Páginas: 1 de 99 Descrição: Tutorial do Laboratório 04 da disciplina Laboratório de Redes do 5º Período do curso de Tecnologia em Redes de Computadores da Faculdade Católica Salesiana do Espírito Santo Plataforma: Windows ou Linux Versão: Produto: Firewall e Proxy com pfsense Versão: 2.1.3 i386 Autor: Camilo Brotas Ribeiro Abordaremos no laboratório o software a seguir, que já será instalado na máquina virtual, e pode facilmente ser baixado e instalado a partir do link abaixo. I. Firewall pfsense: O pfsense é um software livre, baseado no sistema operacional FreeBSD e adaptado para assumir o papel de um firewall e/ou roteador de redes. Além disso, ele possui atualmente dezenas de pacotes adicionais que lhe permitem requisitar o posto de UTM (Unified Threat Management), já que podemos realizar com o pfsense a imensa maioria das atividades que esperamos de sistemas com este título. O projeto pfsense foi concebido em meados de setembro de 2004 por Chris Buechler e Scott Ullrich. Chris foi um colaborador assíduo de códigos por muito tempo do projeto m0n0wall. O m0n0wall tem basicamente as mesmas pretensões técnicas do pfsense, mas desde o seu surgimento até os dias de hoje, é focado em appliances. O compromisso do m0n0wall sempre foi o de ser um sistema contido em si e voltado para dispositivos que pudessem rodá-lo diretamente da memória principal. Não é possível instalá-lo em um sistema de arquivos comum em um disco rígido, por exemplo. Daí muitas funções desejáveis para sistemas mais complexos (VPN, suporte a modems 3G, Autenticação de Usuários, Proxy, IDS, etc ) não podem ser razoavelmente implementadas nele. Este foi o principal fator motivador para que Chris e Scott começassem o projeto pfsense. Para saber mais, visite o site oficial do projeto e fóruns. http://pfsense.org/ https://forum.pfsense.org/ https://www.pfsense.org/download/index.html II. Proxy Squid: O que é o Squid? O Squid é um servidor proxy que suporta HTTP, HTTPS, FTP e outros. Ele reduz a utilização da conexão e melhora os tempos de resposta fazendo cache de requisições frequentes de páginas web numa rede de computadores. Ele pode também ser usado como um proxy reverso. O Squid foi escrito originalmente para rodar em sistema operacional tipo Unix, mas ele também funciona em sistemas Windows desde sua versão 2.6.STABLE.
Páginas: 2 de 99 Servidor Proxy? No cache são armazenados os objetos da Internet (ex. dados de páginas web) disponíveis via protocolo HTTP, FTP, etc num sistema mais próximo ao do cliente. Os navegadores podem então usar o Squid local como um servidor Proxy HTTP, reduzindo o tempo de acesso aos objetos e reduzindo a utilização da conexão. Isto é muito usado por provedores no mundo todo para melhorar a velocidade de navegação para seus clientes e também em LANs que compartilham a mesma conexão à Internet. Ele pode fornecer anonimato e segurança dado ser um intermediário no acesso aos objetos. No entanto a sua utilização pode gerar preocupações a respeito da privacidade, pois o Squid é capaz de armazenar registros sobre os acessos, incluindo URLs acessadas, a data e hora exatas, e quem o acesso foi feito. Isto é usado frequentemente nas empresas para controlarem o acesso à Internet dos seus funcionários. A aplicação cliente (ex.navegador) deverá especificar explicitamente o servidor proxy que quer utilizar (típico para os clientes de provedores), ou poderá utilizar um proxy transparente, em que todos os pedidos HTTP para fora, são interceptados pelo Squid e todas as respostas são armazenadas em cache, dessa forma não sendo necessário configurar o navegador. Esta é uma típica configuração em corporações (todos os clientes na mesma rede local) e introduz as preocupações com privacidade mencionadas acima. Proxy Reverso? Um proxy reverso é um servidor de rede geralmente instalado para ficar na frente de um servidor Web. Todas as conexões originadas externamente são endereçadas para um dos servidores Web através de um roteamento feito pelo servidor proxy, que pode tratar ele mesmo a requisição ou, encaminhar a requisição toda ou parcialmente a um servidor Web que tratará a requisição. Um proxy reverso repassa o tráfego de rede recebido para um conjunto de servidores, tornando-o a única interface para as requisições externas. Por exemplo, um proxy reverso pode ser usado para balancear a carga de um cluster de servidores Web. O que é exatamente o oposto de um proxy convencional que age como um despachante para o tráfego de saída de uma rede, representando as requisições dos clientes internos para os servidores externos a rede a qual o servidor proxy atende.
Páginas: 3 de 99 Tabela de Endereçamento: Host IP Wan IP Lan pfsense 10.0.50.X /24 192.168.10.1 /24 Win_XP1-192.168.10.10 /24 (DHCP) I Firewall pfsense...página 04 II Proxy Squid...Página 43 III Proxy Squid com SquidGuard...Página 71 IV Proxy Squid com SquidGuard, Lightsquid e Autenticação no AD...Página 94
Páginas: 4 de 99 I Firewall pfsense 1. Abrir o VirtualBox e clicar em Novo para instalar uma nova máquina virtual.
Páginas: 5 de 99 2. Informar o nome pfsense e selecionar BSD em Tipo e FreeBSD (32 bit) em Versão, de acordo com a imagem abaixo e clicar em Próximo. 3. Em tamanho de memória, pode colocar o valor 512 M e clicar em Próximo.
Páginas: 6 de 99 4. Selecione a opção Criar um disco rígido virtual agora. Clique no botão Criar : 5. Selecione a opção VMDK e clique em Próximo.
Páginas: 7 de 99 6. Selecione a opção de armazenamento dinamicamente alocado e clique em Próximo. 7. Em localização da VM, você pode selecionar uma pasta que achar melhor e depois clicar no botão Criar.
Páginas: 8 de 99 8. Agora faremos a configuração das interfaces de rede da máquina virtual criada. Clique na máquina virtual pfsense e depois em Configurações. 9. Clique em Rede. Como iremos configurar um firewall simulando um ambiente real de uma empresa, configuramos o Adaptador 1 como Bridge.
Páginas: 9 de 99 10. Habilitamos o Adaptador 2 e configuramos como sendo uma rede interna entre o servidor pfsense e o host Win_XP1. Nomeamos, portanto como LAN, já que estamos simulando uma rede local. Você poderia utilizar qualquer outro nome, desde que esta rede seja compartilhada nas interfaces LAN entre o servidor pfsense e o host Win_XP1.
Páginas: 10 de 99 11. Clicar em Armazenamento, depois clicar no CD (Vazio) e escolher a opção Selecione um arquivo de CD/DVD virtual. 12. Apontar para onde copiou o arquivo de instalação do pfsense e clicar em Abrir.
Páginas: 11 de 99 13. Clicar em OK. 14. Mandar iniciar a máquina virtual.
Páginas: 12 de 99 15. Quando executado no modo Live CD, a tela do pfsense exibirá a tela abaixo, onde você pressionará a tecla I para entrar no modo de instalação. Caso contrário, ele entrará no Live CD direto e já cairá na parte de configuração de rede. 16. Use o teclado para selecionar Accept these Settings e dê Enter.
Páginas: 13 de 99 17. Selecione Quick/Easy Install e dê Enter. 18. Selecione OK e dê Enter.
Páginas: 14 de 99 19. Aguarde o progresso da instalação. 20. Selecione Standard Kernel e dê Enter.
Páginas: 15 de 99 21. Selecione Reboot e dê Enter. 22. Logo após mandar reiniciar a VM, mande desmontar a imagem.iso da unidade de CD/DVD virtual. Para isso clique em Dispositivos -> Dispositivos de CD/DVD e desmarque a imagem pfsense-livecd-2.1.3...iso. Ou então clique em Remover disco do drive virtual. Caso dê algum erro na tela do pfsense, é porque você não desmontou o cd no tempo correto. Qualquer coisa mande desligar a VM e desmonte o drive de cd corretamente. Após desmontá-lo, mande iniciar a VM.
Páginas: 16 de 99 23. Após mandar reiniciar a VM, será exibida a tela abaixo informando as interfaces de rede reconhecidas e perguntando se deseja configurar VLANS. 24. Tecle n para não configurar VLANs agora e dê Enter.
Páginas: 17 de 99 25. Digite em0 para identificar a interface WAN. 26. Digite em1 para identificar a interface LAN.
Páginas: 18 de 99 27. Tecle Enter para não configurar uma interface opcional e depois y para proceder. 28. Será exibida a tela abaixo. Selecione a opção 2 para setar os endereços IP das interfaces.
Páginas: 19 de 99 29. Digite a opção 1 para configurar a interface WAN, depois n quando for perguntado se quer configurar via DHCP. Digite o endereço IP 10.0.50.10 e máscara 24 para a interface WAN. 30. Digite 10.0.50.1 para configurar o endereço de gateway da interface WAN e Enter, depois n para não configurar IPv6 e Enter novamente. Depois n novamente. E Enter para finalizar a configuração da interface WAN.
Páginas: 20 de 99 31. Selecione a opção 2 para entrar na configuração de IPs novamente. 32. Digitar 2 para selecionar a interface LAN, entrar com o endereço 192.168.10.1 e máscara 24. Teclar Enter para ficar sem gateway.
Páginas: 21 de 99 33. Tecle Enter novamente para não configurar IPv6. Y para ativar o DHCP. E digitar 192.168.10.10 como range inicial do DHCP e 192.168.10.100 como range final do DHCP. Depois clicar em y para reverter para HTTP na configuração e depois em Enter para continuar. 34. Novamente retornará para a tela padrão.
Páginas: 22 de 99 35. Mande importar a máquina virtual WIN_XP1, conforme abaixo:
Páginas: 23 de 99
Páginas: 24 de 99
Páginas: 25 de 99 36. Após importar a imagem, você verá a imagem abaixo:
Páginas: 26 de 99 37. Clique na máquina virtual WIN_XP1 e depois em Configurações. 38. No item Rede, configuramos o Adaptador 1 como sendo a mesma rede local entre o servidor pfsense e o host Win_XP1. Digite ou selecione LAN. Após configurar, clique em OK.
Páginas: 27 de 99 39. Tendo efetuado a configuração correta da interface, mande Iniciar a máquina virtual WIN_XP1. 40. Verifique se a máquina virtual pegou endereço IP via DHCP. WIN_XP1
Páginas: 28 de 99 41. Abra o Google Chrome na VM WIN_XP1 e entre na página de gerenciamento do pfsense através do endereço da interface LAN 192.168.10.1. Entre com o usuário admin e senha pfsense.
Páginas: 29 de 99 42. Quando entrar com o usuário e senha, o pfsense exibirá um Wizard para configuração inicial. Clique em cima do símbolo do pfsense para pular a configuração via wizard. 43..Será exibida a tela inicial do pfsense.
Páginas: 30 de 99 44..Agora vamos configurar a parte de DNS da interface WAN. Clique em System -> General Setup e entre com o servidor DNS informado durante a aula e depois clique em Save. 45. Vamos verificar as regras do firewall criadas por padrão. Para isso clique em Firewall -> Rules.
Páginas: 31 de 99 46. Veja que a interface WAN possui duas regras de bloqueio criadas por padrão. 47. Clique em LAN e veja que a interface LAN possui regras de permissão criadas por padrão.
Páginas: 32 de 99 48. As duas regras mais abaixo estão liberando qualquer fluxo da rede local para qualquer destino em qualquer porta, ou seja, liberação total. Não queremos que a configuração fique assim, portanto, podemos excluir as duas regras clicando no botão X ao lado delas e depois clicando em OK. 49. Agora criaremos uma regra para bloquear qualquer fluxo por padrão, fazer logs desses fluxos, e assim facilitar o nosso gerenciamento da interface LAN. Para isso, clicamos no botão +.
Páginas: 33 de 99 50. Em Action, selecionamos Block, em Protocol, selecionamos any, em Log marcamos a opção Log packets that are handled by this rule para que os fluxos sejam registrados no log e em Description podemos escrever algo para nos facilitar o gerenciamento e entendimento das regras, como por exemplo escrevendo Negando TUDO que nao foi liberado ou algo do gênero. Depois clicar em Save.
Páginas: 34 de 99 51. Clicar em Apply changes. 52. Vamos verificar então os logs do firewall. Para isso, clique no ícone para visualização dos logs.
Páginas: 35 de 99 53. Veja se encontra algum bloqueio nos logs do firewall para a interface WAN. 54. Se clicar no X vermelho do lado esquerdo, verá qual regra está bloqueando este fluxo. Recurso muito útil e interessante para auxiliar no gerenciamento eficaz das regras do firewall.
Páginas: 36 de 99 55. No caso, a interface WAN está bloqueando todas as redes privadas, o que é totalmente válido, visto que redes privadas não são propagadas e nem funcionam na Internet. Mas como nosso teste possui um escopo local, apenas para fins de teste e para funcionamento correto do nosso laboratório, podemos liberar fluxos com endereços de redes privadas. Portanto, vamos remover está regra da interface WAN. Para isto clique novamente em Firewall -> Rules. 56. Clique para editar a regra de bloqueio de redes privadas.
Páginas: 37 de 99 57. Desmarque a opção que bloqueia as redes privadas e clique em Save. 58. Mande aplicar as modificações.
Páginas: 38 de 99 59. Clique em Firewall -> Rules novamente para confirmar se a regra foi excluída. 60. Feito isso, vamos testar a conectividade da máquina virtual do pfsense à Internet. Faça o teste utilizando um ping ou mesmo acesso à página de instalação de pacotes. Para fazer os testes, vá em Diagnostics -> Ping. Digite um site qualquer que permita ping, como o www.google.com, www.terra.com.br, etc e clique em Ping
Páginas: 39 de 99 61. O ping respondeu? Caso não tenha respondido, verifique se as configurações da interface de rede da sua VM, IP, Gateway e DNS da interface WAN, e regras do firewall estão corretos. Qualquer dúvida chame o professor. 62. Clique também em System -> Packages e Available Packages para saber se o pfsense está listando corretamente os pacotes que podem ser instalados.
Páginas: 40 de 99 63. Outra forma de saber se a conexão com a Internet está funcionando corretamente é visualizando o campo Version na página principal. Lá é exibido se o pfsense está na última versão ou se existe alguma atualização disponível. Caso a conexão com a Internet não esteja corretamente configurada, será exibida a mensagem Unable to check for updates, conforme mais abaixo.
Páginas: 41 de 99 64. Feito isso, vamos testar a conectividade da máquina Windows XP na Internet. Faça o teste utilizando um ping ou mesmo acesso a uma página Web (HTTP e HTTPS). Você conseguiu obter acesso? Caso não tenha conseguido, verifique nos logs o motivo e faça as devidas liberações de fluxos até conseguir acessar. Qualquer dúvida chame o professor. Tente fazer as regras de forma mais restritiva possível, garantindo assim uma melhor segurança ao seu ambiente. Dica: a ordem de precedência das regras altera o resultado final. Isto é, não adianta primeiro estar listada uma regra bloqueando tudo e só após uma de liberação. Se atentar à ordem das regras. Para mudar a ordem das regras do firewall, basta selecionar a regra e posicioná-la corretamente utilizando o botão ao lado direito da regra onde deseja inserí-la. 65. Para facilitar ainda mais a visualização dos logs, você pode alterar o modo de exibição dos logs em ordem reversa, com as entradas mais recentes no topo da página. Para isso vá em Status -> System Logs -> Settings, marque a opção Show log entries in reverse order (newest entries on top) e clicar em Save.
Páginas: 42 de 99 66. Agora faça testes de ping entre a máquina virtual Windows XP e o firewall pfsense e verifique o resultado. Caso não consiga fazer ping entre as duas VMs, verifique nos logs qual pode ser o erro e faça a devida correção. Após resolver este passo, o resultado final deve ser o ping entre a VM Windows XP e o firewall pfsense. Lembre-se, o firewall pfsense é o gateway da sua rede local, portanto, para ter saída para Internet, ele deve estar operacional e configurado corretamente para conseguir acessar a Internet. O ping não garante saída para a Internet neste caso, apenas conectividade entre o Windows XP e o pfsense. Parabéns! Se você conseguiu navegar na Internet através da máquina virtual Windows XP, quer dizer que você configurou corretamente as regras no firewall e completou o laboratório de Firewall pfsense.
Páginas: 43 de 99 II Proxy Squid 1. Agora iremos configurar o Proxy Squid no pfsense para que ele faça o intermédio das requisições entre a rede local e os servidores de páginas web na Internet. Antes de qualquer coisa precisamos instalar o pacote do Squid. Para isso, clique em System -> Packages. 2. Clique em Available Packages.
Páginas: 44 de 99 3. Dentre os vários pacotes listados, clique no símbolo ao lado do pacote Squid. 4. Clique em Confirm para confirmar a instalação.
Páginas: 45 de 99 5. Aguarde o andamento da instalação. 6. Aguarde o andamento da instalação.
Páginas: 46 de 99 7. Clique em Installed packages para verificar se o Squid foi realmente instalado. Não é necessário reiniciar o sistema após a instalação. 8. Clique em Services -> Proxy server para iniciar as configurações do Squid.
Páginas: 47 de 99 9. Selecione a interface LAN, marque a opção Enable Logging, coloque 30 dias para efetuar a rotação dos logs, evitando assim o arquivo de log crescer exageradamente. Pode configurar as mensagens do squid para português.
Páginas: 48 de 99 10. Clique em Save para confirmar a configuração. 11. Se você quiser configurar um proxy transparente, teria que selecionar a opção abaixo. No nosso caso, configuraremos um proxy com autenticação, portanto, a opção abaixo fica desmarcada. Quais as vantagens e desvantagens do proxy transparente?
Páginas: 49 de 99 12. Clique na aba Cache Mgmt para configurar o cache do Squid. Você pode alterar os valores abaixo, como tamanho do cache no disco, local de armazenamento, tamanho da memória utilizada pelo cache, tamanho dos objetos armazenados no disco, etc. Se for alterar alguma coisa, lembre-se de Salvar.
Páginas: 50 de 99 13. Clique na aba Access Control para configurar as redes que são permitidas a utilizarem o proxy (a rede da interface LAN do firewall já é permitida por padrão), quais IPs utilizarão a internet sem filtragem do proxy, quais IPs não podem utilizar o proxy, quais domínios são liberados (Whitelist) pelo proxy, quais são bloqueados (Blacklist), quais portas (acl safeports e acl sslports) são liberadas a serem utilizadas pelo proxy, etc. Se for alterar alguma coisa, lembre-se de Salvar.
Páginas: 51 de 99 14. Clique na aba Traffic Mgmt para configurar os limites máximos de download e upload permitidos pelo proxy, a velocidade máxima para download geral (Overall bandwidth throttling) e por host (Per-host throttling), limitar a velocidade de determinados tipos e/ou extensões de arquivos (Throttle other extensions), etc. Se for alterar alguma coisa, lembre-se de Salvar.
Páginas: 52 de 99 15. Clique na aba Auth Settings para configurar o método de autenticação que será utilizado pelo Squid. É aqui que seria configurada a autenticação com os usuários do AD do Windows por exemplo. No nosso caso, não configuraremos a princípio uma autenticação via AD. Caso dê tempo, podemos configurar mais tarde. Selecione a opção Local para autenticar com o usuário que criaremos abaixo e clique em Save. 16. Clique na aba Local User para criarmos os usuários que utilizarão o proxy. Se a autenticação via AD for configurada, não precisamos criar nenhum usuário aqui. Para fins de testes, iremos criar usuários aqui para testarmos as funcionalidades do proxy. Clique no símbolo para criar um usuário.
Páginas: 53 de 99 17. Informe um nome qualquer e uma senha para o usuário criado. (Ex: Username: joao, Password: teste) Caso queira, pode colocar uma descrição para o usuário também. Clique em Save. 18. Pronto, já temos um usuário criado para testar o servidor proxy.
Páginas: 54 de 99 19. Clique em Firewall ->Rules para excluirmos as regras de saída de requisições de páginas web provenientes da rede LAN com direção à Internet passando direto pelo firewall. Deixe as regras da interface LAN conforme abaixo. Lembre-se, crie as regras de forma mais restritiva possível e tomando cuidado com a ordem de precedência das regras. 20. Deixe as regras da interface LAN conforme abaixo. Lembre-se, crie as regras de forma mais restritiva possível e tomando cuidado com a ordem de precedência das regras.
Páginas: 55 de 99 21. Tente acessar uma página na Internet e veja se conseguirá. Neste momento você não deve conseguir navegar em nenhuma página, conforme abaixo: 22. Clique em Firewall -> Rules, clique no símbolo e verifique que os fluxos de consulta ao DNS do firewall estão bloqueados, conforme abaixo:
Páginas: 56 de 99 23. Portanto, primeiramente libere o fluxo de consultas DNS ao pfsense. Para isso clique em Firewall -> Rules -> LAN e clique no símbolo para adicionar uma nova regra. 24. Crie a regra de liberação de acordo com a imagem abaixo: Action: Pass Interface: LAN Protocol: UDP (o DNS usa o UDP para consulta) Source: LAN net (a rede local inteira pode fazer consulta ao DNS) Destination: LAN address (endereço da interface LAN do pfsense, que responde pelo DNS da rede local) Destination port range: DNS (porta utilizada pelo DNS. Pode selecionar pelo nome do serviço ou colocar a porta 53) Log: Marcar Log packets that are handled by this rule (marcar para efetuar log facilita a descoberta de erros) Description: LAN -> DNS pfsense (colocar uma descrição padronizada que facilite o seu entendimento)
Páginas: 57 de 99
Páginas: 58 de 99 25. Clique em Save para terminar de criar a regra. 26. Mande aplicar as modificações clicando em Apply changes.
Páginas: 59 de 99 27. Percebam que a a regra recém criada ficou abaixo da regra que bloqueia tudo ou seja, a consulta DNS não funcionará na ordem em que está. Portanto, temos que posicioná-la acima da regra que bloqueia tudo. Para fazer isso, selecione a regra de liberação de consultas ao DNS e clique no símbolo é, ao lado da regra onde deseja posicioná-la acima. ao lado da regra de bloqueio, isto 28. Veja como a ordem das regras se modificou. Primeiro eu estou permitindo um fluxo válido de consultas ao DNS e depois bloqueando tudo que não foi explicitamente permitido. Desta forma você mantém um melhor controle dos fluxos que saem da sua rede local. Mande aplicar as modificações clicando em Apply changes.
Páginas: 60 de 99 29. Clique em Firewall -> Rules, clique no símbolo e verifique que os fluxos de consulta ao DNS do firewall agora estão permitidos, e que requisições Web estão sendo bloqueadas, conforme abaixo: 30. Como terminamos a configuração do Proxy Squid, e o mesmo funciona utilizando a porta padrão 3128, teremos que liberar também o fluxo de acesso à porta do proxy. Para isso clique em Firewall -> Rules -> LAN e clique no símbolo para adicionar uma nova regra.
Páginas: 61 de 99 31. Crie a regra de liberação de acordo com a imagem abaixo: Action: Pass Interface: LAN Protocol: TCP Source: LAN net (a rede local inteira pode utilizar o servidor proxy) Destination: LAN address (endereço da interface LAN do pfsense, que responde também pelo proxy da rede local) Destination port range: 3128 (porta padrão utilizada pelo squid. Pode colocar outra porta desde que tenha sido alterada lá na configuração inicial do squid) Log: Marcar Log packets that are handled by this rule (marcar para efetuar log facilita a descoberta de erros) Description: LAN -> Proxy (colocar uma descrição padronizada que facilite o seu entendimento)
Páginas: 62 de 99 32. Clique em Save para terminar de criar a regra. Na imagem abaixo você encontra opções mais avançadas para criação das regras. 33. Mande aplicar as modificações clicando em Apply changes.
Páginas: 63 de 99 34. Percebam que a a regra recém criada ficou abaixo da regra que bloqueia tudo ou seja, o acesso à porta do proxy não funcionará na ordem em que está. Portanto, temos que posicioná-la acima da regra que bloqueia tudo. Para fazer isso, selecione a regra de acesso ao proxy e clique no símbolo lado da regra onde deseja posicioná-la acima. ao lado da regra de bloqueio, isto é, ao 35. Veja como a ordem das regras se modificou. Primeiro eu estou permitindo um fluxo válido de consultas ao DNS, depois permitindo a utilização do servidor proxy pela minha rede LAN e depois bloqueando tudo que não foi explicitamente permitido. Desta forma você mantém um melhor controle dos fluxos que saem da sua rede local. Mande aplicar as modificações clicando em Apply changes.
Páginas: 64 de 99 36. Feito isso, precisamos agora configurar o endereço do servidor proxy no navegador web. Portanto, entre no Painel de Controle da máquina Windows XP e abra as Opções da Internet. 37. Clique na aba Conexões e clique em Configurações da Lan.
Páginas: 65 de 99 38. Marque a opção Usar um servidor proxy para a rede local... e entre com o endereço IP do servidor proxy, que no nosso caso é o endereço IP da interface LAN do pfsense (192.168.10.1) e a porta configurada no squid, 3128 por padrão (outra porta caso tenha sido alterada). Marque Não usar proxy para endereços locais e clique em OK e em OK novamente. 39. Tente acessar uma página na Internet e veja se conseguirá. Caso tenha configurado o Squid a as regras do firewall corretamente, neste momento você deverá conseguir navegar em páginas web, conforme abaixo.
Páginas: 66 de 99 40. Agora clique em Firewall -> Rules, clique no símbolo e verifique que os fluxos de acesso à porta 3128 do servidor proxy Squid no firewall agora estão permitidas, e que as requisições Web estão sendo feitas ao proxy, conforme abaixo: 41. Clique em Services -> Proxy server para testar algumas configurações de bloqueio no Squid.
Páginas: 67 de 99 42. Clique na aba Access Control para inserir alguns domínios na Blacklist, isto é, sites que não poderão ser acessados pelos utilizadores do proxy. Entre um domínio por linha.
Páginas: 68 de 99 43. Tente acessar uma das páginas adicionadas na Blacklist do Squid e veja se conseguirá. Caso tenha configurado o bloqueio no Squid a as regras do firewall corretamente, neste momento você não deverá conseguir navegar nessas páginas, além de receber uma mensagem de Acesso Proibido gerada pelo Squid, conforme abaixo.
Páginas: 69 de 99 44. Clique na aba Traffic Mgmt para limitar a velocidade de banda para downloads e alguns tipos de extensões. Faça um teste setando uma velocidade baixa no campo Overall bandwidth throttling, e marcando alguma extensão para entrar nessa limitação de banda. Clique em Save.
Páginas: 70 de 99 45. Tente acessar uma páginas para download de uma imagem.iso para testar a velocidade. 46. Volte na aba Traffic Mgmt e remova a limitação de velocidade para download. Setar novamente o valor 0 ou uma velocidade mais alta em Overall bandwidth throttling para ver que a velocidade será alterada em tempo real sem precisar reiniciar o download. Clique em Save. 47. Verifique que a velocidade aumentou. Parabéns! Se você conseguiu navegar na Internet através da máquina virtual Windows XP utilizando o endereço e porta do servidor proxy, quer dizer que você configurou corretamente o proxy, as regras no firewall e completou o laboratório de Firewall e Proxy pfsense.
Páginas: 71 de 99 III Proxy Squid com SquidGuard SquidGuard é um software redirecionador de URL, que pode ser usado para um controle mais efetivo de sites e conteúdos que os usuários podem acessar na Internet. É escrito como um plug-in para o Squid e usa listas negras (blacklists) para definir sites para os quais o acesso é redirecionado (sites de relacionamentos, pornografia, games, entre outros). 1. Agora iremos configurar o SquidGuard para trabalhar em conjunto com o Squid no pfsense. Antes de qualquer coisa precisamos instalar o pacote do SquidGuard. Para isso, clique em System -> Packages. 2. Clique em Available Packages.
Páginas: 72 de 99 3. Dentre os vários pacotes listados, clique no símbolo ao lado do pacote SquidGuard. 4. Clique em Confirm para confirmar a instalação.
Páginas: 73 de 99 5. Aguarde o andamento da instalação. 6. Aguarde o término da instalação.
Páginas: 74 de 99 7. Clique em Installed packages para verificar se o SquidGuard foi realmente instalado. Não é necessário reiniciar o sistema após a instalação. 8. Clique em Services -> Proxy filter para iniciar as configurações do SquidGuard.
Páginas: 75 de 99 9. Marque a opção Enable para abilitar o SquidGuard. Em LDAP Options você entraria com os parâmetros de integração com o AD do Windows. Marque as opções de Log, e a opção de utilização de Blacklist (caso queira utilizar uma blacklist externa).
Páginas: 76 de 99 10. Uma blacklist muito utilizada é a http://www.shallalist.de/downloads/shallalist.tar.gz (mas existem outras, inclusive pagas). Adicione o endereço no campo Blacklist URL para posteriormente baixar a lista. Clique em Save para confirmar a configuração. 11. Após clicar em Save, clique na aba Blacklist e mande fazer o Download da blacklist.
Páginas: 77 de 99 12. Aguarde o andamento da instalação. 13. Aguarde o término da instalação.
Páginas: 78 de 99 14. Em Groups ACL criamos as Listas de Controle de Acesso. É aqui que definiremos as listas de quem possui acesso liberado, quem possui acesso mais restritivo, etc. No caso, utilizaremos o usuário joao que foi criado anteriormente e criaremos outros usuários para testes de bloqueios, permissões, etc. Clique no símbolo ao lado para configurarmos a primeira regra de acesso. Lembrando ainda que você tem a opção de integrar o Squid com autenticação no AD. 15. Dê um nome sugestivo e de fácil gerenciamento. Em Client (source), coloque o nome do usuário que utilizará esta ACL entre aspas simples ou até mesmo o endereço IP do usuário. Também pode ser utilizado um range de rede ou uma sub-rede inteira na ACL. No nosso caso, estamos liberando o acesso TOTAL para o usuário joao.
Páginas: 79 de 99 16. Coloque uma descrição simplificada e marque para fazer Log. Clique em Save. 17. Ainda em Groups ACL criaremos uma regra com acesso mais restrito para a usuária chamada maria. (Caso ainda não exista, crie a usuária maria lá em Services -> Proxy server-> Local Users ). Clique no símbolo ao lado para configurarmos a regra de acesso com restrições para maria.
Páginas: 80 de 99 18. Ainda em Groups ACL criaremos uma regra com acesso mais restrito para a usuária chamada maria. (Caso ainda não exista, crie a usuária maria lá em Services -> Proxy server-> Local Users ). Clique no símbolo ao lado para configurarmos a regra de acesso com restrições para maria. 19. Clique no botão verde para expandir as categorias da blacklist baixada anteriormente.
Páginas: 81 de 99 20. Pode escolher algumas categorias e mandar negar o acesso.
Páginas: 82 de 99 21. Marque para não permitir endereços IP diretamente na URL. IPs são muito utilizados em softwares de navegação anônima na Internet, como ultrasurf, thor, etc. Se for o caso, endereços IPs podem ser adicionados em uma categoria de Whitelist posteriormente. 22. Clique na aba General setting e depois em Apply para aplicar as configurações.
Páginas: 83 de 99 23. Clique na aba Target categories para criarmos listas específicas de whitelist e algumas de bloqueio. Clique no símbolo ao lado. 24. Vamos criar uma Blacklist local primeiro, contendo sites que não queremos que sejam acessados. Inserimos alguns domínios indesejados no item Domain List.
Páginas: 84 de 99 25. Digite um comentário, marque para que esta ACL faça LOG e clique em Save. 26. Vamos criar uma Whitelist agora, com sites que podem, por exemplo, serem acessados por todos da empresa. Clique no símbolo ao lado.
Páginas: 85 de 99 27. Vamos inserir alguns domínios confiáveis no item Domain List. Em Order, selecione Blacklist para que a Whitelist seja posicionada acima dela na listagem de regras. Clique em Save.
Páginas: 86 de 99 28. Listas de exemplos criadas. 29. Entre em Groups ACL novamente e edite as regras de acesso_bloqueado para maria. 30. Em Target Rules List, para a categoria Blacklist Local criada com alguns bloqueios, selecione deny e para a Whitelist, com sites que podem ser acessados, coloque Whitelist, conforme abaixo e mande salvar.
Páginas: 87 de 99 31. Clique na aba General setting e depois em Apply para aplicar as configurações. 32. Feche o navegador e depois faça um teste com o usuário maria. 33. Tente acessar uma das páginas de alguma das categorias negadas na Blacklist do SquiGuard ou mesmo na Blacklist Local criada por você e veja se conseguirá. Caso tenha configurado as ACLs no SquidGuard e as regras do firewall corretamente, neste momento você não deverá conseguir navegar nessas páginas, além de receber uma mensagem de Acesso Proibido gerada pelo SquidGuard, conforme abaixo.
Páginas: 88 de 99 34. Veja neste bloqueio que a categoria muda. Isso facilita na hora do gerenciamento. 35. Mande limpar o cache do navegador. Feche-o e depois faça um teste com o usuário joao.
Páginas: 89 de 99 36. Tente acessar uma das páginas de alguma das categorias negadas na Blacklist do SquiGuard ou mesmo na Blacklist Local criada por você e veja se conseguirá. Caso tenha configurado as ACLs no SquidGuard e as regras do firewall corretamente, neste momento você deverá conseguir navegar nessas páginas, já que joao tem acesso liberado.
Páginas: 90 de 99 37. Agora, para finalizar, vá em System -> Packages -> Available Packages e mande instalar o LightSquid, programa para geração de relatório de páginas acessadas. 38. Agora, para finalizar, vá em System -> Packages e mande instalar o LightSquid, programa para geração de relatório de páginas acessadas.
Páginas: 91 de 99 39. Clique em Status -> Proxy report para configurar a geração dos relatórios. 40. Configure a linguagem e o modo de resolução de nome, além do tempo para geração automática dos relatórios. Clique em Refresh now e Refresh full e depois em Save.
Páginas: 92 de 99 41. Clique em Lightsquid Report. 42. E verifique o relatório dos logs de acesso capturados até agora.
Páginas: 93 de 99 Parabéns! Se você conseguiu navegar na Internet através da máquina virtual Windows XP utilizando o endereço e porta do servidor proxy, quer dizer que você configurou corretamente o SquidGuard, as regras no firewall e completou o laboratório de Firewall pfsense e Proxy Squid com SquidGuard e geração de relatórios através do Lightsquid.
Páginas: 94 de 99 IV Proxy Squid com SquidGuard, Lightsquid e Autenticação no AD 1. Abra a máquina virtual Windows Server 2003 e mande adicionar a função de Controlador de domínio (Active Directory). Mande instalar também o DNS e depois coloque um IP fixo no servidor.
Páginas: 95 de 99 2. Crie um usuário para o proxy utilizar na autenticação do domínio e fazer a pesquisa dos usuários. Defina o nome que julgar melhor e a senha.
Páginas: 96 de 99 3. Preencha os campos conforme abaixo: IP fixo colocado por você no AD Nome do usuário e caminho completo do local para pesquisa Frase a ser exibida na solicitação de usuário e senha pelo navegador.
Páginas: 97 de 99 4. Crie usuários para testar o proxy. Defina o nome que julgar melhor e a senha.
Páginas: 98 de 99 5. Lá em Services -> Proxy Filter, defina quais usuários estarão em cada uma das ACLs. 6. Lá em Services -> Proxy Filter, defina quais usuários estarão em cada uma das ACLs.
Páginas: 99 de 99 7. Salve e lembre-se de mandar aplicar as modificações no SquidGuard. 8. Configure regras de bloqueio e liberação e faça testes de forma semelhante ao que foi feito no laboratório III Proxy Squid com SquidGuard. Só que desta vez os usuários não serão os criados no pfsense e sim os do próprio AD do Windows. Parabéns! Se você conseguiu navegar na Internet através da máquina virtual Windows XP utilizando o endereço e porta do servidor proxy, e os usuários criados no AD quer dizer que você configurou corretamente o SquidGuard, as regras no firewall e completou o laboratório de Firewall pfsense e Proxy Squid com SquidGuard, Lightsquid e Autenticação no AD.