

bzanelato disse:
fevereiro 9, 2011 s 11:22 am

Muito bom ! continue atualizando

Thiago disse:
fevereiro 23, 2011 s 6:57 pm

ol amigo, otimo o seu post sobre o pfsense. estou tendo um dificuldade com o nosso servidor, ser que teria como em dar uma fora?

o que acontece o seguinte, internamente temos um servidor com servios web, eu criei um host em nosso servidor de hospedagem direcionando um determinado host para o nosso servidor, mas quando tento acessar esse host pela rede interna ele no acessa. apenas quando se est fora da rede. tem alguma ideia do que pode ser? desde j agradeo a ateno.

Thiago L Oliveira disse:

fevereiro 23, 2011 s 7:06 pm

Oi Thiago! Checa para onde esta apontando sua publicao (www.meusite.com.br por exemplo), se no seu servidor Web voc tem mais de um website configurado recebendo solicitaes no mesmo ip e porta. Nesse caso o acesso

deve estar sendo feito com base no hostreader dos seus websites. Essa uma possibilidade j que estou imaginand acessando pelo endereo publico. possivel tambem que seu firewall esteja bloquando o acesso da sua rede local para o seu apptier. Checa esses pontos e no que eu puder ajudar pode mandar um email pra thiago.limax64@gmail.com.

que internamente vc esta acessando o seu website pelo endereo da rede local enquanto pela internet vc deve esta

Thiago disse:
fevereiro 24, 2011 s 2:21 pm

Sintoma: Acesso a um determinado website da minha rede interna era possivel quando feito de fora da empresa mas no era possivel de ser realizado de dentro da rede interna Ol Thiago, muito obrigado pela fora, mas acabei encontrando o problema (ou a soluo) logo aps enviar email para vc. O que acontecia comigo era que nas configuraes avanadas do Pfsense (Menu System / opo advanced), tinha uma caixa que estava marcada Disable NAT Reflection logo aps desmarcar esta opo e salvar o sites em questo abriu normalmente. Agradeo a prontido Thiago muito obrigado gostaria de aproveitar e dar uma sugesto de pauta. como sou novo no pfsense eu praticamente no instalei nenhum package nele, seria legal falar sobre os packages disponiveis e quais vc sugere para uso. vlw

Thiago L Oliveira disse:

fevereiro 24, 2011 s 2:37 pm

Oi Thiago, da uma lida do topico 9.1 desse tutorial (instalando Packages)

Mega Link T.I disse:

abril 11, 2011 s 12:05 am

eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/

12/13

14/06/12

Instalao, Configurao e Manuteno do PFSense | Tecnologia da Informao EficienTI

Excelente! Parabens!. Trabalho com outros tipos de sistema. Conheci o PfSense atraves de um amigo, comecei a pesquisar sobre e estou muito empolgado com as possibilidade que o sistema oferece. Minha dificuldade foi encontrar material e documentaao falando sobre o sistema. Seu post com ctza vai nos ajudar demais, i que puder contribuir conosco, seremos eternamente agradecidos. Msn: cleber@megalinkti.com.br

ronaldo disse:
abril 23, 2011 s 7:04 pm

ola muito bom o tutorial vc poderia adicionar um tutorial baseado em uma restricao de sites baseado no grupos do AD valew

Thiago L Oliveira disse:

maio 2, 2011 s 1:01 pm

Basta configurar o pfsense integrado com o AD conforme descrito no blog e criar ACLs adicionando o nome dos usuriarios que faro parte desse grupo de acesso/restrio vlw

Os comentrios esto fechados.

Tecnologia da Informao EficienTI

Tema: Twenty Ten Blog no WordPress.com.

eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/

13/13