Download - Artigo Pfsense.

8/10/2019 Artigo Pfsense.

1/7

48 www. admin- magazine .com.br

Muito alm de um firewallMuito al m firewall

il e uma utilidadesMil e uma utilidades primeira vista, o pfSense parece umaferramenta comum mas torna-seimpressionante quando analisadode perto. Mesmo os recursos maisavanados como alta disponibilidadefazem parte de seu repertrio.Nada mau para um pequeno rewall.

por Tim Schrmann

Chris Buechler e Scott Ullrich estavam in-felizes. Embora a distribuioFreeBSDm0n0wall desse a eles uma opo prticae rpida para con gurar um rewall e um rote-ador, a ferramenta era projetada para sistemasembarcados. Uma vez que deveria ser execu-tada diretamente na memria RAM, era difcilusar extenses. A situao fez com que ambos

os desenvolvedores trabalhassem em sua pr-pria distribuio, batizada de pfSense[1] .O ncleo da verso 2.0 lanada no nal de

setembro de 2011 abrange o FreeBSD 8.1, que customizado para o uso como um rewall e umroteador. Caso o usurio decida, o pfSense podeatuar tambm como um servidor DHCP, um pro-vedor de dados para sniffers como o Wireshark,

um ponto de acesso VPN, um servidor DNS eat mesmo um ponto de acesso para conexessem o. Apesar de tudo isso, o sistema completopossui apenas 100MB e para ser iniciado, neces-sita somente de um pendrive de 128MB.

Agora, se os recursos includos no foremsu cientes para suas necessidades, possvelexpandir o pfSense ao adicionar pacotes. Por

exemplo, possvel adicionar um proxy webou um sistema de deteco de intrusos (corte-sia da Snort). Os componentes so con gura-dos de forma conveniente em uma so stica-da interface web. Alm disso, graas licenaBSD, o pacote todo seu sem nenhum custo.

Para todas as nalidadesO pfSense tirou seu nome esquisito do -rewall PF do OpenBSD. Esse rewall ofereceo recurso de relembrar ao usurio quem abriudeterminada conexo. Assim, o rewall pode

usar regras para no somente bloquear portasindividuais e protocolos como tambm pararestringir o nmero de conexes simultneaspara computadores espec cos, roteando otrfego por meio de gateways prede nidos.

Graas ferramentap0f , o pfSense pode atdistinguir entre sistemas operacionais, o quepode ser til se voc quiser, por exemplo, evi-tar que todos os computadores com Windowsacessem a Internet. O pfSense tenta automa-ticamente corrigir ou normalizar pacotes quepaream estranhos (scrubbing ), alm de evitar

ataques potenciais vindos desses pacotes[2] .

Figura 1 A maioria das imagens disponveis do pfSenseso voltadas para sistemas embarcados.


2/7

Admin Magazine #5 | Maro de 2012 49

Muito alm de um firewall

Para melhorar a disponibilidade, voc podecombinar mltiplos rewalls pfSense ativos.Se um rewall falhar por conta de um erro dehardware, outro rewall toma seu lugar auto-maticamente. Para tanto, o protocolo de redun-dncia CARP (Common Address RedundancyProtocol ) usado em segundo plano[3] . Se ne-

cessrio, a instalao do pfSense pode transferirsua con gurao para todos os outros rewallse, posteriormente, executar a ferramentapfsyncpara manter todas as tabelas de estados de to-dos os rewalls ativos sincronizadas.

Alm do rewall, o pfSense inclui um servidorDHCP e suporta NAT (Network Address Transla-tion ) de forma natural combinado com redirecio-namento de portas e mltiplos endereos IP.

O pfSense pode ser usado como ponto deacesso para uma VPN, presumindo que a VPNuse o protocolo IPsec, OpenVPN ou PPTP. O

recurso Captive Portal particularmente inte-ressante para operadores de hotspots (pontosde acesso sem o): quando habilitado, os usu-rios precisam se autenticar por meio de umwebsite especial (que pode ser customizado)para acessar a rede ou a Internet[4] .

O balanceamento de carga remove al-gumas das dores de cabea em grandes re-des. O pfSense distribui o trfego de dadosde sada para mltiplas interfaces WAN. Seuma delas falhar, o pfSense automaticamenteredireciona o trfego para as interfaces que

funcionam. De forma similar, o

rewall podedistribuir requisies e conexes de entradapara mltiplos servidores. Esse recurso tilse voc executa um website visitado com fre-quncia. Se um de seus servidores falhar, opfSense automaticamente encaminha as re-quisies para os servidores disponveis.

A ferramenta s funciona em processadoresx86 ou AMD64, o que seu lado negativo. Seo usurio vai operar pequenas redes e precisade uma soluo de rewall simples, os recursosnecessrios so mnimos. No entanto, se o com-

putador precisar manipular 200 megabits por

Figura 2 No exemplo, os PCs do escritrio usam o pfSense para acessar a Internet.

Figura 3 O menu de boot do FreeBSD d as boas vindasao administrador aps iniciar do CD ou deum pendrive.

Figura 4 Voc tem dez segundos para decidir se quer iniciara instalao do programa ou iniciar a partir do CD.

Figura 5 Normalmente voc no precisar mudar a fonte,mapa de tela e teclado, a menos que tente intera-gir com o pfSense em um terminal, por exemplo.


3/7



segundo, o pfSense vai precisar de ao menos1GHz de CPU. Quaisquer pacotes adicionaisvo requerer memria RAM adicional. Os de-senvolvedores da ferramenta publicaram umatabela de clculo bastante til para ajudar na

de

nio dos requisitos necessrios[5] .Download e requisitosAo visitar a pgina de downloads para pro-curar um espelho de onde possa baixar aferramenta, talvez que espantado com aquantidade de arquivos disponveis (gura 1 ).Normalmente, no entanto, tudo de que vocvai precisar da imagem ISO de 100 MB como nome pfSense-2.0-RELEASE-i386.iso.gz , queest no nal da pgina. Se voc tem um siste-ma AMD64, faa o download da versopfSen-

se-2.0-RELEASE-amd64.iso.gz . Se voc gravar aimagem em um CD, poderr fazer boot a partirdesta mdia tanto para chegar ao programa deinstalao quanto para executar um sistema di-retamente do CD (modoLive , ou seja, sem ne-cessidade de instalao). Neste segundo modo,alguns recursos cam indisponveis, de formaque faz mais sentido instalar a distribuio nocomputador ou em uma mquina virtual.

Voc tambm pode encontrar verses espe-c cas para pendrives. Essas verses oferecem

o mesmo contedo do CD e so projetadaspara computadores sem um leitor de CD. Osarquivos pfSense-memstick-2.0-RELEASE-i386.img.gz oupfSense-memstick-2.0-RELEASE-amd64.img.gz so os necessrios nesse caso.

Alm do sistema Live, os desenvolve-

dores tambm oferecem uma variante embarcada que faz boot a partir de um cartocompact ash e executada totalmente namemria RAM. Algumas imagens existempara essa verso embarcada, cada uma parauma combinao de arquitetura de proces-sador, tamanho do carto compact ash(ou memria ash interna) e do adaptadorgr co do sistema em questo. O pacotepfSense-2.0-RELEASE-1g-amd64-nanobsd_vga.img.gz , por exemplo, inclui uma imagem paraum carto compact ash com capacidade de

1GB, o qual dever ser ligado em um sistemacom um processador AMD64 que possui umaplaca gr ca. Pacotes que no possuem o su- xo_vga tm todas as sadas de telas e podemser acessados somente por meio de uma portaserial na mquina. Alm disso, uma mquinavirtual pr-con gurada para VMware estdisponvel, embora essa mquina contenhasomente a verso 1.2.3, que antiga, pelomenos at a data de impresso desta edio.

Para demonstrar como fcil implementar econ gurar uma mquina pfSense, usarei como

exemplo a substituio de um roteador Fritz!Box,ou seja, vamos conectar a LAN de uma pequenaempresa de forma segura com a Internet (gura 2 ).Nesse cenrio, os usurios s tero acesso apsrealizar sua autenticao no pfSense com umasenha pessoal em uma pgina de portal.

InstalaoAps fazer boot do Live CD, deixe o menu Fre-eBSD ao pressionar[Enter] ou espere por dezsegundos (gura 3 ). Se um problema ocorrer du-rante o processo de boot, tente outras opes de

boot. A opo2 tenta fazer boot com os switchesACPI desligados; a opo4 o faz em modo desegurana; e a opo6 faz com que o FreeBSDque alicera o boot entre em modoverbose (exi- be na tela todos os passos que est realizan-do), de forma que voc identi que quaisquerhardwares com comportamento inadequado.

Se tudo funcionar, o pfSense perguntar sevoc quer iniciar a instalao ou executar o siste-ma direto no CD (gura 4 ). uma boa ideia fazera escolha dentro do limite de dez segundos. Seno o zer, o pfSense automaticamente executa-

r o sistema direto do CD. Se isso acontecer, voc

Figura 6 Nesse caso, a primeira placa de rede, em0 , ainterface WAN ou Internet.

Figura 7 Esse menu para uso emergencial se a interface webfalhar. Para ter acesso SSH, por exemplo, digite 14 .


4/7



ter de responder as mesmas perguntas que res-pondeu no primeiro boot feito no disco.

Ao escolher a opo de instalao, ser ini-ciado um assistente. Na primeira tela, possvelaceitar os padres de fonte e teclado ao pressio-nar Accept these Settings (gura 5 ). Na versoQui-

ck/Easy Install , con

rme o prompt de seguranae o assistente apagar o primeiro disco rgido,con gurando o pfSense no espao disponvel.Essa a escolha certa no exemplo, uma vez quevou instalar o pfSense em um computador delaboratrio. Voc s precisar de uma instalaopersonalizada (Custom ) se quiser particionar econ gurar o disco manualmente.

Uma vez tendo o pfSense instalado no disco, necessrio decidir qual kernel usar. Em umPC padro, o primeiro item,Symmetric multi- processing kernel , ser a escolha certa. O modo

Embedded kernel usado em sistemas embarca-dos que no tm tela (ou uma placa gr ca) outeclado e o modoDevelopers kernel s interes-sante para desenvolvedores do pfSense.

Finalmente, voc precisa reiniciar a m-quina, remover o CD e esperar que o pfSensefaa boot do disco. Voc ver um menu de boot familiar, o qual pode pular pressionando[Enter] . Aps um tempo, o pfSense mostraruma lista de interfaces de rede e perguntarqual voc quer con gurar como VPN. Isso sser necessrio se voc implementar o pfSen-

se exclusivamente entre ou com VPNs. J quevoc pode con gurar o recurso VPN de for-ma mais conveniente na interface web poste-riormente, respondan para essa questo.

A prxima coisa que o pfSense quer sabero nome da interface WAN (gura 6 ). A lista comas interfaces de rede de grande ajuda aqui. Sevoc estiver em dvida, pode dizer ao pfSensepara identi car a interface correta sozinho. Paratanto, desconecte todos os cabos de rede do com-putador, pressione a tecla[a] , conecte o cabo daWAN, pressione a tecla[Enter] e veja se o pfSen-

se identi

cou a interface automaticamente. Noprximo passo, ser necessrio inserir o nomedas interfaces LAN com um procedimento simi-lar. Se voc tem vrias interfaces, simplesmenterepita os passos tantas vezes quanto necessrio.Novamente, o pfSense tem uma opo para de-teco automtica. Aps registrar todos as placasde rede, pressione a tecla[Enter] quando o siste-ma pedir uma nova placa. O pfSense lista todasas con guraes. Se todas estiverem corretas,pressione y . Quando o menu dagura 7 apare-cer, voc conseguiu completar a instalao com

sucesso. O pfSense agora funcionar como uma

Figura 8 Aps completar a instalao, possvel utilizar essapgina para acessar o painel de controle do pfSense.

Figura 9 A primeira coisa que voc deve mudar suasenha na janela do User Manager .

Figura 10 O painel de controle oferece diversas informa-es teis sobre a situao atual do sistema.Voc pode reorganizar os widgets clicando earrastando-os com o mouse.


5/7



Fritz!Box. Embora os servidores DHCP, NAT ecomponentes de rewall j estejam instaladose em execuo, a implementao precisar deuma ateno manual na interface web (gura 8 ).

Com a mo na massaEm seu estado padro, o servidor DHCPdo pfSense atribui endereos IP na faixa de192.168.1.100 at 192.168.1.199 para todos oscomputadores conectados rede por meio daprimeira interface LAN. Na rede, entre no ende-reo 192.168.1.1 via navegador para chegar a in-terface web do pfSense. Aceite o certi cado au-toatribudo que o pfSense emite para si mesmo.

O acesso inicial para a interface web usa umacombinao com o nome do usurioadmin e asenha pfsense . Essas so as credenciais do admi-nistrador, que tem o poder de alterar qualquer

parmetro do sistema. Assim, uma das primei-ras coisas a se fazer mudar esta senha. Paratanto, acesseSystem , selecioneUser Manager ,clique no cone na direita da linhaadmin e digi-te uma nova senha emPassword (gura 9 ). Vocsempre precisar salvar as mudanas realizadasao pressionarSave na parte inferior da tela.

Ao clicar no logo do pfSense no canto supe-rior esquerdo, voc levado de volta ao pai-nel de controle. Isso d a voc a visualizaoinicial do sistema e sua carga atual ( gura 10 ).Se precisar de mais informao, pode adicio-

nar widgets. Para tanto, clique no cone comsinal + ) abaixo deStatus e escolha uma novafonte de informao. Uma das coisas que euconsidero teis o widgetTraf c Graphs , queoferece uma visualizao geral em forma degr cos do trfego da rede (quadro 1 ).

NmerosPor padro, o pfSense usa um cliente DHCPpara buscar um endereo IP para a interfaceWAN. De acordo com a RFC 1918, ele recusa en-dereos IP de reas reservadas para LANs pri-

vadas, como 10/8, 172.16/12 e 192.168/16. Emalguns casos, como no acesso UMTS, os prove-dores vo atribuir exatamente esses endereosIP rede. Para dizer ao pfSense para aceit-los, necessrio desmarcar a opoBlock private ne-tworks na parte de baixo deInterfaces/WAN . Semarcar a caixaBlock bogon networks , voc vai bloquear endereos no atribudos pela IANA,como 0.0.0/8. Ambas os recursos aumentam asegurana e s devem ser desabilitadas se voctiver uma razo muito boa para isso.

Se voc quer que o pfSense use o ADSL

para criar uma conexo com a Internet,

Figura 11 No exemplo, um cliente executando Ubuntu fezdownload de uma srie de atualizaes e depoisvisualizou somente algumas pginas.

Figura 12 O reset do provedor ocorre por volta das 4h30da manh, horrio em que, provavelmente, noh ningum no escritrio.

Figura 13 Essas conguraes evitam que o computadorcom o endereo IP 192.168.1.66 acesse a portaTCP 22, ou seja, o servio SSH.


6/7



necessrio ensinar a interface WAN a usar oprotocolo PPPoE. Para tanto, simplesmentecon gure Type para PPPoE e entre com suascredenciais de acesso nos campos embaixode PPPoE con guration . Muitos provedoresde ADSL interrompem a conexo automati-

camente aps 24 horas se voc tem uma ban-da ilimitada de donwload. O pfSense podefazer um reset durante um tempo especi -cado para garantir a vida da conexo. Paratanto, v paraPeriodic Reset , selecioneCustom no menu de seleo e, ento, de na o tempodesejado nos dois campos ( gura 12 ).

Todos os computadores conectados na rederecebem automaticamente um endereo IP pormeio do servidor DHCP embutido. Se vocquer atribuir uma faixa espec ca de endreosIP para suas mquinas, v aServices/DHCP Ser-

ver e ento atribua a faixa de endereos. A par-te de baixo da tela mostrar uma tabela (vaziapor padro). Voc pode atribuir endereos IPespec cos nessa tabela. Para criar uma regrado tipo, clique no pequeno cone com sinal demais, inclua o endereo MAC da mquina, oendereo IP desejado e o nome do host.

RegrasAo analisar os camposFirewall/Rules , note queo rewall bloqueia todos os pacotes de entra-da da WAN por padro. De forma similar, to-

dos os PCs na LAN possuem a permisso deabrir conexes de sada. Para criar uma novaregra, pressione o pequeno boto com sinal demais no canto superior direito. Isso o leva aoformulrio onde ser possvel criar regras comapenas alguns cliques ( gura 13 ).

Tome cuidado, nesse caso, com duas ar-madilhas: todas as mquinas na LAN sempretm acesso ao computador com o pfSense porconta de uma regraAnti-Lockout , que no edi-tvel. Mesmo com a regra exibida nagura 13 ,o computador com o endereo IP 192.168.1.66

ainda tinha a possibilidade de usar SSH paralogar na mquina servidora do pfSense (issopresume que exista um acesso SSH habilitado).Para evitar isso, voc pode desabilitar a regraAnti-Lockout emSystem/Advanced ao desmarcara caixa correspondente. No entanto, isso signi- ca correr o risco de bloquear seu prprio aces-so ao sistema por conta de algum erro.

Alm disso, o rewall processa todas as re-gras de cima para baixo. A primeira regra v-lida prevalece e o pfSense ignora todas as ou-tras. Voc pode mover uma regra nessa lista ao

selecion-la e pressionar o cone com a seta at

a regra chegar a primeira posio. Se voc tema ordem correta, mas alguma regra de bloqueioparece no fazer efeito, talvez voc precise che-car Diagnostics/State e resetar tambm o estadoao clicar emReset na abaReset states . O navega-dor pode sofrer com um recarregamento in ni-to da pgina. Se isso acontecer, simplesmente re-carregue o endereo do pfSense manualmente.

Departamento pessoalAntes que seus usurios LAN comecem a

acessar a Internet, precisam estar autenticadosem uma pgina especial de portal digitando onome de usurio e senha. Para que isso acon-tea, primeiramente necessrio armazenaressas credenciais no pfSense. Para as coisas -carem mais fceis, vou usar oUser Manager , umgerenciador de usurios includo no pfSense,

Figura 15 Um usurio LAN precisa digitar um nome de usu-rio e senha para ter acesso Internet. Voc pode,claro, modicar a aparncia dessa pgina.

Figura 14 A opo Expiration Date permite que voc de-na a data em que o pfSense automaticamentedesabilitar a conta de usurio.


7/7



que voc encontrar emSystem/User Manager .Nesse caso, pressione o cone com o sinal demais em User Manager e adicione uma novaconta para cada usurio. O formulrio requerapenas um nome de usurio e senha (gura 14 ).

A pgina de login oriunda do Capti-

ve Portal. Para habilitar a pgina, marque acaixaEnable captive portal em Services/CaptivePortal . Se voc quiser que a pgina de loginaparea quando o usurio da rede LAN qui-ser acessar a Internet, marque a opo LANem Interfaces. Se o usurio car ocioso porum certo perodo de tempo, o pfSense faz lo-goff automtico do usurio. Voc pode de -nir quantos minutos ele precisa estar ociosopara que isso acontea emIdle Timeout . Seesse campo estiver vazio, no h limite. A op-

oHard Timeout deixa as coisas mais rgidas:aps o tempo de nido, o pfSense faz logoffdo usurio, mesmo que ele no esteja ocioso.

Quando o usurio faz login, o pfSense au-tomaticamente o leva URL de nida emAfterAuthentication Redirection URL . O nome de usu-

rio e senha so armazenados no gerenciador deusurios, e isso explica porque a autenticao con gurada em Local User Manager/Vouchers .Como o nome sugere, essa opo permite quevoc crie vouchers para dar acesso temporrio Internet a alguns usurios. Isso til para hotis,por exemplo, onde os usurios podem comprarvouchers para obter determinado tempo de na-vegao. Aps pressionarSave , sempre que umcliente na LAN tentar acessar a Internet, o usu-rio recebe automaticamente a tela de login exibida nagura 15 . O usurio precisa ingressar com

as credenciais armazenadas no gerenciador deusurios para acessar a Internet. Nunca deixe desalvar as mudanas antes de abrir um novo itemde menu na interface web, a menos que vocqueira descarregar todas as mudanas.

Em alguns casos, como por exemplo, comas con guraes do servidor DHCP, vocainda precisa necessariamente aplicar as no-vas regras explicitamente, recarregando osistema. Se voc est instalando o pfSense emuma mquina de produo, uma boa ideiaexecutar o assistente localizado emSystem/

Setup Wizard . O assistente lhe pede algumasinformaes necessrias, como nome do host,que por padro pfsense.dominio_local .

ConclusoNesse artigo, ofereci apenas uma viso geral sobre os recursos bsicos do pfSense, que muitomais abrangente. Infelizmente, a documenta-o ainda fraca e o wiki um pouco pobre eminformaes[6] e tanto esse artigo quanto oslivros disponveis no mercado abordam ver-ses mais antigas. Muito do contedo ainda

aplicvel e se voc est familiarizado com ser-vios do tipo, encontrar os recursos de quenecessita intuitivamente. Alm disso, muitasempresas comearam a oferecer hardware oudispositivos com o pfSense pr-instalado. Umalista de empresas recomendadas pelos desen-volvedores est disponvel no endereo[7] .

Gostou deste artigo? Veja este artigo em nosso site:http://www.lnm.com.br/admin/article/6586Queremos ouvir sua opinio. Fale conosco em:[email protected]

Mais informaes [1] pfSense: http://www.pfsense.org[2] PF e Scrubbing: http://docstore.mik.ua/

manuals/openbsd/faq/pf/scrub.html[3] Protocolo CARP: http://en.wikipedia.org/

wiki/Common_Address_Redundancy_Protocol[4] Captive portal: http://en.wikipedia.

org/wiki/Captive_Portal[5] Requisitos de hardware para o pfSense: http://

www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49

[6] Wiki do pfSense: http://doc.pfsense.org/index.php/Main_Page

[7] Dispositivos pfSense: http://www.pfsense.org/index.php?option=com_content&task=view&id=44&Itemid=50

Quadro 1: Informao sobre tudoO pfSense faz log de suas aes em mltiplos arquivos delog, que podem ser visualizados em Status/System logs .Na aba Firewall , voc pode clicar em um dos cones paradenir uma nova regra de exceo. As conexes monito-radas pelo rewall so exibidas em uma tela separada, emDiagnostics / States .

Alm disso, o pfSense coleta dados estatsticos,como o nmero de pacotes inspecionados. Esses da-dos so armazenados em um banco de dados do tipo

round-robin (RRD), de forma que as informaes mais an-tigas so descartadas quando uma nova chega.O pfSense usa esses dados para gerar alguns grcos e esta-tsticas interessantes. Alguns deles so encontrados no painelde controle e outros podem ser encontrados no menu Status/ RRD Graphs . Com isso, voc ca sabendo quanto trfego equantos pacotes passaram por meio de placas de redes indi-viduais nas ltimas horas e dias ( gura 11 ), dando a voc umaviso geral sobre a qualidade da conexo WAN (aba Quality ).Finalmente, o menu Status/Services diz quais servios es-to em execuo. Voc pode usar os botes do menu parainiciar ou interromper um servio (botes Start e Stop ).