ID Tecnologia

No mundo cada vez mais conectado em que vivemos, a segurança digital se tornou uma preocupação constante. Com a quantidade crescente de ameaças cibernéticas e conteúdo inadequado na Internet, a necessidade de proteger nossas redes e navegação online é primordial. Uma das ferramentas eficazes para essa proteção é o filtro DNS. Neste artigo, vamos explorar o filtro DNS e seus benefícios, com base na plataforma que conheci a pouco tempo que é a empresa Lumiun DNS.

O que é um Filtro DNS

O DNS (Domain Name System) é um sistema que traduz nomes de domínio, como “www.exemplo.com”, em endereços IP, permitindo que os dispositivos conectados à Internet acessem os sites desejados. Um filtro DNS é uma camada adicional de segurança que bloqueia ou redireciona o acesso a determinados sites com base em políticas de segurança predefinidas.

Exemplos de Uso do Filtro DNS

Controle Parental: Os filtros DNS são amplamente usados em ambientes familiares para proteger crianças e adolescentes de acessar conteúdo inadequado. Ao configurar um filtro DNS, é possível bloquear sites com conteúdo adulto, violento ou prejudicial.

Segurança Corporativa: Empresas e organizações implementam filtros DNS para garantir a segurança da rede e evitar ataques cibernéticos. Esses filtros podem bloquear sites maliciosos, impedindo que os funcionários acessem domínios conhecidos por distribuir malware, phishing ou outros ataques.

Produtividade no Trabalho: Além de segurança, o filtro DNS também pode ser usado para aumentar a produtividade no ambiente de trabalho. As empresas podem bloquear o acesso a sites de mídia social, jogos online e outros sites que possam distrair os funcionários de suas tarefas principais.

Benefícios do Filtro DNS

Proteção contra Ameaças Cibernéticas: Um filtro DNS eficiente pode impedir que os usuários acessassem sites infectados por malware, ransomware e outros tipos de ataques cibernéticos. Isso ajuda a manter os dispositivos e a rede protegidos contra ameaças digitais.

Fácil Configuração: A configuração de um filtro DNS é relativamente simples e pode ser feita em pfSense firewall ou até mesmo em dispositivos individuais. Isso torna a implantação do filtro DNS acessível para pequenas e médias empresas, não sendo exclusivo apenas para grandes empresas.

Controle Flexível: Os filtros DNS geralmente oferecem opções de configuração flexíveis, permitindo que os administradores de rede personalizem as políticas de filtragem de acordo com suas necessidades. É possível bloquear ou permitir categorias específicas de sites ou até mesmo adicionar domínios personalizados à lista de bloqueio.

Conclusão

O filtro DNS é uma ferramenta valiosa para proteger nossas redes e navegação online. Com base na plataforma https://lumiundns.com/pt, vimos como os filtros DNS podem ser usados em diferentes contextos, como controle básico, segurança corporativa e aumento da produtividade no trabalho. Além disso, destacamos os benefícios de implantar proteção contra ameaças cibernéticas de forma fácil.

Seja em casa, no trabalho ou em qualquer ambiente conectado à Internet, configurar um filtro DNS é uma medida importante para garantir a segurança e o controle nos acessos. Ao bloquear sites maliciosos e conteúdo inadequado, podemos desfrutar de uma experiência online mais segura e tranquila.

Portanto, considere a implementação de um filtro DNS para proteger sua rede e desfrutar de uma navegação mais segura para seus usuários.

O post O Poder do Filtro DNS apareceu primeiro em ID Tecnologia - Soluções em Segurança da Informação.

A versão do pfSense 2.5.0 acaba de ser lançado algumas horas, o momento perfeito para criar um tutorial! Neste guia, aprenderemos como instalar o pfSense 2.5 e veremos os novos recursos apresentados com o pfSense 2.5. Acho que a notícia mais importante é que o pfSense 2.5.0 NÃO precisará do AES-NI ! Isso é importante, porque era o medo de todos que tinham o hardware sem suporte. O AES-NI requer hardware relativamente atualizado, portanto isso tornaria obsoletos muitos dispositivos pfSense.

Vamos dar uma olhada nos novos recursos antes de instalar o pfSense 2.5 no BM4A.

Este tutorial aborda a versão de desenvolvimento do pSense 2.5. Você só deve instalar ou atualizar para uma versão de desenvolvimento se souber o que está fazendo .

Alterações no pfSense 2.5

A versão 2.5 do pfSense é baseada no FreeBSD 12.0 . Isso traz algumas atualizações por si só.

• OpenSSL 1.1.1a
• Drivers mais recentes
• Melhorias no suporte do ARM
• pf, carp, UFS, ZFS, Amazon EC2, NTP e muitas outras correções
• Atualização para o PHP 7.3 e o Python3 .6 (o PHP 7.2 chegará ao EOL em novembro de 2019 e o Python 2.7 passará ao EOL em janeiro de 2020)
• Descontinuação do relayd Server Load Balance
• AES-NI não é necessário

Novos recursos do pfSense 2.5

Vamos revisar os recursos mais importantes. Para uma lista completa e detalhada, consulte as notas oficiais de lançamento .

• O sshguard agora bloqueia o ssh e a GUI, usando uma única tabela.
• DNS adicionado na verificação de host TLS
• Várias correções de bugs

Como você pode perceber, isso é muito interessante, a maior atualização é provavelmente a atualização para o FreeBSD 12.0, juntamente com todas os benefícios que isso traz.

Etapa 1 – Download do pfSense 2.5

Agora chegamos à parte emocionante! Verifique o versão mais recente e veja o que mudou com a rotina de instalação!

Para instalar o firewall pfsense, é necessário primeiro realizar a compra em nosso site. Se você quiser também pode instalar o pfSense 2.5 no VirtualBox, escolha o

pfSense-CE-2.5.0-DEVELOPMENT-amd64-latest.iso.gz e faça o download do pfSense. Após o download, clique com o botão direito do mouse no arquivo iso.gz e extraia-o usando o 7zip .

Você deve receber um arquivo pfSense-CE-2.5.0-DEVELOPMENT-amd64.iso .

Etapa 2 : criar uma nova máquina virtual VirtualBox

É hora de criar uma máquina virtual VirtualBox. Abra o VirtualBox e selecione Novo .

Digite um Nome , como Tipo, selecione BSD e, em Versão, selecione FreeBSD (64 bits) . Clique em Next

Atribua pelo menos 512 MB de RAM . Clique em Next

Escolha criar um disco rígido virtual agora . Clique em Criar .

Selecione VDI e clique em Avançar .

Selecione Designado Dinamicamente e clique em Avançar .

Escolha um local em que deseja salvar sua máquina virtual, aloque espaço suficiente no disco rígido ( 8 GB ou mais) e clique em Criar.

Configure a máquina virtual

Clique com o botão direito do mouse na máquina virtual recém-criada e clique em Configurações .

Opcionalmente, vá para Sistema -> Processador e atribua 2 núcleos de CPU, se o seu hardware permitir.

Vá para a próxima guia Rede.

Agora, se você deseja que o pfSense 2.5 no VirtualBox tenha acesso à sua conexão com a Internet existente , selecione o seguinte:

• Adaptador 1
  • Ativar adaptador de rede
  • Conectado a: Adaptador de ponte (isso usará sua conexão com a Internet existente na interface WAN pfSense através do seu próprio servidor DHCP do roteador)
• Adaptador 2
  • Ativar adaptador de rede
  • Adaptador interno (isso depende de como você deseja usar o pfSense no VirtualBox, você também pode escolher Bridged aqui se quiser que o pfSense se conecte à sua rede física. Observe que você não deve executar dois servidores DHCP na mesma rede!)

Se você não deseja que o pfSense 2.5 tenha Internet disponível e apenas queira usar o pfSense em um ambiente de laboratório, escolha também Adaptador interno para o Adaptador 1 !

Clique em OK quando terminar.

Etapa 3 – Instalando o pfSense 2.5 no VirtualBox

Agora para a seguir a instalação. Clique com o botão direito na sua máquina virtual, selecione Iniciar -> Início Normal .

Selecione o arquivo ISO do pfSense 2.5 que você baixou e extraiu anteriormente.

Clique em Iniciar

Agora, passamos pela rotina de instalação do pfSense 2.5. Vamos ver o que há de novo aqui!

Instalando o pfSense 2.5

Aceite o aviso de direitos autorais e distribuição.

Selecione Instalar na tela de boas – vindas .

Escolher um mapa de teclado de sua escolha por selecionando -o e pressionando Enter. Selecione continuar com o mapa de teclas … e pressione Enter .

Para a Partição , a escolha é sua. Escolha Auto (UFS) ou o novo sistema de arquivos automático (ZFS) . Eu recomendo Auto (ZFS) .

Para a configuração do ZFS, siga o seguinte:

• Tipo de piscina / discos:
  • Stripe
  • Selecione ada0 VBOX HARDDISK pressionando Space

Deixe todo o resto por padrão. Quando terminar, deve ficar assim. Verifique se o esquema de partição está no GPT (BIOS) .

Por fim, selecione Instalar e pressione Enter . De acordo com SIM no aviso a seguir. Selecione Não para a pergunta de configuração manual . Selecione Reiniciar

Você deve escolher Dispositivos -> Unidades ópticas -> Remover disco da unidade virtual -> Forçar a desmontagem no VirtualBox ; caso contrário, o pfsense será iniciado novamente na rotina de instalação. Uma vez excluído, selecione Máquina -> Redefinir .

Agora, o pfSense está iniciando o seu sistema recém-instalado. Até agora, o instalador é exatamente o mesmo que no pfSense 2.4. Nada de novo aqui.

Se você fez tudo corretamente, o pfSense deve atribuir as interfaces automaticamente.

Feito isso, você acaba na tela de boas – vindas .

Aqui podemos ver que nossa interface LAN tem um IP 192.168.1.1 / 24. O pfSense configurou automaticamente um servidor DHCP. Também podemos ver que a WAN tem um endereço IP do meu roteador / servidor DHCP existente na minha rede local.

Agora conecte um computador cliente à mesma rede à qual a interface LAN do pfSense está conectada e abra um navegador da web .

Etapa 4 – Assistente de configuração do pfSense 2.5

Digite 192.168.1.1 no seu navegador. Se você usa o Firefox, clique em Avançado -> Adicionar exceção para adicionar uma exceção de segurança. Não se preocupe com isso.

Efetue login com as credenciais padrão:

• Nome de usuário : admin
• Senha : pfsense

Na primeira caixa de diálogo, clique em Avançar .

Na etapa 1 de 9, clique em Avançar .

Na Etapa 2 de 9, clique em Avançar ou altere o Nome do host e o domínio do seu pfSense.

Na etapa 3 de 9, selecione seu fuso horário e clique em Avançar .

Na etapa 4 de 9, se você escolher Rede em ponte para a configuração do adaptador 1 acima, deixe-o no DHCP. Se você precisar inserir as credenciais fornecidas pelo seu ISP, escolha PPPoE para SelectedType. Isso depende muito da sua configuração. Se você possui um modem conectado à interface WAN do seu firewall pfSense, provavelmente precisará selecionar PPPoE.

Role até a parte inferior e clique em Avançar .

Na etapa 5 de 9 , altere o endereço IP da LAN e a máscara de sub-rede padrão ou deixe-o como padrão e clique em Avançar .

Na etapa 6 de 9, altere a senha do administrador padrão . Clique em Next

Na etapa 7 de 9, clique em Recarregar .

Na etapa 9 de 9, clique em Concluir .

E lá vamos nós. O pfSense está totalmente instalado e pronto para uso.

Conclusão

Não vi nenhuma diferença no assistente de instalação ou configuração ao comparar o pfSense 2.4 com o pfSense 2.5. As principais mudanças que acompanham o FreeBSD 12.0 e o pfSense 2.5 estão mais no backend. Melhor suporte ao driver, correções de bugs e versões de software atualizadas. Isso é uma coisa boa, no entanto. Não há necessidade de muitos novos recursos em cada versão se você tiver muitas coisas para corrigir no back-end.

Não deixe de conhecer nossos produtos em nosso canal do youtube.

O post Como instalar o pfSense firewall 2.5 apareceu primeiro em ID Tecnologia - Soluções em Segurança da Informação.

Existem inúmeras distribuições Linux/BSD gratuitas e de código aberto para escolher para o seu roteador/firewall. No entanto, há muitas recomendações ultrapassadas na Internet, por isso não é uma escolha fácil. Por este motivo, decidimos fazer uma comparação final de firewall para 2020.

A Wikipedia tem uma lista de distribuições de roteadores e firewall, mas a lista não é útil porque é imprecisa (a partir de maio de 2019) e não compara significativamente esses sistemas. Na lista existe muitos sistemas obsoletos e irrelevantes que devem ser evitados em 2020.

Se você quer tirar o máximo proveito do seu hardware ou montar um novo firewall, nós fizemos a busca pra você!

Por que nossa comparação de Firewall UTM Open Source é o Melhor de todos os tempos?

Há muitos anos vendemos hardware para a montagem de firewalls e roteadores de código aberto. No último ano, instalamos e configuramos a maioria, se não todas, as distribuições disponíveis. Todos os dias instalamos e configuramos o pfSense, OPNsense, OpenWRT, ClearOS, IPFire e outros sistemas operacionais, portanto temos uma boa noção de quais sistemas operacionais funcionam melhor do que outros. Não ganhamos dinheiro com nenhum fornecedor de software, o que torna esta recomendação relativamente objetiva.

Ouvimos diariamente o feedback dos clientes, se houver problemas de desempenho ou problemas com atualizações, estamos sempre atento a isso.

Os 10 melhores softwares de firewall de código aberto que você deve evitar

Existem outras comparações que recomendam sistemas operacionais que já estão obsoletos ou que não são mais relevantes. Isto se deve muito provavelmente ao fato de que estas listas “Top 10 Firewall Open Source” são copiadas ano após anos por usuários não-técnicos sem base técnica das ferramentas.

Estamos em 2020, e alguns sistemas operacionais estão obsoletos ou simplesmente não são mais mantidos e se tornaram irrelevantes. Você quer evitar tais sistemas por razões de segurança – estas distribuições usam kernels Linux/BSD antigos e inseguros que podem expor você a falhas de segurança.

1. IPCop – evite a todo custo

Este é um sistema operacional popular que está incluído em todas as listas “Top 10” como esta. Você não deve usá-lo. O último lançamento foi em 2015, e o sistema é antigo pelos padrões de hoje. O site oficial está morto, mas o código fonte ainda está por aí. Não recomendo.

2. Smoothwall – abandonado há muito tempo

Smoothwall ganhou uma boa reputação nos primeiros anos, quando competiu com o IPCop. Em 2014 pararam o desenvolvimento do produto. O sistema operacional Smoothwall foi abandonado e não é mais relevante ou seguro. Você deve evitá-lo. O site ainda está operacional, mas não é atualizado há muitos anos.

3. DD-WRT – não é mais competitivo

Esta é uma recomendação um tanto controversa porque sei que muitos usuários ainda acham que o DD-WRT é bom. Mas isso ficou no passado agora os tempos são outros. Hoje o DD-WRT ainda é funcional e funciona, mas não é grande nem inovador. Ela tem se mantido basicamente inalterada desde 2014, e está muito atrás de outros concorrentes de código aberto. Hoje existem muitas boas alternativas, como o OpenWRT.

4. m0n0wall – aposentado

O M0n0wall é o padrinho dos sistemas operacionais de maior sucesso que temos hoje. Foi um dos projetos mais inovadores do seu tempo, mas agora está aposentado. O sistema não recebeu nenhuma atualização desde o início de 2014 e está oficialmente aposentado.

Manuel Kasper, o autor do M0n0wall, recomenda a OPNsense como seu sucessor.

5. tomato – não para novos roteadores

Tomato é bom, e nós gostamos, mas é um firmware minimalista projetado para roteadores de prateleira como D-Link e Asus. O sistema ainda é relevante se você quiser reviver o hardware antigo e fazê-lo funcionar novamente, mas se você tiver um novo roteador provavelmente não irar querer o Tomato. Existem outros sistemas melhores, então geralmente não usamos este sistema. #saudades

6. zeroshell – não aconselho

Nós gostamos do conceito de Zeroshell, e esperamos que ele tenha sucesso, mas hoje o sistema está muito atrás da concorrência. A interface do usuário web é muito antiga e a funcionalidade é limitada. Vamos ficar de olho nisso e atualizar esta recomendação à medida que as coisas mudarem. A partir de maio de 2019, este sistema deve ser evitado.

---

Não recomendados porque não são fáceis de usar.

Existem outros sistemas que são relevantes e recebem atualizações, mas não sugerimos para usuários mais leigos, pelo menos não para nossos clientes finais.

Não recomendamos os sistemas listados abaixo porque eles requerem um nível relativamente alto de conhecimento para realizar tarefas simples. Os roteadores SOHO (Small Office / Home Office) atuais devem ser fáceis de configurar e ter uma interface web intuitiva. Por estas razões, não recomendamos os seguintes sistemas:

7. VyOS – sem interface web

Gostamos do VyOS, mas aconselhamos fortemente nossos clientes a não usa-lo se eles não souberem realmente o que estão fazendo. Este sistema deve ser operado a partir da linha de comando e sua utilização requerem um alto nível de conhecimento e experiência.

8. OpenBSD e FreeBSD – use-os somente se você tiver muitos anos de experiência em linha de comando unix.

OpenBSD e FreeBSD são desenvolvidos ativamente e são muito poderosos, mas esses sistemas requerem um alto nível de compreensão dos veteranos dos sistemas operacionais e redes de baixo nível para atuarem como roteadores.

Instalamos regularmente ambos os sistemas para clientes experientes, tais como administradores de rede ou desenvolvedores de software. Se você não quer se preocupar com extensões do sistema e passar horas e horas lendo manuais, este não é um sistema para você. Ele não fornece uma interface Web ou ferramentas GUI para configuração. É um sistema bem das “antigas” ou seja para quem é raiz.

9. debian e ubuntu – não use um sistema operacional comum para o seu roteador

Estes sistemas não são destinados a roteadores. Eles são sistemas operacionais comuns e não devem ser usados como roteadores. Similar ao OpenBSD e VyOS, você tem que configurar tudo manualmente, sem uma interface web.

---

Não recomendadas porque não são 100% gratuitas.

Há também alguns sistemas que não recomendamos porque não são realmente gratuitos ou de código aberto.

10. Untangle – é realmente gratuito se o sistema operacional pedir para você comprar uma versão paga?

O Untangle NG Firewall é um excelente software com muitos usuários satisfeitos. Não o recomendamos porque a versão gratuita é muito limitada e o sistema operacional oferece constantemente incentivos aos usuários migrar para uma versão paga. A licença mais barata custa 50 USD/ano.

11. Sophos – Free só que não

A distribuição Sophos “XG Firewall” tem uma interface muito boa e é gratuita para uso doméstico. Em geral não o recomendamos, pois não é um sistema que a própria Sophos promove. O site da Sophos torna dificil para o usuário encontrar o download free, e a comunidade é muito pequena. A Sophos é uma empresa de software comercial com um produto comunitário. Aqui não há espírito de código aberto.

12. Endian – você realmente tem que pagar para usá-lo completamente

Endian é realmente muito legal e livre. Não o recomendamos porque funções como WiFi só estão disponíveis em assinaturas pagas. Semelhante ao Untangle, é um bom software, mas você tem que pagar por ele, o que o desqualifica da nossa consideração.

---

Melhor distribuição de roteadores Linux/BSD 2020 (4 recomendações)

Estabelecemos algumas diretrizes básicas para a seleção do melhor sistema operacional para roteadores. Todos os sistemas que não são compatíveis com estas diretrizes foram desconsideradas.

Requisitos básicos para a escolha do sistema operacional de firewall

1. O sistema deve ser mantido ativamente e receber patches de segurança regulares.
2. O sistema deve ser completamente livre e de código aberto.
3. O sistema deve ter uma interface web ou GUI. Os sistemas operacionais de linha de comando são desclassificados.
4. O sistema deve ser poderoso e funcionar bem para um usuário comum.

Estes requisitos essenciais reduzem a lista de recomendações para 4 sistemas. pfSense, OpenWRT, OPNSense e IPFire.

1. OPNsense – uma estrela em ascensão

Inclui recursos não disponíveis em produtos concorrentes, como o suporte ao WireGuard – o mais recente e maior software de VPN. OPNSense é baseado no pfSense/M0n0wall.

A OPNSense fornece atualizações semanais de segurança, o que a torna uma das soluções mais seguras do mercado. Anualmente são lançadas 2 versões principais do sistema operacional, que trazem muitas novidades.

Esta é uma solução estável, que muitas vezes recomendamos aos usuários que não têm certeza de qual sistema operacional escolher.

Vantagens

• Melhor interface web / GUI
• Atualização mais freqüente
• Suporte para funções não encontradas em outros lugares

Desvantagens

O OPNSense é baseado no BSD, o que é uma desvantagem em alguns casos;

• O suporte WiFi é muito limitado. Se você planeja usar WiFi em seu roteador, adquira um sistema operacional baseado em Linux.
• O BSD também limita a vazão máxima para cada conexão.

2. OpenWRT – Velho de guerra

O OpenWRT é um sistema operacional baseado em Linux para roteadores que quase todos conhecem. Foi publicada pela primeira vez em 2004, há mais de 15 anos, e ainda é ativamente desenvolvida e mantida.

Ao contrário do IPFire, o OpenWRT tem um grande número de pacotes opcionais em seu repositório. Este sistema operacional pode ser configurado de inúmeras maneiras diferentes. O mais importante é que o OpenWRT tem drivers para todo o hardware suportado pelo Linux. Isto significa que quase todos os modems wireless são suportados, o que o torna o sistema operacional mais versátil para a criação de pontos de acesso.

O OpenWRT tem os mais baixos requisitos de hardware de todos os sistemas operacionais que examinamos.

Vantagens

• Possui o melhor suporte WiFi. Ele suporta todos os mais recentes padrões wireless e tem uma excelente interface web para configuração e gerenciamento rápido de pontos de acesso WiFi.
• Utiliza todos os núcleos de CPU para roteamento e alcança o melhor desempenho de roteamento
• Cerca de 3500 instaladores (pacotes) opcionais estão disponíveis para instalação.
• Inicializa em cerca de 7 segundos. Muito mais rápido do que outras distribuições.

Desvantagens

• Sua interface web é funcional, mas não é a mais moderna. Parece um pouco atrasado.
• O processo de instalação requer mais etapas do que outros sistemas.

3. pfSense – o mais popular

O pfSense é de longe o mais popular sistema operacional de roteadores da atualidade. É um sistema baseado em BSD, similar ao OPNSense, mas com uma história muito mais longa. O pfSense começou em 2004 e desde então tornou-se a plataforma de código aberto mais popular do setor.

O pfSense possui a documentação mais completa e a maior comunidade, o que faz dele um bom sistema operacional para começar. Há toneladas de tutoriais, fóruns, blogs e vídeos do YouTube e na Internet que são úteis se você ficar travado.

Vantagens

• Frequentemente atualizado e considerado o estável
• A maior comunidade
• Um grande número de tutoriais/documentação na web

Desvantagens

Similar ao OPNSense, o pfSense é, portanto, baseado no BSD:

• O suporte WiFi é muito limitado. Se você planeja usar WiFi em seu roteador, adquira um sistema operacional baseado em Linux como por exemplo o OpenWRT.
• Facilidade em corromper o sistema quando é desligado de maneira incorreta como interrupção de energia.

4. IPFire – alternativa

O IPFire é uma distribuição baseada em Linux para firewalls e roteadores.

IPfire é uma seqüência do IPCop (mencionado acima), mas foi escrito a partir do zero. É atualizado e mantido regularmente, mas não tem muitas características encontradas no pfSense ou OPNSense. Ele atende a todos os nossos requisitos, mas recomendamos que você só experimente se os outros 3 sistemas não atenderem às suas necessidades.

Vantagens

• Ele é baseado em Linux e, portanto, suporta bem WiFi (mas não tão bem quanto o OpenWRT)

• Ele utiliza todos os núcleos de CPU, o que o torna muito rápido em CPUs multi-core.

Desvantagens

• A interface web é provavelmente o pior dos 4 sistemas recomendados. Não é muito moderno e não intuitivo.
• Em comparação ao OpenWRT, o WiFi é mais difícil de configurar.
• Muito poucos pacotes de software disponíveis para instalação
• Nem todas as funções podem ser configuradas através da interface web. Alguns exigem ajuste na linha de comando.

Considerações Finais

Em resumo, se você planeja usar WiFi em seu roteador, você deve escolher o OpenWRT. Ele oferece o melhor suporte sem fio de qualquer sistema que tenhamos testado.

Se você planeja usar um ponto de acesso separado, e está procurando o melhor sistema operacional open source em termos de funcionalidade, documentação, comunidade e interface fácil de gerenciar, é altamente recomendável tentar OpenWRT como Access Point e o pfSense como firewall.

O post Os Melhores Firewalls 2020 apareceu primeiro em ID Tecnologia - Soluções em Segurança da Informação.

O software pfSense é muito usado para atender às necessidades de servidores de firewall, roteamento e VPN. A plataforma também é amplamente difundida para atender às necessidades de rede seguras, incluindo:

Load Balancing

Traffic Shaping

Captive Portal

Firewall UTM

DNS / DHCP Server

IDS / IPS

Proxy de armazenamento em cache transparente

Filtro de Conteúdo da Web

Vantagens do pfSense?

Milhares de empresas, instituições educacionais, agências governamentais e organizações sem fins lucrativos – nos sete continentes e há anos – passaram a contar com o software pfSense para suas necessidades de rede segura. Para organizações em busca de desempenho abaixo de 10 Gbps, opções flexíveis de aplicativos de terceiros, mecanismos tradicionais de gerenciamento, confiabilidade comprovada e acesso a opções de suporte de garantia comercial, o software pfSense é a resposta perfeita.

Flexibilidade na Implantação

Sucesso Comprovado

1. Mais de 1.000.000 instalações;
2. Negócios, Governo, Ensino Superior;
3. Grande variedade de complementos de terceiros;

Serve para Qualquer Tamanho de Negócio do Pequeno ao Grande

1. Instalação rápida e fácil;
2. Comunidade ativa na internet;
3. Fácil de configurar;

Quais as funcionalidades do pfSense

Veja nossa lista dos principais recursos administrativos abaixo.

RECURSOS

---

Firewall e Roteador	VPN	Sistema de Prevenção de Intrusões
Stateful Packet Inspection (SPI)	IPsec e OpenVPN	Analisador de pacotes baseado no snort
Bloqueio por GEOIP	Suporta VPN site a site e acesso remoto	Detecção de aplicativo na camada 7
Anti-Spoofing	Criptografia SSL	Múltiplas fontes e categorias de regras
Regras baseado em horário	Cliente VPN para vários sistemas operacionais	Banco de dados de ameaças emergentes
Limite de conexão	L2TP/IPsec para dispositivos móveis	Banco de dados da lista negra de IP
DNS Dinâmico	Multi-WAN para failover	Perfis de regra predefinidos
Proxy Reverso	Suporte IPv6	Configuração por interface
Rede para visitantes Captive Portal	Split tunneling	Suprimindo alertas de falsos positivos
Suporta IPv4 e IPv6 simultâneos	Túneis múltiplos	Inspeção profunda de pacotes (DPI)
Mapeamento NAT (entrada / saída)	Failover de túnel VPN	Pacotes de código aberto opcionais para bloqueio de aplicativos
Suporte a VLAN (802.1q)	Suporte NAT
Roteamento estático configurável	Roteamento automático ou personalizado
IPv6 network prefix translation	Autenticação de usuário local ou RADIUS/LDAP
IPv6 router advertisements
Vários endereços IP por interface
DHCP server
DNS forwarding
Wake-on-LAN
PPPoE Server

Alta Disponibilidade Empresarial	Autenticação de usuário	Proxy e Filtragem de Conteúdo
Clustering de alta disponibilidade com vários nós opcional	Banco de dados local de usuário e grupo	Proxy HTTP e HTTPS
Balanceamento de carga em várias WAN	Privilégios baseados em usuário e grupo	Proxy de armazenamento em cache não transparente ou transparente
Failover de conexão automática	Expiração automática da conta	Filtragem de domínio / URL
Limitação de largura de banda	Autenticação RADIUS externa	Filtragem antivírus
Assistente de modelagem de tráfego	Bloqueio automático após repetidas tentativas	Navegação Segura para mecanismos de pesquisa
Reserve ou restrinja a largura de banda com base na prioridade do tráfego		Triagem de conteúdo e URL HTTPS
Controle de banda compartilhada		Relatório de acesso ao site
Cotas de uso de dados do usuário		Lista negra de nomes de domínio (DNSBL)
		Relatório de uso diário, mensal, etc.

Administração

---

Configuração	Sistema de Segurança	Relatórios e monitoramento
Configuração baseada na Web	Proteção de segurança da interface da Web	Painel com widgets configuráveis
Assistente de instalação para configuração inicial	Proteção CSRF	Registro local
Administração remota baseada na Web	Aplicação do referenciador HTTP	Registro remoto
Painel personalizável (Dashboard)	DNS Rebinding protection	Gráficos de monitoramento local
Fácil configuração de backup/restauração	HTTP Strict Transport Security	Gráficos de tráfego da interface em tempo real
Exportação/importação de configuração	Proteção de quadro	Monitoramento SNMP
Direitos administrativos de nível variável	Acesso SSH opcional baseado em chave	Notificações via interface da web, SMTP ou Growl
Suporte multilíngue		Monitoramento de hardware
Atualizações simples		Ferramentas de diagnóstico de rede
Configuração compatível com encaminhamento
Console serial para acesso ao shell e opções de recuperação

Bom já deu para perceber que o pfSense tem muitos recursos e por um custo praticamente zero, pois você consegue instalar naquele computador antigo que não usa mais. Mas o ideal é instalar em um hardware confiável já que a internet da sua empresa vai ficar dependendo disso.

Por isso temos o micro appliance pfSense que possui custo baixo e alta confiabilidade, para que qualquer empresa de pequeno a grande porte consiga ter o melhor sistema da segurança da informação.

O post Por que usar Micro Appliance pfSense? apareceu primeiro em ID Tecnologia - Soluções em Segurança da Informação.

Toda rede esta vulnerável a um ataque de DDos, mas o que significa isso?

DDoS  significa “Negação de serviço distribuída”. Um ataque DDoS é uma tentativa mal-intencionada de tornar um servidor ou recurso de rede indisponível para os usuários, geralmente interrompendo ou suspendendo temporariamente os serviços de um host conectado à Internet.

Ao contrário de um  ataque de negação de serviço (DoS), no qual um computador e uma conexão com a Internet são usados ​​para inundar o recurso direcionado com pacotes, um ataque DDoS usa muitos computadores e muitas conexões com a Internet, geralmente distribuídas globalmente no que é conhecido como botnet.

Quais são as tipos de ataque DDoS?

Ataque baseado em volume

Os ataques nas camadas 3 e 4 normalmente são classificados como ataques da camada Infraestrutura. Também são o tipo mais comum de ataque DDoS e incluem vetores como inundações sincronizadas (SYN) e outros ataques de reflexão como inundações de Pacote de data gramas de usuário (UDP). Esses ataques geralmente são grandes em volume e visam sobrecarregar a capacidade da rede ou dos servidores de aplicativos.

Mas felizmente também são os tipos de ataques que possuem assinaturas claras e são mais fáceis de detectar. Quando usamos um IDS/IPS já ajuda na identificação desse ataque e consequentemente na realização do bloqueio usando um firewall pfSense.

Ataques de protocolos

Quanto menos expusermos as portas e protocolos do firewall melhor, pois ficaremos menos visíveis aos bots que ficam “scaneando” as redes procurando vulnerabilidades conhecidas, que muitas vezes ficam vulneráveis por falta de atualizações.

Ataque em nível de Aplicação

Os ataques nas camadas 6 e 7 geralmente são classificados como ataques da camada Aplicativo. Embora esses ataques sejam menos comuns, também tendem a ser mais sofisticados. Eles geralmente são pequenos em volume em comparação com os ataques da camada Infraestrutura, mas tendem a se concentrar em partes específicas do aplicativo, que acaba ficando indisponível para usuários reais.

Por exemplo, uma inundação de solicitações HTTP para uma página de login, uma API de pesquisa, ou até inundações XML-RPC do WordPress (também conhecidas como ataques de pingback do WordPress).

Uma forma de se proteger desses ataques é instalar scripts JS ou até mesmo os conhecidos códigos de desafios, aqueles que você digita letra e número para validar se você é humano.

Bom já deu para perceber que se proteger 100% de um ataque DDoS é impossível, o que podemos fazer é atenuar o ataque para ter o mínimo de efeitos colaterais na sua rede. Então é fundamental você ter um appliance firewall com pfSense instalado e principalmente bem configurado.

Mesmo se você não tenha condições financeiras é possível fazer o download do pfSense que é Free e o mais usado no mundo inteiro, considerado um dos melhores no mundo OpenSource e instalar naquele seu computador que esta esquecido em algum canto. Não é a melhor solução, mas é melhor do que nada!

Então mão na massa e suba agora um firewall pfSense na sua rede e se proteja agora!

O post Ataque DDoS no pfSense apareceu primeiro em ID Tecnologia - Soluções em Segurança da Informação.

Diversos modelos de Appliance Firewall possuem uma porta COM externa que pode ser usada para visualizar a saída do console do appliance. Esta porta COM é simplesmente um redirecionamento da saída de vídeo do equipamento (seja VGA ou HDMI). É importante lembrar que essa saída é usada antes da inicialização do sistema operacional, dando ao usuário a capacidade de usar a porta COM em vez das portas VGA ou HDMI. Inclusive sendo possível visualizar também a BIOS do equipamento.

A conexão da porta COM é relativamente simples, porém você precisa ter o cabo console USB para serial RJ45, que pode ser adquirido através do nosso site. Basta apenas conectar o cabo na porta serial identificada como “COM” e depois conectar a outra ponta na porta USB do seu computador ou notebook. Se você estiver executando o Windows 10, os drivers não devem ser um problema.

Atenção: Não recomendamos que conecte o cabo console em nenhuma porta LAN do seu equipamento com ele ligado na porta USB.

Você também precisa saber qual é a porta COM que o seu cabo console USB para serial se conecta. Isso pode ser encontrado no Gerenciador de dispositivos do Windows (Iniciar -> Configurações -> Pesquisar por “gerenciador de dispositivos”). Veja na imagem abaixo para saber onde encontrar a porta COM que você precisa usar. Neste exemplo estamos usando a COM3.

No seu computador você pode usar o PUTTY que é um aplicativo muito famoso para acessar a porta COM.

Primeiro clique na opção Serial Em Tipo de conexão, depois em Serial Line vai mostrar COM3, em seguida ajuste sua “velocidade” para “115200” (este é o valor padrão para o qual os appliances da BAREMETAL estão definidos).

Em seguida, clique em “Abrir” e você verá uma janela do terminal em branco aberta. Ligue o seu appliance firewall e você deve começar a ver na janela do Putty a saída do sinal do VGA ou HDMI.

Se você deseja acessar a BIOS do seu BAREMETAL, basta apertar diversas vezes a tecla DEL enquanto ele é inicializado. Você deverá ver uma tela semelhante a essa.

Se a porta COM não estiver se comunicando, pode ser que o “Redirecionamento de console” não esteja habilitado na BIOS. Para verificar se o “Redirecionamento de console” está habilitado, faça o seguinte (observe que você precisara conectar um teclado USB e um monitor VGA ou HDMI ao seu equipamento para habilitar a serial).

Feito isso depois de ligar o cabo VGA/HDMI do seu monitor, aperte a tela DEL e entre na BIOS, você visualizara uma tela semelhante a essa abaixo

Selecione a guia “Advanced” e use a tecla de seta para baixo para selecionar “Serial Port Console Redirection”

Selecione “Serial Port Console Redirection” e pressione ENTER.

Verifique se a opção “Console Redirection” está habilitada, se não estiver, habilite e não se esqueça de salvar pressionando a tecla F4.

Agora verifique se a porta COM está funcionando!

Pronto agora que você aprendeu a como configurar o seu pfSense usando o cabo de comunicação serial. Espero que esse tutorial tenha ajudado você.

Até a próxima.

O post Instalando o pfSense Usando a Porta Serial apareceu primeiro em ID Tecnologia - Soluções em Segurança da Informação.

A BAREMETAL lançou a nova versão do pfSense firewall BM4A+, com tamanho mais compacto e design arrojado, esse modelo veio para substituir o seu antecessor a altura. Equipado com processador quad-core de até 2.42 GHz, 4 portas Gigabits LAN v/i211-AT e 2 portas USB, agora vem com mais uma novidade que é a entrada para monitores HDMI, que já é amplamente usado no mercado.

Com suporte de até 8GB de memória DDR3L 1.35v não ECC e com baixo consumo, apenas 10W (ocioso), ajuda o administrador de rede a obter uma experiência incrível na rede de computadores.     

Com o seu tamanho compacto agora ele tem 12,6 cm de comprimento 13,4 cm de largura e 4,6 cm de altura.

O pfSense Firewall BM4A+ é perfeito para pequenas e médias empresas que gostam de produtos de qualidade e com alta tecnologia, com o seu chassi em alumínio o equipamento usa a sua própria estrutura para resfriar a sua temperatura, dispensando o uso de cooler.

Firewall Corporativo Gratuito

Muitas empresas precisam usar o recurso de VPN (conexão virtual privada) para interligar a matriz e filial, sabe aquela filial que fica lá no fim do mundo a km de distância? Geralmente as pequenas e médias empresas (PMEs) acabam usando aquele computador montado para ser o seu roteador, firewall da rede e no começo até quebra um galho, mas com o tempo a rede vai crescendo e aquela solução temporária acaba ficando permanente.

É nesse momento que essa filial se torna crítica, pois quando se menos espera, a fonte pifa, ou disco rígido (HD) para de funcionar. Mas agora isso é uma opção! Já que o BM4A+ da BAREMETAL supri completamente essa necessidade e o lado bom disso tudo é que ele não possui partes mecânicas e o seu armazenamento é SSD (disco em estado sólido), tornando-se assim muito mais prático e com uma velocidade incomparável.

Já o seu consumo elétrico é outro ponto positivo, pois consome apenas 10W, é possível usar um nobreak de pequeno porte para manter a alta disponibilidade desse equipamento de rede ligado 24 horas sem interrupção.

Com BM4A+ 4 portas LAN é possível adicionar vários links de internet, criar Vlans, segmentar para ter o máximo de segurança, com o gerenciamento centralizado, fica fácil configurar e monitorar tudo que acontece dentro da sua rede.

Características do BM4A+ PLUS

• Processador
  • Intel Celeron® Processor J1900
  • 4 Core, 4 Threads
  • 2M Cache, 2.42 GHz

• Memória
  •  Suporta até 8GB DDR3L SODIMM 1.35V não-ECC com 1 slot de memória
• Armazenamento
  • Suporta 1 x mSATA SSD, Suporta 1 x 2.5″ SATA SSD/HDD
• LAN
  • Quatro Gigabit Ethernet Portas Intel I211-AT Gigabit Ethernet Controller
• Expansão
  • Um slot mSATA 1 Slot (Para SSD)
• I/O Interfaces
  • 4 x Gigabit Ethernet, 1 x VGA ,1 x HDMI, 1 x USB 2.0, 1 x USB 3.0
• Vídeo
  • Intel HD Graphics Intel® Quick Sync Video
• Alimentação elétrica
  • Entrada: AC 100-240V ~ 50-60Hz Saída: DC 12V 5A
  • Consumo: 9W~14W
  • Temperatura: -10°C ~ 55°C
  • Temperatura de armazenamento: -20°C ~ 70°C Humidity: 5% – 95% Non-Condensing
  • Chassi: Alumínio
• Resfriamento
  • Sem ventoinha
• Peso
  • 637 gramas

Agora vem a parte que eu particularmente mais gosto que é o desempenho do BM4A+

Desempenho do Hardware BM4A+ PLUS

Fizemos os testes em nosso laboratório como se fosse o mundo real do Appliance Firewall BM4A+

Existem muitos fatores que influenciam o desempenho do firewall / roteamento como:

1. Taxa de transferência
2. Recursos / Aplicativos
3. Versão do sistema operacional
4. Chipset da placa de rede
5. Número de usuários

Só que antes vamos deixar claro alguns pontos:

• Taxa de transferência
  • O volume de tráfego é uma parte muito importante das notas de desempenho, se houver menos tráfego, então fica com menos carga na CPU e RAM do equipamento,  ficando com desempenho melhor. Agora com mais volume de tráfego precisa de mais processamento e pode reduzir o tempo de processamento do equipamento.
• Recursos / Aplicativos
  • A maioria dos recursos não influencia o desempenho do hardware, embora alguns tenham impacto significativo na utilização.
• VPN
  • O uso intenso de qualquer um dos serviços VPN incluídos no pfSense, aumentará os requisitos de CPU. Criptografando e descriptografando o tráfego que acaba exigindo muito da CPU. O número de conexões é muito menos preocupante do que a taxa de transferência necessária.
  • CPU de 266 MHz atingirá no máximo cerca de 4 Mbps de taxa de transferência IPsec;
  • CPU de 500 MHz pode enviar 10-15 Mbps de IPsec;
  • i7 CPU ou Xeon de nova geração suportam 100 Mbps de tráfego IPsec;
• Squid – Squidguard
  • O controle de tráfego de saída por meio do proxy depende muito da CPU quanto da gravação no disco. Ou seja, quanto menos você gravar melhor o desempenho.
• Captive Portal
  • Embora a principal preocupação seja geralmente na produtividade, ambientes com centenas de usuários usando Captive Portal, exigirá um pouco mais de uso da CPU do que recomendada acima.
• Tabelas de estado (Conexões)
  • As entradas da tabela de estado requerem cerca de 1 KB de RAM cada. A tabela de estado padrão, quando cheia, com 10.000 entradas, ocupa um pouco menos de 10 MB de RAM.
  • Para ambientes grandes que requerem tabelas de estado com centenas de milhares de conexões, certifique-se de que tenha RAM suficiente disponível.
• Pacotes
  • Alguns dos pacotes aumentam significativamente os requisitos de RAM. Snort e ntop são dois que não devem ser instalados em um sistema com menos de 512 MB de RAM.
• Versão do sistema operacional
  • Devemos enfatizar a diferença entre os dois tipos de instalações que você pode fazer com o pfSense e o Untangle etc., nos diferentes dispositivos.
  • A solução que se instala em seu disco rígido (geralmente nas soluções UTM Appliance ou acima) tem a capacidade de salvar os logs nele contidos. Nesta versão, você pode instalar todos os pacotes adicionais fornecidos para o pfSense® e Untangle.
• Chipset da placa de Rede
  • A escolha da placa de rede é essencial para qualquer administrador de redes que esteja planejando usar o Appliance Firewall da BAREMETAL para dimensionar o ambiente de rede de pequenas e médias empresas. Por isso nossos equipamentos usam placas gigabits ethernet da Intel.
  • O chipset Realtek é menos potente que o Chipset Intel e é principalmente adequado para cargas de trabalho menos intensas. Entretanto para uma empresa com ambiente mais intenso recomendo chipset intel.
  • O chipset Intel, por outro lado, oferece melhor desempenho em tráfego pesado: oferece vários recursos avançados, tais como gerenciamento de filas. A partir da versão 2.2 do pfSense, passou a suportar melhor o multi-core. Isto significa um maior rendimento e uma carga reduzida na CPU.
• Quantidade de usuários
  • O desempenho do firewall também depende do número de usuários por trás dele, mais usuários, mais entradas na tabela de estado de conexão, mais recursos de hardware é necessário.

Abaixo são alguns testes de estresse do mundo real realizado com pfSense como sistema operacional com as seguintes configurações:

CPU Celeron Quad-core 2.42 Ghz
Memória: 8GB
Armazenamento SSD 16GB mSATA

Tabela de Performance do BM4A+ PLUS

* Estas não são estatísticas do laboratório, são estatísticas do ambiente real, dados gerados no momento da carga total do sistema. Você pode considerá-las um nível mínimo dos testes. Você possivelmente terá mais do que isso em seu ambiente.

Nota: As portas do Appliance Firewall BM4A+ são capazes de gerenciar mais de 95% do limite de hardware, como 950-980Mbps por LAN.

Lembre-se que esta é uma estatística de desempenho de hardware em tempo real de captura durante o ambiente.

Estas podem ser diferentes de acordo com a volume de tráfego, complexidade da configuração e especificações do processador/memória/armazenamento. O sistema operacional também influencia nos resultados.

Espero que nosso conteúdo tenha sido agradável, qualquer duvida deixe seu comentário aqui embaixo!

O post Novo lançamento do BM4A+ da BAREMETAL apareceu primeiro em ID Tecnologia - Soluções em Segurança da Informação.

Os servidores de hosting com Windows Remote Desktop Protocol (RDP) estão sendo usados para aumentar os ataques de Distributed Denial of Service (DDoS).

O serviço de RDP do Windows é um serviço integrado da Microsoft que roda em TCP/3389 e/ou UDP/3389 e que permite o acesso à infra-estrutura do ambiente de trabalho virtual dos servidores e das estações de trabalho do Windows.

Os ataques que se aproveitam desse nova possibilidade visam servidores Windows com RDP ativado em UDP/3389, têm uma taxa ampliada de 85,9:1 e um pico aproximado de 750 Gbps.

Cerca de 14.000 servidores com RDP do Windows estão vulneráveis através da Internet, de acordo com um aviso da Netscout publicado hoje cedo.

Antigamente era só usado por atacantes mais experientes, porém agora essa possibilidade de ataque de DDoS aumentou muito, sendo usado por atacantes mais iniciantes de negação de serviço DDoS.

“Com esse novo tipo de ataque DDoS, percebemos que após um período inicial de utilização por atacantes avançados, percebemos que essa nova técnica também esta sendo utilizada por atacantes novatos, só que agora de forma muita mais difundida do que anteriormente acontecia”, disse Netscout.

Tais plataformas são usados por agentes de ameaça, hacktivistas, ou simpatizantes sem os conhecimentos ou tempo para investir na construção da sua própria infra-estrutura de DDoS.

Acabam alugando serviços de hosting para iniciar os ataques DDoS em larga escala, visando servidores ou sítios por várias razões, desencadeando uma negação de serviço que normalmente os faz cair ou causa interrupções.

Medidas de prevenção

As ampresas afetadas por esse tipo de ataques que exploram seus servidores com serviço de RDP para potencializar, podem configurar para que o serviço seja encerrado completamente devido ao consumo excessivo do trafego, aumento repentino de estados de conexões do firewall pfsense e etc.”.

Embora a filtragem de todo o tráfego na porta UDP/3389 possa mitigar tais ataques, isto também pode levar ao bloqueio de conexões de tráfego legítimo, incluindo respostas da sessão RDP.

Para diminuir adequadamente o impacto de tais ataques, as empresas podem desativar completamente o serviço vulnerável baseado no UDP em servidores Windows RDP ou disponibilizar os servidores apenas via VPN, movendo-os para trás de um pfSense firewall.

Dessa forma as empresas que estão em risco são aconselhadas a implementar proteção contra DDoS em servidores aberto ao público, para responder de forma segura a um ataque de DDoS na porta 3389/RDP.

Em 2019, a Netscout também identificou ataques DDoS contra o Serviço de Gestão Remota da Apple (ARMS) que era executado em servidores Mac OS, como sendo um vetor de ampliação do ataque.

Os ataques ARMS-abusivos DDoS detectados atingiram um pico de 70 Gbps, com uma taxa de aumento de 35,5:1.

CISA fornece orientação sobre como evitar e tornar-se uma vítima de DDoS, como detectar ataques DDoS, bem como que ações para evitar os ataques DDoS.

O post RDP do Windows é usado para aumentar os ataques DDoS apareceu primeiro em ID Tecnologia - Soluções em Segurança da Informação.

É hora de aprender a monitorar o pfSense 2.4 com o Zabbix! O processo é realmente fácil e vou guiá-lo passo a passo.

Etapa 1 – Instale o Zabbix Agent no pfSense

Efetue login no firewall do pfSense e navegue para Sistema -> Gerenciador de pacotes -> Pacotes disponíveis . Coloque o Zabbix no campo de pesquisa e pressione enter. Agora você será apresentado a duas versões diferentes do Zabbix-Agent. Você deve escolher o que melhor se adequa à sua versão do Zabbix. Se você executar o Zabbix 4.0, escolha zabbix-agent4. Instale-o.

Etapa 2 – Configurar o Agente Zabbix no pfSense

Em seguida, devemos configurar nosso Zabbix Agent e apontá-lo para o nosso servidor. Vá para Serviços -> Agente Zabbix . Marque a caixa Ativar serviço do Zabbix Agent e digite o endereço IP do seu servidor Zabbix . Para Nome do host , digite o FQDN do seu firewall pfSense. Preencha o restante como na imagem abaixo.

Etapa 3 : adicionar regras de firewall

Agora precisamos adicionar uma regra de firewall para permitir a conexão pfSense <-> Zabbix. Vá para Firewall -> Regras -> LAN . Adicione uma nova regra que permita o tráfego da sua LAN para o servidor Zabbix na porta 10050 .

Etapa 4 – Adicione o pfSense ao Zabbix

Para monitorar o pfSense 2.4 com o Zabbix, agora precisamos integrá-lo ao nosso servidor Zabbix. Faça login no Zabbix e navegue para Configurações -> Hosts -> Criar host.

Em seguida, digite o endereço IP ou o FQDN do seu firewall pfSense. Para Nome visível, preencha o nome que você deseja ver na sua placa Zabbix associada ao seu firewall pfSense. Adicione o grupo apropriado. Eu escolhi modelos / dispositivos de rede.

No Agent, as interfaces clicam em Adicionar e insira o IP do seu pfSense e o FQDN do seu pfSense . Clique em Update .

Vá para a guia Modelos e vincule um novo modelo. Escolha Template OS FreeBSD , clique em Adicionar e clique em Atualizar. Assim que terminar, as estatísticas podem levar alguns minutos para serem concluídas.

Etapa 4 – Monitore o pfSense 2.4 com Zabbix

Quando tudo estiver pronto, retorne aos Hosts e você verá que seu firewall é exibido com todos os seus aplicativos, elementos, acionadores, gráficos, etc. Clique em Gráficos para ver um tipo diferente de gráfico e verificar se a conexão está funcionando.

Vá para Monitoramento -> Gráficos e selecione o firewall do pfSense e um gráfico que deseja ver no menu superior. Se você fez tudo corretamente, seu gráfico deve mostrar alguns dados, como na imagem abaixo.

Conclusão

Felizmente, é muito fácil monitorar o pfSense 2.4 com o Zabbix hoje. Em apenas alguns passos, você está pronto!

O post Como monitorar o pfSense 2.4 com o Zabbix apareceu primeiro em ID Tecnologia - Soluções em Segurança da Informação.

O pfSense é um firewall / roteador de código aberto baseado no FreeBSD. No entanto, você pode fazer muito mais do que isso e assumir o papel de DNS, VPN, DHCP e muito mais.

No nosso cenário, o pfSense será usado como um firewall de borda com IPSec VPN, e também será usado como um firewall / roteador / DHCP.

Esse tutorial se concentrará na instalação do pfSense em uma máquina dedicada para ESXi, com vários IPs, com um dedicado ao pfSense, pois existem alguns detalhes para instalar o pfSense com um IP dedicado.

Pré-requisito:

– ESXi instalado e configurado no servidor dedicado.
– Acesso ao ESXi para configurar a rede em máquinas virtuais
– Um IP dedicado para a VM pfSense. Nesse caso, estamos usando um IP de failover da operadora, que permite vários IPs para o mesmo host.
– Um segundo IP dedicado para permitir o acesso SSH a uma VM que estará na LAN do pfSense VM, para permitir o acesso ao servidor da web (pode não ser necessário, mas é o que usaremos neste guia).

Configurações de rede

A primeira etapa será configurado a rede no ESXi para se conectar no VM pfSense.

Primeiro, criamos dois vSwitches. Um vSwitch é um comutador virtual no ESXi, que nos permitirá separar as duas redes que criaremos.

O primeiro, aqui chamado vSwitch0, será a rede WAN do host pfSense. Ele está conectado à NIC física do host ESXi.

A segunda, chamada LAN aqui, será a nossa rede LAN, que não está conectada a nenhuma NIC física no host, uma vez que a VM pfSense atuará como roteador, toda a conexão externa deve passar pelo pfSense.

Depois que os vSwitches são criados, precisamos criar um grupo de portas em cada vSwitch, para conectar as máquinas virtuais.

Como podemos ver, temos um grupo de portas chamado VM Network, que será o acesso à WAN do pfSense, conectado a uma NIC física.

Também temos um grupo de portas chamado LAN, que possui todas as nossas máquinas virtuais e não está conectado a nenhuma NIC física.

Instalação do pfSense

Você deve primeiro criar a VM no ESXi.

Você deve selecionar o FreeBSD como a versão do Sistema operacional convidado.

Em seguida, ao personalizar a configuração da VM, você deve configurar os dois adaptadores de rede, um para conectar-se à LAN e outro para conectar-se à rede WAN.

Ao configurar a interface WAN, você deve configurar o endereço MAC manualmente, fornecido com o IP dedicado.

Depois que tudo estiver configurado, você poderá instalar o pfSense na VM, com as configurações padrão durante a instalação.

Selecionar instalação

Selecione o layout do seu teclado

Selecione “Auto (UFS)” para a estrutura de partição ou selecione manual se desejar personalizar suas partições.

Agora você pode reiniciar no seu sistema

configuração pfSense

Uma vez iniciado no seu sistema, você deverá ver esta tela:

Você pode ver que o pfSense detectou automaticamente as interfaces e configurou a LAN, mas não a WAN.

Não podemos configurar a interface WAN a partir do console, pois ela não permite que uma sub-rede de / 32 seja criada a partir do console.

O que queremos fazer é acessar o shell (opção 8) e configurar manualmente as rotas para acessar a Internet.

Em seguida, selecione o shell e insira os comandos:

rota padrão

Isso removerá a rota padrão configurada pelo pfSense.

route add -net 42.42.42.1/32 -face em0

Você deve substituir 42.42.42.1/32 pelo IP do host ESXi dedicado, substituindo o último byte por 1.

Isso adicionará uma rota padrão à interface em0 (sua interface WAN).

rota adicionar padrão 42.42.42.1

Isso adicionará a rota criada anteriormente como a rota padrão para o seu sistema pfSense.

Acesse o WebConfigurator

Feito isso, você deve acessar o webConfigurator, que pode ser acessado apenas na LAN pfSense.

Para fazer isso, iniciamos uma VM do Ubuntu, que também possui duas placas de rede, uma conectada à LAN e outra conectada à mesma rede WAN que a VM pfSense.

O objetivo aqui é ter acesso externo à máquina virtual Ubuntu, para poder fazer um redirecionamento de porta SSH para nossa máquina, para obter acesso ao webConfigurator.

O servidor DHCP já está em execução, para que possamos configurar a interface para DHCP e fornecer um IP e configurar as rotas.

Agora precisamos acessar externamente, portanto, configuramos o IP dedicado na interface WAN na VM do Ubuntu e configuramos as rotas da mesma maneira que a VM do pfSense.

Depois de fazer isso, agora temos acesso à Internet na VM do Ubuntu:

Como temos acesso externo e configuramos o IP público, agora podemos fazer o SSH na máquina e redirecionar a porta 443 no servidor pfSense para o nosso PC, para que possamos acessar o webConfigurator.

Para fazer isso, redirecionamos a porta usando um comando SSH:

ssh -vNL 8080: 192.168.1.1: 443 usuário@servidor

E agora, se visitarmos 127.0.0.1:8080, poderemos ver esta tela

Agora podemos fazer login com as credenciais padrão: admin / pfsense

Configurando o pfSense

Na primeira vez em que você se conectar ao webConfigurator, terá acesso ao assistente de configuração.

Clique em Next

Clique em Next

Digite o nome do host da VM pfSense, o domínio, se necessário, e um servidor DNS (aqui estamos usando o Google DNS) e Clique em avançar

Deixe o valor padrão no nome do host do servidor de horário.
Selecione o fuso horário e Clique em avançar

Esta página permitirá que você configure a interface WAN.
Selecionar estática

Você pode deixar as Configurações gerais em branco

Para o endereço IP, digite o IP dedicado que foi fornecido, com uma máscara de sub-rede de / 32.
O gateway deve ser o endereço IP do seu host ESXi, substituindo o último byte por 1
Deixe o restante em branco e clique em Avançar

Você pode deixar esses valores como padrões, pois poderá alterá-los mais tarde

Digite uma senha para a web

Clique em Recarregar

Agora que a configuração inicial está concluída, precisaremos configurar algumas regras NAT, para que a LAN possa acessar a Internet e tornar as regras de roteamento permanentes.

Nota: após configurar a interface da WAN, o pfSense pode excluir a rota que você configurou manualmente então nesse caso, você precisa inseri-la novamente.

Tornar as regras de roteamento persistentes

Como nossas regras de roteamento são adicionadas manualmente e não fica gravada depois que reinicializa, precisamos executar esses comandos na inicialização.

Felizmente, existe um pacote no pfSense que nos permitirá fazer isso.

Para instalar este pacote, vá para Sistema -> Gerenciador de Pacotes -> Pacotes disponíveis

Procure por ” shellcmd ” e instale-o

Depois de instalado, vá para Serviços -> Shellcmd e adicione os dois comandos de roteamento

Seu acesso à Internet agora funcionará após uma reinicialização.

Configuração NAT

Para a LAN acessar a Internet, precisamos configurar o NAT.

Vá para Firewall -> NAT -> Saída

Clique em Geração manual de regras NAT de saída e salve

Você precisa aplicar as alterações

Agora vamos criar nossa própria regra NAT.

Clique no botão Adicionar mais à esquerda

Selecione os seguintes parâmetros

– Interface : WAN
– Protocolo : qualquer
– Fonte : qualquer
– Destino : qualquer

Clique em Salvar

Aplique as alterações.

A VM do pfSense agora está configurada como um roteador para a LAN com um IP dedicado.

O post Instalando pfSense no ESXi apareceu primeiro em ID Tecnologia - Soluções em Segurança da Informação.

Hoje em dia, o mundo vive em torno da Internet. O mundo virtual é um local movimentado, onde tudo é possível. A vida virtual está atrelada na realidade para muitas pessoas.

Nesse cenário, os problemas do mundo real se traduzem no virtual. Existem vários perigos da Internet que é preciso se preparar antes de explorar esta mina de ouro de oportunidades. Essa situação é onde a segurança cibernética se mostra relevante.

Segurança cibernética

A CERT.br é o centro de estudos, respostas e tratamento de incidentes de segurança no Brasil e ela é mantida pelo NIC.br. Os serviços desse setor estão disponíveis para todas as entidades na Internet brasileira, sejam indivíduos ou grupos, ou mesmo grandes empresas.

Dados: O fator determinante

No rede de computadores, informação é tudo. Tudo funciona com base em linhas de código relacionadas entre si. Uns e zeros são mais valiosos do que qualquer outra coisa.

Isso leva a uma situação em que mesmo uma pequena quantidade de dados corrompidos pode causar danos de proporções inimagináveis. Portanto, proteger e monitorar essas informações é equivalente a se defender.

Firewall

Os firewalls podem ser considerados a linha de defesa principal contra ameaças na Internet. Como o nome sugere, ele age como uma parede, controlando o fluxo de informações através da verificação da origem. Um firewall bloqueia conexões e nega acesso a sites que podem ser potencialmente prejudiciais ao seu sistema.

A maioria dos sistemas operacionais vem com firewalls embutidos, mas é sempre seguro atualizar para a melhor opção possível. Existem muitas opções de firewall pago no mercado, mas pouquíssimos softwares de código aberto chegam perto desse nível de perfeição.

pfSense: a melhor opção

A área da Segurança da Informação oferece um mercado muito lucrativo para gigantes da tecnologia. Os clientes investem para estar seguros na Internet, pois ela se tornou uma parte crucial de suas vidas ou operações comerciais. Nesse cenário, uma boa opção para um firewall se torna cara. É aqui que o firewall pfSense entra. Como um software de firewall gratuito e poderoso, o pfSense oferece muitos benefícios.

O pfSense é um software de código aberto, o que significa que qualquer pessoa pode usá-lo gratuitamente. O software também possui muitos recursos e opções para personalização. Isso permite que seja uma solução para usuários de diferentes plataformas e com diferentes necessidades, de computadores pessoais a sistemas industriais.

A importância de um bom firewall

Um bom firewall é um passo essencial para a segurança na Internet. A Web está cheia de conteúdo que pode prejudicar seu sistema e afetar negativamente sua presença online. Para muitas pessoas, isso está diretamente relacionado às suas vidas e negócios e é um risco enorme. Um bom firewall elimina esse risco protegendo o computador das partes terríveis da rede.

Existem muitas opções de firewall no mercado que são baratas ou poderosas, mas não as duas. Muitas alternativas baratas ou gratuitas não são poderosas o suficiente para enfrentar os muitos aspectos negativos que existem hoje em dia. Os bons precisam ser comprados a um custo que às vezes é recorrente como por exemplo uso de licenças que precisam ser renovadas. Além disso, em um campo em que as atualizações acontecem todos os dias, seu investimento poderá ficar obsoleto em breve. Isso significa que existe o risco de ter que pagar frequentemente pelas versões mais recentes.

Muitas empresas ganham dinheiro devido a esse problema. É aqui que o pfSense é diferente. Como ele é appliance firewall open source, isso custa pouco ou nada. As atualizações também são gratuitas. O uso do pfSense deixa você bem equipado com uma linha de defesa de ponta.

As opções adicionais

Hoje, todos procuram recursos e opções adicionais. Qualquer produto precisa ser versátil para ser popularizar. Algo que pode fazer muitos trabalhos com eficiência é mais do que um bônus. É uma necessidade. Essa narrativa é verdadeira para o ciberespaço.

O pfSense é um desses softwares que pode executar uma infinidade de funções melhor do que seus concorrentes. O software vem com uma infinidade de recursos adicionais que o tornam muito mais do que apenas um firewall tradicional. Esses recursos o tornam um sistema de segurança poderoso e fácil de usar.

Regras e protocolos de segurança

O pfSense possui uma quantidade infinita de regras e protocolos de segurança. A maioria dessas regras são altamente personalizáveis. O usuário pode definir essas opções manualmente e gerenciar como o firewall funciona.

O pfSense permite analisar e controlar as conexões com base em fatores como endereço IP, origem e porta de destino, entre outros. Ele também usa uma ferramenta avançada de impressão digital passiva para descobrir o sistema operacional ou a rede do outro lado da ponta. Este método também pode ser usado para distinguir e controlar as conexões.

Outro coisa que ele faz é o Gerenciamento de Pacotes, na qual utiliza as informações de depuração ou reconstrução dos pacotes para garantir que não tenham sido adulteradas ou mal interpretadas. Esse processo elimina o risco de os dados serem corrompidos durante o percurso. Qualquer atividade suspeita aqui pode ser sinalizada e verificada. Esta opção pode ser ativada e desativada, se necessário.

O pfSense também pode conectar interfaces e permitir que o tráfego flua entre elas. Já que possui uma estrutura de firewall de duas camadas transparente que permite que diferentes interfaces atuem de ambos os lados, tornando-o uma forma muito flexível.

Talvez o recurso mais significativo do pfSense seja a capacidade de gerenciar várias conexões. O pfSense pode lidar com várias conexões e também realizar balanceamento de carga de forma eficaz. Isso realmente diferencia o pfSense como um software de código aberto que possui recursos de ponta.

Conclusão

A segurança da informação é a principal preocupação de grande parte da população e da maioria das empresas. Como uma plataforma onde muitas atividades acontecem diariamente, a internet se tornou parte de suas vidas. Qualquer ameaça desse ângulo deve ser tratada, e o pfSense é a melhor maneira de fazer isso.

O post pfSense é Seguro? apareceu primeiro em ID Tecnologia - Soluções em Segurança da Informação.

Como administrador do sistema, você constantemente enfrenta a questão de até que ponto deve filtrar o conteúdo da Internet. Esta pergunta deve ser respondida sempre que os usuários tenham acesso à Internet, seja na empresa, escolas, clubes, bibliotecas e etc.

As opiniões sobre este assunto são muito diversas. Não há 100% de proteção. É muito mais importante educar os usuários a usar a Internet de maneira responsável. Este é um grande desafio e leva tempo. Os analistas de suporte enfrentam essa tarefa e geralmente não sabem a melhor maneira de resolvê-la. Especialmente nas empresas, onde você nem sempre pode monitorar as telas, um filtro da web é muito útil. Em alguns países, a lei exige um filtro da web para as empresa e escolas. Mas às vezes, trata-se de bloquear determinados sites, como Facebook, Netflix e entre outros.

Portanto neste tutorial gostaria de mostrar como configurar um filtro da web pfSense.

Observações preliminares

O pfSense é um firewall de código aberto amplamente usado que usamos em alguns clientes. (Se você precisar comprar para instalar o pfSense , (consulte nosso guia de instalação). Com a ajuda do Squid (um servidor proxy) e do SquidGuard (o verdadeiro filtro da Web), filtraremos as conexões HTTP e HTTPS. Para este tutorial, primeiro precisamos de uma instalação ativa do pfSense. O firewall pode ser baixado aqui e instalado de acordo com estas instruções.

Como funciona

A filtragem de conexões HTTP é muito fácil e rápida de configurar. Como essas conexões não são criptografadas é possível inspecioná-las e, portanto, bloqueá-las total ou parcialmente. Hoje a maioria do sites (mesmo aqueles que você deseja bloquear) usam HTTPS, ou seja, uma conexão criptografada entre o navegador do usuário e o servidor da web. Graças ao Let’s Encrypt, agora qualquer pessoa pode configurar um certificado gratuito para o site. Isso é bom por si só, pois aumenta a segurança e torna muitos ataques impossíveis ou mais difíceis. No entanto, também dificulta a filtragem de conteúdo indesejado.

Esse “problema” pode ser resolvido de duas maneiras:

1. ataque man-in-the-middle

É uma forma de ataque em que os dados de duas partes são interceptados por alguém por isso chamado ataque do”homem no meio“. O servidor proxy descriptografa a conexão HTTPS e a reconstrói. Isso permite que eles vejam a conexão e a filtrem de acordo. O problema que quando isso ocorre os dados não são mais confiáveis, já que o “meio” foi violado.

2. filtro de URL através do SNI

Outra possibilidade é filtrar através do SNI ( Server Name Indication ). O certificado é consultado entre o navegador e o servidor da Web e assim, uma conexão criptografada é estabelecida, o navegador envia o nome de domínio (FQDN) que deseja consultar. Esta parte ainda não está criptografada e portanto, pode ser lida usando um proxy (transparente) e usada para filtragem. A figura a seguir ilustra o handshake TLS.

Você pode ver facilmente que o SNI é enviado antes da troca de chaves e da conexão segura real. Aproveitamos esse princípio e além do filtro da web para conexões HTTP, também podemos configurar um filtro de URL para conexões HTTPS sem destruir o HTTPS por um ataque do “homem no meio”.

Pesquisa segura para mecanismos de pesquisa

Crie regras de firewall para DNS

Primeiro, precisamos ativar a resolução DNS no pfSense (em Serviços → Resolução DNS ) e depois salvar e aplicar as alterações.

Para que os computadores da rede usem o servidor DNS do firewall, precisamos de uma regra que encaminhe todas as outras solicitações DNS ao firewall. Para fazer isso, criamos uma nova regra no Firewall → NAT na guia Port Forward com um clique em um dos botões de adição . E vemos o seguinte:

1. Interface: LAN
2. Protocolo: TCP / UDP
3. Destino: Qualquer
4. Intervalo de portas de destino: DNS (53)
5. Redirecionar IP Traget: 127.0.0.1
6. Redirecionar porta de destino: DNS (53)
7. Descrição: descreva sua regra

Agora precisamos garantir que nossa regra de firewall recém-criada esteja no lugar certo. Ele deve estar acima do padrão ” Permitir LAN padrão para qualquer regra “! Para fazer isso, abrimos as regras do firewall em Firewall → Regras e carregamos a regra. Em seguida, salve com Salvar e aplicar para aplicar as alterações.

Substituições de host para Bing e YouTube

Em seguida, criaremos algumas entradas DNS para garantir que sua pesquisa segura seja usada para Google e Bing. Para fazer isso, abrimos a Resolução DNS em Serviços → Resolução DNS novamente e adicionamos as seguintes entradas na seção Substituições de Host abaixo.

Bing

• Host: www
• Domínio: bing.com
• Endereço IP: 204.79.197.220
• Descrição: Bing
• Em seguida, salve com Salvar

Em seguida, a entrada para o YouTube:

• Host: www
• Domínio: youtube. com
• Endereço IP: 216.239.38.120
• Descrição: Youtube
• Salve novamente com Salvar

Agora aplique as alterações novamente com Aplicar .

Substituições de host para o Google

O Google usa muitos domínios diferentes e levaria muito tempo para inseri-los manualmente. É por isso que escolhemos uma maneira diferente para o Google. Primeiro, precisamos fazer login no pfSense através do SSH (ou direto nele). O SSH deve primeiro ser ativado na interface da web e Sistema → Avançado na seção Shell Seguro.

Agora podemos efetuar login com o seguinte comando via SSH (defina o endereço IP!):

$ ssh admin@192.168.0.1

No próximo menu, selecionamos a opção “8” (Shell).

Agora, criamos um arquivo no qual inserimos nossas entradas DNS para o Google. Podemos fazer isso com da seguinte maneira:

 $ vi /var/unbound/google.conf

Para sair do editor, precisamos digitar :wq (os dois pontos são importantes!). É tudo o que precisamos fazer na linha de comando.

Agora podemos editar o arquivo recém-criado usando Diagnóstico → Editar arquivo . Para fazer isso, digite o caminho /var/unbound/google.conf e pressione Upload.

Agora, copiamos o seguinte conteúdo para o arquivo:

local-data: "www.google.ad A 216.239.38.120"
local-data: "www.google.ae A 216.239.38.120"
local-data: "www.google.com A 216.239.38.120"
local-data: "www.google.com.af A 216.239.38.120"
local-data: "www.google.com.ag A 216.239.38.120"
local-data: "www.google.com.ai A 216.239.38.120"
local-data: "www.google.al A 216.239.38.120"
local-data: "www.google.am A 216.239.38.120"
local-data: "www.google.co.ao A 216.239.38.120"
local-data: "www.google.com.ar A 216.239.38.120"
local-data: "www.google.as A 216.239.38.120"
local-data: "www.google.at A 216.239.38.120"
local-data: "www.google.com.au A 216.239.38.120"
local-data: "www.google.az A 216.239.38.120"
local-data: "www.google.ba A 216.239.38.120"
local-data: "www.google.com.bd A 216.239.38.120"
local-data: "www.google.be A 216.239.38.120"
local-data: "www.google.bf A 216.239.38.120"
local-data: "www.google.bg A 216.239.38.120"
local-data: "www.google.com.bh A 216.239.38.120"
local-data: "www.google.bi A 216.239.38.120"
local-data: "www.google.bj A 216.239.38.120"
local-data: "www.google.com.bn A 216.239.38.120"
local-data: "www.google.com.bo A 216.239.38.120"
local-data: "www.google.com.br A 216.239.38.120"
local-data: "www.google.bs A 216.239.38.120"
local-data: "www.google.bt A 216.239.38.120"
local-data: "www.google.co.bw A 216.239.38.120"
local-data: "www.google.by A 216.239.38.120"
local-data: "www.google.com.bz A 216.239.38.120"
local-data: "www.google.ca A 216.239.38.120"
local-data: "www.google.cd A 216.239.38.120"
local-data: "www.google.cf A 216.239.38.120"
local-data: "www.google.cg A 216.239.38.120"
local-data: "www.google.ch A 216.239.38.120"
local-data: "www.google.ci A 216.239.38.120"
local-data: "www.google.co.ck A 216.239.38.120"
local-data: "www.google.cl A 216.239.38.120"
local-data: "www.google.cm A 216.239.38.120"
local-data: "www.google.cn A 216.239.38.120"
local-data: "www.google.com.co A 216.239.38.120"
local-data: "www.google.co.cr A 216.239.38.120"
local-data: "www.google.com.cu A 216.239.38.120"
local-data: "www.google.cv A 216.239.38.120"
local-data: "www.google.com.cy A 216.239.38.120"
local-data: "www.google.cz A 216.239.38.120"
local-data: "www.google.de A 216.239.38.120"
local-data: "www.google.dj A 216.239.38.120"
local-data: "www.google.dk A 216.239.38.120"
local-data: "www.google.dm A 216.239.38.120"
local-data: "www.google.com.do A 216.239.38.120"
local-data: "www.google.dz A 216.239.38.120"
local-data: "www.google.com.ec A 216.239.38.120"
local-data: "www.google.ee A 216.239.38.120"
local-data: "www.google.com.eg A 216.239.38.120"
local-data: "www.google.com.et A 216.239.38.120"
local-data: "www.google.fi A 216.239.38.120"
local-data: "www.google.com.fj A 216.239.38.120"
local-data: "www.google.fm A 216.239.38.120"
local-data: "www.google.fr A 216.239.38.120"
local-data: "www.google.ga A 216.239.38.120"
local-data: "www.google.ge A 216.239.38.120"
local-data: "www.google.gg A 216.239.38.120"
local-data: "www.google.com.gh A 216.239.38.120"
local-data: "www.google.com.gi A 216.239.38.120"
local-data: "www.google.gl A 216.239.38.120"
local-data: "www.google.gm A 216.239.38.120"
local-data: "www.google.gp A 216.239.38.120"
local-data: "www.google.gr A 216.239.38.120"
local-data: "www.google.com.gt A 216.239.38.120"
local-data: "www.google.gy A 216.239.38.120"
local-data: "www.google.com.hk A 216.239.38.120"
local-data: "www.google.hn A 216.239.38.120"
local-data: "www.google.hr A 216.239.38.120"
local-data: "www.google.ht A 216.239.38.120"
local-data: "www.google.hu A 216.239.38.120"
local-data: "www.google.co.id A 216.239.38.120"
local-data: "www.google.ie A 216.239.38.120"
local-data: "www.google.co.il A 216.239.38.120"
local-data: "www.google.im A 216.239.38.120"
local-data: "www.google.co.in A 216.239.38.120"
local-data: "www.google.iq A 216.239.38.120"
local-data: "www.google.is A 216.239.38.120"
local-data: "www.google.it A 216.239.38.120"
local-data: "www.google.je A 216.239.38.120"
local-data: "www.google.com.jm A 216.239.38.120"
local-data: "www.google.jo A 216.239.38.120"
local-data: "www.google.co.jp A 216.239.38.120"
local-data: "www.google.co.ke A 216.239.38.120"
local-data: "www.google.com.kh A 216.239.38.120"
local-data: "www.google.ki A 216.239.38.120"
local-data: "www.google.kg A 216.239.38.120"
local-data: "www.google.co.kr A 216.239.38.120"
local-data: "www.google.com.kw A 216.239.38.120"
local-data: "www.google.kz A 216.239.38.120"
local-data: "www.google.la A 216.239.38.120"
local-data: "www.google.com.lb A 216.239.38.120"
local-data: "www.google.li A 216.239.38.120"
local-data: "www.google.lk A 216.239.38.120"
local-data: "www.google.co.ls A 216.239.38.120"
local-data: "www.google.lt A 216.239.38.120"
local-data: "www.google.lu A 216.239.38.120"
local-data: "www.google.lv A 216.239.38.120"
local-data: "www.google.com.ly A 216.239.38.120"
local-data: "www.google.co.ma A 216.239.38.120"
local-data: "www.google.md A 216.239.38.120"
local-data: "www.google.me A 216.239.38.120"
local-data: "www.google.mg A 216.239.38.120"
local-data: "www.google.mk A 216.239.38.120"
local-data: "www.google.ml A 216.239.38.120"
local-data: "www.google.com.mm A 216.239.38.120"
local-data: "www.google.mn A 216.239.38.120"
local-data: "www.google.ms A 216.239.38.120"
local-data: "www.google.com.mt A 216.239.38.120"
local-data: "www.google.mu A 216.239.38.120"
local-data: "www.google.mv A 216.239.38.120"
local-data: "www.google.mw A 216.239.38.120"
local-data: "www.google.com.mx A 216.239.38.120"
local-data: "www.google.com.my A 216.239.38.120"
local-data: "www.google.co.mz A 216.239.38.120"
local-data: "www.google.com.na A 216.239.38.120"
local-data: "www.google.com.nf A 216.239.38.120"
local-data: "www.google.com.ng A 216.239.38.120"
local-data: "www.google.com.ni A 216.239.38.120"
local-data: "www.google.ne A 216.239.38.120"
local-data: "www.google.nl A 216.239.38.120"
local-data: "www.google.no A 216.239.38.120"
local-data: "www.google.com.np A 216.239.38.120"
local-data: "www.google.nr A 216.239.38.120"
local-data: "www.google.nu A 216.239.38.120"
local-data: "www.google.co.nz A 216.239.38.120"
local-data: "www.google.com.om A 216.239.38.120"
local-data: "www.google.com.pa A 216.239.38.120"
local-data: "www.google.com.pe A 216.239.38.120"
local-data: "www.google.com.pg A 216.239.38.120"
local-data: "www.google.com.ph A 216.239.38.120"
local-data: "www.google.com.pk A 216.239.38.120"
local-data: "www.google.pl A 216.239.38.120"
local-data: "www.google.pn A 216.239.38.120"
local-data: "www.google.com.pr A 216.239.38.120"
local-data: "www.google.ps A 216.239.38.120"
local-data: "www.google.pt A 216.239.38.120"
local-data: "www.google.com.py A 216.239.38.120"
local-data: "www.google.com.qa A 216.239.38.120"
local-data: "www.google.ro A 216.239.38.120"
local-data: "www.google.ru A 216.239.38.120"
local-data: "www.google.rw A 216.239.38.120"
local-data: "www.google.com.sa A 216.239.38.120"
local-data: "www.google.com.sb A 216.239.38.120"
local-data: "www.google.sc A 216.239.38.120"
local-data: "www.google.se A 216.239.38.120"
local-data: "www.google.com.sg A 216.239.38.120"
local-data: "www.google.sh A 216.239.38.120"
local-data: "www.google.si A 216.239.38.120"
local-data: "www.google.sk A 216.239.38.120"
local-data: "www.google.com.sl A 216.239.38.120"
local-data: "www.google.sn A 216.239.38.120"
local-data: "www.google.so A 216.239.38.120"
local-data: "www.google.sm A 216.239.38.120"
local-data: "www.google.sr A 216.239.38.120"
local-data: "www.google.st A 216.239.38.120"
local-data: "www.google.com.sv A 216.239.38.120"
local-data: "www.google.td A 216.239.38.120"
local-data: "www.google.tg A 216.239.38.120"
local-data: "www.google.co.th A 216.239.38.120"
local-data: "www.google.com.tj A 216.239.38.120"
local-data: "www.google.tk A 216.239.38.120"
local-data: "www.google.tl A 216.239.38.120"
local-data: "www.google.tm A 216.239.38.120"
local-data: "www.google.tn A 216.239.38.120"
local-data: "www.google.to A 216.239.38.120"
local-data: "www.google.com.tr A 216.239.38.120"
local-data: "www.google.tt A 216.239.38.120"
local-data: "www.google.com.tw A 216.239.38.120"
local-data: "www.google.co.tz A 216.239.38.120"
local-data: "www.google.com.ua A 216.239.38.120"
local-data: "www.google.co.ug A 216.239.38.120"
local-data: "www.google.co.uk A 216.239.38.120"
local-data: "www.google.com.uy A 216.239.38.120"
local-data: "www.google.co.uz A 216.239.38.120"
local-data: "www.google.com.vc A 216.239.38.120"
local-data: "www.google.co.ve A 216.239.38.120"
local-data: "www.google.vg A 216.239.38.120"
local-data: "www.google.co.vi A 216.239.38.120"
local-data: "www.google.com.vn A 216.239.38.120"
local-data: "www.google.vu A 216.239.38.120"
local-data: "www.google.ws A 216.239.38.120"
local-data: "www.google.rs A 216.239.38.120"
local-data: "www.google.co.za A 216.239.38.120"
local-data: "www.google.co.zm A 216.239.38.120"
local-data: "www.google.co.zw A 216.239.38.120"
local-data: "www.google.cat A 216.239.38.120"

Com um clique em Salvar, salvamos o arquivo.

O último passo é informar ao servidor DNS onde encontrar esses registros DNS. Para fazer isso, abra as configurações do servidor DNS em Serviços → Resolver DNS e clique em Mostrar opções personalizadas . Lá, inserimos as seguintes linhas, salve-as com Salvar e aplique as alterações com Aplicar .

server: 
include: /var/unbound/google.conf

Nossos mecanismos de pesquisa estão configurados. A próxima etapa é configurar o filtro de conteúdo para HTTP e o filtro de URL para HTTPS.

Squid Proxy e SquidGuard

Instalação

Para permitir que o pfSense filtre URLs, precisamos de um servidor proxy através do qual todas as solicitações da nossa rede sejam roteadas. Para isso, usamos o Squid. Como o nome indica, o SquidGuard é o filtro real. No Sistema → Gerenciador de Pacotes , na guia Pacotes Disponíveis , instalamos o Squid e o SquidGuard.

Configurações de proxy transparente para HTTP

Em Serviços → Squid Proxy Server, agora configuramos o proxy transparente para HTTP. Um proxy transparente tem a vantagem de não precisarmos definir configurações nos computadores individuais da nossa rede. Na guia Geral , ativamos os seguintes elementos:

1. Ativar proxy Squid
2. Interface (s) de proxy: LAN
3. Permitir usuários na interface
4. Proxy transparente HTTP 
5. Interface (s) de proxy transparente: LAN

Após isso salve clicando em Salvar , colocamos na guia Cache local quanto espaço em disco deve ser usado para o cache (aqui 500 MB):

A configuração deve ser salva novamente com Salvar . O proxy transparente para conexões HTTP agora está configurado.

Configurando o SquidGuard

SquidGuard é o componente responsável pela filtragem de conteúdo. O SquidGuard examina cada solicitação e decide se deve ou não bloquear o aplicativo ou o site. Para isso, usamos uma lista negra, que configuramos mais tarde. Antes disso, definiremos algumas configurações gerais em Serviços → Filtro de proxy SquidGuard .

1. Ativar 
2. (não mostrado na captura de tela)
3. Ativar registro 
4. Ativar rotação de registros 
5. Ativar lista negra 
6. URL da lista negra: http://www.shallalist.de/Downloads/shallalist.tar.gz

Em seguida, salvamos tudo novamente com Salvar .

Com o SquidGuard, devemos levar em conta que as alterações na configuração são ativadas somente após clicar em Salvar e aplicar (acima na guia Configurações gerais)!

Configurar listas negras e listas brancas

Agora que terminamos a configuração básica, listas negras e listas brancas estão ausentes. O URL da lista negra já foi fornecido. Agora temos que baixá-los na guia ” Lista negra “.

Para garantir que nosso filtro funcione, agora estamos definindo várias categorias de destino. Para fazer isso, abra a guia ” Categorias de destino ” e clique em Adicionar . Criamos uma lista branca de todos os nomes de domínio que permitimos explicitamente. Isso seria, por exemplo, todos os domínios do Google, porque bloquearemos todos os outros mecanismos de pesquisa para impedir que o usuário ignore a função Pesquisa segura configurada acima.

Entraremos o seguinte:

1. Nome: Lista Branca
2. Lista de Domínios:

   local-data: "www.google.ad A 216.239.38.120"
   local-data: "www.google.ae A 216.239.38.120"
   local-data: "www.google.com A 216.239.38.120"
   local-data: "www.google.com.af A 216.239.38.120"
   local-data: "www.google.com.ag A 216.239.38.120"
   local-data: "www.google.com.ai A 216.239.38.120"
   local-data: "www.google.al A 216.239.38.120"
   local-data: "www.google.am A 216.239.38.120"
   local-data: "www.google.co.ao A 216.239.38.120"
   local-data: "www.google.com.ar A 216.239.38.120"
   local-data: "www.google.as A 216.239.38.120"
   local-data: "www.google.at A 216.239.38.120"
   local-data: "www.google.com.au A 216.239.38.120"
   local-data: "www.google.az A 216.239.38.120"
   local-data: "www.google.ba A 216.239.38.120"
   local-data: "www.google.com.bd A 216.239.38.120"
   local-data: "www.google.be A 216.239.38.120"
   local-data: "www.google.bf A 216.239.38.120"
   local-data: "www.google.bg A 216.239.38.120"
   local-data: "www.google.com.bh A 216.239.38.120"
   local-data: "www.google.bi A 216.239.38.120"
   local-data: "www.google.bj A 216.239.38.120"
   local-data: "www.google.com.bn A 216.239.38.120"
   local-data: "www.google.com.bo A 216.239.38.120"
   local-data: "www.google.com.br A 216.239.38.120"
   local-data: "www.google.bs A 216.239.38.120"
   local-data: "www.google.bt A 216.239.38.120"
   local-data: "www.google.co.bw A 216.239.38.120"
   local-data: "www.google.by A 216.239.38.120"
   local-data: "www.google.com.bz A 216.239.38.120"
   local-data: "www.google.ca A 216.239.38.120"
   local-data: "www.google.cd A 216.239.38.120"
   local-data: "www.google.cf A 216.239.38.120"
   local-data: "www.google.cg A 216.239.38.120"
   local-data: "www.google.ch A 216.239.38.120"
   local-data: "www.google.ci A 216.239.38.120"
   local-data: "www.google.co.ck A 216.239.38.120"
   local-data: "www.google.cl A 216.239.38.120"
   local-data: "www.google.cm A 216.239.38.120"
   local-data: "www.google.cn A 216.239.38.120"
   local-data: "www.google.com.co A 216.239.38.120"
   local-data: "www.google.co.cr A 216.239.38.120"
   local-data: "www.google.com.cu A 216.239.38.120"
   local-data: "www.google.cv A 216.239.38.120"
   local-data: "www.google.com.cy A 216.239.38.120"
   local-data: "www.google.cz A 216.239.38.120"
   local-data: "www.google.de A 216.239.38.120"
   local-data: "www.google.dj A 216.239.38.120"
   local-data: "www.google.dk A 216.239.38.120"
   local-data: "www.google.dm A 216.239.38.120"
   local-data: "www.google.com.do A 216.239.38.120"
   local-data: "www.google.dz A 216.239.38.120"
   local-data: "www.google.com.ec A 216.239.38.120"
   local-data: "www.google.ee A 216.239.38.120"
   local-data: "www.google.com.eg A 216.239.38.120"
   local-data: "www.google.com.et A 216.239.38.120"
   local-data: "www.google.fi A 216.239.38.120"
   local-data: "www.google.com.fj A 216.239.38.120"
   local-data: "www.google.fm A 216.239.38.120"
   local-data: "www.google.fr A 216.239.38.120"
   local-data: "www.google.ga A 216.239.38.120"
   local-data: "www.google.ge A 216.239.38.120"
   local-data: "www.google.gg A 216.239.38.120"
   local-data: "www.google.com.gh A 216.239.38.120"
   local-data: "www.google.com.gi A 216.239.38.120"
   local-data: "www.google.gl A 216.239.38.120"
   local-data: "www.google.gm A 216.239.38.120"
   local-data: "www.google.gp A 216.239.38.120"
   local-data: "www.google.gr A 216.239.38.120"
   local-data: "www.google.com.gt A 216.239.38.120"
   local-data: "www.google.gy A 216.239.38.120"
   local-data: "www.google.com.hk A 216.239.38.120"
   local-data: "www.google.hn A 216.239.38.120"
   local-data: "www.google.hr A 216.239.38.120"
   local-data: "www.google.ht A 216.239.38.120"
   local-data: "www.google.hu A 216.239.38.120"
   local-data: "www.google.co.id A 216.239.38.120"
   local-data: "www.google.ie A 216.239.38.120"
   local-data: "www.google.co.il A 216.239.38.120"
   local-data: "www.google.im A 216.239.38.120"
   local-data: "www.google.co.in A 216.239.38.120"
   local-data: "www.google.iq A 216.239.38.120"
   local-data: "www.google.is A 216.239.38.120"
   local-data: "www.google.it A 216.239.38.120"
   local-data: "www.google.je A 216.239.38.120"
   local-data: "www.google.com.jm A 216.239.38.120"
   local-data: "www.google.jo A 216.239.38.120"
   local-data: "www.google.co.jp A 216.239.38.120"
   local-data: "www.google.co.ke A 216.239.38.120"
   local-data: "www.google.com.kh A 216.239.38.120"
   local-data: "www.google.ki A 216.239.38.120"
   local-data: "www.google.kg A 216.239.38.120"
   local-data: "www.google.co.kr A 216.239.38.120"
   local-data: "www.google.com.kw A 216.239.38.120"
   local-data: "www.google.kz A 216.239.38.120"
   local-data: "www.google.la A 216.239.38.120"
   local-data: "www.google.com.lb A 216.239.38.120"
   local-data: "www.google.li A 216.239.38.120"
   local-data: "www.google.lk A 216.239.38.120"
   local-data: "www.google.co.ls A 216.239.38.120"
   local-data: "www.google.lt A 216.239.38.120"
   local-data: "www.google.lu A 216.239.38.120"
   local-data: "www.google.lv A 216.239.38.120"
   local-data: "www.google.com.ly A 216.239.38.120"
   local-data: "www.google.co.ma A 216.239.38.120"
   local-data: "www.google.md A 216.239.38.120"
   local-data: "www.google.me A 216.239.38.120"
   local-data: "www.google.mg A 216.239.38.120"
   local-data: "www.google.mk A 216.239.38.120"
   local-data: "www.google.ml A 216.239.38.120"
   local-data: "www.google.com.mm A 216.239.38.120"
   local-data: "www.google.mn A 216.239.38.120"
   local-data: "www.google.ms A 216.239.38.120"
   local-data: "www.google.com.mt A 216.239.38.120"
   local-data: "www.google.mu A 216.239.38.120"
   local-data: "www.google.mv A 216.239.38.120"
   local-data: "www.google.mw A 216.239.38.120"
   local-data: "www.google.com.mx A 216.239.38.120"
   local-data: "www.google.com.my A 216.239.38.120"
   local-data: "www.google.co.mz A 216.239.38.120"
   local-data: "www.google.com.na A 216.239.38.120"
   local-data: "www.google.com.nf A 216.239.38.120"
   local-data: "www.google.com.ng A 216.239.38.120"
   local-data: "www.google.com.ni A 216.239.38.120"
   local-data: "www.google.ne A 216.239.38.120"
   local-data: "www.google.nl A 216.239.38.120"
   local-data: "www.google.no A 216.239.38.120"
   local-data: "www.google.com.np A 216.239.38.120"
   local-data: "www.google.nr A 216.239.38.120"
   local-data: "www.google.nu A 216.239.38.120"
   local-data: "www.google.co.nz A 216.239.38.120"
   local-data: "www.google.com.om A 216.239.38.120"
   local-data: "www.google.com.pa A 216.239.38.120"
   local-data: "www.google.com.pe A 216.239.38.120"
   local-data: "www.google.com.pg A 216.239.38.120"
   local-data: "www.google.com.ph A 216.239.38.120"
   local-data: "www.google.com.pk A 216.239.38.120"
   local-data: "www.google.pl A 216.239.38.120"
   local-data: "www.google.pn A 216.239.38.120"
   local-data: "www.google.com.pr A 216.239.38.120"
   local-data: "www.google.ps A 216.239.38.120"
   local-data: "www.google.pt A 216.239.38.120"
   local-data: "www.google.com.py A 216.239.38.120"
   local-data: "www.google.com.qa A 216.239.38.120"
   local-data: "www.google.ro A 216.239.38.120"
   local-data: "www.google.ru A 216.239.38.120"
   local-data: "www.google.rw A 216.239.38.120"
   local-data: "www.google.com.sa A 216.239.38.120"
   local-data: "www.google.com.sb A 216.239.38.120"
   local-data: "www.google.sc A 216.239.38.120"
   local-data: "www.google.se A 216.239.38.120"
   local-data: "www.google.com.sg A 216.239.38.120"
   local-data: "www.google.sh A 216.239.38.120"
   local-data: "www.google.si A 216.239.38.120"
   local-data: "www.google.sk A 216.239.38.120"
   local-data: "www.google.com.sl A 216.239.38.120"
   local-data: "www.google.sn A 216.239.38.120"
   local-data: "www.google.so A 216.239.38.120"
   local-data: "www.google.sm A 216.239.38.120"
   local-data: "www.google.sr A 216.239.38.120"
   local-data: "www.google.st A 216.239.38.120"
   local-data: "www.google.com.sv A 216.239.38.120"
   local-data: "www.google.td A 216.239.38.120"
   local-data: "www.google.tg A 216.239.38.120"
   local-data: "www.google.co.th A 216.239.38.120"
   local-data: "www.google.com.tj A 216.239.38.120"
   local-data: "www.google.tk A 216.239.38.120"
   local-data: "www.google.tl A 216.239.38.120"
   local-data: "www.google.tm A 216.239.38.120"
   local-data: "www.google.tn A 216.239.38.120"
   local-data: "www.google.to A 216.239.38.120"
   local-data: "www.google.com.tr A 216.239.38.120"
   local-data: "www.google.tt A 216.239.38.120"
   local-data: "www.google.com.tw A 216.239.38.120"
   local-data: "www.google.co.tz A 216.239.38.120"
   local-data: "www.google.com.ua A 216.239.38.120"
   local-data: "www.google.co.ug A 216.239.38.120"
   local-data: "www.google.co.uk A 216.239.38.120"
   local-data: "www.google.com.uy A 216.239.38.120"
   local-data: "www.google.co.uz A 216.239.38.120"
   local-data: "www.google.com.vc A 216.239.38.120"
   local-data: "www.google.co.ve A 216.239.38.120"
   local-data: "www.google.vg A 216.239.38.120"
   local-data: "www.google.co.vi A 216.239.38.120"
   local-data: "www.google.com.vn A 216.239.38.120"
   local-data: "www.google.vu A 216.239.38.120"
   local-data: "www.google.ws A 216.239.38.120"
   local-data: "www.google.rs A 216.239.38.120"
   local-data: "www.google.co.za A 216.239.38.120"
   local-data: "www.google.co.zm A 216.239.38.120"
   local-data: "www.google.co.zw A 216.239.38.120"
   local-data: "www.google.cat A 216.239.38.120"

3. Descrição: White List
4. Salve com Salvar.

O último passo no momento é estabelecer algumas regras. Fazemos isso na guia ACL comum . Em seguida, clique no sinal ” + ” em ” Lista de regras de destino ” para abrir uma lista dos diferentes conjuntos de regras. Agora, existem categorias diferentes e nossa lista branca aparece aqui. Agora, fazemos as seguintes configurações:

• Lista branca: acesse a lista branca
• Acesso padrão [todos]: acesso permitido

As outras categorias podem ser configuradas conforme necessário. Aqui estão alguns exemplos:

• Bloquear anuncios: [blk_BL_adv] acesso negado
• Bloquear pornografia: [blk_BL_porn] acesso negado
• etc.

Para impedir que um usuário pule nosso filtro de URL digitando o endereço IP de uma página, ainda habilitamos Não permitir endereços IP em URLs . Se essa configuração causar problemas, você deve desativá-la novamente.

Em seguida, salvamos clicando em Salvar , alterne para a guia Configurações gerais e pressione Aplicar novamente para aplicar nossas alterações.

Configuração de teste

Tudo está configurado para conexões HTTP e podemos testar a configuração. Não é necessário configurar mais nada em um computador na LAN. O filtro já deve funcionar. Se visitarmos uma página que aparece em uma de nossas listas negras, essa página será exibida:

Proxy transparente para conexões HTTPS

Até agora, o proxy transparente está ativo apenas para HTTP, ou seja, solicitações não criptografadas. No começo deste artigo, eu já apontei as dificuldades na filtragem de conexões criptografadas, ou seja, HTTPS. No nosso caso, ativaremos um proxy transparente para HTTPS, o que nos permitirá ativar um filtro de URL para todas as solicitações na porta 443 (HTTPS), mas com a desvantagem de que não podemos (e não queremos!) Analisar o conteúdo em vez disso, o navegador exibirá uma mensagem de erro do certificado. Falarei mais sobre isso em breve.

Primeiro, ativamos o proxy transparente para HTTPS. Para fazer isso, abra as configurações de proxy em Serviços → Squid Proxy Server e selecione as seguintes configurações no SSL Man na seção Middle Filtering:

• Interceptação HTTPS / SSL 
• Método SSL / MITM: emenda tudo
• Interfaces de interceptação SSL: LAN
• CA: selecione um certificado de autoridade de certificação. Talvez tenhamos que criar um primeiro. (em Sistema → Gerenciador de certificação ).
• Salve tudo com Salvar .

Agora tudo está configurado e também podemos testar as conexões HTTPS. Como já foi escrito, desta vez não recebemos uma mensagem de erro informativa quanto às conexões HTTP, mas um aviso do navegador:

Embora essa mensagem de erro não seja muito significativa, alcançamos nosso objetivo real de bloquear páginas indesejadas.

Conclusão

Agora configuramos um sistema que filtra todo o tráfego de rede em nossa LAN (ou WLAN). Isso bloqueia as páginas que foram definidas usando listas negras.

Os prós e contras de tais bloqueios têm posições diferentes. De qualquer forma, é um problema que não pode e não deve ser resolvido 100% tecnicamente, uma vez que se trata mais de educar (usuários) para que eles possam usar com responsabilidade a “Internet”. Certamente, não é o caminho certo para atingir esse objetivo apenas com essa filtragem.

Por outro lado, é especialmente útil para empresas, escolas ou até em casa é possível limitar a quantidade de conteúdo inadequado.

(Fonte: https://forum.pfsense.org/index.php?topic=112335.0 )

O post Filtro da web PfSense: filtro HTTPS com SquidGuard apareceu primeiro em ID Tecnologia - Soluções em Segurança da Informação.

O pfSense possui uma interface de usuário completamente redesenhada com várias versões (consulte nosso guia de instalação). Todas as configurações podem ser facilmente encontradas e ajustadas com esta interface. O painel facilmente configurável também é uma coisa boa. No entanto, às vezes há o caso que você deseja configurar por meio de uma API ou linha de comando. O pfSense atualmente não possui uma API, estará disponível apenas nas próximas versões. Até ai, você pode usar o shell do desenvolvedor pfSense , também chamado PHP Shell .

Acessando o PHP Shell

A maneira mais rápida de acessar o shell do desenvolvedor é conectar-se ao firewall pfSense através do SSH ou se conectar diretamente ao firewall. Se o SSH ainda não estiver ativado, você poderá habilitar na interface web em Sistema → Avançado.

É melhor proibir o login com uma senha e permitir apenas o login com um certificado.

Se o acesso SSH estiver ativado, você poderá efetuar login com o usuário administrador (definir IP):

 $ ssh admin@192.168.1.254

Na opção 12 você encontrará o shell do desenvolvedor, que é basicamente um shell do PHP.

Comandos de exemplo para shell php

Aqui estão alguns exemplos de comandos para ver como usar o shell. Cada entrada é um código PHP normal e deve ser preenchido com exec;.

Mostrar configurações de DHCP

pfSense shell: print_r($config["dhcpd"]);
pfSense shell: exec;
Array
(
[lan] => Array
(
[range] => Array
(
[from] => 10.0.1.7
[to] => 10.0.255.245
)

)

)

Definir domínio

pfSense shell: $config['system']['domain'] = 'mydomain.com';
pfSense shell: write_config();
pfSense shell: exec;

Executar comandos no shell

Dentro do shell do PHP, você também pode executar comandos normais do shell, colocando um “!” Na sua frente:

pfSense shell: ! cat /etc/version
pfSense shell: exec;
2.4.3-RELEASE

Comandos “Record” e “Play”

Com o php shell, você também pode “gravar” vários comandos e “reproduzi-los” posteriormente. Essas sessões são úteis para tarefas recorrentes. Exemplo:

pfSense shell: record echoTest
Recording of echoTest started.
pfSense shell: echo "This\n";
pfSense shell: echo "is\n";
pfSense shell: echo "a\n";
pfSense shell: ! echo "test\n"
pfSense shell: exec;
pfSense shell: stoprecording
Recording stopped.

As entradas são salvas em /etc/phpshellsessions / e podem ser editadas,  se necessário.

A “gravação” agora pode ser reproduzida da seguinte forma:

pfSense shell: playback echoTest

Playback of file echoTest started.

The
is
a
test

pfSense shell:

ou diretamente do shell raiz:

$ pfSsh.php playback echoTest

Conclusão

O pfSsh.php é uma ferramenta útil para automatizar o pfSense com scripts ou fazer personalizações. Especialmente se você gerenciar várias instâncias ou precisar de uma certa configuração repetidamente, o shell php é muito útil. Por exemplo, você pode juntar todas as configurações (ou seja, código PHP) em um arquivo, salvá-las em /etc/phpshellsessions / e executá-las ou encaminhar a saída diretamente para shell php:

$ ssh admin@192.168.1.254 '/usr/local/sbin/pfSsh.php' < configuracao.txt

O post Automatize o pfSense com o PHP Shell apareceu primeiro em ID Tecnologia - Soluções em Segurança da Informação.

As redes de ensinos tornam-se mais complexas à medida que os requisitos aumentam. Geralmente tem WLAN em toda a escola, uso de tablets e laptops na sala de aula, serviços em nuvem, padrões de logins para todos os serviços: os requisitos para um administrador de rede ou prestador de serviços na instituição são muitos e variados. Se tudo estiver funcionando, que geralmente esta, então ótimo! Mas o que acontece se o servidor, firewall ou switch falhar? As consequências podem ser muito diferentes. Quanto tempo demora para que o ambiente volte ao normal? Qual a importância da alta disponibilidade em uma instituição?

Elevada disponibilidade

Segundo a Wikipedia , alta disponibilidade é definida da seguinte forma

A alta disponibilidade (HA) é uma característica de um sistema, cujo objetivo é garantir um nível acordado de desempenho operacional, geralmente tempo de atividade, por um período maior que o normal.

O ponto é que um sistema (“a rede de ensino”) permanece operacional, mesmo que um ou mais componentes falhem. Isso pode causar interrupções. Dependendo do tempo de duração da interrupção, a alta disponibilidade é dividida em diferentes classes. Uma rede de ensino deve estar operacional, especialmente em dias letivos (aproximadamente 180 a 200 dias por ano). Mesmo que a disponibilidade de 99,999% seja absolutamente necessária em poucas instituições, o funcionamento adequado é muito importante para a rede de ensino.

Ponto único de falha

Para obter alta disponibilidade no pfsense, você deve reduzir os chamados “pontos únicos de falha”. Esses são componentes cuja falha faria com que toda a rede de ensino parasse. O que pode ser um “ponto único de falha”?

• Firewall → se falhar, não haverá mais acesso à Internet, dependendo da configuração, a rede interna não funcionará mais.
• Switches (especialmente o switch central)
• O servidor → em caso de falha, muitos aplicativos não são mais acessíveis, ou seja, logins de acesso, aplicativos Web, serviços em nuvem e etc.
• Conexões com a Internet → se o único acesso falhar, ele será desconectado.
  …

História rápida:

Na semana passada, em um dos nossos clientes teve o firewall desconectado (devido ao erro no modem Embratel). A rede caiu, o cliente ficou sem internet. Uma primeira tentativa quando o técnico chegou ao local foi de virtualizar o firewall mas não conseguiu, então trocamos por um appliance firewall BM6A. Precisávamos de algumas configurações adicionais em nosso switch principal para dividir todas as WAN e VLAN em duas placas de rede. Depois de algumas horas, a rede estava funcionando novamente (conseguimos restaurar o backup da configuração com poucas alterações).

Como você pode aumentar a alta diponibilidade no pfSense?

Existem várias maneiras de aumentar a confiabilidade, disponibilidade e proteger melhor a “rede de ensino” contra as falhas. Em geral, trata-se de ter a menor quantidade possível (de preferência não) de “pontos únicos de falha” e componentes críticos que são tolerantes a falhas em caso de falha. Como já mencionado acima, os requisitos para uma rede de ensino de alta disponibilidade dependem amplamente das circunstâncias e prioridades dos responsáveis de TI. Por um lado, é uma questão de planejamento e investimentos, já que precisa levantar qual o prejuízo de uma instituição de ensino parada.

Aqui estão algumas idéias sobre como aumentar a confiabilidade:

• Hardware qualitativo → um bom hardware custa mais, mas geralmente funciona mais estável
• Backups → Configurações, dados, máquinas virtuais, contêineres: não há como evitar backups (os backups também devem ser testados!)
• Monitoramento → um bom monitoramento pode detectar erros no início de alguns casos e oferece uma visão geral de onde há problemas na rede. Portanto, você pode reagir mais rapidamente e não depender dos avisos dos usuários da rede (“A Internet não está mais funcionando”, “A impressora não imprime”, …).
• Aumente a tolerância a falhas → também chamada de “failover”, ou seja, duas fontes de alimentação no servidor, várias conexões à Internet (“Multi-WAN”), dois firewalls, RAID, dois servidores, …
• Mantenha as peças de reposição disponíveis → Discos rígidos, fonte de reposição,…
• O UPS → protege o hardware em caso de oscilações de energia e continua a operação mesmo em caso de queda de energia (por tempo limitado)
• “Redundância de pessoal” → Ter pelo menos dois ou mais administradores de TI ou prestadores de serviços (em caso de licença médica, férias, …)
• peças de reposição preventivo
• …

Linha de base

Uma rede de ensino certamente não é um sistema muito crítico, mas com a crescente digitalização das instituições, é cada vez mais importante que a infraestrutura de TI permaneça acessível e sem falhas. Em algumas escolas, a falha da Internet é tão grave que dificilmente o trabalho pode continuar (sistemas on-line para administração, sistemas em nuvens, sistemas de aprendizado on-line, sistemas de ERP dos alunos). Para aumentar a confiabilidade, você nem sempre precisa gastar muito dinheiro. Muito mais importante é que você esteja preparado para uma falha (especialmente no ponto único de falha).

O post Alta Disponibilidade com pfSense apareceu primeiro em ID Tecnologia - Soluções em Segurança da Informação.

Para o monitoramento de infraestrutura de rede de ensino, usamos o Check_MK . O Check_MK suporta uma variedade de serviços e agentes. Os dados podem ser monitorados com o agente Check_MK, SNMP ou simplesmente por ping. Costumávamos monitorar o firewall através do SNMP, que já está integrado ao pfSense (você pode ativar o SNMP através dos Serviços → SNMP ). Isso já cobre a maioria dos serviços, como todas as interfaces de rede. Faltam informações importantes. Isso inclui a carga real da CPU ou dos discos rígidos. Para obter essas informações, precisa instalar o agente Check_MK no firewall.

Instalando o agente Check_Mk no pfSense

Mostrarei a instalação através de uma conexão SSH com o firewall. Como alternativa, você também pode inserir todos os comandos em Diagnóstico → Prompt de Comando .

O Check_MK-Agent é um script bash. Portanto, o bash deve ser instalado primeiro:

 $ pkg install -y bash

Em seguida, criamos dois diretórios:

$ mkdir -p /opt/bin
$ mkdir -p /opt/etc/xinetd.d

Em seguida, devemos baixar o Check_MK-Agent em nosso diretório recém-criado e torná-lo executável:

$ curl --output /opt/bin/check_mk_agent 'https://git.mathias-kettner.de/git/?p=check_mk.git;a=blob_plain;f=agents/check_mk_agent.freebsd;hb=HEAD'
$ chmod +x /opt/bin/check_mk_agent

Os dados do agente Check_MK são recuperados através do telnet. Portanto, precisamos de um arquivo de configuração. Para fazer isso, copie o seguinte conteúdo (de preferência através de Diagnóstico → Editar arquivo ) para o arquivo /opt/etc/xinetd.d/check_mk:

# +------------------------------------------------------------------+
# |             ____ _               _        __  __ _  __           |
# |            / ___| |__   ___  ___| | __   |  \/  | |/ /           |
# |           | |   | '_ \ / _ \/ __| |/ /   | |\/| | ' /            |
# |           | |___| | | |  __/ (__|   (    | |  | | . \            |
# |            \____|_| |_|\___|\___|_|\_\___|_|  |_|_|\_\           |
# |                                                                  |
# | Copyright Mathias Kettner 2014             mk@mathias-kettner.de |
# +------------------------------------------------------------------+
#
# This file is part of Check_MK.
# The official homepage is at http://mathias-kettner.de/check_mk.
#
# check_mk is free software;  you can redistribute it and/or modify it
# under the  terms of the  GNU General Public License  as published by
# the Free Software Foundation in version 2.  check_mk is  distributed
# in the hope that it will be useful, but WITHOUT ANY WARRANTY;  with-
# out even the implied warranty of  MERCHANTABILITY  or  FITNESS FOR A
# PARTICULAR PURPOSE. See the  GNU General Public License for more de-
# ails.  You should have  received  a copy of the  GNU  General Public
# License along with GNU Make; see the file  COPYING.  If  not,  write
# to the Free Software Foundation, Inc., 51 Franklin St,  Fifth Floor,
# Boston, MA 02110-1301 USA.
 
service check_mk
{
    type           = UNLISTED
    port           = 6556
    socket_type    = stream
    protocol       = tcp
    wait           = no
    user           = root
    server         = /opt/bin/check_mk_agent
 
    # If you use fully redundant monitoring and poll the client
    # from more then one monitoring servers in parallel you might
    # want to use the agent cache wrapper:<br />
 
    #server         = /usr/bin/check_mk_caching_agent
 
    # configure the IP address(es) of your Nagios server here:
    #only_from      = 127.0.0.1 10.0.20.1 10.0.20.2
 
    # Don't be too verbose. Don't log every check. This might be
    # commented out for debugging. If this option is commented out
    # the default options will be used for this service.
    log_on_success =
 
    disable        = no
}

Agora temos que definir algumas configurações de filtro. O script a seguir faz as alterações necessárias no arquivo /etc/inc/filter.inc automaticamente. Para fazer isso, crie o arquivo /opt/filter_check_mk_cron (novamente com Diagnóstico → Editar arquivo ).

#!/bin/sh
 
grep includedir /etc/inc/filter.inc
if [ $? -eq 0 ]
then
        exit 0
else
        awk '/fclose\(\$xinetd_fd\)\;/{print "fwrite($xinetd_fd, \"includedir /opt/etc/xinetd.d\");"}1' /etc/inc/filter.inc > /etc/inc/filter.inc.temp
        mv /etc/inc/filter.inc.temp /etc/inc/filter.inc
fi
exit 0

Temos que configurar o bit executável novamente e executá-lo.

$ chmod +x /opt/filter_check_mk_cron
$ ./opt/filter_check_mk_cron

E finalmente recarregue os filtros (via Status → Recarregar filtro ) e agora podemos verificar se o Check_MK Agent funciona (configure o IP do firewall de acordo):

 $ telnet 192.168.1.1 6556

Se tudo estiver configurado corretamente, você verá a saída do agente Check_MK.

Configure o pfSense no servidor Check_MK

Agora temos que adicionar o firewall como host no Check_MK ou editar o host existente no WATO. Além do IP, da comunidade SNMP e do nome do host, selecionamos Dual Check: Check_MK Agent + SNMP como o tipo de agente. Com um clique em Salvar e vá para Serviços , podemos ativar os serviços desejados.

Agora, todas as informações importantes estão sempre disponíveis rapidamente. Aqui está um trecho:

Conclusão

O Check_MK é um software de monitoramento muito flexível e excelente. Nós o usamos há algum tempo em uma instituição de ensino e as possibilidades de personalização são quase infinitas em termos de notificações e dispositivos a serem monitorados.

O post Monitoramento do PfSense com Check_MK apareceu primeiro em ID Tecnologia - Soluções em Segurança da Informação.

O PfSense é uma solução de firewall de código aberto que pode ser usada em casa, em um pequeno escritório ou até em uma empresa grande (consulte nosso guia de instalação com as recomendações de hardware). Na maioria dos casos, você não deseja conectar clientes exclusivamente através de um cabo de rede, mas também sem fio. A maneira mais fácil é conectar um ponto de acesso WLAN ao firewall que lida com dispositivos sem fio (por exemplo, smartphones).

Ambiente

Todos sabem que uma imagem falam mais que 1000 palavras:

A interface LAN do pfSense está conectada a um switch ao qual o ponto de acesso e outros clientes com fio podem ser conectados.

Configurar um ponto de acesso

Depois que o ponto de acesso estiver conectado (no nosso exemplo, um ponto de acesso da marca tp-link (como este). O ponto de acesso geralmente vem com uma interface da web para que você possa para fazer a configuração. O endereço IP do ponto de acesso pode ser encontrado no pfSense em Status → DHCP Leases.

Agora você pode acessar a interface da web do access point.

Após o login (o nome de usuário e a senha padrão do tp-link é admin ), você pode definir todas as configurações importantes em Configurações rápidas :

• Alterar a conta de login → Sim (defina um novo nome de usuário e senha)
• Selecione o modo operacional apropriado de acordo com suas necessidades → Ponto de acesso
• Acesse as configurações do modo AP
  • Nome da rede sem fio (SSID) → Nome da rede WLAN
  • Canal → Automático
  • Modo de segurança sem fio → WPA2-PSK
  • Senha sem fio → Senha WLAN
  • Tipo → IP estático
  • Endereço IP → selecione um endereço IP da LAN, por exemplo, 10.10.10.253
  • Servidor DHCP → Desativar (já que o pfSense cuida dos endereços IP).

Conclusão

A ideia aqui é mostrar de maneira muito fácil como conectar o pfSense em um Access Point, é claro que o modelo demonstrado aqui é apenas para conhecimentos didáticos, não sugiro esse modelo para uso empresarial.

O post Como conectar um ponto de acesso ao pfSense apareceu primeiro em ID Tecnologia - Soluções em Segurança da Informação.