Programação e Base de Dados: pfSense - Software de firewall de rede

pfSense é um software de distribuição livre do projeto FreeBSD

- software open source, lançado em 2004

- licença BSD — licença de código aberto, gratuita, utilizada em sistemas baseados em Unix.

- desenvolvido e mantido pela empresa Netgate

- adaptado para ser um firewall e/ou router, gerido por uma interface web fácil de utilizar

- possibilidade de instalar recursos/softwares adicionais, podemos ter um poderoso IDS / IPS (Sistema de Deteção e Prevenção de Intrusão) como Snort ou Suricata

- pfSense é uma robusta solução de firewall e/ou router amplamente utilizada hoje por empresas e utilizadores avançados

pfsense é considerado um firewall UTM (Unified Threat Management) pois possui os seguintes recursos:

   Firewall
filtragem de pacotes
AntiSpam / AntiVírus / AntiSpyware
IDS /IPS
servidor (DHCP, Proxy, NTP)

VPN
Load Balancing (Balanceamento de carga)
NAT

Vantagens do pfSense

É considerado muito leve, exigindo baixos requisitos de hardware, é estável, fácil de utilizar (possui até um dashboard é uma interface configurável) e possui excelentes recursos de filtragem.

O que pode fazer com o pfSense?

https://pplware.sapo.pt/linux/pfsense-2-6-0-transforme-o-seu-pc-num-autentico-router-firewall/

Vídeos

Introdução ao pfSense Plus

https://www.netgate.com/training/pfsense-fundamentals-and-advanced-application

https://itigic.com/pt/pfsense-installation-and-configuration-advanced-firewall-for-business/

Download pfsense

https://www.pfsense.org/download/

Caso ficheiro tenha a extensão .iso.gz terá que extrair

AMBIENTE Virtual com PFSENSE

Criação de 2 VM (uma VM para o pfsense e outra VM para um computador cliente da rede interna), onde iremos utilizar o cliente para fazer as configurações Web do pfSense e testes de firewall.

1. Instalação do computador Cliente - Windows 7 / 8 /windows10

1.1. Criar uma VM para a instalação de Sistema Operativo Windows 7 ou 8 ou 10

1.2. Instalação do SO escolhido (neste caso foi o Windows 7)

1.3. Settings da VM: Adapter 1: selecionar Internal Network e definir um nome para a sua rede interna (internaseunome)

2. Instalação e Configuração do pfsense

2.1. Criação da máquina virtual para instalar o pfsense

Sistema Operativo: BSD

Versão: FreeBSD (64bits)

2.2. Colocar duas placas de rede

Adapter1: Modo NAT (WAN)

Adapter2: Modo Internal Network (internasseunome) - rede interna que irá lidar-se ao cliente windows 7/8

2.3. Instalação do pfsense

ACCEPT (dê ENTER)

DEVE desligar a Máquina virtual

deverá retirar a attachement do pfsense (iso)

2.4 . Interface do pfsense

Endereços IP's atribuídos

WAN: 10.0.2.15

pfsense LAN: 192.168.1.1

Windows 7 LAN: 192.168.1.100

PFSENSE - OPÇÕES DE CONSOLE

https://www.youtube.com/watch?v=qGGsGhvqJqw

2) Set interface(s) IP address - para definir os endereços IP's

8) Shell

Na máquina LAN

3. Configuração do pfsense - Interface Web

A configuração do pfsense será efetuada no cliente Windows 7 através de interface web.

- Deverá instalar o Chrome

- Aceder ao pfsense através do Chrome: URL: 192.168.1.1

password: pfsense

3.1. Status/Dashboard - Informações do Sistema

Utilizador: admin

Endereço IP da máquina Windows 7: 192.168.1.100

3.2 Atualização do pfsense e VPN's

pfSense incorpora diferentes tipos de VPN para se adaptar perfeitamente às necessidades dos utilizadores:
L2TP / IPsec
IPsec IKEv1 e IKEv2, com diferentes tipos de autenticação
OpenVPN com autenticação por certificados digitais, credenciais de utilizadores e muito mais.
WireGuard (adicionar)
O destaque do pfSense 2.5.0 é a incorporação do popular WireGuard VPN, tanto para conectar utilizadores remotamente, como para fazer túneis Site-to-Site de forma rápida e fácil, graças a este novo protocolo que foi integrado ao kernel e nos dará um ótimo desempenho.

OPENVPN https://openvpn.net/

OpenVPN de última geração permite que o utilizador conecte redes, dispositivos e servidores privados de forma rápida e fácil para criar uma rede moderna segura e virtualizada

3.3. Instalação de Software - Pacotes disponíveis

Sistema /gerenciador de pacotes /

- Depois da instalação do Wareguard - verificar que já aparece essa VPN

WireGuard VPN https://www.wireguard.com/

https://www.informatique-mania.com/pt/securite/configuration-du-serveur-vpn-wireguard-dans-pfsense-2-5-0/

- Instalação do IDP/IPS - snort

Visualização do serviço SNORT ( IDS/IPS)

3.4 Configurar um nome do host, um domínio e DNS

https://www.youtube.com/watch?v=GQGBcUCVZnw&t=15s

Wizard (passo 2 ) ou System /Setup

hostname: pfsense

Domain: localseunome

3.5 Configurar o servidor NTP (Network Time Protocol)

O NTP é um protocolo para sincronização dos relógios dos computadores baseado no protocolo UDP sob a porta 123.

É necessário sincronizar a hora e até o fuso horário de todos os computadores da rede.

Podemos verificar que há mais de 17 segundos de diferença entre o computador local e a VM Windows 7

Pelo que será necessário configurar Hora através da alteração do servidor NTP de Portugal que poderá ser do Observatório Astronómico de Lisboa: endereços são “ntp02.oal.ul.pt” ou “ntp04.oal.ul.pt”, que mantêm a Hora Legal corretamente

A RNL (Rede e Laboratórios do DEI/IST) disponibiliza ao público um serviço de NTP (Network Time Protocol) que está incluído no projecto pool.ntp.org.

Encontra-se disponível em ntp.rnl.tecnico.ulisboa.pt tanto por IPv4 como por IPv6.

Poderá ser através do WIZARD (Assistente) passo 3 ou SYSTEM/ Setup

3.5 ALTERAR IDIOMA

SYSTEM /General Setup

Language: Portuguese

3.6. Configurar BACKUPS

PROGRAMAR: todos os dias úteis da semana às 23horas . Ver link Cron format da janela do pfsense abaixo

BACKUPS

3.7 Configuração protocolo HTTPS

https://www.youtube.com/watch?v=Huhs-Z1ESSo

pfSense é configurado por padrão para usar o protocolo HTTP na porta 80 (não seguro - autenticação e transmissão de dados sem criptografia)
Necessário configurar o pfsense para utilizar o protocolo HTTPS com porta padrão 443
O HTTPS (HTTP + TLS) é uma extensão segura do HTTP
protocolo HTTPS garante segurança na comunicação e integridade.
TLS é uma sigla que representa Transport Layer Security (sucessor do SSL significa Secure Sockets Layer)
Os websites que configurarem um certificado SSL/TLS podem utilizar o protocolo HTTPS para estabelecer uma comunicação segura com o servidor.

Ativar o protocolo HTTPS e escolhe um certificado SSL / TLS (padrão)

Digitar porta 443 ou por padrão assumirá esta porta

Por padrão podem estar 2 administradores em simultâneo (2 processos webConfigurator )

SAVE

FECHAR BROWSER e VOLTAR ABRIR

verificar que indica que continua inseguro referindo que o CERTIFICADO NÃO É VÁLIDO

Informa que o certificado de raiz da autoridade de certificação não é fidedigno, sendo necessário ter um certificado de CA de raiz fidedigna.

NECESSIDADE DE CRIAR CERTIFICADOS FIDEDIGNOS no pfsense (é o que vamos utilizar)

ou podemos comprar certificados (www.dominios.pt/certificados/ssl/planos ) ou adquirir certificados gratuitos válidos 90 dias (site https://app.zerossl.com/signup/free )

3.8. Criação de certificados da Autoridade de Certificação (CA raiz e CA intermédia)

Tipos de certificados digitais - https://bdprogramacao.blogspot.com/2019/10/criptografia.html

Podemos classificar os certificados digitais quanto à sua natureza e finalidade. Assim temos:

Certificados de CAs - assinados pela própria CA ou por outra CA; são utilizados para validar outros certificados;
Certificados de servidor - apresentam a designação da organização em causa e do DNS do servidor, tendo por objetivo identificar servidores seguros;
Certificados de programadores ou developers - usados para permitir a validação de assinaturas em aplicações de software;
Certificados pessoais - como os utilizados para comunicações ou transações via correio electrónico.

--CRIAÇÃO DE UMA AUTORIDADE DE CERTIFICAÇÃO (CA)

Sistema/Gerenciador de Certificado/CAs

Nome descritivo: Autoridade de Certificação seu nome

Método: Criar uma Autoridade de Certificação interna

Nome comum: CA_seunome

restantes campos

SALVAR

Resultado: foi criado um certificado da Autoridade de Certificação (CA)

EDITAR para visualizar os dados do CERTIFICADO da CA

- Criação de um certificado de CA Intermédia

Nome descritivo: CA intermédia seunome

Método: Criar uma Autoridade de Certificadora intermédia

Nome comum: CA_intermedia_seunome

restantes campos

3.9. CRIAR CERTIFICADO DO SERVIDOR

Método: Criar um certificado interno

Nome descritivo: Certificado Servidor Seunome

Autoridade de Certificado: Autoridade de Certificação Seunome (criado anteriormente)

Tempo de vida: 365 dias (não pode exceder 398 dias)

Nome comum: pfsense.localester (seuhostname.seudominio)

Tipo de Certificado: Server Certificate

Nomes alternativos: nome do servidor ou FQDN--> pfsense.localester (seuhostname.seudominio)

Adicionar IP address: 192.168.1.1 (seu ip do pfsense)

restantes campos

SALVAR

CERTIFICADOS DE SERVIDORES EXISTENTES

temos o certificado por defeito aquando da instalação do pfsense

e temos o certificado do servidor que criamos

- Exportar os Certificado da CA

A exportação deve ser feita para que o Windows reconheça que a CA é fidedigna

Em Ações --> podemos exportar os certificados

Agora necessitamos de associar o certificado criado para que o Windows o considere um CA fidedigno

https://www.youtube.com/watch?v=6XMZ0gUZeTc

Correr programa certmgr.msc

SELECIONAR AUTORIDADE DE CERTIFICAÇÃO DE RAIZ FIDEDIGNA

Botão do rato direito --> IMPORTAR

IMPORTAR CERTIFICADO DE CA que foi exportado e que se encontra nas transferências