IPFire – Firewall para uso doméstico e pequenos negócios

IPFire – Firewall para uso doméstico e pequenos negócios

Após ter estado o último fim-de-semana de 2019 a fazer a instalação de uma Firewall nas instalações de um cliente no norte, e em consideração a troca de ideias com o responsável da equipa da empresa, considerei uma boa ideia abordar a questão das Firewalls e dar uma vista de olhos a uma outra Firewall também bastante conhecida, que é o IPFire.

 

As Firewalls são dos dispositivos (ou software) que mais gosto das componentes de segurança que podemos ter, e que por muito que o paradigma de segurança mude, mantêm sempre a sua relevância e muitas Firewall impedem ataques não só pelas regras que possuem configuradas, mas também por atualmente incorporarem sistemas de deteção e prevenção de intrusões e é verdade que existem inúmeras Firewalls que podemos escolher para instalar na nossa organização / escritório, desde PfSense, OPNsense, NethServer, CheckPoint, Fortinet, IPCop, IPFire, entre muitas outras, no entanto neste artigo optou-se por escolher o IPFire por ser open source, gratuito e de fácil instalação e configuração e bastante leve.

Apesar desta não ser a minha firewall preferencial, acredito que tem bastante potencial.

 

No momento deste artigo, a versão mais atual desta sistema operativo é a 2.23, e que pode ser descarregada diretamente do site do IPFire, e consoante o hardware onde o sistema será instalado, deverão descarregar a versão de 64 ou 32 bits, ou até a versão de ARM caso estejam a construir alguma “appliance”.

Não irei abordar a forma como gravar o ISO para uma Pen USB ou CD, pois já existe muita informação sobre como o realizar, vamos antes passar diretos para o processo de instalação!

Quando arrancarem o sistema operativo IPFire, deverão de conseguir visualizar o seguinte ecrã que vos permitirá instalar esta versão do IPFire.

Posteriormente teremos a possibilidade de escolher a linguagem que preferimos, e para efeitos de simplicidade, optou-se por manter a lingua Inglesa.

Tendo o idioma selecionado, ao avançarmos, temos a opção direta de iniciar a instalação do IPFire, na qual seremos solicitados a aceitar o licenciamento da GNU General Public License versão 3, que permite a sua utilização livre tanto em ambiente doméstico como em ambiente empresarial, e temos a possibilidade de realizar qualquer alteração ao código do software que estamos a instalar.

Uma vez aceite os termos de licenciamento, devemos de preparar o disco rigido (HDD ou SSD), consoante o sitio onde estejam a instalar o IPFire, eliminar todos os dados que aí se encontram, e selecionar o sistema de ficheiros em que o IPFire irá trabalhar.

Sistemas Linux normalmente usam o sistema “ext4”, no entanto se possuírem experiência com outro “file system”, poderão instalá-lo; para este caso não estamos a equacionar a performance do sistema de ficheiros e iremos optar pelo “ext4”.

Após a escolha de sistema de ficheiros a utilizar, permitam que o sistema instale tudo até ao fim, e reiniciem assim que tal vos for solicitado.

 

Quando o sistema voltar a arrancar, o GRUB – Grand Unified Bootloader deverá ter a imagem do IPFire.

Assim que o sistema iniciar, poderemos continuar a instalação e as configurações necessárias, nomeadamente selecionar o idioma do teclado que estamos a usar, e caso estejamos em Portugal, recomendo o “pt-latin1”, esolham a vossa timezone e o nome do equipamento e o nome do domínio.

Com estas configurações definidas, passamos para a fase em que iremos definir a password para as contas de “root” e “admin”.

A utilização da conta de “root” será para acedermos por linha de comandos, enquanto que a conta de “admin” permite que tenhamos acesso pelo browser, onde facilmente poderemos alterar as opções da Firewall.

Selecionadas as palavras-passe, chegamos a um menu que permite alterar as configurações de rede e estabelecer os perfis que desejamos ter!

Em casos mais básicos, teriamos apenas o perfil “Green + Red”, ou seja, a interface interna confiável onde temos os nossos computadores, e a interface Red que representa a Internet.

No entanto, neste caso, como a nossa Firewall tem 4 interfaces de rede, iremos configurar o perfil “Green + Blue + Orange + Red”, que representam a rede confiável, a rede convidados, a DMZ e a Internet respetivamente.

 

Tendo seleccionado o perfil pretendido de acordo com o que temos disponível, devemos associar cada placa de rede ao perfil green, red, orange e blue, sendo necessário escolher a opção “Drivers and card assignments”, e escolher cada perfil e a respetiva placa de rede a que o mesmo estará associado!

Poderemos usar o MAC Address e o nome dos fabricantes para nos orientarmos.

 

Quando terminarem a atribuição de perfis, devemos passar para a configuração das placas de rede para os diferentes perfis.

 

Cada interface de rede deverá ter o seu próprio endereço de IP, dentro da sua própria gama, e deveremos de repetir o processo para todas as interfaces que não a Red, pois esta pode ser configurada de forma diferente.

Na interface Red temos a possibilidade de deixar a interface em modo DHCP, caso o nosso fornecedor de Internet nos atribua endereços IP de forma dinâmica, ou então caso haja algum IP fixo que tenham, deverá de ser configurado neste menu. Quando terminarem poderão definir um DNS e Gateway especificos, no entanto neste momento ignoraremos esse passo e seguimos em frente.

 

A próxima opção que temos é de configurar o servidor de DHCP para a interface Green, ou seja a interface de rede onde iremos aceder à Firewall por via Web.

É recomendado ativar o DHCP se não existir outro servidor de DHCP nesta rede; mas caso haja, é preferivel não ativar neste momento.

Tendo o DHCP ativo, selecionamos os endereços IP de inicio e de fim do lease que queremos criar para esta rede.

Quando terminarem, reiniciem o sistema e liguem-se a um computador que esteja nesta rede.

Neste caso, temos uma máquina Windows 7 (atenção que o Windows 7 termina o suporte a 14 de Janeiro de 2020, e está apesar a ser usado neste artigo num ambiente controlado para servir de exemplo), e vamos ligar-nos por via browser à Firewall, usando a linha de comandos para garantir que o computador apanhou um endereço de IP da nossa Firewall.

Para acedermos ao servidor de Firewall devemos de aceder ao seu IP usando o porto 444, ou seja:  https://endereçoIP:444

É normal que surja um erro de certificado, dado que a Firewall está a usar um certificado auto-assinado, não reconhecido por nenhuma “Certification Authority”.

Não se esqueçam que no momento que tentarem aceder ao IPFire, deverão usar as credenciais do “admin” que definiram durante a instalação.

Ao entrar na nossa nova Firewall, podemos verificar de imediato os endereços de IP que estão em funcionamento em todas as portas de rede.

Algo que devemos de realizar neste momento é fazer um bloqueio de todas as ligações, pois a proteção da nossa infraestrutura deve ser realizada tanto em modo “inbound” como “outbound”, ou seja, por defeito, todas as opções devem estar em modo “negação”, e posteriormente abriremos as portas aos serviços que sejam necessários.

Para o realizarmos, devemos de ir a “Firewall” e escolher “Firewall Options”, e no separador em que lemos “Default firewall behaviour” a opção do “Forward” deverá estar definida para “Blocked”.

A partir deste momento, qualquer comunicação com o exterior está bloqueada.

De seguida, como temos uma rede “Blue” que definimos que seria a nossa rede de convidados, devemos de ligar o DHCP nesta rede também, e para tal selecionamos “Network” e “DHCP Server”, onde temos a possibilidade de ativar este serviço nessa interface.

Após configurar os endereços IP corretos para essa interface, temos de realizar ainda uma outra operação de forma a permitir que os clientes da interface azul se possam ligar, antes de configurarmos as regras. Devemos de ir a “Firewall” e escolher a opção “Blue Access”, e na opção de “Add device” devemos de introduzir a rede que está configurado para esta porta com o número de bits da máscara de rede.

Necessitamos de verificar que a rede se encontra no rectângulo de “Devices on BLUE”.

Agora sim poderemos passar para as regras de Firewall e abrir as portas 80 e 443 que necessitamos para aceder a páginas Web.

Selecionamos no menu de “Firewall” a opção de “Firewall Rules”, e adicionamos nova regra.

Tanto para a rede Blue, como para a rede Green, definimos qual a source (a rede de origem que faz os pedidos) e a rede de destino (normalmente a Red / Internet), e qual o protocolo que temos de usar e adicionamos o porto de destino. Recomenda-se que haja uma regra para cada porto, para que em caso de troubleshooting seja mais fácil de determinar possíveis enganos.

Seleccionamos a opção “accept” para que os pacotes possam passar na Firewall e guardamos as alterações.

 

Neste momento, tanto o computador da zona Green, como da zona Blue conseguem chegar à Internet aos protocolos HTTP e HTTPS.

Poderão confirmar com os computadores que estiverem ligados a uma rede ou a outra, que as máquinas podem agora fazer pesquisas na Internet.

 

E aqui fica um pequeno exemplo do que os utilizadores podem fazer com uma Firewall, no entanto ressalvamos que existem muitas mais opções a explorar como “Captive Portal”, sistema de deteção de intrusões e mais, e naturalmente encorajamos todos a explorarem por si mesmos as possibilidades que estas Firewalls oferecem.