Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Treinamento EficienTI
Treinamentos
Validade: Indeterminad
Contedo
SUMRIO EXECUTIVO ADMINISTRAO DO PFSENSE 1. OBJETIVO 8. AUMENTANDO A SEGURANA DO PFSENSE 9. INSTALAO DE PACKAGES 9.1. Instalando os Packages 12. PROXY: CONFIGURAES DO SQUIDGUARD 12.1. Baixando BlackLists 12.2. Gerenciando BlackLists
2. SOBRE O PFSENSE
3. PR-REQUISITOS
4.1. Definio
11.3. Cache 5.1. Compatibilidade de Hardware 11.4. Access Control 5.2. Mdia do PFSENSE
6. INSTALAO DO PFSENSE
eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
1/13
14/06/12
Sumrio Executivo
empresa parceira Gold Microsoft, especializada em Infra-Estrutura de TI. Outros servios oferecidos pela EficienTI incluem solues de hospedagem, terceirizao de servios de TI servios de ServiceDesk.
A EficienTI se caracteriza pelo compromisso absoluto com a entrega de solues de alta qualidade, dentro d prazo e custo estimados. Nossos gerentes so especializados na entrega de solues que melhor atendam necessidade dos clientes, de maneira eficiente e de acordo com o escopo definido.
A EficienTI possui profissionais com especializao nas competncias Microsoft relativas a NetWorking Infrastructure Solution Linux, Gerncia, Melhores Prticas e Controle de T.I. Entre as certificaes de seus profissionais esto ITILF, COBITF, CSM, LPICLPIC-2, MCTS, MCSE, MCSA, MCDBA, MCSD e MCAD.
Administrao do PFSENSE
Objetivo
utilizando o pfSense, um firewall estavel montado sobre a plataforma FreeBSD.
Capacitar instalar, configurar e administrar recursos de Firewall, Proxy, DHCP, NAT Port Forwarding e VPN
Sobre o PFSense
O pfSense um dos mais conhecidos e provavelmente mais rico, em recursos, entre os sistemas para appliance que facilita a administrao. Com gerenciamento via Web, oferece inmeros recursos, focado para ambiente de roteamento e firewalling, bem como segurana de networking, excelente soluo para VPN entre outros diversos recursos.
pr-configurado. Nascido em uma verso customizada do estvel FreeBSD, conta com uma interface amigvel
Pr-Requisitos
Conhecimento bsico em redes de computadores
14/06/12
Sistema de Deteco de Intruso Redes Virtuais Privadas (VPN) Segurana em Redes Sem Fio
Mdia do PFSENSE
Primeiramente devemos baixar a ultima verso estvel do PFSense disponvel no site do PFSEnse.org http://www.pfsense.org/mirror.php?section=downloads
Aps realizar o Download da imagem atravs de um dos mirros disponveis, podemos usar o 7-zip par Descompactar a imagem e finalmente o um gravador de imagem (.ISO), cito por exemplo, o BurnWare Free
Requisitos de Hardware
Recomenda-se utilizar um servidor com pelo menos 1.5 Ghz de processador e 512MB de Ram. Necessrio utilizarmos no mnimo 2 placas de rede
O CD baixado no site do PFSense, funciona com um live cd, ou seja, todo o sistema pfsense j est
previamente carregado e pronto para uso ao iniciarmos o nosso servidor a partir do CD Rom. Isso pode se iniciar o servidor a partir do cd e importar as configuraes que podem ser salvas em um arquivo XML.
muito til para casos de emergncia em que faz-se necessrio subir rapidamente o firewall, tendo que apena
Passo 2
Ao inicializar o cd ser carregado o sistema PFSense at que seja necessrio realizar as configuraes iniciais de rede conforme print abaixo
Passo 3
As interfaces de rede disponveis sero exibidas, como no exemplo acima, como em0 e em1. Quando for perguntado se voc quer configurar uma vlan responda que no digitando N e em seguida enter. Voc ser perguntado agora quais so as suas interfaces LAN e WAN, basta definir de acordo com a sua preferncia conforme print abaixo:
eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/ 3/13
14/06/12
Passo 4
Aps esse processo o PFSense j estar pronto para utilizao visto que um live cd, porem recomenda-s usando a opo 99
realizar a instalao no prprio disco rgido para maior performance e estabilidade do sistema. Faa iss
Passo 5
Aceite as configuraes de console atuais (vdeo, teclado etc)
Passo 6
Quick Install para uma instalao automatizada
Passo 7
1. Ser exibido um alerta de que seu HD ser formatado e o PFSense instalado no disco rigido, clique ok
eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
4/13
14/06/12
Passo 8
Quando for perguntado da instalao do Kernel, marque a opo que melhor se adequar ao seu processador. Basicamente, se voc estiver utilizando um nico processador escolha Uniprocessor Kernel caso esteja usando mais de um processador marque Symmetric Multiprocessing Kernel
Passo 9
Quando for exibida a tela abaixo voc ter finalizado a instalao do PFSense com sucesso. Ser solicitado o Reboot do servidor, lembrando que ser necessrio retirar o cd da unidade
Passo 2
Caso necessrio, podemos alterar o IP da rede interna com a opo 2. Obs: Lembre-se de no habilitar o DHCP no seu PFSense caso no seja realmente necessrio. Aps a definio do IP correto da rede interna podemos acessar o PFSense a partir de uma estao na sua rede interna, digitando pelo seu navegador o endereo da LAN do PFSense. Digite as credenciais: Usuario: Admin; Password: pfsense, para inicializar o wizard de configurao inicial.
eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
5/13
14/06/12
Passo 3
Configure o Nome do seu servidor Proxy/firewall, domnio e o DNS apontando para os servidores interno, caso disponvel.
Passo 4
Altere o timezone para America/So Paulo
Passo 5
Configure sua interface WAN de acordo com as configuraes da sua prestadora de servio de internet
Passo 6
Confirme as configuraes da sua LAN e redefina e documente sua senha de acesso ao PFSENSE. Ser solicitado que voc recarregue as configuraes do PFSense:
eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
6/13
14/06/12
Passo 7
Com isso o PFSense j esta devidamente configurado com as configuraes bsicas e apto a navegao de seu clientes.
Instalao de Packages
Instalando os Packages
Selecionamos alguns dos pacotes mais importantes para nossa estrutura inicial. Abaixo a lista dos Package que devemos instalar. Para instal-los navegue em SYSTEM > PACKAGES e clique no boto + ao lado da descrio do pacote. Execute a instalao na seguinte ordem: 1 squid: Servidor Proxy. Reduz utilizao da conexo e melhora tempo de resposta fazendo cach de suas requisies alm de prover um nvel bsico de controle e segurana no acesso URLs potencialmente perigosos 2 Lightsquid: Ferramenta responsvel pela gerao de relatrios de acesso 3 squidGuard: Poderosa ferramenta de acesso que integrado ao squid permite controlar a navegao baseado no endereo de origem, destino, URL, Horio ou combinaes desses itens. Conta com blacklists agrupados em categorias de sites e atende 1000.000 solicitaes em 10 segundos segundo o site oficial.
eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
7/13
14/06/12
Firewall > Rules: Podemos editar nossas regras permitindo ou negando o acesso protocolos e portas d
Caso voc no tenha nenhuma regra de liberao criada o comportamento do PFSense de bloquear tod trafego de entrada e sada.
Mtodos de Autenticao
Para configurao do Squid como proxy da nossa organizao, podemos utilizar basicamente 3 metodos d acesso: Transparent Proxy Autenticao com usuario Local do PFSense Autenticao Integrada com recursos Externos (LDAP Windows Active Directory)
Transparent Proxy: A estao de trabalho se conecta ao PFSense como Gateway que se apropria d geral do Proxy Server
requisio para sair para internet como Proxy. Para habilitar basta marcar a check box correspondente na ab
PFSense Local User: Para este mtodo de autenticao deve-se criar um ou mais usuarios na an Local Users e em seguida em Auth Settings definir o metodo de autenticao como Local.
Autenticao Integrada com AD (LDAP): Para que os usuarios de um dominio Windows 200 de autenticao LDAP seguindo as configuraes abaixo: Verso do LDAP: 3 (para Windows 2003 Server) Authentication Server: IP ou FQDN do Servidor Authentiocation Port: 389 User DN (user1 criado no dominio dom1.local por exemplo):
cn=user1,cn=Users,dc=dom1,dc=local
LDAP Password: Senha do usuarios definido em User DN
possam autenticar com seus usuarios do AD no PFSense devemos definir em Auth Setting o mtod
eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
8/13
14/06/12
Cache
Na Aba Cache Mgmt podemos configurar as opes de cache do pfsense. Recomendaes da comunidade PFSense: HardDiskSize 3000 (3GB) Memory: 50% da Capacidade do seu server Minimum object size: 0 Maximum object size: opcional Hard disk cache system: aufs ( uma verso alternativa de unionfs que tem como objetivo melhorar confiabilidade e o desempenho do sistema de armazenamento)
Access Control
Na aba access control do Proxy Server temos a opo de configurar um controle bsico de acesso definindo po exemplo, uma blascklist bsica para o servio squid
Baixando BlackLists
Com a configurao de Blacklists, atravs do servio do SQUID Guard, podemos baixar listas organizadas por grupos e categorias para facilitar o bloqueio ou liberao para maquinas, usurios e grupos. Para isto devemos adicionar o seguinte endereo BLACK LIST URL: http://www.shallalist.de/Downloads/shallalist.tar.gz Com esse endereo devidamente adicionado clique em Upload URL e aguarde alguns minutos.
Gerenciando BlackLists
Voc pode gerenciar sua Blacklist por grupos ou simplesmente configurar sua regra default. Para isso basta acessar a Aba Default em Proxy Filter e clicando em: Destination Ruleset, gerenciar as listas baixadas, liberando ou bloqueando o s acessos conforme a necessidade e poltica da empresa. Active Directory), pode ser feito na aba ACL do Proxy Filter. Lembre-se de sempre salvar as configuraes realizadas, clicando em Save no fim da pgina e aplicar as alteraes clicando em Apply na aba General settings.
eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/ 9/13
A criao e gerenciamento de grupos customizados por maquinas ou usurio (caso voc integre o PFSENSE ao
14/06/12
SquidGuard Logs
Na aba Log do ProxyFilter podemos acompanhar uma lista de urls que foram bloqueadas acessando a o Blocked. Outra opo interessante do Log do Sq uid Guard esta na opo Filter Log, onde voc pode acompanhar
funcionamento ou parada do servio SquidGuard. Essa opo pode ser til para um troubleshoting aond podemos verificar se o servio est iniciado se o ltimo log gerado for uma mensagem semelhante do Log.
squidGuard ready for requests, ou se o servio est parado quando tambm explcito na ultima entrad
DHCP Server
o escopo para sua rede interna.
Services > DHCP Server: Para ativao do servio basta marcar a check box Enable DHCP Server e defini
DHCP Relay
Services > DHCP Server: Para recebimento automatico de um IP em uma rede, a estao que faz
solicitao necessita iniciar a negociao com um broadcast na rede afim de encontrado o Servidor DHCP
porem por default a maioria dos roteadores no encaminham trfego de broadcast. Podem haver casos em qu
o servidor DHCP est localizado em uma sub-rede que conecta-se a outra sub-rede atravs de um roteador (n enviados pelo cliente DHCP e encaminhar para o servidor DHCP
nosso caso o pfsense). Nesse caso devemos configurar o DHCP Relay que se encarregar de pegar os pacote
Port Forward
Consiste em redirecionar uma porta especfica de um n para outro.
Por exemplo: O WebSite da minha empresa, configurado em um servidor na minha rede interna
precisa ser publicado para acesso externo. Para que isso seja possvel devemos criar um port fowar meu servidor web interno.
redirecionando todo trafego que chegar na porta 80 da interface wan do PFSense para a porta 80 d
NAT 1:1
Destinado a ligar dois ns de redes distintas aonde todo trafego de internet (para o IP publico especificado) uma regra do firewall (rules).
eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/ 10/13
direcionado a um IP especifico da nossa rede interna. Para Permitir o trfego partir da internet deve-se cria
14/06/12
Backup / Restore
Para importar as configuraes do PFSense, Navegue por Diagnostics, Backup/Restore e importe as configuraes em XML que contem as configuraes desejadas. Voc pode editar o arquivo XML com um bloco de notas a fim de realizar os ajustes necessrios antes de realizar o import.
ATENO!!!!!!!!!! No campo Restore Area voc deve restaurar exatamente a configurao especifica que deseja, por exemplo: Configuraes de Rules.. Configurao de TUDO (All) Caso seja feito algum restore em rea incorreta, isto pode fazer com que o pfsense pare de funcionar visto que sero feitas alteraes em locais incorretos.
NOME DATA HORA STATUS DESCRIO DAS ALTERAES
Thiago Lima
15/01/2011
12:00
Pendente
Sobre T hiago L Oliveira MCP 2.0; MCSA; MCTS: ISA Server 2006, Windows Server 2008 Active Directory Configuration; Windows Server 2008 Network Infrastructure Configuration; Ver todos posts de Thiago L Oliveira
Esta entrada foi publicada em Solues Tcnicas. Adicione o link permanente aos seus favoritos.
CARO AMIGO GOSTEI MUITO DO SEU TPICO FOI O NICO QUE CONSEGUI APREBDER A FAZER ALGO NO PFSENSE GOSTARIA DE ME APROFUNDAR MASI SER QUE VC PODERIA ME PASSAR ALGUNS TUTORIAIS?? AGRADEO DESDE J.
Blz Daniel?
Primeiramente obrigado pelo comentario, realmente dificil encontrar material de qualidade em portugues sobre PFSense na internet. A ideia finalizar esse post que vai servir como base para um treinamento que estou planejando aqui na empresa. Vou adicionar sim mais informaes inclusive de como fazer uma vpn entre fortigate pfsense, como adicionar uma terceira interface para utilizao de um segundo link de internet, load balance.. enfim realmente o PFSense tem muito conteudo e conforme for a disponibilidade de tempo eu vou estar adicionando informaes mas se voc tiver alguma dvida imediata pode me enviar um email que agente vai trocando ideia: thiago.limax64@gmail.com
eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/ 11/13
14/06/12
bzanelato disse:
fevereiro 9, 2011 s 11:22 am
Thiago disse:
fevereiro 23, 2011 s 6:57 pm
ol amigo, otimo o seu post sobre o pfsense. estou tendo um dificuldade com o nosso servidor, ser que teria como em dar uma fora?
o que acontece o seguinte, internamente temos um servidor com servios web, eu criei um host em nosso servidor de hospedagem direcionando um determinado host para o nosso servidor, mas quando tento acessar esse host pela rede interna ele no acessa. apenas quando se est fora da rede. tem alguma ideia do que pode ser? desde j agradeo a ateno.
Oi Thiago! Checa para onde esta apontando sua publicao (www.meusite.com.br por exemplo), se no seu servidor Web voc tem mais de um website configurado recebendo solicitaes no mesmo ip e porta. Nesse caso o acesso
deve estar sendo feito com base no hostreader dos seus websites. Essa uma possibilidade j que estou imaginand acessando pelo endereo publico. possivel tambem que seu firewall esteja bloquando o acesso da sua rede local para o seu apptier. Checa esses pontos e no que eu puder ajudar pode mandar um email pra thiago.limax64@gmail.com.
que internamente vc esta acessando o seu website pelo endereo da rede local enquanto pela internet vc deve esta
Thiago disse:
fevereiro 24, 2011 s 2:21 pm
Sintoma: Acesso a um determinado website da minha rede interna era possivel quando feito de fora da empresa mas no era possivel de ser realizado de dentro da rede interna Ol Thiago, muito obrigado pela fora, mas acabei encontrando o problema (ou a soluo) logo aps enviar email para vc. O que acontecia comigo era que nas configuraes avanadas do Pfsense (Menu System / opo advanced), tinha uma caixa que estava marcada Disable NAT Reflection logo aps desmarcar esta opo e salvar o sites em questo abriu normalmente. Agradeo a prontido Thiago muito obrigado gostaria de aproveitar e dar uma sugesto de pauta. como sou novo no pfsense eu praticamente no instalei nenhum package nele, seria legal falar sobre os packages disponiveis e quais vc sugere para uso. vlw
eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
12/13
14/06/12
Excelente! Parabens!. Trabalho com outros tipos de sistema. Conheci o PfSense atraves de um amigo, comecei a pesquisar sobre e estou muito empolgado com as possibilidade que o sistema oferece. Minha dificuldade foi encontrar material e documentaao falando sobre o sistema. Seu post com ctza vai nos ajudar demais, i que puder contribuir conosco, seremos eternamente agradecidos. Msn: cleber@megalinkti.com.br
ronaldo disse:
abril 23, 2011 s 7:04 pm
ola muito bom o tutorial vc poderia adicionar um tutorial baseado em uma restricao de sites baseado no grupos do AD valew
Basta configurar o pfsense integrado com o AD conforme descrito no blog e criar ACLs adicionando o nome dos usuriarios que faro parte desse grupo de acesso/restrio vlw
eficienti.wordpress.com/2011/02/02/instalacao-configuracao-e-manutencao-do-pfsense-2/
13/13