Conhecendo e configurando o Pfsense – Parte 2

Share

Após a configuração básica do sistema Pfsense (que aprendemos no primeiro post da série) vamos agora partir para outras configurações de rede do seu Pfsense antes de entrar na parte de firewall do servidor.

Caso você tenha mais de uma placa de rede ligada ao seu servidor você pode usá-la para configurar uma DMZ ou LAN. Nas versões anteriores do pfsense não era possível fazer a instalação do sistema se você tivesse somente uma interface, porém isso hoje é  possível. O limite de placas de rede que você pode ter é delimitado pelo número de slots do seu servidor/computador.

Através da interface web você pode gerenciar suas interfaces, para isso vá em Interfaces Assignments.

1

Configurando Interface LAN

Para configurar sua LAN vá em INTERFACE – LAN, marque Enable Interface, escolha o tipo de endereçamento em Type, e logo abaixo configure seu escopo de rede com endereço e máscara de rede.

2

Aqui você pode configurar quantas interfaces LAN você quiser, neste passo mostrei a configuração de apenas uma rede LAN.

Se você desejar pode configurar uma DMZ (zona desmilitarizada) como uma interface opcional. A ideia de se usar DMZ é que você pode permitir a passagem de tráfego direto ou não pelo seu firewall, pois a DMZ pode ser controlada separadamente de outras áreas da sua rede interna. Por exemplo, em sua DMZ você pode permitir que entre tráfego inseguro para acessar sites na internet, a sua LAN também poderá acessar esse tráfego inseguro através da sua DMZ, porém a sua DMZ não está autorizada a acessar o tráfego interno da sua LAN, pois ela somente irá permitir acesso externo (WAN) e acesso a partir da LAN, mas as requisições vindas da internet não terão permissão de enviar tráfego para sua rede LAN. Isso irá permitir que as requisições vindas da internet para acessar recursos da sua DMZ (websites, e-mail, assim por diante) não enxerguem sua rede interna (LAN).

Para configurar sua DMZ como interface opcional vá em Interfaces | OPT1, marque enable interface, dê a descrição da interface como DMZ, por exemplo, e escolha o tipo de conexão em Type, configure o escopo de rede da sua DMZ em IP Address. Após salve as configurações.

3

 

Configurando Servidor DHCP

O PfSense só pode ser configurado como um servidor de DHCP se a interface estiver com endereço de ip estático. O Exemplo abaixo aborda configurar o servidor DHCP para a interface DMZ. Para isso vá em  Services | DHCP Server, selecione a aba DMZ e marque Enable DHCP Server on DMZ interface. Selecione o Range de IPs que os clientes poderão usar.  Clique em Save para salvar e habilitar o serviço de DHCP.  Clique em Apply Changes, para que as alterações entrem em vigor.

4

 

Configurando Servidor DNS

Você pode especificar manualmente qual DNS será atribuído para seus clientes de rede.

Se você não configurar o servidor DNS o Pfsense irá atribuir o DNS em uma das duas formas:

1ª) Se o DNS forwarder estiver habilitado, o DNS vai ser o IP da interface local do PfSense, isso porque o DNS Forwarder torna a própria maquina PfSense em um servidor DNS.

2ª) Se o DNS forwarder estiver desabilitado, então deverão ser configurados em General Setup os endereços de DNS, e se Allow DNS server list to be overridden by DHCP/PPP on WAN estiver habilitado em General Setup os servidores DNS serão obtidos através da porta WAN.

Gateway

O gateway das maquinas clientes por padrão será o ip da interface local usada como servidor de DHCP, mas isso pode ser mudado se necessário.

 Default Lease Time

É um valor que pode ser usado para especificar um tempo mínimo que expire o acesso por DHCP. O tempo padrão é 7200 segundos

Maximum Lease Time

É um valor que pode ser usado para especificar um tempo máximo para que expire o acesso por DHCP. O tempo padrão é 86400 segundos.

Failover Peer IP

É um sistema que pode configurar um endereço de ip que sirva como Fail-Over de balanceamento de carga. Veremos como fazer balanceamento de carga em outro posto deste tutorial.

Existem ainda outras configurações de DHCP/DNS disponíveis no Pfsense, tais como, servidor dedicado de DHCP/DNS, DHCP com mapeamento estático, DHCP relay, que retransmite pedidos de IP de outro domínio, DNS alternativo, DNS Forwarder e DNS dinâmico, porém não estarei mostrando a configuração destes serviços pois a idéia é aprendermos a configurar as regras de firewall e balanceamento de carga disponíveis no Pfsense. Caso alguém queira dicas de como funcionam estes serviços aí posso mostrar como são feitas estas configurações.

Após estas configurações de rede vamos então configurar o acesso por SSH no nosso pfsense e gerar chaves RSA.

 

Habilitando o Secure Shell (SSH)

SSH é um protocolo de rede que permite comunicação criptografada entre dois dispositivos. Habilitando o SSH será permitido o acesso seguro para a console do Pfsense  remotamente. Como todos os serviços do Pfsense, o SSH irá ouvir em cada interface disponível no seu sistema e estará sujeito ás regras de firewall usadas para permitir ou bloquear acesso a esse serviço.

Para habilitar o SSH vá em System – Advanced – Secure Shell. Marque a opção Enable Secure Shell. Em SSH Port você pode especificar a porta de comunicação que será usada para requisições SSH, se você deixar em branco será usada a porta padrão 22.

Você será solicitado a fornecer credenciais quando se conectar remotamente por SSH, essas credencias são as que você usa para se conectar na interface web.

5

Se você marcar Disable password login for Secure Shell, isso irá permitir que você use chave RSA para se conectar por SSH. Mudar o método de autenticação do SSH para usar chaves RSA é uma ótima maneira de proteger acesso ao seu sistema. Além disso você pode alterar a porta em que o servidor escuta o SSH aumentando ainda mais a segurança do seu sistema.

 

Gerando Chaves Autorizadas RSA

RSA é um algoritmo de criptografia de dados. O RSA envolve um par de chaves, sendo uma chave pública, que pode ser conhecida por todos e uma chave privada que deve ser mantida em sigilo. Toda mensagem cifrada usando uma chave pública só pode ser decifrada usando a respectiva chave privada. A criptografia RSA atua diretamente na internet, por exemplo, em mensagens de e mail, em compras on-line, etc. Esse tráfego de informação é codificado e recodificado pela criptografia RSA.O administrador do servidor pode adicionar uma chave publica de clientes em seu sistema, e através desta chave o cliente pode se autenticar no servidor sem precisar digitar uma senha.

 Autenticação de chave RSA é mais usada com acesso SSH, e muitas vezes se referem a ela como Chaves SSH, o que não é certo. Chave RSA é uma forma de segurança que também pode ser usada em SSH. Embora seja muito usada em SSH ela também pode ser usada em VPN, VoIP, FTP, etc.

Para se conectar ao Pfsense através de uma chave RSA é preciso que usuários de sistemas Linux e MAC tenha instalado o serviço ssh-keygen, e usuário Windows podem usar a ferramenta PuTTYgen.

 

Gerando Chaves em sistemas Linux/MAC

Abrir o terminal e digitar:

ssh-keygen

A chave será guardad no local padrão “/home/user/.ssh”.  Você pode especificar uma senha, mesmo que seja opcional é muito recomendado. Sua chave publica está localizada em home/user/.ssh/id_rsa.pub

6

 

Gerando Chaves no sistema Windows

Abra PuTTYgen e gere um par de chaves publica/privada clicando no botão Generate. Digite uma senha (opcional mas recomendado) e clique em Save Private Key.

7

Após gerar a chave, selecione-a na caixa de texto, copie e cole em um novo arquivo, como por exemplo “C:\ChaveRSA.txt“.

8

 

Configurando SSH com autenticação de chave RSA

Vamos agora configurar o PfSense para usar uma chave RSA em vez de senha para autenticação SSH. Quando um cliente se conectar por SSH, não será solicitado uma senha, ao invés disso, o SSH usará a sua copia da chave publica RSA para enviar uma comparação com a chave privada do cliente correspondente. Chaves RSA privadas também podem ser salvas criptografadas na maquina do cliente. O cliente SSH vai pedir uma senha para descriptografar a chave privada antes de ser usada para autenticação com o servidor.

 

Certifique-se que você já ativou o SSH e já gerou uma chave publica.  Vá até System | Advanced | Secure Shell e marque Disable password login for Secure Shell (RSA key only).

 9

Edite o usuário que irá associar com a chave publica, para isso vá em System | User | Manager | Edit admin.

Cole em Authorized Keys a chave publica do cliente RSA. Certifique-se de que seu editor de texto não inseriu nenhum caracter ou então a autenticação irá falhar. Clique em Save

 10

 

Acessando o Secure Shell (SSH)

Após a criação das chaves RSA nos sistemas Linux/MAC e Windows, vamos acessar o console do PfSense.

O SSH já deve estar habilitado e configurado no PfSense. Usuários do Linux, Mac terão o cliente SSH instalado por padrão. Os usuários Windows terão q baixar o PuTTY.

 

Conectando via SSH usando cliente Linux/Mac:

Abra o terminal e execute:

ssh admin@192.168.1.1 (substitua pelo endereço IP do seu servidor)

Se você estiver usando a configuração padrão, então será solicitado uma senha.

Se você estiver usando chave de autenticação RSA, você vai ser conectado diretamente ou ser solicitado a digitar uma senha associada com sua chave. Se precisar especificar a localização do seu arquivo de chave privada, você pode usar a opção –i dessa forma:

ssh -i /home/xxxxx/key/id_rsa admin@192.168.1.1

 Se você configurou o PfSense pra usar uma porta diferente, você pode especificar usando a opção –p, igual o exemplo a seguir:

ssh -p 123 admin@192.168.1.1, onde 123 é o número da porta SSH do seu servidor

 

Conectando via SSH usando cliente Windows com o PuTTY:

Abra o PuTTY e digite o Hostame ou o IP do servidor. Especifique uma porta alternativa se houver a necessidade, a padrão é 22.  Se você usar a chave de autenticação RSA, procure o arquivo da chave privada em “Connection | SSH | Auth | Private key file for authentication”.

11

Você vai se conectar e será solicitado um nome de usuário. Você vai ter que digitar uma senha, ou se você usar autenticação por RSA você vai ser conectado diretamente ou vai ser solicitado uma senha pra descriptografar sua chave privada.

Bom, por enquanto é isso no próximo post vamos ver a criação de Alias, Regras de NAT port forward e criação de regras de firewall.

 

 

 

 

Quer continuar por dentro das novidades do Blog Seja Livre? Siga o nosso perfil no TWITTER, curta a nossa página no FACEBOOK ou adicione o Blog Seja Livre nos seus círculos do GOOGLE+.