PfSense

pfSense é um roteador / firewall de código aberto baseado no sistema operacional FreeBSD . Originalmente um fork do m0n0wall , ele usa o firewall stateful do Packet Filter , funções de roteamento e NAT, permitindo que ele conecte várias redes de computadores. Inclui o equivalente gratuito das ferramentas e serviços normalmente usados em roteadores profissionais proprietários . O pfSense é adequado para proteger uma rede doméstica ou empresarial.

Após a instalação manual necessária para atribuir as interfaces de rede , ela é administrada remotamente a partir da interface da web . pfSense gerencia nativamente VLANs (802.1q).

Como nas distribuições Linux , o pfSense também integra um gerenciador de pacotes para instalar recursos adicionais, como um proxy ou um servidor de voz sobre IP .

Hardware

O pfSense pode ser executado em servidor ou hardware doméstico, em soluções embarcadas, sem exigir muitos recursos ou hardware poderoso.

A plataforma deve ser x86 ou x64 , mas outras arquiteturas podem ser suportadas no futuro.

Configuração necessária

	Configuração mínima	Configuração recomendada
Processador	600 MHz	1 GHz
RAM	512 MB	1 GB
Armazenar	> 4 GB

NAT e processador

No caso de NAT onde toda a rede privada compartilha um único endereço IPv4 público, a potência do processador é insignificante para velocidades da ordem de 10 ⁄ 100 Mbit / s , como no caso de ADSL ou largura de banda não ultrapassa 20 Mbit / s nas melhores condições. Um processador com clock de 1 GHz é mais do que suficiente.

No entanto, para obter 1 Gbit / s , como acontece com a fibra óptica, você precisa de um processador mais potente, de preferência multi-core de pelo menos 2 GHz .

Placas de rede

O pfSense suporta a maioria das placas de rede, mas é preferível ter placas de rede Intel para otimizar o desempenho. A lista de compatibilidade de hardware atual (BSD 10.1) pode ser encontrada aqui . Alguns modelos de placas de rede não oferecem suporte a VLANs (802.1q).

Algumas placas de rede sem fio são suportadas, mas nem todos os modos operacionais estão disponíveis para todas elas. O site oficial oferece uma lista de cartões recomendados.

Variações de pfSense

O pfSense pode ser baixado em diferentes versões dependendo do tipo de uso e instalação (com monitor e teclado, ou por link serial):

Live CD com instalador , para poder instalá-lo no disco rígido a partir de um CD de instalação clássico.
Live CD com instalador (no memstick USB) , adequado para instalação a partir de um stick USB.
Embedded Este tipo de instalação é normalmente usado em sistemas embarcados onde devido à falta de espaço, o pfSense é instalado diretamente em um cartão de memória ou em uma chave USB, sem usar um disco rígido. Esta versão funciona especialmente em NanoBSD para reduzir o acesso ao cartão de memória para não danificá-lo.

Versão embutida com uma chave USB

É possível iniciar o pfSense com um stick USB, mas leva mais tempo para carregar os drivers corretamente .

Para uso diário com uma chave USB, modifique em /boot/loader.conf.local (na interface da web: Diagnóstico> Editar arquivo)

kern.cam.boot_delay="10000"

Histórico

O projeto pfSense é baseado em um fork do m0n0wall feito em 2004 por Chris Buechler e Scott Ullrich.

A versão 1.0 foi lançada em 4 de outubro de 2006.

A versão final 2.0 chegou ao fim dezembro de 2011.

Características

pfSense permite:

Filtrando por IP de origem e destino, porta de protocolo, IP de origem e destino para tráfego TCP e UDP
IPv6
Capaz de limitar conexões simultâneas com base em regras
- pfSense usa p0f , um utilitário para filtrar o tráfego com base no sistema operacional que inicia a conexão.
- Possibilidade de registrar ou não registrar o tráfego correspondente a cada regra.
- É possível uma política de roteamento muito flexível ao selecionar um gateway por regra (para balanceamento de carga, failover, múltiplas conexões WAN, etc.)
- Uso de apelidos que permitem agrupar e nomear endereços IP, redes e portas, tornando seu conjunto de regras de firewall limpo e fácil de entender, especialmente em ambientes com vários endereços IP públicos e muitos servidores.
- Filtragem transparente na camada 2, o firewall é capaz de atuar como uma ponte de filtro .
- A normalização do pacote é usada, portanto, não há ambigüidade na interpretação do destino final do pacote. A diretiva scrub também remonta pacotes fragmentados, protege os sistemas operacionais de certas formas de ataque e deixa os pacotes TCP contendo combinações de Flags inválidas.

A última opção é conhecida por causar problemas para algumas implementações de NFS . O filtro do firewall pode ser desabilitado para configurar o pfSense como um roteador puro.

Tradução de endereço de rede (NAT)

Por padrão, o NAT redireciona todo o tráfego de saída para o endereço IP WAN. No caso de várias conexões WAN, o NAT redireciona o tráfego de saída para o endereço IP da interface WAN usada.

Failover baseado em CARP e pfsync

O Protocolo de Redundância de Endereço Comum ou CARP é um protocolo que permite a um grupo de hosts no mesmo segmento de rede compartilhar um endereço IP. Essa noção não deve ser confundida com o "Protocolo de roteamento de matriz de cache" usado para distribuir a carga de proxies de cache da web.

pfsync mantém a tabela de estado do firewall que é replicada para todos os firewalls de failover configurados. Isso significa que as conexões existentes serão mantidas em caso de falha, o que é importante para evitar interrupções na rede.
Distribuição de carga

O balanceamento de carga de saída é usado com várias conexões WAN para fornecer balanceamento de carga e recursos de failover. O tráfego é direcionado ao gateway desejado ou grupo de balanceamento local.

VPN

O pfSense oferece quatro opções de conectividade VPN:

RRD Graphics

Os gráficos RRD do pfSense atualizam informações históricas sobre o seguinte:

utilização do CPU
O fluxo total
Estado do Firewall
Taxa individual para todas as interfaces
Taxa de pacotes por segundo para todas as interfaces
Interface WAN do gateway de tempo de resposta do ping
Moldar o tráfego da fila em sistemas com a suavização de tráfego ativada.

DNS dinâmico

Um cliente DNS dinâmico está incluído para permitir que você registre seu endereço IP público com vários provedores de serviço DNS dinâmico.

DynDNS
DHS
dnsExit
DYNS
easyDNS
FreeDNS
HE.net
Loopia
Namecheap
IP-No
ODS.org
OpenDNS
ZoneEdit

Portal cativo

Um portal cativo permite forçar a autenticação ou redirecionamento para uma página de acesso à rede. Isso é comumente usado em redes de ponto de acesso sem fio à Internet ( pontos de acesso ), mas também é amplamente usado em redes corporativas para uma camada adicional de segurança no acesso sem fio ou na Internet.

Lista de recursos do portal cativo pfSense:

Máximo de conexões simultâneas: limite o número de conexões ao próprio portal por cliente IP. Esse recurso evita a negação de serviço de computadores clientes que fazem conexões de rede repetidamente sem autenticação.
Tempo limite de inatividade: tempo após o qual as sessões inativas serão encerradas.
Tempo limite do disco: força a desconexão de todos os clientes após o número de minutos definido.
Janela pop-up de logon: opção para exibir uma janela com um botão de logoff.
Redirecionamento de URL : Por autenticação ou clicando no portal cativo, os usuários podem ser redirecionados para a URL definida.
Filtragem MAC: os filtros pfSense usam endereços MAC. Para uma sub-rede atrás de um roteador em uma interface compatível com portal cativo, cada máquina atrás do roteador será autorizada assim que um usuário for autorizado. A filtragem MAC pode ser desabilitada para esses cenários.

As opções de autenticação são as seguintes:

Sem autenticação - significa que o usuário verá a página do portal sem precisar inserir nenhuma credencial.
Gerenciador de usuário local - um banco de dados de usuário local pode ser configurado e usado para autenticação.
Autenticação RADIUS - Método de autenticação quando o banco de dados do usuário é deportado para um servidor. A negociação entre o pfSense e o servidor usará o padrão RADIUS.
Reautenticação forçada - Possibilidade de solicitar para forçar uma reautenticação. Autenticação RADIUS MAC - permite que o portal cativo use o endereço MAC do cliente para autenticação em um servidor RADIUS em vez de login. HTTP ou HTTPS - A página do portal pode ser configurada para usar o protocolo HTTP ou HTTPS. Endereços MAC e IP de passagem - os endereços MAC e IP podem ser incluídos na lista branca para ignorar o portal. Todas as máquinas autenticadas com os endereços MAC e IP listados serão autorizadas sem ter que passar pelo portal cativo. Você pode excluir certas máquinas por outros motivos. Gerenciador de arquivos - permite fazer upload de imagens para uso nas páginas do portal.

pfSense inclui o servidor DHCP e a funcionalidade de retransmissão DHCP.

Referências

" Pacotes - PFSenseDocs " , em doc.pfsense.org (acessado em 3 de junho de 2015 )
" O pfSense suporta plataformas de hardware não x86 - PFSenseDocs " , em doc.pfsense.org (acessado em 3 de junho de 2015 )
(em) " Requisitos mínimos de hardware " em docs.netgate.com
" Requisitos de hardware e dispositivos para pfSense , " em www.pfsense.org (acessado em 3 de junho de 2015 )
A versão do BSD está sujeita a alterações para versões mais recentes do pfSense, o link deve ser alterado de acordo.
lista de cartões recomendados
“ Solução de problemas de inicialização - PFSenseDocs ” em doc.pfsense.org (acessado em 3 de junho de 2015 )
" Dica pós-instalação do PfSense em chave USB " (acessado em 3 de junho de 2015 )
(in) " Distribuição do Firewall de código aberto pfSense - Histórico "
(em) Scott Ullrich , " 1.0-LANÇADO! » , PfSense Digest , 13 de outubro de 2006
Lista exaustiva de recursos do pfSense v.2.0.
" Há suporte IPv6 disponível - PFSenseDocs " , em doc.pfsense.org (acessado em 3 de junho de 2015 )