CITRA IT - EXCELÊNCIA EM TI

Prezado(a) Aluno,
Fizemos esta planilha através de nossa expertise na intenção de te ajudar a configurar um Firewall
de Segurança.
Esperamos que seja útil a você como profissional e que te ajude a deixar sua empresa (ou de seu cl

Caso tenha algum feedback ou sugestão, e até mesmo dúvida, entre em contato através de nosso s
Criado Por: L
M TI

ar um Firewall pfSense com as melhores práticas

sa (ou de seu cliente) o mais segura possível.

avés de nosso site: https://www.citrait.com.br

Criado Por: Luciano Rodrigues - luciano@citrait.com.br
Data: 12/06/2022
 FIREWA
MENU ABA ÁREA NOME

System > General Setup - System Hostname

System > General Setup - System Domain

System > General Setup - DNS Server Settings DNS Servers

System > General Setup - DNS Server Settings DNS Server Override

System > General Setup - DNS Server Settings DNS Resolution Behavior

System > General Setup - Localization Timezone

System > General Setup - Localization Timeserveres

System > General Setup - WebConfigurator Login hostname

System > Advanced Admin Access WebConfigurator Protocol

System > Advanced Admin Access WebConfigurator SSL/TLS Certificate

System > Advanced Admin Access WebConfigurator WebGUI Login Autocomplete

System > Advanced Admin Access Secure Shell Secure Shell Server

System > Advanced Admin Access Secure Shell SSH Key Only

System > Advanced Admin Access Console Options Console menu

System > Advanced Firewall & NAT Firewall Advanced IP Random id generation

System > Advanced Firewall & NAT Firewall Advanced Firewall Optimization Options

System > Advanced Firewall & NAT Firewall Advanced IP Fragment Reassemble

IP Do-Not-Fragment
System > Advanced Firewall & NAT Packet Processing
compatibility
Check certificate of aliases
System > Advanced Firewall & NAT Firewall Advanced
URLs

System > Advanced Networking IPv6 Options Allow IPv6

System > Advanced Networking IPv6 Options Prefer IPv4 over IPv6
State Killing on Gateway
System > Advanced Miscellaneous Gateway Monitoring
Failure

System > Advanced Miscellaneous Load Balancing Use Sticky Connections

System > Advanced Notifications E-Mail Disable SMTP

System > Advanced Notifications Telegram Enable Telegram

Notifications
System > User Manager Users Users -
System > Cert. Manager CAs Certificate Authorities -

System > Package Manager Available Packages - Instalar

System > Package Manager Available Packates - Instalar

Interfaces > WAN - Block Reserved Networks Block bogon networks

Firewall > Aliases IP Firewall Aliases IP -

Firewall > Aliases Portas Firewall Aliases Ports -

Hybrid Outbound NAT rule

Firewall > NAT Outbound Outbound NAT Mode
generation

Firewall > Rules WAN Rules -

Firewall > Rules LAN/WAN Rules -

Firewall > Rules WAN Rules -

Firewall > Rules LAN Rules -

Firewall > Rules LAN Rules -

Services > Auto Config Backup Settings Auto Config Backup Enable ACB

Services > Auto Config Backup Settings Auto Config Backup Backup Frequency

Services > NTP Settings NTP Server Configuration Enable

Status > System Logs Settings General Logging Options Forward/Reverse Display

Status > System Logs Settings General Logging Options Log Firewall default blocks

Status > System Logs Settings Log Rotation Options Log Rotation Size (bytes)

Status > System Logs Settings Log Rotation Options Log Retention Count

Services > DHCP Server General Settings Other Options Static Arp
 FIREWALL PFSENSE - BOAS PRÁTICAS DE CONFIGURAÇÃO
VALOR

Nome do Firewall
Nome de dominio da
rede

IP's dos servidores

DNS

Desmarcado
Use local DNS, fallback
to remote
ex.:
America/São_Paulo

a.ntp.br b.ntp.br

Marcado

HTTPS (SSL/TLS)

Selecionar o certificado

Desmarcado

Desmarcado

Require Both Password

and Public key

Marcado

Marcado

Conservative

Habilitado

Habilitado

Marcado

Desmarcado

Marcado

Desabilitado

Habilitado

Desmarcado

Marcado

-
 -

Cron
Open-VM-Tools

Marcado

Marcado

Marcado

Automatically backup
on every configuration
change

Desmarcado
Marcado

Marcado

512000000

30

Habilitado
WALL PFSENSE - BOAS PRÁTICAS DE CONFIGURAÇÃO
EXPLICAÇÃO
Preencha com o hostname exclusivo que identifica o teu firewall na rede. Caso use DNS do ActiveDirectory, registre a entrada do tipo "A" as
hostname e IP do firewall.
Em redes ActiveDirectory é muito importante que todos os hosts tenham nome e domínio configurados para correta resolução DNS.

Em redes ActiveDirectory utilize os IP's dos servidores AD. Assim as consultas são centralizadas e somente os servidores AD consultam os
DNS Raiz na internet. Caso não use DNS do AD, preencha com servidores DNS confiáveis ou com o DNS do provedor. Sempre use mais d
DNS para alta disponibilidade.
Ao desmarcar, não permite que o DHCP sobrescreva a lista de servidores DNS manualmente atribuidos.
Esta opção otimiza as consultas DNS, usando primeiro o cache local e então os outros servidores caso o próprio serviço de DNS do firewall
(unbound/DNS Resolver) fique indisponível.
Defina esta opção com seu Timezone local. É importante que todos os dispositivos da rede estejam com o Timezone correto para a correlaç
eventos de segurança.
Sincroniza o relatório com os servidores de hora (NTP) brasileiros. Para a lista completa dos servidores veja *https://ntp.br/. Caso utilize Act
também é boa prática apontar o IP dos servidores AD que também funcionam como Timeservers.
Exibe o hostname do firewall na tela de login. Se você gerencia muitos firewalls, pode facilitar a identificação do firewall que está atualmente
Por outro lado, expõe informação de nome do firewall. Habilite esta opção se o acesso ao firewall é controlado e a exposição do hostname d
não é um problema para você.
Toda comunicação com a interface web do firewall passa a ser criptografada, impossibilitando que sua senha de acesso ao firewall seja inte
um sniffer de rede.
O certificado padrão atende aos requisitos mínimos. Aconselhamos que gere um novo certificado com o nome fqdn do firewall e selecione-o
evitar a tela de certificado inválido no navegador. Caso possua uma infraestrutura de chave pública, emita um certificado válido e importe no
evitar a página de erro de certificado não confiável.
É uma boa praticar desabilitar o autocompletar do formulário de login, entretanto aconselhamos a utilizar um gerenciador de senhas como la
1password.
Habilitar o acesso por SSH apenas enquanto necessário e deixar desabilitado novamente. Evita ataques de força bruta.

Força o acesso SSH mais seguro com o uso de chaves públicas + posse de senha. Lembre de gerar o par de chaves (pública+privada) e co
pública na tela de propriedades do usuário (user manager).

Usar senha para proteger o acesso ao console do Firewall. Assim em caso de acesso físico ao console do firewall, fica protegido por senha.

Aumenta a segurança impedindo que scans de rede externos detectem o sistema operacional de servidores dentro de sua rede.

Faz o firewall aumentar o tempo de timeout antes de descartar conexões ociosas. Geralmente resolve muitos problemas em conexões VOIP

Monta fragmentos IP até formar um pacote antes de reencaminhar. Evita ataques de fragmentação de pacotes onde o firewall encaminha os
de ter a informação completa para analisar o tráfego.
Limpa os bits DontFragment quando setados inválidos em um pacote. Faz o filtro limpar os campos e encaminhar o pacote ao invés de desc
conexão.

Apenas baixa Aliases de URL's que possuem certificados https válidos.

Desmarcar caso você ainda não tenha adaptado o uso de IPv6 em sua rede.

Faz o firewall utilizar ipv4 preferencialmente ao invés de IPv6. *Apenas para conexões iniciadas pelo próprio firewall.
Caso você possua 2 conexões wan, quando uma das interfaces oscilar mesmo que momentaneamente, se esta opção estiver habilitada irá
as conexões, mesmo as não afetadas pela oscilação.
Caso esteja utilizando Load Balance para conexões de internet, habilite as sticky connections para evitar problemas com sites que não se d
quando acessados por mais de um IP simultaneamente pelo mesmo usuário.

É altamente recomendado que seja configurado notificações, por e-mail ou por telegram. Configure de acordo com seu ambiente. Prefira tel
mail tradicional. Esta configuração não funciona com Office365 por conta da nova atualização de autenticação do exchange.

É altamente recomendado que seja configurado notificações, por e-mail ou por telegram. Configure de acordo com seu ambiente.

É altamente recomendado que o usuario admin tenha uma senha extremamente forte, e que seja criado um usuario separado para cada ad
do firewall.
É altamente recomendado que seja criado uma CA para o firewall, e certificados de servidor para o webconfigurator e para a VPN, com o de
firewall na rede.
Útil para agendamento de scripts personalizados no firewall
Pacote de integração para pfSense executando como máquina virtual em virtualização Vmware.
Bloqueia trafego indesejado com endereços da LAN na interface WAN. Atente-se que a interface de WAN não deve ter endereços IP privad
(192/10/172), pois senão irá bloquear o tráfego desta interface.
Criar aliases para serem usados nas regras de firewall, ao invés de especificar manualmente os endereços de ip/rede nestas regras.

Criar aliases para serem usados nas regras de firewall, ao invés de especificar manualmente as portas de serviços (http,ftp,dns,etc) nestas

Permite criar regras de nat (egress/saída) automaticamente e/ou manualmente. Necessario quando criamos regras NAT de loopback, ou reg
para VPN, por exempo.

Habilitar o log para regras importantes da WAN, para que todo tráfego que venha da internet com direção à sua rede local e/ou DMZ seja re

Criar regras para descartar determinados tráfegos silenciosamente, como por exemplo broadcast,igmp,multicast na interface WAN/LAN. Dim
nos logs e economiza no armazenamento.
Caso seja um escritório de suporte remoto, configure uma regra em cada WAN permitindo o acesso de administração webGui para os IP's d
escritório ou JumpServer.
Criar regras específicas permitindo explicitamente o tráfego da rede interna para a WAN (internet) ou outras interfaces (DMZ/WIFI por exem
criar regras abertas demais ou generalizadas. Sempre especifique o host/rede destino e as portas destino.
Desabilitar ou remover a regra padrão (Default allow LAN to any rule) que libera toda comunicação da LAN para a WAN, diminuindo a pos
vazamento dados caso a rede seja comprometida.

Realiza o backup automático do firewall.

Realiza o backup do firewall sempre que houver alterações na configuração.

Em redes ActiveDirectory é aconselhado que o servidor NTP da rede seja o servidor AD com a função FSMO PDC.
Mostra os logs com os registros mais recentes no topo da lista.

Registra os pacotes negados pelas regras implicitas de bloqueio padrão.

512 MB, suficiente para registrar 1 dia de logs. Em nossos cálculos baseado em nossos clientes, é registrado de 4 a 10 eventos por segund
consumindo 20MB por hora ou 480 MB por dia. 512 MB por log é suficiente para a realidade de empresas com ate 100 computadores na re

Quantidade de logs para manter. Como calculamos o quanto sera usado por dia, é seguro especificar 30 para armazenar os últimos 30 dias
Caso possua ferramenta SIEM ou outra para centralizar logs, faça o despacho dos logs para o servidor remoto.
Em ambientes pequenos, caso haja controle efetivo de inventário de máquinas, cadastre os endereços MAC das máquinas e habilite o cont
Vai impedir que o firewall aceite conexões de máquinas desconhecidas. MAS CUIDADO, novas máquinas na rede não terão comunicação a
manualmente cadastradas com mapeamento estático (MAC/IP).
APLICABILIDADE AVALIAÇÃO

Não Aplica Planejado

Parcialmente
Não Aplica
implementado

Parcialmente
Não Aplica
implementado

Não Aplica Não Implementado

Parcialmente
Não Aplica
implementado

Não Aplica Planejado

Não Aplica Planejado

Não Aplica Implementado

Parcialmente
Não Aplica
implementado

Não Aplica Planejado

Parcialmente
Não Aplica
implementado
Não Aplica Não Implementado

Não Aplica Não Implementado

Não Aplica Implementado

Não Aplica Implementado

Não Aplica Implementado

Não Aplica Não Implementado

Aplica Implementado

Não Aplica Não Implementado

Parcialmente
Não Aplica
implementado
Não Aplica Não Implementado

Não Aplica Não Implementado

Parcialmente
Não Aplica
implementado

Não Aplica Não Implementado

Não Aplica Não Implementado

Parcialmente
Não Aplica
implementado
Não Aplica Não Implementado

Não Aplica Implementado

Não Aplica Implementado

Não Aplica Implementado

Não Aplica Implementado

Parcialmente
Não Aplica
implementado

Não Aplica Não Implementado

Não Aplica Não Implementado

Não Aplica Não Implementado

Não Aplica Não Implementado

Parcialmente
Não Aplica
implementado

Não Aplica

Não Aplica Não Implementado

Não Aplica Implementado

Não Aplica Implementado

Não Aplica Não Implementado

Não Aplica Implementado

Não Aplica Planejado

Não Aplica Não Implementado

Não Aplica Implementado

 FIREWALL PFSENSE - BOAS PRÁTICAS DE CON

RESULTADOS DA AVALIAÇÃO

Categoria Qtde Pontuação

Itens Aplicáveis 1 N/A
Itens não Aplicáveis 45 N/A
Itens planejados 5 3
Itens Parcialmente implantados 13 10.4
Itens Configurados 10 10
Itens não Configurados 17 N/A
Pontuação Obtida 23.4
Pontuação Máxima 46

Aplicabilidade Avaliação de I

Itens planejados Itens Parc

Itens Aplicáveis Itens não Aplicáveis Itens Configurados Itens não

Pontuação

0 5 10 15 20 25 30 35 40

Pontuação Máxima Pontuação Obtida

0 5 10 15 20 25 30 35 40

Pontuação Máxima Pontuação Obtida

OAS PRÁTICAS DE CONFIGURAÇÃO

ADOS DA AVALIAÇÃO

Avaliação de Itens

Itens planejados Itens Parcialmente implantados

Itens Configurados Itens não Configurados

30 35 40 45 50

Obtida
30 35 40 45 50

Obtida