Pesquisa de site

Instalação e configuração do roteador firewall pfSense 2.4.4

A Internet é um lugar assustador atualmente. Quase diariamente, ocorre um novo dia zero, violação de segurança ou ransomware, deixando muitas pessoas se perguntando se é possível proteger seus sistemas.

Muitas organizações gastam centenas de milhares, senão milhões, de dólares tentando instalar as melhores e mais recentes soluções de segurança para proteger sua infraestrutura e seus dados. Porém, os usuários domésticos estão em desvantagem monetária. Investir até cem dólares em um firewall dedicado geralmente está além do escopo da maioria das redes domésticas.

Felizmente, existem projetos dedicados na comunidade de código aberto que estão fazendo grandes avanços na área de soluções de segurança para usuários domésticos. Projetos como IPfire, Snort, Squid e pfSense fornecem segurança de nível empresarial a preços de commodities!

PfSense é uma solução de firewall de código aberto baseada em FreeBSD. A distribuição é gratuita para instalação no próprio equipamento ou na empresa por trás do pfSense, NetGate, que vende dispositivos de firewall pré-configurados.

O hardware necessário para o pfSense é mínimo e normalmente uma torre doméstica mais antiga pode ser facilmente transformada em um firewall pfSense dedicado. Para aqueles que desejam construir ou comprar um sistema mais capaz para executar mais recursos avançados do pfSense, existem alguns mínimos de hardware sugeridos:

Mínimos de hardware

  • CPU de 500 MHz
  • 1 GB de RAM
  • 4 GB de armazenamento
  • 2 placas de interface de rede

Hardware sugerido

  • CPU de 1 GHz
  • 1 GB de RAM
  • 4 GB de armazenamento
  • 2 ou mais placas de interface de rede PCI-e.

Sugestões sérias de hardware para usuários domésticos (e empresas)

Caso um usuário doméstico queira ativar muitos dos recursos e funções extras do pfSense, como Snort, verificação antivírus, lista negra de DNS, filtragem de conteúdo da web, etc. o hardware recomendado torna-se um pouco mais complicado.

Para suportar os pacotes de software extras no firewall pfSense, é recomendado que o seguinte hardware seja fornecido ao pfSense:

  • CPU multi-core moderna rodando pelo menos 2,0 GHz
  • 4GB+ de RAM
  • Mais de 10 GB de espaço em HD
  • 2 ou mais placas de interface de rede Intel PCI-e

Instalação do pfSense 2.4.4

Nesta seção veremos a instalação do pfSense 2.4.4 (versão mais recente no momento da redação deste artigo).

A configuração do laboratório

O pfSense costuma ser frustrante para usuários novos em firewalls. O comportamento padrão de muitos firewalls é bloquear tudo, seja bom ou ruim. Isso é ótimo do ponto de vista da segurança, mas não do ponto de vista da usabilidade. Antes de iniciar a instalação, é importante conceituar o objetivo final antes de iniciar as configurações.

Baixando o pfSense

Independentemente do hardware escolhido, instalar o pfSense no hardware é um processo simples, mas exige que o usuário preste muita atenção em quais portas de interface de rede serão usadas para qual finalidade (LAN, WAN, Wireless, etc.).

Parte do processo de instalação envolverá solicitar ao usuário que comece a configurar as interfaces LAN e WAN. O autor sugere apenas conectar a interface WAN até que o pfSense tenha sido configurado e então prosseguir para finalizar a instalação conectando a interface LAN.

O primeiro passo é obter o software pfSense em https://www.pfsense.org/download/. Existem algumas opções diferentes disponíveis, dependendo do dispositivo e do método de instalação, mas este guia utilizará o ‘Instalador do CD AMD64 (ISO)’.

Usando o menu suspenso no link fornecido anteriormente, selecione um espelho apropriado para baixar o arquivo.

Após o download do instalador, ele pode ser gravado em um CD ou copiado para uma unidade USB com a ferramenta ‘dd’ incluída na maioria das distribuições Linux.

O próximo processo é gravar o ISO em uma unidade USB para inicializar o instalador. Para fazer isso, use a ferramenta ‘dd’ no Linux. Primeiro, o nome do disco precisa estar localizado com ‘lsblk’.


lsblk

Com o nome da unidade USB determinado como ‘/dev/sdc’, o ISO do pfSense pode ser gravado na unidade com a ferramenta ‘dd’.


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Importante: O comando acima requer privilégios de root, então utilize ‘sudo’ ou faça login como usuário root para executar o comando. Além disso, este comando irá REMOVER TUDO na unidade USB. Certifique-se de fazer backup dos dados necessários.

Instalação do pfSense

Assim que ‘dd’ terminar de gravar na unidade USB ou o CD tiver sido gravado, coloque a mídia no computador que será configurado como firewall pfSense. Inicialize o computador nessa mídia e a tela a seguir será apresentada.

Nesta tela, deixe o cronômetro acabar ou selecione 1 para continuar a inicialização no ambiente do instalador. Assim que o instalador terminar a inicialização, o sistema solicitará as alterações desejadas no layout do teclado. Se tudo aparecer em um idioma nativo, basta clicar em ‘Aceitar estas configurações’.

A próxima tela fornecerá ao usuário a opção de ‘Instalação Rápida/Fácil’ ou opções de instalação mais avançadas. Para os fins deste guia, sugere-se simplesmente usar a opção ‘Instalação Rápida/Fácil’.

A próxima tela simplesmente confirmará que o usuário deseja usar o método ‘Instalação Rápida/Fácil’, que não fará tantas perguntas durante a instalação.

A primeira pergunta que provavelmente será apresentada será sobre qual kernel instalar. Novamente, sugere-se que o ‘Kernel Padrão’ seja instalado para a maioria dos usuários.

Quando o instalador terminar esta etapa, ele solicitará uma reinicialização. Certifique-se de remover também a mídia de instalação para que a máquina não reinicie no instalador.

Configuração do pfSense

Após a reinicialização e a remoção da mídia CD/USB, o pfSense será reinicializado no sistema operacional recém-instalado. Por padrão, o pfSense escolherá uma interface para configurar como interface WAN com DHCP e deixará a interface LAN desconfigurada.

Embora o pfSense tenha um sistema de configuração gráfica baseado na web, ele está sendo executado apenas no lado LAN do firewall, mas no momento o lado LAN estará desconfigurado. A primeira coisa a fazer seria definir um endereço IP na interface LAN.

Para fazer isso, siga estas etapas:

  • Digite 'n' e pressione a tecla 'Enter' quando questionado sobre VLANs.
  • Digite o nome da interface registrado na etapa um quando for solicitada a interface WAN ou mude para a interface adequada agora. Novamente, neste exemplo, ‘em0’ é a interface WAN, pois será a interface voltada para a Internet.
  • O próximo prompt solicitará a interface LAN, digite novamente o nome da interface adequada e pressione a tecla 'Enter'. Nesta instalação, ‘em1’ é a interface LAN.
  • O pfSense continuará solicitando mais interfaces se estiverem disponíveis, mas se todas as interfaces tiverem sido atribuídas, basta pressionar a tecla 'Enter' novamente.
  • O pfSense agora solicitará que as interfaces sejam atribuídas corretamente.

  • Se as interfaces estiverem corretas, digite 'y' e pressione a tecla 'Enter'.


    • O próximo passo será atribuir às interfaces a configuração IP adequada. Depois que o pfSense retornar à tela principal, digite '2' e pressione a tecla 'Enter'. (Certifique-se de acompanhar os nomes das interfaces atribuídos às interfaces WAN e LAN).

    *NOTA* Para esta instalação a interface WAN pode usar DHCP sem problemas, mas pode haver casos em que um endereço estático seria necessário. O processo de configuração de uma interface estática na WAN seria o mesmo da interface LAN que está prestes a ser configurada.

    Digite '2' novamente quando for solicitado qual interface definir as informações de IP. Novamente, 2 é a interface LAN neste passo a passo.

    Quando solicitado, digite o endereço IPv4 desejado para esta interface e pressione a tecla 'Enter'. Este endereço não deve ser usado em nenhum outro lugar da rede e provavelmente se tornará o gateway padrão para os hosts que serão conectados a esta interface.

    O próximo prompt solicitará a máscara de sub-rede no formato conhecido como máscara de prefixo. Para este exemplo de rede, será usado um simples /24 ou 255.255.255.0. Pressione a tecla ‘Enter’ quando terminar.

    A próxima pergunta será sobre um ‘gateway IPv4 Upstream’. Como a interface LAN está atualmente configurada, basta pressionar a tecla ‘Enter’.

    O próximo prompt solicitará a configuração do IPv6 na interface LAN. Este guia usa simplesmente IPv4, mas se o ambiente exigir IPv6, ele pode ser configurado agora. Caso contrário, basta pressionar a tecla ‘Enter’ para continuar.

    A próxima pergunta será sobre como iniciar o servidor DHCP na interface LAN. A maioria dos usuários domésticos precisará ativar esse recurso. Novamente, isso pode precisar ser ajustado dependendo do ambiente.

    Este guia pressupõe que o usuário deseja que o firewall forneça serviços DHCP e alocará 51 endereços para outros computadores obterem um endereço IP do dispositivo pfSense.

    A próxima pergunta solicitará a reversão da ferramenta web do pfSense para o protocolo HTTP. É altamente recomendável NÃO fazer isso, pois o protocolo HTTPS fornecerá algum nível de segurança para evitar a divulgação da senha de administrador da ferramenta de configuração da web.

    Assim que o usuário clicar em ‘Enter’, o pfSense salvará as alterações da interface e iniciará os serviços DHCP na interface LAN.

    Observe que o pfSense fornecerá o endereço da web para acessar a ferramenta de configuração da web por meio de um computador conectado no lado da LAN do dispositivo de firewall. Isso conclui as etapas básicas de configuração para deixar o dispositivo firewall pronto para mais configurações e regras.

    A interface web é acessada através de um navegador web navegando até o endereço IP da interface LAN.

    As informações padrão do pfSense no momento da redação deste artigo são as seguintes:

    
Username: admin
Password: pfsense

    Após um login bem-sucedido pela interface web pela primeira vez, o pfSense executará uma configuração inicial para redefinir a senha do administrador.

    A primeira solicitação é para um registro na assinatura pfSense Gold, que traz benefícios como backup automático de configuração, acesso aos materiais de treinamento do pfSense e reuniões virtuais periódicas com desenvolvedores do pfSense. A compra de uma assinatura Gold não é necessária e a etapa pode ser ignorada, se desejado.

    A etapa a seguir solicitará ao usuário mais informações de configuração do firewall, como nome de host, nome de domínio (se aplicável) e servidores DNS.

    O próximo prompt será configurar o Network Time Protocol, NTP. As opções padrão podem ser deixadas, a menos que sejam desejados servidores de horário diferentes.

    Após configurar o NTP, o assistente de instalação do pfSense solicitará que o usuário configure a interface WAN. O pfSense oferece suporte a vários métodos para configurar a interface WAN.

    O padrão para a maioria dos usuários domésticos é usar DHCP. O DHCP do provedor de serviços de Internet do usuário é o método mais comum para obter a configuração IP necessária.

    A próxima etapa solicitará a configuração da interface LAN. Se o usuário estiver conectado à interface web, a interface LAN provavelmente já foi configurada.

    No entanto, se a interface LAN precisar ser alterada, esta etapa permitirá que alterações sejam feitas. Lembre-se de como o endereço IP da LAN está definido, pois é assim que o
    o administrador acessará a interface web!

    Tal como acontece com todas as coisas no mundo da segurança, as senhas padrão representam um risco extremo à segurança. A próxima página solicitará que o administrador altere a senha padrão do usuário ‘admin’ para a interface web do pfSense.

    A etapa final envolve reiniciar o pfSense com as novas configurações. Basta clicar no botão ‘Recarregar’.

    Após recarregar o pfSense, ele apresentará ao usuário uma tela final antes de fazer login na interface web completa. Basta clicar no segundo ‘Clique aqui’ para fazer login na interface web completa.

    Finalmente o pfSense está instalado e pronto para ter regras configuradas!

    Agora que o pfSense está instalado e funcionando, o administrador precisará criar regras para permitir o tráfego apropriado através do firewall. Deve-se notar que o pfSense tem uma regra padrão para permitir tudo. Por questões de segurança, isto deve ser alterado, mas esta é novamente uma decisão do administrador.

    Leia também: Instale e configure o pfBlockerNg para lista negra de DNS no Firewall pfSense

    Obrigado por ler este artigo do TecMint sobre a instalação do pfSense! Fique ligado em artigos futuros sobre como configurar algumas das opções mais avançadas disponíveis no pfSense.