Iniciante, pequenas duvidas.
-
Ola pessoal, recentemente conheci o pfSense (menos de 1 semana), e já estou tentando implementar na empresa onde trabalho… Vou começar a escrever o que quero fazer e espero que me ajudem dando sugestões e me corrigindo claro.
A empresa onde trabalho sempre foi bem liberal quanto ao acesso a internet pelos funcionários, mas recentemente eles estavam passando da conta... chegando ao ponto de manter pornografia aberta enquanto conversa com clientes (Não mencionei mas trabalho em uma pequena corretora de seguros). Dai consegui convencer meus chefes a pelo menos testar alguma coisa, então comecei a pesquisar e achi o pfsense, instalei e comecei a brincar.
O que pretendia fazer era separar a nossa rede que simplesmente se conecta através de um modem a internet, contando apenas com a proteção dele, separar os usuários controlando acesso com punho de ferro hehe. liberar acesso apenas aos serviços realmente essenciais, como rdp, smb e os softwares das companhias que rodam em rede...
seriam 2 redes distintas 10.0.1.* e 10.0.2.*, na primeira ficariam os computadores dos funcionários e o acess point para acesso dos notebooks pessoais dos vendedores, esta teria acesso a internet http e https liberado, alguns softwares que ainda preciso ver as portas, msn, etc. nada mais. A segunda rede teria apenas o necessário, nela fica um servidor windows server 2008, aqui queria liberar acesso apenas a uns 5 sites de seguradoras.
-Como queria fazer...
iria iniciar com uma regra para bloquear tudo e depois ir adicionando permissões para cada serviço necessário, também vou usar squid e squid guard, já que muitos sites usados para entretenimento são acessados por todos...
qual a sugestão que vocês me dão? é melhor tentar ver do que os usuários vão precisar vendo os serviços que estão rodando com nmap e ir adicionando gradualmente ao firewall antes de implementar ele?
agradeço qualquer ajuda/dica
ps: como da pra ver não entendo muito de redes e segurança,mas acho uma área encantadora... ::) -
Você quer sair do nada para um ambiente complexo com autenticação, segmentação e tudo mais.
Muito bom mesmo, mas não é tão trivial chegar neste resultado.
Comece lendo todos os tutoriais aqui do forum, lá você vai conseguir identificar o grau de complexidade de cada etapa.
Boa sorte e bem vindo ao pfsense
-
Comece lendo todos os tutoriais aqui do forum, lá você vai conseguir identificar o grau de complexidade de cada etapa.
Além disso, comece pelo projeto. É bastante comum, principalmente (mas não só) na galera mais jovem, começar uma implementação pela instalação, configuração e migração. Estas devem ser sempre as últimas etapas de qualquer implantação.
Coloque no papel quais features você quer pôr pra rodar na sua rede, o que vai ser liberado, o que vai ser bloqueado, como isso tudo acontecerá (estratégia de autenticação) e como vai ser feito (aqui entra a fase de ler os tutoriais). Este tipo de abordagem costuma render índices maiores de sucesso!
É bíblico: "Primeiro, as primeiras coisas" (Lucas 12)! ;)
Abraços!
Jack -
to lendo bastante coisa boa aqui no forum, acho que o jeito ai ser mesmo por tudo no papel hehehe
agora veio outra duvida… temos 2 links de internet, um da gvt (excelente qualidade) e um da oi (nhaa mas ip fixo), fomos meio que obrigados a adquirir o ipfixo por causa de uma empresa que se recusava a usar nossa gambiara com no-ip (quem fez iso foi o ti anterior), pretendia voltar com o link da gvt, configurei e dei uma testada no dydns.org, e parecia que estava funcionando o ping. mas acho que outras coisas não funcionam, talvez porque estou com uma versão gratuita dele. tem alguma alternativa? alguma solução? qual plano é melhor?
grato -
mas acho que outras coisas não funcionam, talvez porque estou com uma versão gratuita dele. tem alguma alternativa? alguma solução? qual plano é melhor?
Pois é forfou,
o DynDNS não tem mais planos gratuitos (há um mês eu acho)!
Você percebeu que o pfSense pode ser integrado com vários serviços do gênero, né? Inclusive com o NO-IP. Escolha o que melhor se adaptar as tuas necessidades.
Nota: Ainda em tempo, conforme você mesmo disse, este esquema de publicar dinamicamente o seu IP público, através de um serviço gratuito (sem garantias) e de conexões domésticas - quando está publicando serviços (RDP, HTTP, FTP, etc…) é uma gambiarra mesmo. Se puder, fuja disso! ;)
Abraços!
Jack -
hehe
não tinha visto q ele fazia isso no no-ip também… vlw -
hehe
não tinha visto q ele fazia isso no no-ip também… vlwTenho usado o OpenDNS há algum tempo e funfa legal.
Mas nunca se sabe, né?
O no-ip, até onde sei, nunca deixou de ser gratuito. Mesmo com limitações. :D