Embed Size (px)
Citation preview
48 www.admin-magazine.com.br
Muito além de um firewallMuito aléaléaléaléléalééaaléééém dm dm dm dm dddde ue e e ue ue ue um firewall
Mil e uma utilidadesMil e uma utilidades À primeira vista, o pfSense parece uma ferramenta comum mas torna-seimpressionante quando analisado de perto. Mesmo os recursos mais avançados como alta disponibilidade fazem parte de seu repertório. Nada mau para um pequeno fi rewall.
por Tim Schürmann
Chris Buechler e Scott Ullrich estavam in-felizes. Embora a distribuição FreeBSD m0n0wall desse a eles uma opção prática
e rápida para confi gurar um fi rewall e um rote-ador, a ferramenta era projetada para sistemas embarcados. Uma vez que deveria ser execu-tada diretamente na memória RAM, era difícil usar extensões. A situação fez com que ambos os desenvolvedores trabalhassem em sua pró-pria distribuição, batizada de pfSense [1] .
O núcleo da versão 2.0 lançada no fi nal de setembro de 2011 abrange o FreeBSD 8.1, que é customizado para o uso como um fi rewall e um roteador. Caso o usuário decida, o pfSense pode atuar também como um servidor DHCP, um pro-vedor de dados para sniffers como o Wireshark,
um ponto de acesso VPN, um servidor DNS e até mesmo um ponto de acesso para conexões sem fi o. Apesar de tudo isso, o sistema completo possui apenas 100MB e para ser iniciado, neces-sita somente de um pendrive de 128MB.
Agora, se os recursos incluídos não forem sufi cientes para suas necessidades, é possível expandir o pfSense ao adicionar pacotes. Por exemplo, é possível adicionar um proxy web ou um sistema de detecção de intrusos (corte-sia da Snort). Os componentes são confi gura-dos de forma conveniente em uma sofi stica-da interface web. Além disso, graças à licença BSD, o pacote todo é seu sem nenhum custo.
Para todas as fi nalidades O pfSense tirou seu nome esquisito do fi -rewall PF do OpenBSD. Esse fi rewall oferece o recurso de relembrar ao usuário quem abriu determinada conexão. Assim, o fi rewall pode usar regras para não somente bloquear portas individuais e protocolos como também para restringir o número de conexões simultâneas para computadores específi cos, roteando o tráfego por meio de gateways predefi nidos.
Graças à ferramenta p0f , o pfSense pode até distinguir entre sistemas operacionais, o que pode ser útil se você quiser, por exemplo, evi-tar que todos os computadores com Windows acessem a Internet. O pfSense tenta automa-ticamente corrigir ou normalizar pacotes que pareçam estranhos ( scrubbing ), além de evitar ataques potenciais vindos desses pacotes [2] .
Figura 1 A maioria das imagens disponíveis do pfSense são voltadas para sistemas embarcados.
SEGURANÇA
Admin Magazine #5 | Março de 2012 49
Muito além de um firewall
Para melhorar a disponibilidade, você pode combinar múltiplos fi rewalls pfSense ativos. Se um fi rewall falhar por conta de um erro de hardware, outro fi rewall toma seu lugar auto-maticamente. Para tanto, o protocolo de redun-dância CARP ( Common Address Redundancy Protocol ) é usado em segundo plano [3] . Se ne-cessário, a instalação do pfSense pode transferir sua confi guração para todos os outros fi rewalls e, posteriormente, executar a ferramenta pfsyncpara manter todas as tabelas de estados de to-dos os fi rewalls ativos sincronizadas.
Além do fi rewall, o pfSense inclui um servidor DHCP e suporta NAT ( Network Address Transla-tion ) de forma natural combinado com redirecio-namento de portas e múltiplos endereços IP.
O pfSense pode ser usado como ponto de acesso para uma VPN, presumindo que a VPN use o protocolo IPsec, OpenVPN ou PPTP. O recurso Captive Portal é particularmente inte-ressante para operadores de hotspots (pontos de acesso sem fi o): quando habilitado, os usu-ários precisam se autenticar por meio de um website especial (que pode ser customizado) para acessar a rede ou a Internet [4] .
O balanceamento de carga remove al-gumas das dores de cabeça em grandes re-des. O pfSense distribui o tráfego de dados de saída para múltiplas interfaces WAN. Se uma delas falhar, o pfSense automaticamente redireciona o tráfego para as interfaces que funcionam. De forma similar, o fi rewall pode distribuir requisições e conexões de entrada para múltiplos servidores. Esse recurso é útil se você executa um website visitado com fre-quência. Se um de seus servidores falhar, o pfSense automaticamente encaminha as re-quisições para os servidores disponíveis.
A ferramenta só funciona em processadores x86 ou AMD64, o que é seu lado negativo. Se o usuário vai operar pequenas redes e precisa de uma solução de fi rewall simples, os recursos necessários são mínimos. No entanto, se o com-putador precisar manipular 200 megabits por
Figura 2 No exemplo, os PCs do escritório usam o pfSense para acessar a Internet.
Figura 3 O menu de boot do FreeBSD dá as boas vindas ao administrador após iniciar do CD ou de um pendrive.
Figura 4 Você tem dez segundos para decidir se quer iniciar a instalação do programa ou iniciar a partir do CD.
Figura 5 Normalmente você não precisará mudar a fonte, mapa de tela e teclado, a menos que tente intera-gir com o pfSense em um terminal, por exemplo.
50 www.admin-magazine.com.br
Muito além de um firewall
segundo, o pfSense vai precisar de ao menos 1GHz de CPU. Quaisquer pacotes adicionais vão requerer memória RAM adicional. Os de-senvolvedores da ferramenta publicaram uma tabela de cálculo bastante útil para ajudar na defi nição dos requisitos necessários [5] .
Download e requisitos Ao visitar a página de downloads para pro-curar um espelho de onde possa baixar a ferramenta, talvez fi que espantado com a quantidade de arquivos disponíveis ( fi gura 1 ). Normalmente, no entanto, tudo de que você vai precisar é da imagem ISO de 100 MB com o nome pfSense-2.0-RELEASE-i386.iso.gz , que está no fi nal da página. Se você tem um siste-ma AMD64, faça o download da versão pfSen-se-2.0-RELEASE-amd64.iso.gz . Se você gravar a imagem em um CD, poderár fazer boot a partir desta mídia tanto para chegar ao programa de instalação quanto para executar um sistema di-retamente do CD (modo Live , ou seja, sem ne-cessidade de instalação). Neste segundo modo, alguns recursos fi cam indisponíveis, de forma que faz mais sentido instalar a distribuição no computador ou em uma máquina virtual.
Você também pode encontrar versões espe-cífi cas para pendrives. Essas versões oferecem
o mesmo conteúdo do CD e são projetadas para computadores sem um leitor de CD. Os arquivos pfSense-memstick-2.0-RELEASE-i386.img.gz ou pfSense-memstick-2.0-RELEASE-amd64.img.gz são os necessários nesse caso.
Além do sistema Live, os desenvolve-dores também oferecem uma variante em-barcada que faz boot a partir de um cartão compact fl ash e é executada totalmente na memória RAM. Algumas imagens existem para essa versão embarcada, cada uma para uma combinação de arquitetura de proces-sador, tamanho do cartão compact fl ash (ou memória fl ash interna) e do adaptador gráfi co do sistema em questão. O pacote pfSense-2.0-RELEASE-1g-amd64-nanobsd_vga.img.gz , por exemplo, inclui uma imagem para um cartão compact fl ash com capacidade de 1GB, o qual deverá ser ligado em um sistema com um processador AMD64 que possui uma placa gráfi ca. Pacotes que não possuem o su-fi xo _vga têm todas as saídas de telas e podem ser acessados somente por meio de uma porta serial na máquina. Além disso, uma máquina virtual pré-confi gurada para VMware está disponível, embora essa máquina contenha somente a versão 1.2.3, que é antiga, – pelo menos até a data de impressão desta edição.
Para demonstrar como é fácil implementar e confi gurar uma máquina pfSense, usarei como exemplo a substituição de um roteador Fritz!Box, ou seja, vamos conectar a LAN de uma pequena empresa de forma segura com a Internet ( fi gura 2 ). Nesse cenário, os usuários só terão acesso após realizar sua autenticação no pfSense com uma senha pessoal em uma página de portal.
Instalação Após fazer boot do Live CD, deixe o menu Fre-eBSD ao pressionar [Enter] ou espere por dez segundos ( fi gura 3 ). Se um problema ocorrer du-rante o processo de boot, tente outras opções de boot. A opção 2 tenta fazer boot com os switches ACPI desligados; a opção 4 o faz em modo de segurança; e a opção 6 faz com que o FreeBSD que alicerça o boot entre em modo verbose (exi-be na tela todos os passos que está realizan-do), de forma que você identifi que quaisquer hardwares com comportamento inadequado.
Se tudo funcionar, o pfSense perguntará se você quer iniciar a instalação ou executar o siste-ma direto no CD ( fi gura 4 ). É uma boa ideia fazer a escolha dentro do limite de dez segundos. Se não o fi zer, o pfSense automaticamente executa-rá o sistema direto do CD. Se isso acontecer, você
Figura 6 Nesse caso, a primeira placa de rede, em0 , é a interface WAN ou Internet.
Figura 7 Esse menu é para uso emergencial se a interface web falhar. Para ter acesso SSH, por exemplo, digite 14 .
SEGURANÇA
Admin Magazine #5 | Março de 2012 51
Muito além de um firewall
terá de responder as mesmas perguntas que res-pondeu no primeiro boot feito no disco.
Ao escolher a opção de instalação, será ini-ciado um assistente. Na primeira tela, é possível aceitar os padrões de fonte e teclado ao pressio-nar Accept these Settings ( fi gura 5 ). Na versão Qui-ck/Easy Install , confi rme o prompt de segurança e o assistente apagará o primeiro disco rígido, confi gurando o pfSense no espaço disponível. Essa é a escolha certa no exemplo, uma vez que vou instalar o pfSense em um computador de laboratório. Você só precisará de uma instalação personalizada ( Custom ) se quiser particionar e confi gurar o disco manualmente.
Uma vez tendo o pfSense instalado no disco, é necessário decidir qual kernel usar. Em um PC padrão, o primeiro item, Symmetric multi-processing kernel , será a escolha certa. O modo Embedded kernel é usado em sistemas embarca-dos que não têm tela (ou uma placa gráfi ca) ou teclado e o modo Developers kernel só é interes-sante para desenvolvedores do pfSense.
Finalmente, você precisa reiniciar a má-quina, remover o CD e esperar que o pfSense faça boot do disco. Você verá um menu de boot familiar, o qual pode pular pressionando [Enter] . Após um tempo, o pfSense mostrará uma lista de interfaces de rede e perguntará qual você quer confi gurar como VPN. Isso só será necessário se você implementar o pfSen-se exclusivamente entre ou com VPNs. Já que você pode confi gurar o recurso VPN de for-ma mais conveniente na interface web poste-riormente, responda n para essa questão.
A próxima coisa que o pfSense quer é saber o nome da interface WAN ( fi gura 6 ). A lista com as interfaces de rede é de grande ajuda aqui. Se você estiver em dúvida, pode dizer ao pfSense para identifi car a interface correta sozinho. Para tanto, desconecte todos os cabos de rede do com-putador, pressione a tecla [a] , conecte o cabo da WAN, pressione a tecla [Enter] e veja se o pfSen-se identifi cou a interface automaticamente. No próximo passo, será necessário inserir o nome das interfaces LAN com um procedimento simi-lar. Se você tem várias interfaces, simplesmente repita os passos tantas vezes quanto necessário. Novamente, o pfSense tem uma opção para de-tecção automática. Após registrar todos as placas de rede, pressione a tecla [Enter] quando o siste-ma pedir uma nova placa. O pfSense lista todas as confi gurações. Se todas estiverem corretas, pressione y . Quando o menu da fi gura 7 apare-cer, você conseguiu completar a instalação com sucesso. O pfSense agora funcionará como uma
Figura 8 Após completar a instalação, é possível utilizar essa página para acessar o painel de controle do pfSense.
Figura 9 A primeira coisa que você deve mudar é sua senha na janela do User Manager .
Figura 10 O painel de controle oferece diversas informa-ções úteis sobre a situação atual do sistema. Você pode reorganizar os widgets clicando e arrastando-os com o mouse.
52 www.admin-magazine.com.br
Muito além de um firewall
Fritz!Box. Embora os servidores DHCP, NAT e componentes de fi rewall já estejam instalados e em execução, a implementação precisará de uma atenção manual na interface web ( fi gura 8 ).
Com a mão na massa Em seu estado padrão, o servidor DHCP do pfSense atribui endereços IP na faixa de 192.168.1.100 até 192.168.1.199 para todos os computadores conectados à rede por meio da primeira interface LAN. Na rede, entre no ende-reço 192.168.1.1 via navegador para chegar a in-terface web do pfSense. Aceite o certifi cado au-toatribuído que o pfSense emite para si mesmo.
O acesso inicial para a interface web usa uma combinação com o nome do usuário admin e a senha pfsense . Essas são as credenciais do admi-nistrador, que tem o poder de alterar qualquer parâmetro do sistema. Assim, uma das primei-ras coisas a se fazer é mudar esta senha. Para tanto, acesse System , selecione User Manager , clique no ícone na direita da linha admin e digi-te uma nova senha em Password ( fi gura 9 ). Você sempre precisará salvar as mudanças realizadas ao pressionar Save na parte inferior da tela.
Ao clicar no logo do pfSense no canto supe-rior esquerdo, você é levado de volta ao pai-nel de controle. Isso dá a você a visualização inicial do sistema e sua carga atual ( fi gura 10 ). Se precisar de mais informação, pode adicio-nar widgets. Para tanto, clique no ícone com sinal + ) abaixo de Status e escolha uma nova fonte de informação. Uma das coisas que eu considero úteis é o widget Traffi c Graphs , que oferece uma visualização geral em forma de gráfi cos do tráfego da rede ( quadro 1 ).
Números Por padrão, o pfSense usa um cliente DHCP para buscar um endereço IP para a interface WAN. De acordo com a RFC 1918, ele recusa en-dereços IP de áreas reservadas para LANs pri-vadas, como 10/8, 172.16/12 e 192.168/16. Em alguns casos, como no acesso UMTS, os prove-dores vão atribuir exatamente esses endereços IP à rede. Para dizer ao pfSense para aceitá-los, é necessário desmarcar a opção Block private ne-tworks na parte de baixo de Interfaces/WAN . Se marcar a caixa Block bogon networks , você vai bloquear endereços não atribuídos pela IANA, como 0.0.0/8. Ambas os recursos aumentam a segurança e só devem ser desabilitadas se você tiver uma razão muito boa para isso.
Se você quer que o pfSense use o ADSL para criar uma conexão com a Internet, é
Figura 11 No exemplo, um cliente executando Ubuntu fez download de uma série de atualizações e depois visualizou somente algumas páginas.
Figura 12 O reset do provedor ocorre por volta das 4h30 da manhã, horário em que, provavelmente, não há ninguém no escritório.
Figura 13 Essas confi gurações evitam que o computador com o endereço IP 192.168.1.66 acesse a porta TCP 22, ou seja, o serviço SSH.
SEGURANÇA
Admin Magazine #5 | Março de 2012 53
Muito além de um firewall
necessário ensinar a interface WAN a usar o protocolo PPPoE. Para tanto, simplesmente confi gure Type para PPPoE e entre com suas credenciais de acesso nos campos embaixo de PPPoE confi guration . Muitos provedores de ADSL interrompem a conexão automati-camente após 24 horas se você tem uma ban-da ilimitada de donwload. O pfSense pode fazer um reset durante um tempo especifi -cado para garantir a vida da conexão. Para tanto, vá para Periodic Reset , selecione Custom no menu de seleção e, então, defi na o tempo desejado nos dois campos ( fi gura 12 ).
Todos os computadores conectados na rede recebem automaticamente um endereço IP por meio do servidor DHCP embutido. Se você quer atribuir uma faixa específi ca de endreços IP para suas máquinas, vá a Services/DHCP Ser-ver e então atribua a faixa de endereços. A par-te de baixo da tela mostrará uma tabela (vazia por padrão). Você pode atribuir endereços IP específi cos nessa tabela. Para criar uma regra do tipo, clique no pequeno ícone com sinal de mais, inclua o endereço MAC da máquina, o endereço IP desejado e o nome do host.
Regras Ao analisar os campos Firewall/Rules , note que o fi rewall bloqueia todos os pacotes de entra-da da WAN por padrão. De forma similar, to-dos os PCs na LAN possuem a permissão de abrir conexões de saída. Para criar uma nova regra, pressione o pequeno botão com sinal de mais no canto superior direito. Isso o leva ao formulário onde será possível criar regras com apenas alguns cliques ( fi gura 13 ).
Tome cuidado, nesse caso, com duas ar-madilhas: todas as máquinas na LAN sempre têm acesso ao computador com o pfSense por conta de uma regra Anti-Lockout , que não é edi-tável. Mesmo com a regra exibida na fi gura 13 , o computador com o endereço IP 192.168.1.66 ainda tinha a possibilidade de usar SSH para logar na máquina servidora do pfSense (isso presume que exista um acesso SSH habilitado). Para evitar isso, você pode desabilitar a regra Anti-Lockout em System/Advanced ao desmarcar a caixa correspondente. No entanto, isso signi-fi ca correr o risco de bloquear seu próprio aces-so ao sistema por conta de algum erro.
Além disso, o fi rewall processa todas as re-gras de cima para baixo. A primeira regra vá-lida prevalece e o pfSense ignora todas as ou-tras. Você pode mover uma regra nessa lista ao selecioná-la e pressionar o ícone com a seta até
a regra chegar a primeira posição. Se você tem a ordem correta, mas alguma regra de bloqueio parece não fazer efeito, talvez você precise che-car Diagnostics/State e resetar também o estado ao clicar em Reset na aba Reset states . O navega-dor pode sofrer com um recarregamento infi ni-to da página. Se isso acontecer, simplesmente re-carregue o endereço do pfSense manualmente.
Departamento pessoal Antes que seus usuários LAN comecem a acessar a Internet, precisam estar autenticados em uma página especial de portal digitando o nome de usuário e senha. Para que isso acon-teça, primeiramente é necessário armazenar essas credenciais no pfSense. Para as coisas fi -carem mais fáceis, vou usar o User Manager , um gerenciador de usuários incluído no pfSense,
Figura 15 Um usuário LAN precisa digitar um nome de usuá-rio e senha para ter acesso à Internet. Você pode, claro, modifi car a aparência dessa página.
Figura 14 A opção Expiration Date permite que você de-fi na a data em que o pfSense automaticamente desabilitará a conta de usuário.
54 www.admin-magazine.com.br
Muito além de um firewall
que você encontrará em System/User Manager . Nesse caso, pressione o ícone com o sinal de mais em User Manager e adicione uma nova conta para cada usuário. O formulário requer apenas um nome de usuário e senha ( fi gura 14 ).
A página de login é oriunda do Capti-ve Portal. Para habilitar a página, marque a caixa Enable captive portal em Services/Captive Portal . Se você quiser que a página de login apareça quando o usuário da rede LAN qui-ser acessar a Internet, marque a opção LAN em Interfaces. Se o usuário fi car ocioso por um certo período de tempo, o pfSense faz lo-goff automático do usuário. Você pode defi -nir quantos minutos ele precisa estar ocioso para que isso aconteça em Idle Timeout . Se esse campo estiver vazio, não há limite. A op-
ção Hard Timeout deixa as coisas mais rígidas: após o tempo defi nido, o pfSense faz logoff do usuário, mesmo que ele não esteja ocioso.
Quando o usuário faz login, o pfSense au-tomaticamente o leva à URL defi nida em After Authentication Redirection URL . O nome de usuá-rio e senha são armazenados no gerenciador de usuários, e isso explica porque a autenticação é confi gurada em Local User Manager/Vouchers . Como o nome sugere, essa opção permite que você crie vouchers para dar acesso temporário à Internet a alguns usuários. Isso é útil para hotéis, por exemplo, onde os usuários podem comprar vouchers para obter determinado tempo de na-vegação. Após pressionar Save , sempre que um cliente na LAN tentar acessar a Internet, o usu-ário recebe automaticamente a tela de login exi-bida na fi gura 15 . O usuário precisa ingressar com as credenciais armazenadas no gerenciador de usuários para acessar a Internet. Nunca deixe de salvar as mudanças antes de abrir um novo item de menu na interface web, a menos que você queira descarregar todas as mudanças.
Em alguns casos, como por exemplo, com as confi gurações do servidor DHCP, você ainda precisa necessariamente aplicar as no-vas regras explicitamente, recarregando o sistema. Se você está instalando o pfSense em uma máquina de produção, é uma boa ideia executar o assistente localizado em System/Setup Wizard . O assistente lhe pede algumas informações necessárias, como nome do host, que por padrão é pfsense.dominio_local .
Conclusão Nesse artigo, ofereci apenas uma visão geral so-bre os recursos básicos do pfSense, que é muito mais abrangente. Infelizmente, a documenta-ção ainda é fraca e o wiki um pouco pobre em informações [6] e tanto esse artigo quanto os livros disponíveis no mercado abordam ver-sões mais antigas. Muito do conteúdo ainda é aplicável e se você está familiarizado com ser-viços do tipo, encontrará os recursos de que necessita intuitivamente. Além disso, muitas empresas começaram a oferecer hardware ou dispositivos com o pfSense pré-instalado. Uma lista de empresas recomendadas pelos desen-volvedores está disponível no endereço [7] .
Gostou deste artigo?Veja este artigo em nosso site:http://www.lnm.com.br/admin/article/6586Queremos ouvir sua opinião. Fale conosco em:[email protected]
Mais informações [1] pfSense: http://www.pfsense.org [2] PF e Scrubbing: http://docstore.mik.ua/
manuals/openbsd/faq/pf/scrub.html [3] Protocolo CARP: http://en.wikipedia.org/
wiki/Common_Address_Redundancy_Protocol [4] Captive portal: http://en.wikipedia.
org/wiki/Captive_Portal [5] Requisitos de hardware para o pfSense: http://
www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49
[6] Wiki do pfSense: http://doc.pfsense.org/index.php/Main_Page
[7] Dispositivos pfSense: http://www.pfsense.org/index.php?option=com_content&task=view&id=44&Itemid=50
Quadro 1: Informação sobre tudo O pfSense faz log de suas ações em múltiplos arquivos de log, que podem ser visualizados em Status/System logs . Na aba Firewall , você pode clicar em um dos ícones para defi nir uma nova regra de exceção. As conexões monito-radas pelo fi rewall são exibidas em uma tela separada, em Diagnostics / States . Além disso, o pfSense coleta dados estatísticos, como o número de pacotes inspecionados. Esses da-dos são armazenados em um banco de dados do tipo round-robin (RRD), de forma que as informações mais an-tigas são descartadas quando uma nova chega. O pfSense usa esses dados para gerar alguns gráfi cos e esta-tísticas interessantes. Alguns deles são encontrados no painel de controle e outros podem ser encontrados no menu Status/RRD Graphs . Com isso, você fi ca sabendo quanto tráfego e quantos pacotes passaram por meio de placas de redes indi-viduais nas últimas horas e dias ( fi gura 11 ), dando a você uma visão geral sobre a qualidade da conexão WAN (aba Quality ). Finalmente, o menu Status/Services diz quais serviços es-tão em execução. Você pode usar os botões do menu para iniciar ou interromper um serviço (botões Start e Stop ).
