CURITIBA
2014
FILIPE CAMPOS DAS NEVES
LEONARDO ALVES MACHADO
RODRIGO DA FONTOURA CENTENARO
CURITIBA
2014
TERMO DE APROVAO
______________________________
Prof. Dr. Luis Carlos Vieira
Coordenador de Curso
Departamento Acadmico de Eletrnica
______________________________
Prof. Esp. Srgio Moribe
Responsvel pela Atividade de Trabalho de Concluso de Curso
Departamento Acadmico de Eletrnica
BANCA EXAMINADORA
_____________________________ __________________________
Prof. Dr. Kleber Kendy Horikawa Nabas Prof. MsC. Lincoln Herbert Teixeira
UTFPR UTFPR
___________________________
Prof. Dr. Augusto Foronda
Orientador - UTFPR
A Deus por ter nos dado sade e fora para superar as dificuldades.
Ao nosso orientador Prof. Dr. Augusto Foronda, pelo suporte e dedicao
prestados, pelas suas correes e incentivos, e por meio dele nos reportamos a toda
comunidade da Universidade Tecnolgica Federal do Paran (UTFPR) pelo apoio
oferecido.
Aos nossos pais e familiares, pelo amor e incentivo incondicional, pois
acreditamos que sem o apoio deles seria muito difcil vencer esse desafio.
E a todos que diretamente ou indiretamente fizeram parte da nossa formao,
o nosso muito obrigado.
RESUMO
This work presents research and applications necessary for implementing a Firewall
in an open source software called pfSense in companies that have less revenue to
spending in the area of security, but still need the security of your data either internally
or even to external environment. This application is necessary due to the great
development of the corporate communications market that brought with it malicious
people that make use of mechanisms for the theft of information or even services and
products. This document contains the result of the implementation of the pfSense
Firewall set to meet the demand of companies using security mechanisms to prevent
attacks and information theft.
1 INTRODUO ....................................................................................................... 11
1.1 PROBLEMA ........................................................................................................ 11
1.2 JUSTIFICATIVA .................................................................................................. 12
1.3 OBJETIVOS ........................................................................................................ 13
1.3.1 Geral................................................................................................................. 13
1.3.2 Objetivos Especficos ....................................................................................... 13
1.4 PROCEDIMENTOS METODOLGICOS ............................................................ 13
2 FUNDAMENTAO TERICA ............................................................................. 15
2.1 TIPOS DE FIREWALL ......................................................................................... 17
2.2 ARQUITETURAS DE IMPLANTAO DE FIREWALL ....................................... 18
2.3 DHCP (DYNAMIC HOST CONFIGURATION PROTOCOL) ............................... 19
2.4 DNS (DOMAIN NAME SYSTEM) ........................................................................ 20
2.5 NAT (NETWORK ADDRESS TRANSLATION) ................................................... 20
2.6 PORT FORWARDING (ENCAMINHAMENTO DE PORTA)................................ 22
2.7 LOAD BALANCING (BALANCEAMENTO DE CARGA) ...................................... 22
2.8 APRESENTAO DO FIREWALL PFSENSE .................................................... 24
3 IMPLANTAO DO FIREWALL PFSENSE ......................................................... 25
3.1 MATERIAIS ......................................................................................................... 25
3.2 INSTALAO DO FIREWALL PFSENSE ........................................................... 26
3.3 CONFIGURAES DE INSTALAO ............................................................... 27
3.3.1 Configurao das interfaces de rede ................................................................ 27
3.3.2 Configurao do endereamento IP ................................................................. 32
3.4 FUNCIONALIDADES DO PFSENSE .................................................................. 37
3.4.1 Interface WEB .................................................................................................. 38
3.4.2 Configuraes de sistema ................................................................................ 38
3.4.3 Configurao de Interfaces .............................................................................. 38
3.4.4 Regras de Firewall e NAT ................................................................................ 39
3.4.5 Servios de Rede ............................................................................................. 42
3.4.6 DHCP Server .................................................................................................... 43
3.4.7 Proxy Server ..................................................................................................... 44
3.4.8 Configurao de VPNs ..................................................................................... 45
3.4.9 Ferramentas de Status ..................................................................................... 45
3.4.10 Ferramentas de Diagnstico .......................................................................... 49
3.4.11 Acesso SSH ................................................................................................... 52
3.5 CONFIGURAES DA SIMULAO DE REDE ................................................ 54
3.5.1 Configuraes gerais do pfSense .................................................................... 54
3.5.2 Configurao de interfaces............................................................................... 56
3.5.3 Configurao de regras de Firewall e NAT....................................................... 57
3.5.4 Servidor DHCP ................................................................................................. 61
3.5.5 Servidor Proxy .................................................................................................. 62
4 CONSIDERAES FINAIS ................................................................................... 65
REFERNCIAS ......................................................................................................... 66
11
1 INTRODUO
1.1 PROBLEMA
1.2 JUSTIFICATIVA
Com base das informaes colhidas acima, foi proposta uma soluo de firewall
aconselhado para pequenas empresas que no possuam muita verba para
investimento na rea de segurana da informao. Apesar de ser uma soluo
baseada em software livre, a ferramenta possui muitos recursos e apresenta grande
grau de segurana a um custo mais acessvel.
Este projeto visa implantao de um firewall pfSense, para expor servios como:
Filtragem de origem e destino IP, protocolo IP, portas de origem e destino para
trfegos de protocolos UDP e TCP;
Habilidade de limitar atravs de uma poltica de regras, conexes simultneas;
Opo de realizar ou no os relatrios baseados somente em regras
selecionadas;
Habilidade de criao de grupos de endereos, redes e portas visando
facilidade de gerenciamento e a clareza das regras criadas;
Capacidade de gerenciamento de tabela de estados;
Interface WEB de extrema facilidade de gerenciamento;
13
1.3 OBJETIVOS
1.3.1 Geral
A implantao do projeto ser guiada por manuais, normas, e guias que tratem
do tema.
O projeto ser desenvolvido em quatro etapas, na primeira etapa ser realizado
uma contextualizao sobre o tema segurana e mostradas as motivaes que
levaram ao desenvolvimento do firewall, ser apresentado a importncia, seus
principais conceitos e os principais equipamentos utilizados no mercado.
Na segunda parte do projeto, ser apresentada a tecnologia pfSense, suas
funes, configuraes e maneiras de implantao. Esse estudo ser guiado por
14
apostilas, livros de estudo e o prprio site do pfSense, que oferece grande quantidade
de informaes e detalhes da soluo.
Em sua terceira parte, ser realizada uma simulao que demonstrar na
prtica o funcionamento do firewall e os principais atributos necessrios para a
implantao dessa tecnologia.
A ltima etapa visa vincular o conhecimento obtido nas simulaes ao
conhecimento terico, para demonstrar os reais benefcios desta tecnologia.
15
2 FUNDAMENTAO TERICA
Com base neste contexto, foi desenvolvido uma das formas para mitigar esses
ataques, o firewall, que realiza controle de acessos devidos a uma determinada rede.
possvel interpretar um firewall fazendo uma analogia com a forma mais antiga de
segurana medieval, criar um fosso ao redor de um castelo e forar todos que
quiserem entrar a passar por uma ponte levadia, nessa analogia, o firewall seria a
ponte levadia, a nica porta de entrada de uma rede (TANENBAUM, 2003).
O conceito de firewall comeou a ser utilizado no final da dcada de 80, quando
somente roteadores separavam pequenas redes corporativas. Desta forma, as redes
poderiam instalar seus aplicativos da forma como lhes fosse conveniente sem que as
demais redes fossem prejudicadas por lentides.
Os primeiros firewalls a trabalharem com segurana de redes surgiram no incio
dos anos 90. Consistiam de mecanismos que com pequenos conjuntos de regras
como, por exemplo: Algum da rede A pode fazer acesso rede B, porm a rede C
no pode realizar acessos rede A e B. Eram mecanismos bastante efetivos, porm
extremamente limitados. A segunda gerao de firewalls utilizava filtros, pacotes e
aplicativos, alm de trazer uma interface de gerenciamento de regras, um grande salto
evolutivo.
Em 1994, a Check Point lanou o produto chamado Firewall-1, introduzindo
uma amigvel interface grfica de gerenciamento, que continha cores, mouse e
ambiente grfico X11 simplificando a instalao e a administrao dos firewalls.
17
DMZ e o firewall interno deve permitir requisies apenas aos usurios da rede
interna (Stato Filho, 2009, p.37).
Existem mais possibilidades de arquiteturas e uma flexibilidade no modo de
configurao, devem ser avaliados os requisitos de proteo e de oramento para
poder atender as necessidades de proteo da rede em questo.
de endereos IP que podem ser utilizadas para trafego interno, porm no podem ser
utilizadas para o trafego na internet (TANENBAUM, 2003). A Tabela 1 apresenta os
endereos privativos e suas classes.
Endereo IP
Incio 1 0 0 0
Mscara 255 0 0 0
Incio 128 0 0 0
Incio 192 0 0 0
Recursos do pfSense:
Firewall;
State Table (Tabela de Estados);
NAT;
Alta Disponibilidade;
Load Balancing (Balanceamento de carga);
VPN;
PPPoE Server;
Reporting e Monitoring (Relatrio e Monitoramento);
Dynamic DNS (DNS Dinmico);
Captive Portal;
DHCP Server and Relay;
25
3.1 MATERIAIS
O pfSense foi instalado em uma mquina virtual com a qual foi testada as
funcionalidades e as configuraes deste firewall juntamente as outras mquinas
virtuais que estaro nas redes LAN e DMZ, tambm com a mquina fsica que simulou
acessos da WAN. A verso do pfSense instalada foi a 2.1 atravs da ISO pfSense-
LiveCD-2.1-RELEASE-i386-20130911-1815.iso.
27
Figura 6 VLANs
Fonte: Autoria Prpria
28
A interface LAN ser representada por em0. Ser informada essa interface no
momento que for solicitada, como foi demonstrado abaixo na figura 24. Essa interface
representar a interface que pertence a uma das redes internas do nosso cliente.
29
Figura 21 Aliases
Fonte: Autoria Prpria
Podem ser criadas regras especficas para cada interface, por exemplo, que
endereos da rede local acessem somente determinadas portas, para filtrar, por
exemplo, somente pginas WEB, bloqueando trfego para outros servios. Podem ser
tambm definidas regras que liberem o acesso somente a endereos IP conhecidos
da empresa. As regras podem filtrar o endereo de origem, as portas de origem, os
endereos de destino e as portas de destino, pode ser tambm filtrado o protocolo da
camada de transporte a ser utilizado, TCP ou UDP. Ao criar-se uma regra de NAT,
como foi descrito a pouco, automaticamente o pfSense cria uma regra liberando o
acesso ao servidor para o qual o redirecionamento foi criado.
O pfSense possui uma srie de servios de rede que podem ser configurados
dentro deste mesmo servidor, assim facilitando o gerenciamento da rede atravs da
centralizao destes servios. Neste trabalho foram abordados somente os servios
de DHCP server e proxy server.
43
Caso existam alguns hosts que necessitem receber sempre o mesmo endereo
IP, pode ser fixado o endereo atravs do mapeamento de um endereo IP especfico
para um determinado endereo fsico como pode ser verificado na figura 25.
44
Foi utilizada a primeira aba para configurar a interface na qual nosso servidor
ir operar, no caso foi a interface LAN, de onde viro mais requisies para acessos
WEB, foi utilizado a opo de proxy transparente para no haver necessidade de
configurao no navegador do host, em proxies transparentes no possvel realizar
a autenticao de usurios para um melhor relatrios de acessos, mas como esse no
o escopo do projeto no foi tratado o assunto em detalhes. So possveis alteraes
45
Como pode ser verificado, pode ser escolhida a quantidade de registros a ser
exibido, o tipo de regra, seja ela de bloqueio ou permisso, e tambm pode ser
escolhidas as regras de qual interface se deseja verificar, uma ferramenta que facilita
a visualizao dos registros de acesso.
No menu RRD Graphs pode ser visto uma srie de grficos do sistema, estes
grficos podem ajudar o administrador do servidor a verificar uma srie de
informaes sobre o status do servidor, como mostrado na figura 29.
48
Figura 33 DNSlookup
Fonte: Autoria Prpria
52
Ao tentar resolver o nome de uma pgina como o google por exemplo, o lookup
resolve o nome e mostra os endereos associados que podem ser utilizados para
acessar esta pagina.
Por ltimo foi tratada a opo traceroute do pfSense, que funciona igual ao
comando traceroute do Linux ou tracert do Windows. Este comando tem a finalidade
de descobrir o caminho que o pacote est fazendo para chegar ao destino, desta
forma consegue-se encontrar pontos de falha no trajeto do pacote. Isto possvel da
seguinte maneira, executado um comando de ping para cada roteador no caminho
do pacote e a cada hop no caminho recebida uma confirmao, ento impresso o
nome do roteador, assim quando no houver resposta de determinado roteador
consegue-se diagnosticar onde est o problema.
Na figura 34, foi realizado o acesso ao servidor atravs de uma conexo SSH
vinda de um dos hosts da rede interna com o sistema operacional Linux, importante
salientar que somente computador com sistemas operacionais Unix based, como Mac
OS e Linux possuem conexes SSH em seu sistema operacional por padro, para
realizar esse tipo de conexo em computadores com Windows necessrio um
software adicional. O acesso via SSH permite que o administrador acesse ao servidor
exatamente como se estivesse em frente ao servidor com um monitor conectado ao
mesmo. Atravs desse tipo de acesso pode ser realizada uma srie de operaes de
administrao que foram descritas a seguir.
A primeira opo serve para realizar logout, podem ser assinaladas interfaces
para dividir nossa rede em novas subredes, configurao dos endereos IP das
interfaces assinaladas, alterao de senha do administrador de acesso WEB, retorno
as configuraes padro do firewall, reinicializao do sistema, desligamento do
sistema, realizao de ping para outros hosts para verificao de disponibilidade, uma
opo para acesso ao shell do servidor e acesso as funcionalidades do sistema
54
Aps esta primeira etapa foi instalado o pacote do servidor proxy atravs da
opo packages desta mesma aba. Dentro da aba necessrio pesquisar pelo nome
do pacote, neste caso ser o servidor squid, um famoso servio de proxy opensource
baseado em sistemas Unix-like, aps encontrado o pacote solicitado na lista de
opes de pacotes clicamos na opo de adicionar que fica do lado direito do pacote,
ento o sistema pergunta se realmente se deseja instalar e ento clica-se em sim para
continuar, ento o sistema realiza o download e instala o pacote automaticamente em
uma nova aba chamada packet installer, aps finalizada a instalao demonstrado
que o pacote j foi instalado. Neste trabalho foi instalado tambm o pacote
Bandwidthd, uma ferramenta para verificar o status do firewall. A figura 37 demonstra
o pacote instalado.
56
A interface DMZ inicialmente era nomeada OPT1, pode ser acessada atravs
da aba de configurao de interfaces, aps acessada a tela de configuraes de
interface pode ser habilitada a interface atravs da opo enable interface e
configurado seu nome, nesse caso DMZ. Aps estas configuraes iniciais foi
realizada a configurao do endereo IP desta interface, que ser o gateway desta
mesma rede. O endereo atribudo foi 192.168.2.254 referente rede 192.168.2.0/24
no campo IPv4 address. As figuras 38 e 39 ilustram as duas configuraes explicadas
acima.
57
Foi iniciada a configurao pelos aliases, que nada mais so do que nomes
dados a agrupamentos de endereos e portas de redes. Foram agrupados endereos
de IP da LAN, os dois endereos que simulam as mquinas da rede, o servidor Debian
Linux de nossa rede DMZ e tambm foi separado as 2 mquinas da rede LAN de
forma a interpret-las como nomes e no como endereo, assim facilitando o
entendimento e compreenso das regras de firewall e NAT. Os agrupamentos de
portas criados foram divididos em TCP_ports, que so as portas que os hosts podem
acessar para a rede externa, e Debian_ports as portas de acesso ao servidor Debian
Linux. Na figura 40 pode ser visualizada essa configurao.
58
Figura 40 Aliases
Fonte: Autoria Prpria
Figura 41 Redirecionamentos
Fonte: Autoria Prpria
apesar de realizado o redirecionamento, que o pacote seja bloqueado por uma regra
de proibio. As regras so divididas por interface como foi demonstrado no captulo
anterior, na figura 42 esto as regras que foram criadas no projeto na interface WAN.
A primeira regra que pode ser observada na figura 44 a liberao NAT, regra
criada automaticamente conforme informado a pouco, a segunda regra representa a
liberao de acesso interface WEB do pfSense da rede externa, a terceira regra
um regra utilizada para liberao das portas TCP para a rede LAN, essa regra tambm
demonstra uma forma de utilizao dos aliases demonstrada a pouco neste captulo,
as duas prximas regras representam uma liberao de SSH para a regra de NAT e
uma liberao para acesso SSH vindo da internet para o servidor pfSense e a ltima
regra probe o acesso de qualquer coisa que venha da internet para a rede interna,
como as regras so ordenadas, tudo o que no esteja compreendido nas regras acima
ser bloqueado.
Figura 44 Schedules
Fonte: Autoria Prpria
Neste tpico foi mostrado como foi configurado o servidor DHCP no projeto. As
configuraes iniciais foram realizadas logo aps a instalao do firewall como
demonstrado anteriormente neste trabalho, agora foram abordadas as configuraes
atravs da interface WEB, onde podem ser configurados os hosts que sero fixados
para sempre receberem o mesmo endereo, foi demonstrado que o DHCP pode ser
configurado em outras interfaces, entre outras funcionalidades. As figuras 45 e 46
demonstram a configurao realizada no servidor DHCP.
Pode ser observado que na rede LAN o DHCP est habilitado atravs da opo
enable DHCP server on Lan interface, e seu range para emprstimo de endereos vai
do endereo 192.168.1.10 at 192.168.1.240. Para ilustrar como feito o
mapeamento esttico foram mapeadas as duas mquinas que representam os hosts
da rede LAN, uma a mquina com Windows 7 e outra a mquina com Ubuntu.
4 CONSIDERAES FINAIS
O projeto do firewall pfSense foi muito til para a aplicao de uma srie de
conhecimentos na montagem de um projeto de utilidade profissional. Com os estudos
investidos sobre a ferramenta foi descoberto que o pfSense pode ser mais do que
uma soluo de firewall para uma pequena empresa, mas sim uma soluo de
gerncia de redes com diversas funes como servidor DHCP e proxy integrado, alm
de possuir uma fcil interface de gerenciamento e manuteno atravs de telas de
status e debugging. Pelo valor que teria de ser investido na tecnologia o pfSense seria
uma excelente soluo para pequenas e at em alguns casos para mdias empresas.
Com isso pode ser concludo que o projeto do firewall pfSense vivel e a melhor
soluo Open Source pesquisada pela equipe atendendo a demanda por segurana
e assim o objetivo deste trabalho.
66
REFERNCIAS
CAMY, Alexandre Rosa; Silva, Evandro R. N.; RIGUI, Rafael. Seminrio de firewalls.
2003. 27 f. Seminrio Curso de Ps-Graduao em Cincia da Computao, UFSC,
Florianpolis.
PFSENSE. pfSense. Disponvel em: < www.pfsense.org.br >. Acesso em: 28 out.
2013.