Pesquisa de site

Como instalar e configurar o firewall OpnSense básico


Em um artigo anterior, foi discutida uma solução de firewall conhecida como PfSense. No início de 2015, foi tomada a decisão de fazer um fork do PfSense e uma nova solução de firewall chamada OpnSense foi lançada.

O OpnSense começou como um simples fork do PfSense, mas evoluiu para uma solução de firewall totalmente independente. Este artigo abordará a instalação e a configuração inicial básica de uma nova instalação do OpnSense.

Assim como o PfSense, o OpnSense é uma solução de firewall de código aberto baseada no FreeBSD. A distribuição é gratuita para instalação em equipamentos próprios ou na empresa Decisio, que vende dispositivos de firewall pré-configurados.

O OpnSense tem um conjunto mínimo de requisitos e uma típica torre doméstica antiga pode ser facilmente configurada para funcionar como um firewall OpnSense. As especificações mínimas sugeridas são as seguintes:

Mínimos de hardware

  • CPU de 500 MHz
  • 1 GB de RAM
  • 4 GB de armazenamento
  • 2 placas de interface de rede

Hardware sugerido

  • CPU de 1 GHz
  • 1 GB de RAM
  • 4 GB de armazenamento
  • 2 ou mais placas de interface de rede PCI-e.

Se o leitor desejar utilizar alguns dos recursos mais avançados do OpnSense (Suricata, ClamAV, servidor VPN, etc), o sistema deverá receber um hardware melhor.

Quanto mais módulos o usuário desejar habilitar, mais espaço de RAM/CPU/Drive deverá ser incluído. Sugere-se que os seguintes mínimos sejam atendidos se houver planos para habilitar módulos avançados no OpnSense.

  • CPU multi-core moderna rodando pelo menos 2,0 GHz
  • 4GB+ de RAM
  • Mais de 10 GB de espaço em HD
  • 2 ou mais placas de interface de rede Intel PCI-e

Instalação e configuração do Firewall OpnSense

Independentemente do hardware escolhido, a instalação do OpnSense é um processo simples, mas exige que o usuário preste muita atenção em quais portas de interface de rede serão usadas para qual finalidade (LAN, WAN, Wireless, etc.).

Parte do processo de instalação envolverá solicitar ao usuário que comece a configurar as interfaces LAN e WAN. O autor sugere apenas conectar a interface WAN até que o OpnSense tenha sido configurado e então prosseguir para finalizar a instalação conectando a interface LAN.

Baixando o Firewall OpnSense

A primeira etapa é obter o software OpnSense e há algumas opções diferentes disponíveis dependendo do dispositivo e do método de instalação, mas este guia utilizará o 'OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2'.

O ISO foi obtido usando o seguinte comando:

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Após o download do arquivo, ele precisa ser descompactado utilizando a ferramenta bunzip da seguinte forma:

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Depois que o instalador tiver sido baixado e descompactado, ele poderá ser gravado em um CD ou copiado para uma unidade USB com a ferramenta 'dd'< incluído na maioria das distribuições Linux.

O próximo processo é gravar o ISO em uma unidade USB para inicializar o instalador. Para fazer isso, use a ferramenta ‘dd’ no Linux.

Primeiro, o nome do disco precisa estar localizado com ‘lsblk‘.

lsblk

Com o nome da unidade USB determinado como '/dev/sdc', o ISO do OpnSense pode ser gravado na unidade com o ferramenta 'adicionar'.

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Nota: O comando acima requer privilégios de root, então utilize 'sudo' ou faça login como usuário root para executar o comando. Além disso, este comando irá REMOVER TUDO na unidade USB. Certifique-se de fazer backup dos dados necessários.

Instalação do Firewall OpnSense

Assim que dd terminar de gravar na unidade USB, coloque a mídia no computador que será configurado como firewall opnsense. Inicialize o computador nessa mídia e a tela a seguir será apresentada.

Para continuar com o instalador, basta pressionar a tecla ‘Enter’. Isso inicializará o OpnSense no modo Live, mas existe um usuário especial para instalar o OpnSense na mídia local.

Quando o sistema inicializar no prompt de login, use o nome de usuário 'instalador' com uma senha 'opnsense'.

A mídia de instalação fará login e iniciará o instalador do OpnSense real. CUIDADO: Continuar com as etapas a seguir resultará na exclusão de todos os dados do disco rígido do sistema! Prossiga com cuidado ou saia do instalador.

Pressionar a tecla 'Enter' iniciará o processo de instalação. O primeiro passo é selecionar o mapa de teclado. O instalador provavelmente detectará o mapa de teclado adequado por padrão. Revise o mapa de teclado selecionado e corrija-o conforme necessário.

A próxima tela fornecerá algumas opções para a instalação. Se o usuário desejar fazer particionamento avançado ou importar uma configuração de outra caixa OpnSense, isso pode ser feito nesta etapa. Este guia pressupõe uma nova instalação e selecionará a opção ‘Instalação guiada’.

A tela a seguir exibirá os dispositivos de armazenamento reconhecidos para instalação.

Uma vez selecionado o dispositivo de armazenamento, o usuário precisará decidir qual esquema de particionamento será usado pelo instalador (MBR ou GPT/EFI).

A maioria dos sistemas modernos suporta GPT/EFI, mas se o usuário estiver redirecionando um computador mais antigo, MBR pode ser a única opção suportada. Verifique nas configurações de BIOS do sistema se ele suporta EFI/GPT.

Assim que o esquema de particionamento for escolhido, o instalador iniciará as etapas de instalação. O processo não leva muito tempo e solicitará informações ao usuário periodicamente, como a senha do usuário root.

Depois que o usuário definir a senha do usuário root, a instalação será concluída e o sistema precisará ser reiniciado para configurar a instalação. Quando o sistema for reinicializado, ele deverá inicializar automaticamente na instalação do OpnSense (certifique-se de remover a mídia de instalação quando a máquina for reiniciada).

Quando o sistema for reinicializado, ele irá parar no prompt de login do console e aguardar o login do usuário.

Agora se o usuário estivesse prestando atenção durante a instalação ele poderia ter notado que poderia ter pré-configurado as interfaces durante a instalação. No entanto, vamos supor neste artigo que as interfaces não foram atribuídas na instalação.

Após fazer login com o usuário root e senha configurada durante a instalação, pode-se notar que o OpnSense utilizou apenas uma das placas de interface de rede (NIC) nesta máquina. Na imagem abaixo ele se chama “LAN (em0) ”.

O OpnSense usará como padrão a rede padrão “192.168.1.1/24 ” para a LAN. Porém, na imagem acima, falta a interface WAN! Isso é facilmente corrigido digitando '1' no prompt e pressionando Enter.

Isso permitirá a reatribuição das NICs no sistema. Observe na próxima imagem que existem duas interfaces disponíveis: ‘em0’ e ‘em1’.

O assistente de configuração também permitirá configurações muito complexas com VLANs, mas, por enquanto, este guia pressupõe uma configuração básica de duas redes; (ou seja, um lado WAN/ISP e um lado LAN).

Digite 'N' para não configurar nenhuma VLAN neste momento. Para esta configuração específica, a interface WAN é ‘em0’ e a interface LAN é ‘em1’ como visto abaixo.

Confirme as alterações nas interfaces digitando 'Y' no prompt. Isso fará com que o OpnSense recarregue muitos de seus serviços para refletir as alterações na atribuição da interface.

Uma vez feito isso, conecte um computador com um navegador da web à interface lateral da LAN. A interface LAN possui um servidor DHCP escutando os clientes na interface para que o computador possa obter as informações de endereçamento necessárias para se conectar à página de configuração da web do OpnSense.

Assim que o computador estiver conectado à interface LAN, abra um navegador da web e navegue até o seguinte URL: http://192.168.1.1.

Para fazer login no console da web; use o nome de usuário ‘root’ e a senha que foi configurada durante o processo de instalação. Uma vez logado, a parte final da instalação será concluída.

A primeira etapa do instalador é usada simplesmente para coletar mais informações, como nome do host, nome de domínio e servidores DNS. A maioria dos usuários pode deixar a opção ‘Substituir DNS’ selecionada.

Isso permitirá que o firewall OpnSense obtenha informações de DNS do ISP pela interface WAN.

A próxima tela solicitará servidores NTP. Se o usuário não tiver seus próprios sistemas NTP, o OpnSense fornecerá um conjunto padrão de pools de servidores NTP.

A próxima tela é a configuração da interface WAN. A maioria dos ISPs para usuários domésticos usará DHCP para fornecer aos seus clientes as informações necessárias de configuração de rede. Simplesmente deixar o tipo selecionado como ‘DHCP’ instruirá o OpnSense a tentar coletar sua configuração do lado WAN do ISP.

Role para baixo até a parte inferior da tela de configuração WAN para continuar. ***Observação*** na parte inferior desta tela há duas regras padrão para bloquear intervalos de rede que geralmente não deveriam ser vistos entrando na interface WAN. Recomenda-se deixá-las marcadas, a menos que haja um motivo conhecido para permitir essas redes através da interface WAN!

A próxima tela é a tela de configuração da LAN. A maioria dos usuários pode simplesmente deixar os padrões. Perceba que existem intervalos de rede especiais que devem ser usados aqui, comumente chamados de RFC 1918. Certifique-se de deixar o padrão ou escolher um intervalo de rede dentro do intervalo RFC1918 para evitar conflitos/problemas!

A tela final da instalação perguntará se o usuário deseja atualizar a senha root. Isto é opcional, mas se uma senha forte não foi criada durante a instalação, agora seria um bom momento para corrigir o problema!

Depois de passar a opção de alteração de senha, o OpnSense solicitará ao usuário que recarregue as definições de configuração. Basta clicar no botão 'Recarregar' e dar ao OpnSense um segundo para atualizar a configuração e a página atual.

Quando tudo estiver pronto, o OpnSense dará as boas-vindas ao usuário. Para voltar ao painel principal, basta clicar em ‘Painel’ no canto superior esquerdo da janela do navegador da web.

Neste ponto, o usuário será levado ao painel principal e poderá continuar a instalar/configurar qualquer um dos plug-ins ou funcionalidades úteis do OpnSense! O autor recomenda verificar e atualizar o sistema se houver atualizações disponíveis. Basta clicar no botão ‘Clique para verificar atualizações’ no painel principal.

Então, na próxima tela, ‘Verificar atualizações’ pode ser usado para ver uma lista de atualizações ou ‘Atualizar agora’ pode ser usado para simplesmente aplicar quaisquer atualizações disponíveis.

Neste ponto, uma instalação básica do OpnSense deve estar instalada e funcionando, bem como totalmente atualizada! Em artigos futuros, a agregação de links e o roteamento entre VLANs serão abordados para mostrar mais recursos avançados do OpnSense!