UNIVERSIDADE TECNOLGICA FEDERAL DO PARAN

DEPARTAMENTO ACADMICO DE ELETRNICA

CURSO SUPERIOR DE TECNOLOGIA EM SISTEMAS DE TELECOMUNICAES

FILIPE CAMPOS DAS NEVES

LEONARDO ALVES MACHADO
RODRIGO DA FONTOURA CENTENARO

IMPLANTAO DE FIREWALL PFSENSE

TRABALHO DE CONCLUSO DE CURSO

CURITIBA
2014
 FILIPE CAMPOS DAS NEVES
LEONARDO ALVES MACHADO
RODRIGO DA FONTOURA CENTENARO

IMPLANTAO DE FIREWALL PFSENSE

Trabalho de Concluso de Curso de

Graduao, apresentado ao Curso
Superior de Tecnologia em Sistemas de
Telecomunicaes, do Departamento
Acadmico de Eletrnica, da Universidade
Tecnolgica Federal do Paran UTFPR,
como requisito parcial para obteno do
ttulo de Tecnlogo.
Orientador: Prof. Dr. Augusto Foronda

CURITIBA
2014
 TERMO DE APROVAO

FILIPE CAMPOS DAS NEVES

LEONARDO ALVES MACHADO
RODRIGO DA FONTOURA CENTENARO

IMPLANTAO DE FIREWALL PFSENSE

Este trabalho de concluso de curso foi apresentado no dia 09 de outubro de 2014,

como requisito parcial para obteno do ttulo de Tecnlogo em Sistemas de
Telecomunicaes, outorgado pela Universidade Tecnolgica Federal do Paran. Os
alunos foram arguidos pela Banca Examinadora composta pelos professores abaixo
assinados. Aps deliberao, a Banca Examinadora considerou o trabalho aprovado.

______________________________
Prof. Dr. Luis Carlos Vieira
Coordenador de Curso
Departamento Acadmico de Eletrnica

______________________________
Prof. Esp. Srgio Moribe
Responsvel pela Atividade de Trabalho de Concluso de Curso
Departamento Acadmico de Eletrnica

BANCA EXAMINADORA

_____________________________ __________________________
Prof. Dr. Kleber Kendy Horikawa Nabas Prof. MsC. Lincoln Herbert Teixeira
UTFPR UTFPR

___________________________
Prof. Dr. Augusto Foronda
Orientador - UTFPR

A Folha de Aprovao assinada encontra-se na Coordenao do Curso

s nossas famlias muito obrigado pela pacincia,
incentivo, fora e carinho.
 AGRADECIMENTOS

A Deus por ter nos dado sade e fora para superar as dificuldades.
Ao nosso orientador Prof. Dr. Augusto Foronda, pelo suporte e dedicao
prestados, pelas suas correes e incentivos, e por meio dele nos reportamos a toda
comunidade da Universidade Tecnolgica Federal do Paran (UTFPR) pelo apoio
oferecido.
Aos nossos pais e familiares, pelo amor e incentivo incondicional, pois
acreditamos que sem o apoio deles seria muito difcil vencer esse desafio.
E a todos que diretamente ou indiretamente fizeram parte da nossa formao,
o nosso muito obrigado.
 RESUMO

NEVES, Filipe Campos das, MACHADO, Leonardo Alves, CENTENARO, Rodrigo da

Fontoura. Implantao de Firewall pfSense. 2014. 66 f. Trabalho de Concluso de
Curso (Curso Superior de Tecnologia em Sistemas de Telecomunicaes),
Departamento Acadmico de Eletrnica, Universidade Tecnolgica Federal do
Paran. Curitiba, 2014.

Este trabalho apresenta pesquisas e aplicaes necessrias para a implementao

de um Firewall em software livre chamado pfSense em empresas que possuam menos
receita para gastos na rea de segurana, mas que mesmo assim necessitem de certa
segurana para que seus dados sejam mantidos internamente ou trafeguem de forma
segura para o ambiente externo. Esta aplicao se faz necessria devido grande
evoluo das comunicaes do mercado corporativo, que trouxe junto consigo,
pessoas mal-intencionadas que se utilizam de mecanismos para furtos de
informaes e at mesmo de servios e produtos. Este documento traz o resultado da
implementao do Firewall pfSense definida para o atendimento da demanda de
segurana de empresas utilizando mecanismos de preveno de ataques e furtos de
informaes.

Palavras chave: Firewall. Software Livre. Segurana. pfSense.

 ABSTRACT

NEVES, Filipe Campos das, MACHADO, Leonardo Alves, CENTENARO, Rodrigo da

Fontoura. Deployment of pfSense Firewall. 2014. 66 f. Trabalho de Concluso de
Curso (Curso Superior de Tecnologia em Sistemas de Telecomunicaes),
Departamento Acadmico de Eletrnica, Universidade Tecnolgica Federal do
Paran. Curitiba, 2014.

This work presents research and applications necessary for implementing a Firewall
in an open source software called pfSense in companies that have less revenue to
spending in the area of security, but still need the security of your data either internally
or even to external environment. This application is necessary due to the great
development of the corporate communications market that brought with it malicious
people that make use of mechanisms for the theft of information or even services and
products. This document contains the result of the implementation of the pfSense
Firewall set to meet the demand of companies using security mechanisms to prevent
attacks and information theft.

Keywords: Firewall. Open Source software. Security. pfSense.

 LISTA DE ILUSTRAES

Figura 1 Operao do DHCP ................................................................................. 19

Figura 2 Resoluo DNS ........................................................................................ 20
Figura 3 Encaminhamento de Porta ....................................................................... 22
Figura 4 Balanceamento de carga ......................................................................... 23
Figura 5 Topologia da rede .................................................................................... 26
Figura 6 VLANs ...................................................................................................... 27
Figura 7 Interface WAN .......................................................................................... 28
Figura 8 Interface LAN ........................................................................................... 29
Figura 9 Interfaces configuradas ............................................................................ 30
Figura 10 Confirmao Interfaces configuradas ..................................................... 31
Figura 11 Gravando as configuraes ................................................................... 31
Figura 12 Configurao de IPs ............................................................................... 32
Figura 13 Configurar LAN....................................................................................... 33
Figura 14 IP da interface LAN ................................................................................ 33
Figura 15 Mscara da LAN..................................................................................... 34
Figura 16 Gateway da LAN .................................................................................... 35
Figura 17 DHCP da LAN ........................................................................................ 36
Figura 18 IP Interface WEB .................................................................................... 36
Figura 19 Tela inicial pfSense ................................................................................ 37
Figura 20 Tela Interface DMZ................................................................................. 39
Figura 21 Aliases.................................................................................................... 40
Figura 22 Port Forwarding ...................................................................................... 41
Figura 23 Regras de Firewall ................................................................................. 41
Figura 24 Range DHCP ......................................................................................... 43
Figura 25 Mapeamento Fixo DHCP ....................................................................... 44
Figura 26 Abas Configurao Proxy....................................................................... 44
Figura 27 Widget com Logs de Firewall ................................................................. 46
Figura 28 Status da Interface LAN ......................................................................... 47
Figura 29 Grficos RRD ......................................................................................... 48
Figura 30 Logs do Sistema..................................................................................... 49
Figura 31 Ferramentas de diagnstico ................................................................... 50
Figura 32 Backup de Sistema ................................................................................ 50
Figura 33 DNSlookup ............................................................................................. 51
Figura 34 Acesso SSH ........................................................................................... 53
Figura 35 Configurao de acesso WEB ............................................................... 55
Figura 36 Habilitando o acesso SSH ...................................................................... 55
Figura 37 Instalao de pacote finalizada .............................................................. 56
Figura 38 Habilitando interface DMZ e configurando descrio ............................. 57
Figura 39 Habilitando interface DMZ e configurando IP ......................................... 57
Figura 40 Aliases.................................................................................................... 58
Figura 41 Redirecionamentos ................................................................................ 58
Figura 42 Regras interface WAN............................................................................ 59
Figura 43 Regras interface LAN ............................................................................. 60
Figura 44 Schedules .............................................................................................. 61
Figura 45 Configurao range DHCP ..................................................................... 61
Figura 46 Mapeamento esttico de endereos IP .................................................. 61
Figura 47 Configuraes gerais proxy .................................................................... 62
Figura 48 Configuraes acesso proxy .................................................................. 63
Figura 49 Configuraes cache.............................................................................. 64
 LISTA DE SIGLAS

ACL Access Control List

ADSL Asymmetric Digital Subscriber Line
CPU Central Processing Unit
DNS Domain Name System
DMZ Zona Desmilitarizada
DHCP Dynamic Host Configuration Protocol
HTTP Hyper Text Transfer Protocol
HTTPS Hyper Text Transfer Protocol Secure
IP Internet Protocol
IPsec Internet Protocol Security
IPv4 Internet Protocol version 4
IPv6 Internet Protocol version 6
L2PT Layer 2 protocol tunneling
LAN Local Area Network
MAC Media Access Control
MS-CHAPv2 Microsoft Challenge Handshake Authentication Protocol
version 2
MTU Maximum transmission unit
NAT Network Address Translation
PHP Personal Home Page
PPPoE Point-to-Point Protocol over Ethernet
PPTP Point-to-Point Tunneling Protocol
RRD Round-robin database
SGSI Sistema de Gesto de Segurana da Informao
SNMP Simple Network Management Protocol
SSH Secure Shell
URL Uniform Resource Locator
VLAN Virtual Local Area Network
VPN Virtual Private Network
WAN Wide Area Network
 SUMRIO

1 INTRODUO ....................................................................................................... 11
1.1 PROBLEMA ........................................................................................................ 11
1.2 JUSTIFICATIVA .................................................................................................. 12
1.3 OBJETIVOS ........................................................................................................ 13
1.3.1 Geral................................................................................................................. 13
1.3.2 Objetivos Especficos ....................................................................................... 13
1.4 PROCEDIMENTOS METODOLGICOS ............................................................ 13
2 FUNDAMENTAO TERICA ............................................................................. 15
2.1 TIPOS DE FIREWALL ......................................................................................... 17
2.2 ARQUITETURAS DE IMPLANTAO DE FIREWALL ....................................... 18
2.3 DHCP (DYNAMIC HOST CONFIGURATION PROTOCOL) ............................... 19
2.4 DNS (DOMAIN NAME SYSTEM) ........................................................................ 20
2.5 NAT (NETWORK ADDRESS TRANSLATION) ................................................... 20
2.6 PORT FORWARDING (ENCAMINHAMENTO DE PORTA)................................ 22
2.7 LOAD BALANCING (BALANCEAMENTO DE CARGA) ...................................... 22
2.8 APRESENTAO DO FIREWALL PFSENSE .................................................... 24
3 IMPLANTAO DO FIREWALL PFSENSE ......................................................... 25
3.1 MATERIAIS ......................................................................................................... 25
3.2 INSTALAO DO FIREWALL PFSENSE ........................................................... 26
3.3 CONFIGURAES DE INSTALAO ............................................................... 27
3.3.1 Configurao das interfaces de rede ................................................................ 27
3.3.2 Configurao do endereamento IP ................................................................. 32
3.4 FUNCIONALIDADES DO PFSENSE .................................................................. 37
3.4.1 Interface WEB .................................................................................................. 38
3.4.2 Configuraes de sistema ................................................................................ 38
3.4.3 Configurao de Interfaces .............................................................................. 38
3.4.4 Regras de Firewall e NAT ................................................................................ 39
3.4.5 Servios de Rede ............................................................................................. 42
3.4.6 DHCP Server .................................................................................................... 43
3.4.7 Proxy Server ..................................................................................................... 44
3.4.8 Configurao de VPNs ..................................................................................... 45
3.4.9 Ferramentas de Status ..................................................................................... 45
3.4.10 Ferramentas de Diagnstico .......................................................................... 49
3.4.11 Acesso SSH ................................................................................................... 52
3.5 CONFIGURAES DA SIMULAO DE REDE ................................................ 54
3.5.1 Configuraes gerais do pfSense .................................................................... 54
3.5.2 Configurao de interfaces............................................................................... 56
3.5.3 Configurao de regras de Firewall e NAT....................................................... 57
3.5.4 Servidor DHCP ................................................................................................. 61
3.5.5 Servidor Proxy .................................................................................................. 62
4 CONSIDERAES FINAIS ................................................................................... 65
REFERNCIAS ......................................................................................................... 66
 11

1 INTRODUO

Com a grande evoluo das comunicaes do mercado corporativo, a

transferncia de informaes se torna mais rpida a cada dia, e isso traz grande ganho
s empresas que fazem uso desses mecanismos, porm junto com essa evoluo,
pessoas mal-intencionadas se utilizam de mecanismos para furtos de informaes e
at mesmo de servios e produtos.
Com o crescimento das comunicaes cliente-servidor, faz-se necessria a
utilizao de mecanismos de preveno de ataques e furtos de informaes. A partir
dessa demanda, foi desenvolvido o firewall, um dispositivo, ou conjunto de dispositivos
ou programas, incumbido de realizar a proteo da rede interna. Ele funciona como
uma espcie de porta de entrada e sada e faz com que todos os fluxos de dados
passem por ele.
importante salientar que o firewall no faz toda a segurana da rede por si
s, ele somente uma das vrias ferramentas necessrias para a segurana de uma
rede. Tambm importante diferenci-lo das demais solues de segurana, como
por exemplo, conexes VPN, mecanismos antivrus, anti-spyware, entre outros. O
firewall faz a chamada segurana de permetro, impedindo conexes no desejadas
e filtrando-as, permitindo somente o acesso devido rede.
Desta forma, foi apresentada uma soluo baseada em software livre, para
empresas que possuam menos receita para gastos com segurana, mas que mesmo
assim necessitem da segurana de seus dados seja ela interna ou at mesmo para o
ambiente externo.

1.1 PROBLEMA

Invases em sistemas internos de empresas h muito tempo preocupam os

profissionais da rea de segurana da informao, porm, ataques que antes tinham
muitas vezes somente a inteno de realizar a autoafirmao de hackers, hoje se
mostram muito mais perigosos e danosos s empresas que no utilizam de uma
proteo adequada.
 12

Diante desses problemas expostos acima, a demanda por segurana no

mercado atual de suma importncia, e com isso foram propostos alguns
questionamentos. Quais sistemas de segurana devem ser aplicados? Onde, dentro
da rede corporativa, devem ser implantadas solues de segurana? E quais seriam
os ganhos reais desse sistema?
Para expor de forma mais concreta, foi abordado um estudo sobre o firewall
pfSense, assim como sua importncia no sistema corporativo. O firewall, apesar de
no ser o nico componente de segurana em uma rede, um dos mais importantes
deles, realizando a segurana de permetro da rede.
Atravs do estudo de configuraes e funcionamento do firewall podem ser
respondidos os questionamentos sugeridos acima e tambm pode ser demonstrado
porque sua implantao fundamental no mercado atual.

1.2 JUSTIFICATIVA

Com base das informaes colhidas acima, foi proposta uma soluo de firewall
aconselhado para pequenas empresas que no possuam muita verba para
investimento na rea de segurana da informao. Apesar de ser uma soluo
baseada em software livre, a ferramenta possui muitos recursos e apresenta grande
grau de segurana a um custo mais acessvel.
Este projeto visa implantao de um firewall pfSense, para expor servios como:

Filtragem de origem e destino IP, protocolo IP, portas de origem e destino para
trfegos de protocolos UDP e TCP;
Habilidade de limitar atravs de uma poltica de regras, conexes simultneas;
Opo de realizar ou no os relatrios baseados somente em regras
selecionadas;
Habilidade de criao de grupos de endereos, redes e portas visando
facilidade de gerenciamento e a clareza das regras criadas;
Capacidade de gerenciamento de tabela de estados;
Interface WEB de extrema facilidade de gerenciamento;
 13

1.3 OBJETIVOS

1.3.1 Geral

Atravs da demonstrao dos aspectos tcnicos e de sua importncia,

apresentar uma soluo de firewall que garanta a segurana e o gerenciamento das
redes corporativas, com um custo de implantao extremamente baixo e confivel.

1.3.2 Objetivos Especficos

Apresentar fatos que intensificaram esforos na criao de meios de segurana

para redes corporativas.

Expor vulnerabilidades que novas tecnologias podem vir a trazer;

Descrever caractersticas, conceitos e a importncia de um firewall em redes
corporativas;
Demonstrar as configuraes da tecnologia pfSense e apresentar um projeto
de segurana utilizando a mesma;
Simular um ambiente de rede, utilizando ferramentas de virtualizao,
utilizando o firewall pfSense;

1.4 PROCEDIMENTOS METODOLGICOS

A implantao do projeto ser guiada por manuais, normas, e guias que tratem
do tema.
O projeto ser desenvolvido em quatro etapas, na primeira etapa ser realizado
uma contextualizao sobre o tema segurana e mostradas as motivaes que
levaram ao desenvolvimento do firewall, ser apresentado a importncia, seus
principais conceitos e os principais equipamentos utilizados no mercado.
Na segunda parte do projeto, ser apresentada a tecnologia pfSense, suas
funes, configuraes e maneiras de implantao. Esse estudo ser guiado por
 14

apostilas, livros de estudo e o prprio site do pfSense, que oferece grande quantidade
de informaes e detalhes da soluo.
Em sua terceira parte, ser realizada uma simulao que demonstrar na
prtica o funcionamento do firewall e os principais atributos necessrios para a
implantao dessa tecnologia.
A ltima etapa visa vincular o conhecimento obtido nas simulaes ao
conhecimento terico, para demonstrar os reais benefcios desta tecnologia.
 15

2 FUNDAMENTAO TERICA

Com a evoluo nos sistemas de comunicaes, o acesso informao se

torna cada dia mais democrtico e universal, e a internet tem papel fundamental na
evoluo do mercado corporativo atual. Com esse amplo acesso a informaes, se
tornou essencial o desenvolvimento de equipamentos com capacidade de prover a
segurana das informaes trafegadas pela rede. Esses equipamentos so
responsveis por uma srie de competncias, como por exemplo, o controle de
acessos, para evitar acessos nocivos ou no autorizados s informaes.
A segurana da informao regulamentada pelas normas ISO/IEC 27000 e
ISO/IEC 27001 que consistem em definir um propsito para o desenvolvimento de um
Sistema de Gesto e Segurana da Informao (SGSI) nas organizaes, algo
imprescindvel tendo em conta a quantidade de informao produzida atualmente nas
grandes corporaes (ISO/IEC 27000, 2013).
Com esse novo ambiente de desenvolvimento de segurana, novos campos de
estudo tm se destacado, como por exemplo, a segurana das redes. Essa rea
marcada pela constante evoluo, ou seja, necessrio o desenvolvimento de novas
tcnicas conforme novas formas de ataques so criadas.
Com base nesses argumentos, foram considerados alguns pontos importantes
para estudo:

Entendimento da forma como so constitudas as formas de invaso, que

normalmente se do atravs da explorao da implantao de novos sistemas
corporativos, falhas na implantao de sistemas de segurana e novos
sistemas de conectividade;
A facilidade de acesso internet possibilita a criao de novas formas de
ataque, e por consequncia a necessidade de desenvolvimento de novas
formas de defesa aos mesmos. Pelo fato de um ataque precisar identificar
somente uma falha para que possa servir ao seu propsito, a defesa tem de
mitigar todas as formas de ataque e falhas no sistema de segurana. Com isso
pode ser tomado como base que a defesa de um sistema de informao muito
mais complexa e trabalhosa que um ataque;
 16

Entendimento das mais variadas formas de ataque a um sistema facilita muito

na criao de mtodos de proteo aos mesmos. Os ataques a uma rede
corporativa podem ter os mais diversos motivos, como por exemplo,
interromper servios da empresa, comprometendo a confiabilidade de dados e
programas ou at mesmo a desestabilizao de uma rede, com o objetivo de
coletar informaes que podem ser usadas no futuro para invases com
finalidades mais especficas, como o roubo de informaes sensveis e at
mesmo para corromper sistemas vitais empresa concorrente.

Com base neste contexto, foi desenvolvido uma das formas para mitigar esses
ataques, o firewall, que realiza controle de acessos devidos a uma determinada rede.
possvel interpretar um firewall fazendo uma analogia com a forma mais antiga de
segurana medieval, criar um fosso ao redor de um castelo e forar todos que
quiserem entrar a passar por uma ponte levadia, nessa analogia, o firewall seria a
ponte levadia, a nica porta de entrada de uma rede (TANENBAUM, 2003).
O conceito de firewall comeou a ser utilizado no final da dcada de 80, quando
somente roteadores separavam pequenas redes corporativas. Desta forma, as redes
poderiam instalar seus aplicativos da forma como lhes fosse conveniente sem que as
demais redes fossem prejudicadas por lentides.
Os primeiros firewalls a trabalharem com segurana de redes surgiram no incio
dos anos 90. Consistiam de mecanismos que com pequenos conjuntos de regras
como, por exemplo: Algum da rede A pode fazer acesso rede B, porm a rede C
no pode realizar acessos rede A e B. Eram mecanismos bastante efetivos, porm
extremamente limitados. A segunda gerao de firewalls utilizava filtros, pacotes e
aplicativos, alm de trazer uma interface de gerenciamento de regras, um grande salto
evolutivo.
Em 1994, a Check Point lanou o produto chamado Firewall-1, introduzindo
uma amigvel interface grfica de gerenciamento, que continha cores, mouse e
ambiente grfico X11 simplificando a instalao e a administrao dos firewalls.
 17

Atualmente existem vrias solues de firewalls muito mais modernas, as

principais empresas do ramo so: Cisco, Juniper, Check Point entre outras.
Firewall uma soluo de segurana baseada em hardware ou software, que
a partir de um conjunto de regras ou instrues, analisa o trafego da rede para
diferenciar operaes vlidas ou invlidas dentro de uma rede corporativa. Um firewall
analisa o trfego de rede entre a internet e a rede privada ou entre redes privadas.
Com base nessas definies, possvel compreender que o firewall mais que uma
simples barreira de proteo contra ataques, ele pode ser utilizado para proteo
dentro de uma rede controlando o trfego de dados servidores especficos.

2.1 TIPOS DE FIREWALL

Os trs principais tipos de firewall so:

Firewall em nvel de pacote: O filtro de pacotes tem como objetivo permitir ou
no a passagem de pacotes pela rede baseando-se em regras pr-definidas.
Normalmente estes esto situados em roteadores, representando o ponto de
acesso entre duas redes, permitindo que servios controlem o trafego,
mantendo a rede protegida.
Este o firewall mais implementado atualmente, pois a proteo bsica da
rede, ao deixar portas de comunicao nocivas abertas e permitir o trfego livre de
pacotes, a rede fica suscetvel ataques (Camy, 2003).
Servios Proxy: Os servidores de servio proxy so especializados em
aplicaes ou programas servidores que executam um firewall. Os proxies
pegam a solicitao e requisio dos usurios para o servio da internet,
verificam se as solicitaes sero aceitas dentro do conjunto de regras
preestabelecidas e em seguida passam ou no a solicitao adiante para o
servio especfico solicitado (Stato Filho, 2009).
Estes servidores esto entre o usurio da rede interna e a internet e atuam
como o prprio nome diz, como um mediador. comum utilizarem transparncia
nesses servidores, como o nome sugere, ele fica transparente para o usurio, sendo
imperceptvel, porm atuando como filtro de pacotes.
Circuit-Level Gateway: Este tipo de firewall cria um circuito entre o cliente e o
servidor e no interpreta o protocolo de aplicao. Atua monitorando o
 18

handshaking (troca de informaes para estabelecimento de comunicao)

entre pacotes, objetivando determinar se a sesso legtima (Stato Filho,
2009).
O principal objetivo de um firewall fazer com que todas as informaes
trafegadas entre duas redes diferentes passem por ele. Para que isso acontea,
necessrio que haja um estudo sobre a arquitetura da rede que se deseja proteger.

2.2 ARQUITETURAS DE IMPLANTAO DE FIREWALL

As principais arquiteturas de implantao de firewalls so:

Dual-homed host: Nessa arquitetura o equipamento deve possuir duas
interfaces de rede, uma interface que se liga a LAN, que representa a rede
interna, e uma interface WAN, que representa a rede externa, se tornando uma
espcie de porta nica de sada e entrada da rede. De acordo com os principais
pesquisadores, esta arquitetura ideal para redes com pequeno trfego de
informaes para a internet e cuja importncia no seja vital.
Screened host: Nesta arquitetura as conexes podem ser abertas da rede
interna para a internet, bem como das redes externas para a rede interna de
forma exclusivamente controlada pelos Bastion hosts. A filtragem de pacotes
acontece no firewall que permite apenas poucos tipos de conexes, como por
exemplo, consultas de DNS (Domain Name System). O Bastion host deve
manter um alto nvel de segurana pelo fato dele ser o ponto de falha dessa
arquitetura. Esta arquitetura apropriada para redes com poucas conexes
vindas da internet e quando a rede sendo protegida tem um nvel de segurana
relativamente alto.
Screened Subnet: Nessa arquitetura, tambm conhecida como arquitetura de
sub-rede com triagem, adicionada uma nova rede de permetro que isola os
bastion hosts, mquinas vulnerveis na rede. Tambm so encontrados
roteadores de triagem com vrias placas de rede. Neste caso, o bastion host
fica confinado em uma rea conhecida como Zona Desmilitarizada (DMZ),
aumentando o nvel de segurana, uma vez que, para ter acesso rede interna
o atacante dever passar por mais de um processo de filtragem. O firewall
externo deve permitir que os usurios externos tenham acesso somente rea
 19

DMZ e o firewall interno deve permitir requisies apenas aos usurios da rede
interna (Stato Filho, 2009, p.37).
Existem mais possibilidades de arquiteturas e uma flexibilidade no modo de
configurao, devem ser avaliados os requisitos de proteo e de oramento para
poder atender as necessidades de proteo da rede em questo.

2.3 DHCP (DYNAMIC HOST CONFIGURATION PROTOCOL)

O DHCP um servidor de endereos IP que ao receber uma solicitao de um

dispositivo de rede por um IP atribui a este um endereamento. Cada mquina que
conectada na rede transmite um pacote de DHCP DISCOVER para o agente de
retransmisso DHCP da rede interceptar, ao ento o agente envia este pacote em
unidifuso ao servidor DHCP, possuindo apenas o endereo IP do servidor.
O DHCP distribui endereos de rede que so atribudos fixamente ou
dinamicamente para os hosts e dispositivos de rede (TANENBAUM, 2003, p. 349). A
figura 1 mostra este processo DHCP.

Figura 1 Operao do DHCP

Fonte: TANENBAUM (2003)
 20

2.4 DNS (DOMAIN NAME SYSTEM)

O DNS consiste na criao de um processo de atribuio de nomes baseados

no domnio e em um sistema de bancos de dados distribudos que implementam esse
esquema de nomenclatura organizando e mantendo as informaes. utilizado para
mapear nomes de hosts e destinos de correios eletrnicos em endereos IP, tendo
tambm outras utilizaes (TANENBAUM, 2003, p. 439).
O processo do DNS consiste em procurar o endereo IP correspondente ao
nome de domnio do site especificado pela requisio (ex.: o endereo IP do site
www.google.com pode ser resolvido pelo DNS como 173.194.118.51). A figura 2 traz
um exemplo do esquema de resoluo DNS.

Figura 2 Resoluo DNS

Fonte: Autoria prpria

2.5 NAT (NETWORK ADDRESS TRANSLATION)

O NAT tem como idia bsica a utilizao de um nico endereo IP para

determinada empresa trafegar na internet (IP rotevel), possibilitando assim cada
computador da rede interna ter um endereo IP exclusivo, para roteamento do trafego
interno. Quando um pacote de dados sai da rede interna para trafegar na internet
efetuada uma converso de endereamento para o endereo nico da empresa para
acesso a internet. Para que esse sistema fosse possvel foram separadas trs classes
 21

de endereos IP que podem ser utilizadas para trafego interno, porm no podem ser
utilizadas para o trafego na internet (TANENBAUM, 2003). A Tabela 1 apresenta os
endereos privativos e suas classes.

Tabela 1 - Padro de endereamento na Internet (IPv4)

Endereo IP

Incio 1 0 0 0

Fim 126 255 255 254

Classe A
rede host host host

Mscara 255 0 0 0

Incio 128 0 0 0

Fim 191 255 255 254

Classe B
rede rede host host

Mscara 255 255 0 0

Incio 192 0 0 0

Fim 223 255 255 254

Classe C
rede rede rede host

Mscara 255 255 255 0

Fonte: Teleco (2007)

Outra funo do NAT muito utilizada pelas empresas provedoras de acesso

internet serve como uma alternativa para escassez de endereos IP que so
destinados para os usurios de ADSL. A empresa atribui a seus clientes endereos
10.x.y.z, e ento quando os clientes saem da rede do provedor para acessar a internet
os pacotes passam pelo processo de NAT que efetua a converso dos endereos
internos para endereos IP roteveis, e na volta desses pacotes eles sofrem o
processo inverso (TANENBAUM, 2003, p. 343-344).
 22

2.6 PORT FORWARDING (ENCAMINHAMENTO DE PORTA)

O encaminhamento de portas uma funcionalidade que consiste na associao

de numeros de portas de comunicao a dispositivos da rede local onde estes
dispositivos atendem as requisies nestas portas de servios vindas da internet.
Quando so feitas requisies da internet, essas requisies so tranferidas para um
endereo IP da rede local. Desta forma o dispositivo que responsvel por receber
as requisies para essas determinadas portas deve permancer com um endereo IP
esttico (Intelbras, 2013). A figura 3 ilustra o processo de encaminhamento de porta
vindo de um computador externo rede local.

Figura 3 Encaminhamento de Porta

Fonte: LeGauss (2012)

2.7 LOAD BALANCING (BALANCEAMENTO DE CARGA)

O balanceamento de carga torna os servidores altamente disponveis e

adaptveis com a utilizao de dois computadores disponibilizando seus recursos em
conjunto. Para quem utiliza esses servidores o cluster (aglomerado de computadores)
 23

transparente, ou seja, o usurio no percebe que est alternando entre duas

maquinas diferentes. O balanceamento de carga pode oferecer um servio
ininterrupto, j que mesmo com uma mquina falhando a outra mquina pode
continuar oferecendo o servio (TechNet, 2014). A figura 4 mostra como o
balanceamento de carga pode ser feito.

Figura 4 Balanceamento de carga

Fonte: Planeta Tecnologia (2012)
 24

2.8 APRESENTAO DO FIREWALL PFSENSE

O pfSense um software livre customizado da distribuio do FreeBSD, sendo

adaptado para uso como firewall e roteador, que inteiramente gerenciado via
interface WEB. Alm de ser um poderoso firewall, e uma plataforma de roteamento,
ele possui uma variada lista de recursos que podem ser adicionadas atravs de
downloads de pacotes permitindo assim a adio de funcionalidades de acordo com
a necessidade do usurio. O projeto do pfSense comeou em 2004 se diferenciando
de outro projeto o m0n0wall, por ser um projeto para ser instalado completamente em
um pc (PFSENSE, 2014).

Recursos do pfSense:

Firewall;
State Table (Tabela de Estados);
NAT;
Alta Disponibilidade;
Load Balancing (Balanceamento de carga);
VPN;
PPPoE Server;
Reporting e Monitoring (Relatrio e Monitoramento);
Dynamic DNS (DNS Dinmico);
Captive Portal;
DHCP Server and Relay;
 25

3 IMPLANTAO DO FIREWALL PFSENSE

Este captulo apresenta os materiais e os passos da instalao do Firewall

pfSense utilizados na realizao deste trabalho. Os materiais se referem s
ferramentas utilizadas nos testes de laboratrio, para a anlise e comparao dos
resultados. No ser abordada a instalao do sistema operacional Linux Debian,
Linux Ubuntu e Windows 7, utilizados respectivamente para o servidor e as duas
mquinas da LAN.

3.1 MATERIAIS

Para o desenvolvimento dos testes de instalao e configurao do pfSense e

de suas funcionalidades foram utilizadas quatro mquinas virtuais no programa
VirtualBox, duas mquinas como computadores de usurios para anlise de
funcionalidades na LAN, sendo uma mquina instalada com Windows 7 e uma com
Ubuntu, uma mquina como servidor para anlise de funcionalidades na DMZ sendo
instalada com Debian, e uma mquina para instalao e configurao do firewall
pfSense. A mquina que simulou os acessos rede interna vindos da WAN, tanto
para a LAN quanto para a DMZ, foi a prpria mquina fsica onde esto hospedadas
as quatro mquinas virtuais. A topologia da rede consiste na WAN para acesso
internet, na LAN para estaes de trabalho e na DMZ para o servidor WEB, cada rede
em sua interface e conectadas todas diretamente ao firewall pfSense como pode ser
visualizado na figura 5.
 26

Figura 5 Topologia da rede

Fonte: Autoria Prpria

3.2 INSTALAO DO FIREWALL PFSENSE

O pfSense foi instalado em uma mquina virtual com a qual foi testada as
funcionalidades e as configuraes deste firewall juntamente as outras mquinas
virtuais que estaro nas redes LAN e DMZ, tambm com a mquina fsica que simulou
acessos da WAN. A verso do pfSense instalada foi a 2.1 atravs da ISO pfSense-
LiveCD-2.1-RELEASE-i386-20130911-1815.iso.
 27

3.3 CONFIGURAES DE INSTALAO

Na instalao do pfSense foram configuradas as Interfaces da LAN e WAN do

firewall, foi feita a configurao dos endereos IP e o range do DHCP, simulando-se
um gateway em uma rede corporativa de pequeno ou at mesmo mdio porte.

3.3.1 Configurao das interfaces de rede

Ao iniciar o pfSense a tela inicial de configurao mostrada, onde podem ser

visualizadas as placas de rede instaladas, sendo elas em0 e em1, as interfaces
possuem esses nomes devido ao fato do pfSense ser baseado um sistema
operacional FreeBSD, no qual as interfaces possuem determinados nomes de acordo
com seu fabricante. Foi perguntado sobre a configurao das VLANs, como no cabe
em nossa proposta, foi respondido no (n) como pode ser visualizado na figura 22.

Figura 6 VLANs
Fonte: Autoria Prpria
 28

Aps a etapa da configurao de VLAN foi perguntado o nome da interface

WAN. No caso a interface WAN esta em1, a interface que simularia a sada para a
rede externa no servidor do cliente como pode ser visualizado na figura 23.

Figura 7 Interface WAN

Fonte: Autoria Prpria

A interface LAN ser representada por em0. Ser informada essa interface no
momento que for solicitada, como foi demonstrado abaixo na figura 24. Essa interface
representar a interface que pertence a uma das redes internas do nosso cliente.
 29

Figura 8 Interface LAN

Fonte: Autoria Prpria

A terceira interface de rede a qual ir representar a rede DMZ do nosso cliente,

no foi configurada agora, este assunto foi abordado durante a configurao WEB do
nosso firewall, ento no momento a tecla enter pula esta etapa, conforme
demonstrado na figura 25.
 30

Figura 9 Interfaces configuradas

Fonte: Autoria Prpria

Foi mostrada na tela a configurao das Interfaces para confirmao, da

forma como configuramos acima, com em1 representando a sada para a rede
externa e em0 representando uma das redes internas, a figura 26 ilustra a situao
explicada acima, atravs da tecla y que representa a opo yes continua-se o
processo.
 31

Figura 10 Confirmao Interfaces configuradas

Fonte: Autoria Prpria

A configurao foi gravada e ento pode ser continuada a configurao,

conforme mostrado na figura 27.

Figura 11 Gravando as configuraes

Fonte: Autoria Prpria
 32

3.3.2 Configurao do endereamento IP

A configurao dos endereos IP, inicialmente foi feita somente na interface

LAN, onde pode ser escolhido o endereo, a mscara de rede e o gateway, que
simulam o range de endereos da rede interna do cliente, a interface WAN utiliza o
endereo IP cedido pelo servidor DHCP do roteador de acesso a internet, que
simularia um endereo externo da rede com o qual o cliente se conecta com a internet,
este endereo pode tambm ser configurado de maneira fixa atravs de um link
PPPoE ou um endereo fixo fornecido pela operadora, tema que foi abordado na etapa
de configurao WEB do pfSense.

Na tela inicial de configurao, foi escolhido a opo para configurao dos

endereos IP das interfaces com a opo 2 conforme figura 28.

Figura 12 Configurao de IPs

Fonte: Autoria Prpria

Foi selecionado a opo 2 novamente, assim foi configurada a interface

LAN, na qual estaro os computadores da rede interna do usurio como vide figura
29.
 33

Figura 13 Configurar LAN

Fonte: Autoria Prpria

A interface LAN foi configurada com o endereo IP 192.168.1.254, ltimo da

rede 192.168.1.0, utilizada para simular a rede interna do nosso cliente, conforme
demonstrado abaixo.

Figura 14 IP da interface LAN

Fonte: Autoria Prpria
 34

A mscara para o endereo IP da LAN escolhida foi 255.255.255.0 (/24), o

que possibilitou 254 endereos para a rede interna de computadores conforme
demonstrado na figura 31.

Figura 15 Mscara da LAN

Fonte: Autoria Prpria

O Gateway da LAN foi configurado com o endereo da interface da rede LAN

do pfSense, conforme ilustrado na figura 32.
 35

Figura 16 Gateway da LAN

Fonte: Autoria Prpria

Para a proviso de endereos para a rede em que ficaram os hosts do cliente

foi ativado um servidor DHCP. O range de endereos contemplou os endereos de
192.168.1.10 at 192.168.1.220. Os endereos restantes foram utilizados para a
configurao de equipamentos que por ventura no aceitem endereos distribudos
por DHCP, como por exemplo, impressoras, aparelhos de fax, entre outros. Caso haja
necessidade de endereos fixos para hosts eles seriam fixados no servidor, tpico que
ser abordado durante a configurao WEB do pfSense. A figura 33 demonstra a
configurao do DHCP.
 36

Figura 17 DHCP da LAN

Fonte: Autoria Prpria

A configurao dos endereos IP foi concluda. Agora o pfSense j pode ser

acessado pela interface WEB atravs do IP 192.168.1.254 conforme figura 34. Neste
momento o pfSense s pode ser acessado atravs de mquinas da rede LAN.

Figura 18 IP Interface WEB

Fonte: Autoria Prpria
 37

3.4 FUNCIONALIDADES DO PFSENSE

Nesta etapa foi demonstrada as funcionalidades do pfSense atravs de sua

interface de configurao WEB e algumas configuraes em linha de comando. A
interface de gerenciamento WEB proporciona muitas facilidades na configurao e no
gerenciamento de nosso firewall permitindo ao administrador desde a configurao de
interfaces de forma simplificada, at o estudo e verificao de falhas atravs de leitura
de logs do sistema e grficos de utilizao de banda. Como pode ser visualizado na
figura 19, a tela inicial de gerenciamento mostra uma srie de informaes sobre o
firewall, como por exemplo, os estados das interfaces conectadas, os servidores DNS,
tabela de estados, uso de CPU e memria entre outras informaes muito teis para
o administrador de redes encarregado pelo gerenciamento do firewall.

Figura 19 Tela inicial pfSense

Fonte: Autoria Prpria
 38

3.4.1 Interface WEB

A interface WEB do pfSense dividida em abas de configurao de diferentes

tipos de servio, abaixo foi listado detalhadamente cada uma das abas com as
configuraes que so consideradas mais importantes para o desenvolvimento de um
firewall para empresas de pequeno e at mesmo mdio porte.

3.4.2 Configuraes de sistema

Na aba system possvel configurar opes avanadas do firewall, como por

exemplo, o acesso remoto via SSH, que ser tratado com mais detalhes na parte final
deste captulo, alterar a forma de acesso interface WEB utilizando uma conexo
HTTPS, alterar a porta para conexo HTTP/HTTPS, configurar diferentes formas de
otimizao do firewall para links com menor capacidade ou redes com maior latncia.
Pode ser tambm utilizada a tecnologia IPv6, uma nova forma de endereamento IP
mais segura e robusta. Existem vrias configuraes possveis nesta aba de
configurao, porm somente algumas foram utilizadas neste projeto.

3.4.3 Configurao de Interfaces

Na aba interfaces possvel realizar a configurao das interfaces de rede

como o prprio nome sugere, possvel tambm adicionar novas interfaces caso haja
necessidade de ampliar a rede, assim poderamos dividir nossa rede em um nmero
maior de domnios de broadcast, porm esse assunto foge do escopo do trabalho. A
figura 20 demonstra a configurao de uma nova interface de rede que foi utilizada
para configurar a interface DMZ.
 39

Figura 20 Tela Interface DMZ

Fonte: Autoria Prpria

Como pode ser observado na figura 20, possvel realizar algumas

configuraes na interface, a primeira seria a ativao da mesma atravs do checkbox
Enable Interface, logo abaixo a configurao de uma descrio para a interface, o
tipo de endereamento, neste caso IPv4 com configurao esttica, assinalar um novo
endereo MAC, alterar o tamanho dos pacotes que trafegam na interface atravs da
opo de MTU e configurar a velocidade e forma de trfego das informaes na opo
Speed and Duplex. A configurao do endereo de IP encontra-se logo abaixo de
onde configura-se a interface.

3.4.4 Regras de Firewall e NAT

Na aba firewall podem ser configuradas as regras de acesso a rede interna e

quais requisies so possveis de serem efetuadas para a rede externa. Na tela de
configurao das regras possvel verificar que as abas permitem a configurao de
 40

regras dividas por interfaces. Nesta aba tambm so realizadas as configurao de

aliases, que so grupos de hosts, redes ou portas que facilitam a administrao de
regras de acesso e NAT, tema que tambm tratado nesta mesma aba de
configurao, atravs de port forwarding.

Primeiro foi abordada a criao de aliases, dentro da opo tem-se 3 tipos de

agrupamentos que demonstram grupos de endereos IP, portas de rede e URLs, e
existe uma quarta opo que mostra todos os agrupamentos juntos, como pode ser
verificado na figura 21.

Figura 21 Aliases
Fonte: Autoria Prpria

Atravs do boto que contm a letra e, possvel editar o alias e a letra x

exclui o mesmo. Para adicionar novos aliases basta clicar no pequeno + que existe
logo acima.

Ento foi abordada a segunda parte desta aba de configuraes, as regras de

NAT e port forwarding, que se trata de um redirecionamento de portas de conexes
vindo da rede externa para a rede interna. No exemplo, como foi demonstrado na
figura 22, consiste em redirecionar requisies partindo para o endereo IP externo, o
endereo da interface WAN, atravs da porta 80, para um servidor de pgina WEB
dentro da rede, assim acessando o servidor na rede interna.
 41

Figura 22 Port Forwarding

Fonte: Autoria Prpria

As demais formas de NAT, 1:1, outbound e NPt, no foram abordadas nesse

trabalho.

A opo de regras de firewall, so divididas por interfaces, como pode ser

visualizada na figura 23. Foram abordadas somente as regras especficas de nossas
interfaces.

Figura 23 Regras de Firewall

Fonte: Autoria Prpria
 42

Podem ser criadas regras especficas para cada interface, por exemplo, que
endereos da rede local acessem somente determinadas portas, para filtrar, por
exemplo, somente pginas WEB, bloqueando trfego para outros servios. Podem ser
tambm definidas regras que liberem o acesso somente a endereos IP conhecidos
da empresa. As regras podem filtrar o endereo de origem, as portas de origem, os
endereos de destino e as portas de destino, pode ser tambm filtrado o protocolo da
camada de transporte a ser utilizado, TCP ou UDP. Ao criar-se uma regra de NAT,
como foi descrito a pouco, automaticamente o pfSense cria uma regra liberando o
acesso ao servidor para o qual o redirecionamento foi criado.

A ltima parte que foi abordada no trabalho trata dos agendamentos do

pfSense. Esse tipo de funcionalidade pode ser utilizada quando necessita-se que os
funcionrios no tenham determinados acessos durante o horrio comercial, porm
durante o horrio de almoo ou aps o expediente seja permitido que o usurio tenha
acesso a algumas pginas ou servios que em horrio comercial no tenha
possibilidade de usufruir. Pode ser utilizado o agendamento para acessos que possam
ser realizados somente em determinados dias ou horrios do ms, assim impedindo
que usurios acessem determinados servios em horrios errados, como por
exemplo, um servio de ponto.

O pfSense possui servios de traffic shaping e Virtual IPs, que so configurados

nesta mesma aba, porm esses servios no foram abordados nesse projeto.

3.4.5 Servios de Rede

O pfSense possui uma srie de servios de rede que podem ser configurados
dentro deste mesmo servidor, assim facilitando o gerenciamento da rede atravs da
centralizao destes servios. Neste trabalho foram abordados somente os servios
de DHCP server e proxy server.
 43

3.4.6 DHCP Server

O servidor DHCP faz parte do sistema pfSense, ele auxilia na configurao da

rede interna provendo endereos para os hosts da rede. Neste exemplo habilitou-se
o servidor somente na interface LAN. Este servidor possibilita definir o range de
endereos dinmicos que ser distribudo pelo nosso firewall, nesse caso sero os
endereos compreendidos no intervalo de 192.168.1.10 at 192.168.1.220 como foi
demonstrado na figura 24.

Figura 24 Range DHCP

Fonte: Autoria Prpria

Na figura 24 pode ser visualizado que possvel adicionar outros ranges de

endereo para dividir espaos no mesmo pool de endereos para determinadas
funcionalidades. Podem ser configurados servidores WINS e DNS especficos para as
mquinas, o tempo do lease, ou emprstimo de endereo, entre outras
funcionalidades. Pode ser controlado o acesso das mquinas atravs do controle de
endereos MAC, endereo fsico das placas de rede, para que somente mquinas da
rede interna recebam endereos do servidor DHCP.

Caso existam alguns hosts que necessitem receber sempre o mesmo endereo
IP, pode ser fixado o endereo atravs do mapeamento de um endereo IP especfico
para um determinado endereo fsico como pode ser verificado na figura 25.
 44

Figura 25 Mapeamento Fixo DHCP

Fonte: Autoria Prpria

3.4.7 Proxy Server

O pfSense pode operar juntamente com servidor proxy, assim facilitando e

muito o gerenciamento das configuraes. O servidor proxy utilizado por este firewall
o squid, um servidor proxy de cdigo aberto muito utilizado em diversas empresas,
para sua operao necessrio adicionar o pacote atravs da aba de configuraes
vista anteriormente nesse captulo na opo packages. Depois de instalado, o servidor
fica habilitado para operar, podendo ser configurado na aba de servios de rede e
possuir as mesmas funcionalidades de um squid configurado diretamente em um
sistema operacional Linux ou Unix. Como pode ser verificado na figura 26 existem
diversas abas de configurao para o servidor proxy, neste projeto foram abordadas
somente as abas general, cache managment e access control.

Figura 26 Abas Configurao Proxy

Fonte: Autoria Prpria

Foi utilizada a primeira aba para configurar a interface na qual nosso servidor
ir operar, no caso foi a interface LAN, de onde viro mais requisies para acessos
WEB, foi utilizado a opo de proxy transparente para no haver necessidade de
configurao no navegador do host, em proxies transparentes no possvel realizar
a autenticao de usurios para um melhor relatrios de acessos, mas como esse no
o escopo do projeto no foi tratado o assunto em detalhes. So possveis alteraes
 45

de diretrios de log para acesso s informaes do proxy nesta mesma aba. Na

configurao de cache, podem ser realizadas as configuraes de tamanho de cache,
diretrios em que os arquivos sero salvos, formas de substituio de contedo
gravado, informaes que no devem ser salvas para acessos posteriores e um modo
off-line, para que o servidor no valide as informaes em cache, assim diminuindo o
overhead da rede, porm tambm diminuindo a confiabilidade das informaes.

Foi finalizada a configurao do proxy abordando-se os controles de acessos,

atravs destas configuraes possvel configurar subredes que possam realizar
acesso ao proxy, endereos IP irrestritos, os quais as regras do proxy no surtiro
efeito, hosts banidos, listas tanto de endereos permitidos, denominadas whitelists, e
de endereos proibidos, denominadas blacklists. Existem algumas configuraes de
ACLs que no foram abordadas neste projeto.

3.4.8 Configurao de VPNs

O pfSense pode operar como um servidor de VPNs, utilizando as tecnologias

IPsec, L2PT, OpenVPN e PPTP, pelo fato da tecnologia PPTP utilizar algoritmos de
criptografia MS-CHAPv2 e este no ser mais considerado seguro recomendado que
esta no seja utilizada. Esta tecnologia no faz parte do escopo do projeto ento no
foi detalhada a fundo.

3.4.9 Ferramentas de Status

Nesta etapa foi demonstrada as ferramentas de status do pfSense, elas no

foram totalmente descritas, somente as mais importantes para o projeto. A dashboard,
que mostrada na tela inicial do firewall, pode ser acessada atravs do menu com
este nome, nela ficam listadas uma srie de informaes sobre o servidor, a
dashboard pode ser customizada adicionando-se as informaes que julgarem
essenciais, entre elas pode-se citar por exemplo, o status dos gateways, que
demonstra informaes sobre o estado do link, a porcentagem de banda utilizada e o
 46

endereo referente interface, tambm utiliza-se os logs de acesso do firewall, como

demonstrado na figura 27.

Figura 27 Widget com Logs de Firewall

Fonte: Autoria Prpria

Como pode ser verificado, pode ser escolhida a quantidade de registros a ser
exibido, o tipo de regra, seja ela de bloqueio ou permisso, e tambm pode ser
escolhidas as regras de qual interface se deseja verificar, uma ferramenta que facilita
a visualizao dos registros de acesso.

Como diagnstico do servidor DHCP, podem ser verificados todos os leases

realizados pelo servidor atravs da opo DHCP leases. Pode ser verificado tanto
leases que esto ativos no momento como mquinas que esto desligadas. Pode ser
utilizada a opo WakeOnLan para ativar os terminais desligados, tema que no foi
abordado no projeto.

Atravs do menu filter reload podem ser recarregadas as regras do servidor,

em caso de alguma alterao que ainda no tenha sido aplicada automaticamente.

Na opo gateways podem ser verificadas as mesmas informaes que podem

ser visualizadas no widget que foi configurado no dashboard tema tratado
anteriormente neste mesmo captulo.
 47

Os estados das interfaces podem ser visualizados atravs do menu Interfaces,

que lista uma srie de informaes, como podemos verificar na figura 28.

Figura 28 Status da Interface LAN

Fonte: Autoria Prpria

Tambm foi demonstrado, o estado da interface, neste caso up, o endereo

MAC da interface de rede, o endereo IP, neste caso esttico, porm quando atribudo
via DHCP pode-se realizar o release do mesmo atravs desta tela, a mscara de rede
e um endereo IPv6 so mostrados abaixo. Pode ser tambm verificada a velocidade
atribuda interface, a contagem de pacotes, tanto os que chegaram ao destino como
os que foram bloqueados devido a alguma regra de firewall ou erros e o nmero de
colises que ocorreram naquela interface.

No menu RRD Graphs pode ser visto uma srie de grficos do sistema, estes
grficos podem ajudar o administrador do servidor a verificar uma srie de
informaes sobre o status do servidor, como mostrado na figura 29.
 48

Figura 29 Grficos RRD

Fonte: Autoria Prpria

Podem ser visualizados grficos de sistema, que so divididos em uso de CPU,

uso de memria e controle de estados, mostrando ao administrador informaes
referentes ao servidor em si. Podem ser tambm verificados grficos de trfego,
especficos ou no de cada interface, trfego de streams de sada da rede e grficos
de IPsec, uma tecnologia VPN. Grficos de pacote so divididos da mesma forma que
os de trfego, e grficos de qualidades so divididos por interfaces.

No menu system logs podem ser verificados os logs de sistema do pfSense,

ferramenta essencial para resoluo de possveis problemas durante a operao.
Atravs dos logs pode ser identificada a origem dos problemas e criar solues para
os mesmos, na figura 30 podem ser verificadas como so organizados os logs do
sistema pfSense.
 49

Figura 30 Logs do Sistema

Fonte: Autoria Prpria

Podem ser obtidas informaes referentes a praticamente todos os servios em

operao no servidor, desde mensagens do sistema, que envolvem servios rodando
no sistema operacional, informaes de gateways, roteamento e at mesmo wireless,
se este estiver habilitado. Podem ser retiradas informaes referentes s regras de
firewall, desta forma consegue-se verificar que pacotes esto entrando na rede ou
sendo bloqueados, relatrios com informaes sobre o servidor DHCP e uma srie de
outras informaes.

3.4.10 Ferramentas de Diagnstico

Nesta aba de configuraes so encontradas diversas funcionalidades de

diagnstico e outras funes de extrema importncia para uma melhor segurana e
desempenho do firewall. Foram exploradas somente algumas das funcionalidades
desta aba, como por exemplo, backup/restore de configuraes do pfSense, um
prompt de comando para executar comando shell e php, ferramentas de DNS lookup
entre outras. Na figura 31 foram listadas algumas das opes de diagnstico, foram
tratadas todas as opes que podem ajudar um administrador de sistemas a operar
da melhor maneira o firewall.
 50

Figura 31 Ferramentas de diagnstico

Fonte: Autoria Prpria

A opo backup/restore uma opo de segurana extremamente til, ela

serve para realizar o backup de diversas configuraes das funcionalidades do
pfSense. Como pode ser verificado na figura 32, esto listadas as opes de backup
das configuraes.

Figura 32 Backup de Sistema

Fonte: Autoria Prpria
 51

Pode ser realizado o backup de todas as configuraes, de aliases, de regras

de DHCP, regras de firewall, configuraes de interfaces, regras de NAT, opes de
pacotes salvos no sistema, dados obtidos para grficos RRD, tarefas agendadas e at
mesmo informaes de um servidor SNMP rodando dentro do servidor. Aps
selecionada a opo e realizado o backup, gerado um arquivo de configurao com
as informaes especficas, esse arquivo deve ser guardado em local seguro para um
possvel problema e restaurado na opo restore.

A opo de restore funciona de forma inversa ao backup, ao invs de gerar um

arquivo, ser selecionado o arquivo que contem os dados salvos, depois selecionada
a opo a qual o arquivo faz parte e ento sero restauradas as configuraes.
necessrio ter cuidado ao restaurar essas informaes pois as configuraes atuais
sero sobrescritas, assim perdendo-se regras que podem no estar salvas nos
backups atuais.

A opo command prompt serve para utilizar comandos em um shell Linux ou

comandos PHP para algumas funcionalidades especficas. Esta opo no tem
suporte por parte do pfSense, ento deve ser utilizada somente por usurios que
tenham o devido conhecimento nessas linguagens de programao.

Podem ser resolvidos nomes ou endereos IP atravs da opo DNSlookup,

ferramenta muito til para verificao de problemas com servidores DNS ou para
encontrar nomes de hosts ou endereos atravs de nomes como pode ser verificado
na figura 33.

Figura 33 DNSlookup
Fonte: Autoria Prpria
 52

Ao tentar resolver o nome de uma pgina como o google por exemplo, o lookup
resolve o nome e mostra os endereos associados que podem ser utilizados para
acessar esta pagina.

possvel efetuar a reinicializao do pfSense atravs da opo reboot ou

realizar o desligamento da mquina atravs da opo halt. Tambm podem ser
apagadas as configuraes efetuadas no pfSense retornado aos valores padres do
firewall atravs da opo factory defaults.

Atravs da opo packet capture pode ser realizada a captura de pacotes de

uma determinada interface. possvel filtrar a quantidade de pacotes, a porta pela
qual os pacotes esto trafegando, o tamanho dos pacotes, o protocolo da camada de
transporte sendo utilizado e filtrar entre pacotes IPv4 e IPv6. Isto ajuda o administrador
a verificar se existem alguns pacotes que no deveriam estar trafegando na rede.

Por ltimo foi tratada a opo traceroute do pfSense, que funciona igual ao
comando traceroute do Linux ou tracert do Windows. Este comando tem a finalidade
de descobrir o caminho que o pacote est fazendo para chegar ao destino, desta
forma consegue-se encontrar pontos de falha no trajeto do pacote. Isto possvel da
seguinte maneira, executado um comando de ping para cada roteador no caminho
do pacote e a cada hop no caminho recebida uma confirmao, ento impresso o
nome do roteador, assim quando no houver resposta de determinado roteador
consegue-se diagnosticar onde est o problema.

3.4.11 Acesso SSH

Alm do acesso WEB, possvel realizar o acesso ao pfSense pela sua

interface de gerenciamento via linhas de comando, por acesso remoto atravs de
conexes SSH como demonstrado na figura 34.
 53

Figura 34 Acesso SSH

Fonte: Autoria Prpria

Na figura 34, foi realizado o acesso ao servidor atravs de uma conexo SSH
vinda de um dos hosts da rede interna com o sistema operacional Linux, importante
salientar que somente computador com sistemas operacionais Unix based, como Mac
OS e Linux possuem conexes SSH em seu sistema operacional por padro, para
realizar esse tipo de conexo em computadores com Windows necessrio um
software adicional. O acesso via SSH permite que o administrador acesse ao servidor
exatamente como se estivesse em frente ao servidor com um monitor conectado ao
mesmo. Atravs desse tipo de acesso pode ser realizada uma srie de operaes de
administrao que foram descritas a seguir.

A primeira opo serve para realizar logout, podem ser assinaladas interfaces
para dividir nossa rede em novas subredes, configurao dos endereos IP das
interfaces assinaladas, alterao de senha do administrador de acesso WEB, retorno
as configuraes padro do firewall, reinicializao do sistema, desligamento do
sistema, realizao de ping para outros hosts para verificao de disponibilidade, uma
opo para acesso ao shell do servidor e acesso as funcionalidades do sistema
 54

operacional FreeBSD do nosso servidor, a ferramenta pfTop utilizada para verificar

conexes e estados, logs dos filtros do firewall, opo para reinicializao da interface
de configurao WEB, acesso a um shell do pfSense no qual possvel realizar alguns
comandos como desativar o DHCP e SSH, realizar o upgrade de verso do sistema,
desativar o acesso remoto via SSH e realizar o restore de configuraes recentes.

3.5 CONFIGURAES DA SIMULAO DE REDE

Neste tpico foram abordadas as configuraes que foram realizadas na

simulao de rede para o cliente, foram demonstradas configuraes de servios
como regras de firewall, redirecionamentos NAT, finalizao da configurao do
servidor DHCP fixando endereos para determinados hosts para exemplificar essa
funcionalidade, configurao de um servidor proxy e demonstrao de logs de alguns
tipos de servio de modo exemplificar como funcionaria esse servidor.

3.5.1 Configuraes gerais do pfSense

Primeiramente foi configurada a forma de acesso WEB, atravs da aba opo

advanced na aba system para acessar via HTTP pela porta 8080 para a no utilizao
da porta padro, assim a porta 80 do servidor poderia ser utilizada para outra
aplicao caso fosse necessrio, porm isso no foi abordado no projeto, logo aps
na mesma tela de configuraes foi habilitado o acesso SSH ao servidor atravs da
opo enable secure shell e mantida a porta padro 22 deixando em branco a opo
SSH port. As figuras 35 e 36 demonstram essas configuraes com mais clareza.
 55

Figura 35 Configurao de acesso WEB

Fonte: Autoria Prpria

Figura 36 Habilitando o acesso SSH

Fonte: Autoria Prpria

Aps esta primeira etapa foi instalado o pacote do servidor proxy atravs da
opo packages desta mesma aba. Dentro da aba necessrio pesquisar pelo nome
do pacote, neste caso ser o servidor squid, um famoso servio de proxy opensource
baseado em sistemas Unix-like, aps encontrado o pacote solicitado na lista de
opes de pacotes clicamos na opo de adicionar que fica do lado direito do pacote,
ento o sistema pergunta se realmente se deseja instalar e ento clica-se em sim para
continuar, ento o sistema realiza o download e instala o pacote automaticamente em
uma nova aba chamada packet installer, aps finalizada a instalao demonstrado
que o pacote j foi instalado. Neste trabalho foi instalado tambm o pacote
Bandwidthd, uma ferramenta para verificar o status do firewall. A figura 37 demonstra
o pacote instalado.
 56

Figura 37 Instalao de pacote finalizada

Fonte: Autoria Prpria

Os pacotes j instalados so listados na aba installed packages e atravs dessa

aba eles podem ser reinstalados ou excluidos, somente o pacote, ou todos seus
componentes.

3.5.2 Configurao de interfaces

As configuraes inicias de interfaces j foram realizadas logo aps a

instalao do firewall pfSense, nesta etapa realizamos a configurao da interface
DMZ na qual esto localizados os servios utilizados pelo cliente, estes servios esto
hospedados em no servidor Linux que utiliza sistema operacional Debian.

A interface DMZ inicialmente era nomeada OPT1, pode ser acessada atravs
da aba de configurao de interfaces, aps acessada a tela de configuraes de
interface pode ser habilitada a interface atravs da opo enable interface e
configurado seu nome, nesse caso DMZ. Aps estas configuraes iniciais foi
realizada a configurao do endereo IP desta interface, que ser o gateway desta
mesma rede. O endereo atribudo foi 192.168.2.254 referente rede 192.168.2.0/24
no campo IPv4 address. As figuras 38 e 39 ilustram as duas configuraes explicadas
acima.
 57

Figura 38 Habilitando interface DMZ e configurando descrio

Fonte: Autoria Prpria

Figura 39 Habilitando interface DMZ e configurando IP

Fonte: Autoria Prpria

3.5.3 Configurao de regras de Firewall e NAT

Nesta etapa foram configurados os aliases, regras de NAT, regras de firewall e

regras de agenda ou schedules.

Foi iniciada a configurao pelos aliases, que nada mais so do que nomes
dados a agrupamentos de endereos e portas de redes. Foram agrupados endereos
de IP da LAN, os dois endereos que simulam as mquinas da rede, o servidor Debian
Linux de nossa rede DMZ e tambm foi separado as 2 mquinas da rede LAN de
forma a interpret-las como nomes e no como endereo, assim facilitando o
entendimento e compreenso das regras de firewall e NAT. Os agrupamentos de
portas criados foram divididos em TCP_ports, que so as portas que os hosts podem
acessar para a rede externa, e Debian_ports as portas de acesso ao servidor Debian
Linux. Na figura 40 pode ser visualizada essa configurao.
 58

Figura 40 Aliases
Fonte: Autoria Prpria

Foi explicado tambm os redirecionamentos de NAT criados para simular o

ambiente de um cliente. Esses redirecionamentos ficam divididos em abas dentro da
opo NAT conforme explicado no captulo anterior, no exemplo foi realizada a
configurao de dois redirecionamentos, um utilizado para acessar o servidor Debian
atravs da porta HTTP, assim possibilitando o acesso ao servio WEB no servidor, e
outro redirecionamento da porta 222 para a porta SSH, pois assim possvel realizar
acesso SSH externo tanto ao servidor Debian, pela porta 222 como para o firewall
pfSense atravs da porta padro do SSH. A figura 41 demonstra como foram
configuradas as regras de redirecionamento no projeto.

Figura 41 Redirecionamentos
Fonte: Autoria Prpria

Depois de configurado o NAT, foram configuradas as regras de firewall do

servidor atravs da opo rules da aba firewall. Inicialmente foi percebido que foram
criadas regras automaticamente para os redirecionamentos NAT, assim evitando que
 59

apesar de realizado o redirecionamento, que o pacote seja bloqueado por uma regra
de proibio. As regras so divididas por interface como foi demonstrado no captulo
anterior, na figura 42 esto as regras que foram criadas no projeto na interface WAN.

Figura 42 Regras interface WAN

Fonte: Autoria Prpria

A primeira regra que pode ser observada na figura 44 a liberao NAT, regra
criada automaticamente conforme informado a pouco, a segunda regra representa a
liberao de acesso interface WEB do pfSense da rede externa, a terceira regra
um regra utilizada para liberao das portas TCP para a rede LAN, essa regra tambm
demonstra uma forma de utilizao dos aliases demonstrada a pouco neste captulo,
as duas prximas regras representam uma liberao de SSH para a regra de NAT e
uma liberao para acesso SSH vindo da internet para o servidor pfSense e a ltima
regra probe o acesso de qualquer coisa que venha da internet para a rede interna,
como as regras so ordenadas, tudo o que no esteja compreendido nas regras acima
ser bloqueado.

Na figura 43 esto listadas as regras da interface LAN.

 60

Figura 43 Regras interface LAN

Fonte: Autoria Prpria

A primeira regra da figura 43 uma regra automtica do pfSense, uma regra

para que a rede LAN no seja excluda do acesso, ela pode ser desabilitada atravs
da opo advanced, no mesmo lugar onde pode ser configurada a forma de acesso e
o acesso SSH ao servidor. A segunda regra uma regra de acesso a algum servio
que possa ser utilizado da rede interna atravs de uma porta que no est nas portas
liberadas no servidor Debian Linux, pode ser um servio de ponto por exemplo. A
terceira regra a liberao de acesso da rede local para qualquer lugar atravs das
portas que foram consideradas necessrias, conforme citado no tpico sobre aliases.
A ltima regra bloqueia todos os acessos no liberados nas regras acima, da mesma
forma que na interface WAN.

Por finalizar esse tpico foram abordadas as configuraes de schedules

(agendamentos) ou horrios especficos. No projeto foi criado somente um schedule
para horrio de expediente, com essa regra, por exemplo, pode ser limitada a conexo
HTTP externa somente para horrio de almoo ou limitar qualquer outro tipo de
servio. O agendamento foi configurado na opo schedule e selecionado durante a
criao das regras de firewall atravs da opo schedules. Na figura 44 esto
demonstradas como ficam listados os horrios programados ou schedules na opo
com o mesmo nome, aqui esto listados o nome do schedule, os horrios
compreendidos nele, note que eles so divididos em opes, podem ser divididos da
forma como o administrador preferir.
 61

Figura 44 Schedules
Fonte: Autoria Prpria

3.5.4 Servidor DHCP

Neste tpico foi mostrado como foi configurado o servidor DHCP no projeto. As
configuraes iniciais foram realizadas logo aps a instalao do firewall como
demonstrado anteriormente neste trabalho, agora foram abordadas as configuraes
atravs da interface WEB, onde podem ser configurados os hosts que sero fixados
para sempre receberem o mesmo endereo, foi demonstrado que o DHCP pode ser
configurado em outras interfaces, entre outras funcionalidades. As figuras 45 e 46
demonstram a configurao realizada no servidor DHCP.

Figura 45 Configurao range DHCP

Fonte: Autoria Prpria

Figura 46 Mapeamento esttico de endereos IP

Fonte: Autoria Prpria
 62

Pode ser observado que na rede LAN o DHCP est habilitado atravs da opo
enable DHCP server on Lan interface, e seu range para emprstimo de endereos vai
do endereo 192.168.1.10 at 192.168.1.240. Para ilustrar como feito o
mapeamento esttico foram mapeadas as duas mquinas que representam os hosts
da rede LAN, uma a mquina com Windows 7 e outra a mquina com Ubuntu.

3.5.5 Servidor Proxy

Para finalizar as configuraes da rede, foi configurado um servidor proxy para

realizar funes de filtragem de acesso WEB e para realizar cache de pginas WEB.
As figuras 47 e 48 ilustram as configuraes aplicadas no firewall.

Figura 47 Configuraes gerais proxy

Fonte: Autoria Prpria
 63

Figura 48 Configuraes acesso proxy

Fonte: Autoria Prpria

A figura 47 ilustra as configuraes bsicas do servidor proxy, tais como a

interface na qual o proxy foi habilitado, no exemplo foi a interface LAN. No projeto foi
utilizada a porta 3128, a padro de servidores proxy e foi habilitado o proxy para ser
transparente ao usurio, no necessitando de nenhuma configurao no navegador,
isso facilitou muito a configurao da rede porm impediu de configurar autenticao.

Na figura 48 podem ser visualizadas as configuraes de acesso WEB do

servidor, foi configurado um host banido para propsitos de demonstrao, uma
whitelist com alguns hosts de acesso liberado, nesse tipo de lista so inseridos
endereos WEB que podem ser acessados sem a filtragem do proxy. Foi tambm
configurada uma blacklist, que contm endereos que sero bloqueados pelo proxy,
representa o contrrio da whitelist.

Nas configuraes de cache de pginas WEB foram mantidos os valores

padres, como ilustra a figura 49. Em caso de necessidade de alteraes para
determinadas demandas possvel acessar o manual do servidor proxy squid para
mais informaes.
 64

Figura 49 Configuraes cache

Fonte: Autoria Prpria
 65

4 CONSIDERAES FINAIS

Neste projeto foi colocado em prtica uma srie de aprendizados adquiridos

durante o curso em diversas matrias, foram mais utilizados os conhecimentos de
redes de computadores adquiridos de disciplinas como redes de acesso, redes de
longa distncia, comunicao de dados, gerncia e programao de redes, entre
outras.

O projeto do firewall pfSense foi muito til para a aplicao de uma srie de
conhecimentos na montagem de um projeto de utilidade profissional. Com os estudos
investidos sobre a ferramenta foi descoberto que o pfSense pode ser mais do que
uma soluo de firewall para uma pequena empresa, mas sim uma soluo de
gerncia de redes com diversas funes como servidor DHCP e proxy integrado, alm
de possuir uma fcil interface de gerenciamento e manuteno atravs de telas de
status e debugging. Pelo valor que teria de ser investido na tecnologia o pfSense seria
uma excelente soluo para pequenas e at em alguns casos para mdias empresas.
Com isso pode ser concludo que o projeto do firewall pfSense vivel e a melhor
soluo Open Source pesquisada pela equipe atendendo a demanda por segurana
e assim o objetivo deste trabalho.
 66

REFERNCIAS

CAMY, Alexandre Rosa; Silva, Evandro R. N.; RIGUI, Rafael. Seminrio de firewalls.
2003. 27 f. Seminrio Curso de Ps-Graduao em Cincia da Computao, UFSC,
Florianpolis.

INTELBRAS. Redirecionamento de Portas. Disponvel em: <

http://www.intelbras.com.br/simuladores/wig240/portfw.html >. Acesso em: 25 abr.
2014.

ISO/IEC 27000. Norma ISO/IEC 27000. Disponvel em: www.iso27000.com.br.

Acesso em: 01 nov. 2013.

LEGAUSS. SSH - Dicas, truques e um tutorial sobre o protocolo. Disponvel em:

< http://legauss.blogspot.com.br/2012/07/ssh-dicas-truques-e-um-tutorial-sobre-
o.html >. Acesso em: 25 abr. 2014.

PFSENSE. pfSense. Disponvel em: < www.pfsense.org.br >. Acesso em: 28 out.
2013.

PLANETA TECNOLOGIA. Configurando elastic load balancing amazona web-

services. Disponvel em: < http://planetatecnologia.com/wp-
content/uploads/2012/01/elastic-load-balancer-cenario-1.png > Acesso em: 30 jul.
2014.

STATO FILHO, Andr. Linux Controle de Redes. 1 ed. Florianpolis: Editores

Visuais Books, 2009.

TANENBAUM, Andrew S. Redes de Computadores. 4 ed. Rio de Janeiro: Elsevier,

2003.

TECHNET. Como funciona o balanceamento de carga de rede. Disponvel em: <

http://technet.microsoft.com/pt-br/library/cc738894%28v=ws.10%29.aspx >. Acesso
em: 29 abr. 2014.

TELECO. Endereamento IP. Disponvel em: < http://www.teleco.com.br/ip.asp >.

Acesso em: 25 abr. 2014.