Professional Documents
Culture Documents
CT PUB 000136 PfSense Boas+Práticas+Matriz+de+Configurações
CT PUB 000136 PfSense Boas+Práticas+Matriz+de+Configurações
Prezado(a) Aluno,
Fizemos esta planilha através de nossa expertise na intenção de te ajudar a configurar um Firewall
de Segurança.
Esperamos que seja útil a você como profissional e que te ajude a deixar sua empresa (ou de seu cl
Caso tenha algum feedback ou sugestão, e até mesmo dúvida, entre em contato através de nosso s
Criado Por: L
M TI
System > General Setup - DNS Server Settings DNS Server Override
System > General Setup - DNS Server Settings DNS Resolution Behavior
System > Advanced Admin Access Secure Shell Secure Shell Server
System > Advanced Admin Access Secure Shell SSH Key Only
System > Advanced Firewall & NAT Firewall Advanced IP Random id generation
System > Advanced Firewall & NAT Firewall Advanced Firewall Optimization Options
System > Advanced Firewall & NAT Firewall Advanced IP Fragment Reassemble
IP Do-Not-Fragment
System > Advanced Firewall & NAT Packet Processing
compatibility
Check certificate of aliases
System > Advanced Firewall & NAT Firewall Advanced
URLs
System > Advanced Networking IPv6 Options Prefer IPv4 over IPv6
State Killing on Gateway
System > Advanced Miscellaneous Gateway Monitoring
Failure
Services > Auto Config Backup Settings Auto Config Backup Enable ACB
Services > Auto Config Backup Settings Auto Config Backup Backup Frequency
Status > System Logs Settings General Logging Options Log Firewall default blocks
Status > System Logs Settings Log Rotation Options Log Rotation Size (bytes)
Status > System Logs Settings Log Rotation Options Log Retention Count
Services > DHCP Server General Settings Other Options Static Arp
FIREWALL PFSENSE - BOAS PRÁTICAS DE CONFIGURAÇÃO
VALOR
Nome do Firewall
Nome de dominio da
rede
Desmarcado
Use local DNS, fallback
to remote
ex.:
America/São_Paulo
a.ntp.br b.ntp.br
Marcado
HTTPS (SSL/TLS)
Selecionar o certificado
Desmarcado
Desmarcado
Marcado
Marcado
Conservative
Habilitado
Habilitado
Marcado
Desmarcado
Marcado
Desabilitado
Habilitado
Desmarcado
Marcado
-
-
Cron
Open-VM-Tools
Marcado
Marcado
Marcado
Automatically backup
on every configuration
change
Desmarcado
Marcado
Marcado
512000000
30
Habilitado
WALL PFSENSE - BOAS PRÁTICAS DE CONFIGURAÇÃO
EXPLICAÇÃO
Preencha com o hostname exclusivo que identifica o teu firewall na rede. Caso use DNS do ActiveDirectory, registre a entrada do tipo "A" as
hostname e IP do firewall.
Em redes ActiveDirectory é muito importante que todos os hosts tenham nome e domínio configurados para correta resolução DNS.
Em redes ActiveDirectory utilize os IP's dos servidores AD. Assim as consultas são centralizadas e somente os servidores AD consultam os
DNS Raiz na internet. Caso não use DNS do AD, preencha com servidores DNS confiáveis ou com o DNS do provedor. Sempre use mais d
DNS para alta disponibilidade.
Ao desmarcar, não permite que o DHCP sobrescreva a lista de servidores DNS manualmente atribuidos.
Esta opção otimiza as consultas DNS, usando primeiro o cache local e então os outros servidores caso o próprio serviço de DNS do firewall
(unbound/DNS Resolver) fique indisponível.
Defina esta opção com seu Timezone local. É importante que todos os dispositivos da rede estejam com o Timezone correto para a correlaç
eventos de segurança.
Sincroniza o relatório com os servidores de hora (NTP) brasileiros. Para a lista completa dos servidores veja *https://ntp.br/. Caso utilize Act
também é boa prática apontar o IP dos servidores AD que também funcionam como Timeservers.
Exibe o hostname do firewall na tela de login. Se você gerencia muitos firewalls, pode facilitar a identificação do firewall que está atualmente
Por outro lado, expõe informação de nome do firewall. Habilite esta opção se o acesso ao firewall é controlado e a exposição do hostname d
não é um problema para você.
Toda comunicação com a interface web do firewall passa a ser criptografada, impossibilitando que sua senha de acesso ao firewall seja inte
um sniffer de rede.
O certificado padrão atende aos requisitos mínimos. Aconselhamos que gere um novo certificado com o nome fqdn do firewall e selecione-o
evitar a tela de certificado inválido no navegador. Caso possua uma infraestrutura de chave pública, emita um certificado válido e importe no
evitar a página de erro de certificado não confiável.
É uma boa praticar desabilitar o autocompletar do formulário de login, entretanto aconselhamos a utilizar um gerenciador de senhas como la
1password.
Habilitar o acesso por SSH apenas enquanto necessário e deixar desabilitado novamente. Evita ataques de força bruta.
Força o acesso SSH mais seguro com o uso de chaves públicas + posse de senha. Lembre de gerar o par de chaves (pública+privada) e co
pública na tela de propriedades do usuário (user manager).
Usar senha para proteger o acesso ao console do Firewall. Assim em caso de acesso físico ao console do firewall, fica protegido por senha.
Aumenta a segurança impedindo que scans de rede externos detectem o sistema operacional de servidores dentro de sua rede.
Faz o firewall aumentar o tempo de timeout antes de descartar conexões ociosas. Geralmente resolve muitos problemas em conexões VOIP
Monta fragmentos IP até formar um pacote antes de reencaminhar. Evita ataques de fragmentação de pacotes onde o firewall encaminha os
de ter a informação completa para analisar o tráfego.
Limpa os bits DontFragment quando setados inválidos em um pacote. Faz o filtro limpar os campos e encaminhar o pacote ao invés de desc
conexão.
Desmarcar caso você ainda não tenha adaptado o uso de IPv6 em sua rede.
Faz o firewall utilizar ipv4 preferencialmente ao invés de IPv6. *Apenas para conexões iniciadas pelo próprio firewall.
Caso você possua 2 conexões wan, quando uma das interfaces oscilar mesmo que momentaneamente, se esta opção estiver habilitada irá
as conexões, mesmo as não afetadas pela oscilação.
Caso esteja utilizando Load Balance para conexões de internet, habilite as sticky connections para evitar problemas com sites que não se d
quando acessados por mais de um IP simultaneamente pelo mesmo usuário.
É altamente recomendado que seja configurado notificações, por e-mail ou por telegram. Configure de acordo com seu ambiente. Prefira tel
mail tradicional. Esta configuração não funciona com Office365 por conta da nova atualização de autenticação do exchange.
É altamente recomendado que seja configurado notificações, por e-mail ou por telegram. Configure de acordo com seu ambiente.
É altamente recomendado que o usuario admin tenha uma senha extremamente forte, e que seja criado um usuario separado para cada ad
do firewall.
É altamente recomendado que seja criado uma CA para o firewall, e certificados de servidor para o webconfigurator e para a VPN, com o de
firewall na rede.
Útil para agendamento de scripts personalizados no firewall
Pacote de integração para pfSense executando como máquina virtual em virtualização Vmware.
Bloqueia trafego indesejado com endereços da LAN na interface WAN. Atente-se que a interface de WAN não deve ter endereços IP privad
(192/10/172), pois senão irá bloquear o tráfego desta interface.
Criar aliases para serem usados nas regras de firewall, ao invés de especificar manualmente os endereços de ip/rede nestas regras.
Criar aliases para serem usados nas regras de firewall, ao invés de especificar manualmente as portas de serviços (http,ftp,dns,etc) nestas
Permite criar regras de nat (egress/saída) automaticamente e/ou manualmente. Necessario quando criamos regras NAT de loopback, ou reg
para VPN, por exempo.
Habilitar o log para regras importantes da WAN, para que todo tráfego que venha da internet com direção à sua rede local e/ou DMZ seja re
Criar regras para descartar determinados tráfegos silenciosamente, como por exemplo broadcast,igmp,multicast na interface WAN/LAN. Dim
nos logs e economiza no armazenamento.
Caso seja um escritório de suporte remoto, configure uma regra em cada WAN permitindo o acesso de administração webGui para os IP's d
escritório ou JumpServer.
Criar regras específicas permitindo explicitamente o tráfego da rede interna para a WAN (internet) ou outras interfaces (DMZ/WIFI por exem
criar regras abertas demais ou generalizadas. Sempre especifique o host/rede destino e as portas destino.
Desabilitar ou remover a regra padrão (Default allow LAN to any rule) que libera toda comunicação da LAN para a WAN, diminuindo a pos
vazamento dados caso a rede seja comprometida.
Em redes ActiveDirectory é aconselhado que o servidor NTP da rede seja o servidor AD com a função FSMO PDC.
Mostra os logs com os registros mais recentes no topo da lista.
512 MB, suficiente para registrar 1 dia de logs. Em nossos cálculos baseado em nossos clientes, é registrado de 4 a 10 eventos por segund
consumindo 20MB por hora ou 480 MB por dia. 512 MB por log é suficiente para a realidade de empresas com ate 100 computadores na re
Quantidade de logs para manter. Como calculamos o quanto sera usado por dia, é seguro especificar 30 para armazenar os últimos 30 dias
Caso possua ferramenta SIEM ou outra para centralizar logs, faça o despacho dos logs para o servidor remoto.
Em ambientes pequenos, caso haja controle efetivo de inventário de máquinas, cadastre os endereços MAC das máquinas e habilite o cont
Vai impedir que o firewall aceite conexões de máquinas desconhecidas. MAS CUIDADO, novas máquinas na rede não terão comunicação a
manualmente cadastradas com mapeamento estático (MAC/IP).
APLICABILIDADE AVALIAÇÃO
Parcialmente
Não Aplica
implementado
Parcialmente
Não Aplica
implementado
Parcialmente
Não Aplica
implementado
Não Aplica Não Implementado
Aplica Implementado
Parcialmente
Não Aplica
implementado
Não Aplica Não Implementado
Parcialmente
Não Aplica
implementado
Parcialmente
Não Aplica
implementado
Não Aplica Não Implementado
Parcialmente
Não Aplica
implementado
Não Aplica
RESULTADOS DA AVALIAÇÃO
Aplicabilidade Avaliação de I
Pontuação
0 5 10 15 20 25 30 35 40
ADOS DA AVALIAÇÃO
Avaliação de Itens
30 35 40 45 50
Obtida
30 35 40 45 50
Obtida