Muito a alé além lé ém d de e um u firewall Mil e uma utilidades À primeira vista, o pfsense parece uma ferramenta comum mas torna-se impressionante quando analisado de perto. Mesmo os recursos mais avançados como alta disponibilidade fazem parte de seu repertório. Nada mau para um pequeno firewall. por Tim Schürmann C hris Buechler e Scott Ullrich estavam infelizes. Embora a distribuição FreeBSD m0n0wall desse a eles uma opção prática e rápida para configurar um firewall e um roteador, a ferramenta era projetada para sistemas embarcados. Uma vez que deveria ser executada diretamente na memória RAM, era difícil usar extensões. A situação fez com que ambos os desenvolvedores trabalhassem em sua própria distribuição, batizada de pfsense [1]. O núcleo da versão 2.0 lançada no final de setembro de 2011 abrange o FreeBSD 8.1, que é customizado para o uso como um firewall e um roteador. Caso o usuário decida, o pfsense pode atuar também como um servidor DHCP, um provedor de dados para sniffers como o Wireshark, Figura 1 A maioria das imagens disponíveis do pfsense são voltadas para sistemas embarcados. 48 um ponto de acesso VPN, um servidor DNS e até mesmo um ponto de acesso para conexões sem fio. Apesar de tudo isso, o sistema completo possui apenas 100MB e para ser iniciado, necessita somente de um pendrive de 128MB. Agora, se os recursos incluídos não forem suficientes para suas necessidades, é possível expandir o pfsense ao adicionar pacotes. Por exemplo, é possível adicionar um proxy web ou um sistema de detecção de intrusos (cortesia da Snort). Os componentes são configurados de forma conveniente em uma sofisticada interface web. Além disso, graças à licença BSD, o pacote todo é seu sem nenhum custo. Para todas as finalidades O pfsense tirou seu nome esquisito do firewall PF do OpenBSD. Esse firewall oferece o recurso de relembrar ao usuário quem abriu determinada conexão. Assim, o firewall pode usar regras para não somente bloquear portas individuais e protocolos como também para restringir o número de conexões simultâneas para computadores específicos, roteando o tráfego por meio de gateways predefinidos. Graças à ferramenta p0f, o pfsense pode até distinguir entre sistemas operacionais, o que pode ser útil se você quiser, por exemplo, evitar que todos os computadores com Windows acessem a Internet. O pfsense tenta automaticamente corrigir ou normalizar pacotes que pareçam estranhos (scrubbing), além de evitar ataques potenciais vindos desses pacotes [2].
SEGURANÇA Figura 2 No exemplo, os PCs do escritório usam o pfsense para acessar a Internet. Para melhorar a disponibilidade, você pode combinar múltiplos firewalls pfsense ativos. Se um firewall falhar por conta de um erro de hardware, outro firewall toma seu lugar automaticamente. Para tanto, o protocolo de redundância CARP ( Common Address Redundancy Protocol ) é usado em segundo plano [3]. Se necessário, a instalação do pfsense pode transferir sua configuração para todos os outros firewalls e, posteriormente, executar a ferramenta pfsync para manter todas as tabelas de estados de todos os firewalls ativos sincronizadas. Além do firewall, o pfsense inclui um servidor DHCP e suporta NAT ( Network Address Translation ) de forma natural combinado com redirecionamento de portas e múltiplos endereços IP. O pfsense pode ser usado como ponto de acesso para uma VPN, presumindo que a VPN use o protocolo IPsec, OpenVPN ou PPTP. O recurso Captive Portal é particularmente interessante para operadores de hotspots (pontos de acesso sem fio): quando habilitado, os usuários precisam se autenticar por meio de um website especial (que pode ser customizado) para acessar a rede ou a Internet [4]. O balanceamento de carga remove algumas das dores de cabeça em grandes redes. O pfsense distribui o tráfego de dados de saída para múltiplas interfaces WAN. Se uma delas falhar, o pfsense automaticamente redireciona o tráfego para as interfaces que funcionam. De forma similar, o firewall pode distribuir requisições e conexões de entrada para múltiplos servidores. Esse recurso é útil se você executa um website visitado com frequência. Se um de seus servidores falhar, o pfsense automaticamente encaminha as requisições para os servidores disponíveis. A ferramenta só funciona em processadores x86 ou AMD64, o que é seu lado negativo. Se o usuário vai operar pequenas redes e precisa de uma solução de firewall simples, os recursos necessários são mínimos. No entanto, se o computador precisar manipular 200 megabits por Figura 3 O menu de boot do FreeBSD dá as boas vindas ao administrador após iniciar do CD ou de um pendrive. Figura 4 Você tem dez segundos para decidir se quer iniciar a instalação do programa ou iniciar a partir do CD. Figura 5 Normalmente você não precisará mudar a fonte, mapa de tela e teclado, a menos que tente interagir com o pfsense em um terminal, por exemplo. Admin Magazine #5 Março de 2012 49
Figura 6 Nesse caso, a primeira placa de rede, em0, é a interface WAN ou Internet. segundo, o pfsense vai precisar de ao menos 1GHz de CPU. Quaisquer pacotes adicionais vão requerer memória RAM adicional. Os desenvolvedores da ferramenta publicaram uma tabela de cálculo bastante útil para ajudar na definição dos requisitos necessários [5]. Download e requisitos Ao visitar a página de downloads para procurar um espelho de onde possa baixar a ferramenta, talvez fique espantado com a quantidade de arquivos disponíveis ( figura 1 ). Normalmente, no entanto, tudo de que você vai precisar é da imagem ISO de 100 MB com o nome pfsense-2.0-release-i386.iso.gz, que está no final da página. Se você tem um sistema AMD64, faça o download da versão pfsense-2.0-release-amd64.iso.gz. Se você gravar a imagem em um CD, poderár fazer boot a partir desta mídia tanto para chegar ao programa de instalação quanto para executar um sistema diretamente do CD (modo Live, ou seja, sem necessidade de instalação). Neste segundo modo, alguns recursos ficam indisponíveis, de forma que faz mais sentido instalar a distribuição no computador ou em uma máquina virtual. Você também pode encontrar versões específicas para pendrives. Essas versões oferecem Figura 7 Esse menu é para uso emergencial se a interface web falhar. Para ter acesso SSH, por exemplo, digite 14. o mesmo conteúdo do CD e são projetadas para computadores sem um leitor de CD. Os arquivos pfsense-memstick-2.0-release-i386. img.gz ou pfsense-memstick-2.0-release-amd64. img.gz são os necessários nesse caso. Além do sistema Live, os desenvolvedores também oferecem uma variante embarcada que faz boot a partir de um cartão compact flash e é executada totalmente na memória RAM. Algumas imagens existem para essa versão embarcada, cada uma para uma combinação de arquitetura de processador, tamanho do cartão compact flash (ou memória flash interna) e do adaptador gráfico do sistema em questão. O pacote pfsense-2.0-release-1g-amd64-nanobsd_vga. img.gz, por exemplo, inclui uma imagem para um cartão compact flash com capacidade de 1GB, o qual deverá ser ligado em um sistema com um processador AMD64 que possui uma placa gráfica. Pacotes que não possuem o sufixo _vga têm todas as saídas de telas e podem ser acessados somente por meio de uma porta serial na máquina. Além disso, uma máquina virtual pré-configurada para VMware está disponível, embora essa máquina contenha somente a versão 1.2.3, que é antiga, pelo menos até a data de impressão desta edição. Para demonstrar como é fácil implementar e configurar uma máquina pfsense, usarei como exemplo a substituição de um roteador Fritz!Box, ou seja, vamos conectar a LAN de uma pequena empresa de forma segura com a Internet ( figura 2 ). Nesse cenário, os usuários só terão acesso após realizar sua autenticação no pfsense com uma senha pessoal em uma página de portal. Instalação Após fazer boot do Live CD, deixe o menu FreeBSD ao pressionar [Enter] ou espere por dez segundos ( figura 3 ). Se um problema ocorrer durante o processo de boot, tente outras opções de boot. A opção 2 tenta fazer boot com os switches ACPI desligados; a opção 4 o faz em modo de segurança; e a opção 6 faz com que o FreeBSD que alicerça o boot entre em modo verbose (exibe na tela todos os passos que está realizando), de forma que você identifique quaisquer hardwares com comportamento inadequado. Se tudo funcionar, o pfsense perguntará se você quer iniciar a instalação ou executar o sistema direto no CD ( figura 4 ). É uma boa ideia fazer a escolha dentro do limite de dez segundos. Se não o fizer, o pfsense automaticamente executará o sistema direto do CD. Se isso acontecer, você 50
terá de responder as mesmas perguntas que respondeu no primeiro boot feito no disco. Ao escolher a opção de instalação, será iniciado um assistente. Na primeira tela, é possível aceitar os padrões de fonte e teclado ao pressionar Accept these Settings (figura 5 ). Na versão Quick/Easy Install, confirme o prompt de segurança e o assistente apagará o primeiro disco rígido, configurando o pfsense no espaço disponível. Essa é a escolha certa no exemplo, uma vez que vou instalar o pfsense em um computador de laboratório. Você só precisará de uma instalação personalizada ( Custom ) se quiser particionar e configurar o disco manualmente. Uma vez tendo o pfsense instalado no disco, é necessário decidir qual kernel usar. Em um PC padrão, o primeiro item, Symmetric multiprocessing kernel, será a escolha certa. O modo Embedded kernel é usado em sistemas embarcados que não têm tela (ou uma placa gráfica) ou teclado e o modo Developers kernel só é interessante para desenvolvedores do pfsense. Finalmente, você precisa reiniciar a máquina, remover o CD e esperar que o pfsense faça boot do disco. Você verá um menu de boot familiar, o qual pode pular pressionando [Enter]. Após um tempo, o pfsense mostrará uma lista de interfaces de rede e perguntará qual você quer configurar como VPN. Isso só será necessário se você implementar o pfsense exclusivamente entre ou com VPNs. Já que você pode configurar o recurso VPN de forma mais conveniente na interface web posteriormente, responda n para essa questão. A próxima coisa que o pfsense quer é saber o nome da interface WAN ( figura 6 ). A lista com as interfaces de rede é de grande ajuda aqui. Se você estiver em dúvida, pode dizer ao pfsense para identificar a interface correta sozinho. Para tanto, desconecte todos os cabos de rede do computador, pressione a tecla [a], conecte o cabo da WAN, pressione a tecla [Enter] e veja se o pfsense identificou a interface automaticamente. No próximo passo, será necessário inserir o nome das interfaces LAN com um procedimento similar. Se você tem várias interfaces, simplesmente repita os passos tantas vezes quanto necessário. Novamente, o pfsense tem uma opção para detecção automática. Após registrar todos as placas de rede, pressione a tecla [Enter] quando o sistema pedir uma nova placa. O pfsense lista todas as configurações. Se todas estiverem corretas, pressione y. Quando o menu da figura 7 aparecer, você conseguiu completar a instalação com sucesso. O pfsense agora funcionará como uma Figura 8 Após completar a instalação, é possível utilizar essa página para acessar o painel de controle do pfsense. Figura 9 A primeira coisa que você deve mudar é sua senha na janela do User Manager. Figura 10 O painel de controle oferece diversas informações úteis sobre a situação atual do sistema. Você pode reorganizar os widgets clicando e arrastando-os com o mouse. SEGURANÇA Admin Magazine #5 Março de 2012 51
Fritz!Box. Embora os servidores DHCP, NAT e componentes de firewall já estejam instalados e em execução, a implementação precisará de uma atenção manual na interface web ( figura 8 ). Figura 11 No exemplo, um cliente executando Ubuntu fez download de uma série de atualizações e depois visualizou somente algumas páginas. Figura 12 O reset do provedor ocorre por volta das 4h30 da manhã, horário em que, provavelmente, não há ninguém no escritório. Figura 13 Essas confi gurações evitam que o computador com o endereço IP 192.168.1.66 acesse a porta TCP 22, ou seja, o serviço SSH. Com a mão na massa Em seu estado padrão, o servidor DHCP do pfsense atribui endereços IP na faixa de 192.168.1.100 até 192.168.1.199 para todos os computadores conectados à rede por meio da primeira interface LAN. Na rede, entre no endereço 192.168.1.1 via navegador para chegar a interface web do pfsense. Aceite o certificado autoatribuído que o pfsense emite para si mesmo. O acesso inicial para a interface web usa uma combinação com o nome do usuário admin e a senha pfsense. Essas são as credenciais do administrador, que tem o poder de alterar qualquer parâmetro do sistema. Assim, uma das primeiras coisas a se fazer é mudar esta senha. Para tanto, acesse System, selecione User Manager, clique no ícone na direita da linha admin e digite uma nova senha em Password (figura 9 ). Você sempre precisará salvar as mudanças realizadas ao pressionar Save na parte inferior da tela. Ao clicar no logo do pfsense no canto superior esquerdo, você é levado de volta ao painel de controle. Isso dá a você a visualização inicial do sistema e sua carga atual ( figura 10 ). Se precisar de mais informação, pode adicionar widgets. Para tanto, clique no ícone com sinal + ) abaixo de Status e escolha uma nova fonte de informação. Uma das coisas que eu considero úteis é o widget Traffic Graphs, que oferece uma visualização geral em forma de gráficos do tráfego da rede ( quadro 1 ). Números Por padrão, o pfsense usa um cliente DHCP para buscar um endereço IP para a interface WAN. De acordo com a RFC 1918, ele recusa endereços IP de áreas reservadas para LANs privadas, como 10/8, 172.16/12 e 192.168/16. Em alguns casos, como no acesso UMTS, os provedores vão atribuir exatamente esses endereços IP à rede. Para dizer ao pfsense para aceitá-los, é necessário desmarcar a opção Block private networks na parte de baixo de Interfaces/WAN. Se marcar a caixa Block bogon networks, você vai bloquear endereços não atribuídos pela IANA, como 0.0.0/8. Ambas os recursos aumentam a segurança e só devem ser desabilitadas se você tiver uma razão muito boa para isso. Se você quer que o pfsense use o ADSL para criar uma conexão com a Internet, é 52
necessário ensinar a interface WAN a usar o protocolo PPPoE. Para tanto, simplesmente configure Type para PPPoE e entre com suas credenciais de acesso nos campos embaixo de PPPoE configuration. Muitos provedores de ADSL interrompem a conexão automaticamente após 24 horas se você tem uma banda ilimitada de donwload. O pfsense pode fazer um reset durante um tempo especificado para garantir a vida da conexão. Para tanto, vá para Periodic Reset, selecione Custom no menu de seleção e, então, defina o tempo desejado nos dois campos ( figura 12 ). Todos os computadores conectados na rede recebem automaticamente um endereço IP por meio do servidor DHCP embutido. Se você quer atribuir uma faixa específica de endreços IP para suas máquinas, vá a Services/DHCP Server e então atribua a faixa de endereços. A parte de baixo da tela mostrará uma tabela (vazia por padrão). Você pode atribuir endereços IP específicos nessa tabela. Para criar uma regra do tipo, clique no pequeno ícone com sinal de mais, inclua o endereço MAC da máquina, o endereço IP desejado e o nome do host. Regras Ao analisar os campos Firewall/Rules, note que o firewall bloqueia todos os pacotes de entrada da WAN por padrão. De forma similar, todos os PCs na LAN possuem a permissão de abrir conexões de saída. Para criar uma nova regra, pressione o pequeno botão com sinal de mais no canto superior direito. Isso o leva ao formulário onde será possível criar regras com apenas alguns cliques ( figura 13 ). Tome cuidado, nesse caso, com duas armadilhas: todas as máquinas na LAN sempre têm acesso ao computador com o pfsense por conta de uma regra Anti-Lockout, que não é editável. Mesmo com a regra exibida na figura 13, o computador com o endereço IP 192.168.1.66 ainda tinha a possibilidade de usar SSH para logar na máquina servidora do pfsense (isso presume que exista um acesso SSH habilitado). Para evitar isso, você pode desabilitar a regra Anti-Lockout em System/Advanced ao desmarcar a caixa correspondente. No entanto, isso significa correr o risco de bloquear seu próprio acesso ao sistema por conta de algum erro. Além disso, o firewall processa todas as regras de cima para baixo. A primeira regra válida prevalece e o pfsense ignora todas as outras. Você pode mover uma regra nessa lista ao selecioná-la e pressionar o ícone com a seta até Figura 14 A opção Expiration Date permite que você defi na a data em que o pfsense automaticamente desabilitará a conta de usuário. a regra chegar a primeira posição. Se você tem a ordem correta, mas alguma regra de bloqueio parece não fazer efeito, talvez você precise checar Diagnostics/State e resetar também o estado ao clicar em Reset na aba Reset states. O navegador pode sofrer com um recarregamento infinito da página. Se isso acontecer, simplesmente recarregue o endereço do pfsense manualmente. Departamento pessoal Antes que seus usuários LAN comecem a acessar a Internet, precisam estar autenticados em uma página especial de portal digitando o nome de usuário e senha. Para que isso aconteça, primeiramente é necessário armazenar essas credenciais no pfsense. Para as coisas ficarem mais fáceis, vou usar o User Manager, um gerenciador de usuários incluído no pfsense, Figura 15 Um usuário LAN precisa digitar um nome de usuário e senha para ter acesso à Internet. Você pode, claro, modificar a aparência dessa página. SEGURANÇA Admin Magazine #5 Março de 2012 53
Quadro 1: Informação sobre tudo O pfsense faz log de suas ações em múltiplos arquivos de log, que podem ser visualizados em Status/System logs. Na aba Firewall, você pode clicar em um dos ícones para defi nir uma nova regra de exceção. As conexões monitoradas pelo fi rewall são exibidas em uma tela separada, em Diagnostics / States. Além disso, o pfsense coleta dados estatísticos, como o número de pacotes inspecionados. Esses dados são armazenados em um banco de dados do tipo round-robin (RRD), de forma que as informações mais antigas são descartadas quando uma nova chega. O pfsense usa esses dados para gerar alguns gráfi cos e estatísticas interessantes. Alguns deles são encontrados no painel de controle e outros podem ser encontrados no menu Status/ RRD Graphs. Com isso, você fi ca sabendo quanto tráfego e quantos pacotes passaram por meio de placas de redes individuais nas últimas horas e dias ( figura 11 ), dando a você uma visão geral sobre a qualidade da conexão WAN (aba Quality ). Finalmente, o menu Status/Services diz quais serviços estão em execução. Você pode usar os botões do menu para iniciar ou interromper um serviço (botões Start e Stop ). Mais informações [1] pfsense: http://www.pfsense.org [2] PF e Scrubbing: http://docstore.mik.ua/ manuals/openbsd/faq/pf/scrub.html [3] Protocolo CARP: http://en.wikipedia.org/ wiki/common_address_redundancy_protocol [4] Captive portal: http://en.wikipedia. org/wiki/captive_portal [5] Requisitos de hardware para o pfsense: http:// www.pfsense.org/index.php?option=com_ content&task=view&id=52&itemid=49 [6] Wiki do pfsense: http://doc.pfsense. org/index.php/main_page [7] Dispositivos pfsense: http://www.pfsense. org/index.php?option=com_content&task= view&id=44&itemid=50 que você encontrará em System/User Manager. Nesse caso, pressione o ícone com o sinal de mais em User Manager e adicione uma nova conta para cada usuário. O formulário requer apenas um nome de usuário e senha ( figura 14 ). A página de login é oriunda do Captive Portal. Para habilitar a página, marque a caixa Enable captive portal em Services/Captive Portal. Se você quiser que a página de login apareça quando o usuário da rede LAN quiser acessar a Internet, marque a opção LAN em Interfaces. Se o usuário ficar ocioso por um certo período de tempo, o pfsense faz logoff automático do usuário. Você pode definir quantos minutos ele precisa estar ocioso para que isso aconteça em Idle Timeout. Se esse campo estiver vazio, não há limite. A opção Hard Timeout deixa as coisas mais rígidas: após o tempo definido, o pfsense faz logoff do usuário, mesmo que ele não esteja ocioso. Quando o usuário faz login, o pfsense automaticamente o leva à URL definida em After Authentication Redirection URL. O nome de usuário e senha são armazenados no gerenciador de usuários, e isso explica porque a autenticação é configurada em Local User Manager/Vouchers. Como o nome sugere, essa opção permite que você crie vouchers para dar acesso temporário à Internet a alguns usuários. Isso é útil para hotéis, por exemplo, onde os usuários podem comprar vouchers para obter determinado tempo de navegação. Após pressionar Save, sempre que um cliente na LAN tentar acessar a Internet, o usuário recebe automaticamente a tela de login exibida na figura 15. O usuário precisa ingressar com as credenciais armazenadas no gerenciador de usuários para acessar a Internet. Nunca deixe de salvar as mudanças antes de abrir um novo item de menu na interface web, a menos que você queira descarregar todas as mudanças. Em alguns casos, como por exemplo, com as configurações do servidor DHCP, você ainda precisa necessariamente aplicar as novas regras explicitamente, recarregando o sistema. Se você está instalando o pfsense em uma máquina de produção, é uma boa ideia executar o assistente localizado em System/ Setup Wizard. O assistente lhe pede algumas informações necessárias, como nome do host, que por padrão é pfsense.dominio_local. Conclusão Nesse artigo, ofereci apenas uma visão geral sobre os recursos básicos do pfsense, que é muito mais abrangente. Infelizmente, a documentação ainda é fraca e o wiki um pouco pobre em informações [6] e tanto esse artigo quanto os livros disponíveis no mercado abordam versões mais antigas. Muito do conteúdo ainda é aplicável e se você está familiarizado com serviços do tipo, encontrará os recursos de que necessita intuitivamente. Além disso, muitas empresas começaram a oferecer hardware ou dispositivos com o pfsense pré-instalado. Uma lista de empresas recomendadas pelos desenvolvedores está disponível no endereço [7]. Gostou deste artigo? Veja este artigo em nosso site: http://www.lnm.com.br/admin/article/6586 Queremos ouvir sua opinião. Fale conosco em: cartas@admin-magazine.com.br 54