PfSense
PfSense[editar | editar código-fonte]
Autenticação em dois fatores[editar | editar código-fonte]
Procedimento de instalação de autenticação em dois fatores no pfSense
Instala o FreeRADIUS[editar | editar código-fonte]
Acesse no menu superior na Dashboard do Firewall Sistema > Gerenciador de Pacotes (System > Package Manager). faça uma busca por "freeradius". Instale o pacote correspondente ao serviço.
Configuração[editar | editar código-fonte]
No mesmo menu do passo 1, acesse Serviços > FreeRADIUS (Services > FreeRADIUS).
Na página que abrirá, inicie clicando em "Configurações" (Settings).
Aqui, você deverá habilitar o suporte para Mobile One-Time-Password (OTP).
Deixe todos os outros valores como padrão e salve.
Criar a Listener Port[editar | editar código-fonte]
Nesse ponto, clicamos em "interface" e no botão verde para criar uma nova interface para o FreeRADIUS. Nessa parte, nao é necessário nenhuma alteração. Somente recomendamos inserir uma descrição para a interface. e clique em salvar.
Criando o client[editar | editar código-fonte]
Em “NAS/Clientes” e clique em Add. Você só precisa preencher a parte superior do formulário e clicar em Salvar. Atribua uma chave do “Segredo compartilhado do cliente” (“Client Shared Secret”) inserido aqui. Não esqueça desta informação pois ela será necessária mais adiante.
Criando o usuário[editar | editar código-fonte]
Aqui, devemos criar dois usuários: Um no FreeRADIUS para a autenticação em si e outro no pfSense (User manager) por motivos de permissão. Ambos deverão ser iguais.
No FreeRADIUS, clique em "User" e adicione um usuario clicando no botão verde (Add).
Parâmetros:
- Username: atribua o seu usuario
- Password: Não atribua nenhuma senha aqui nesse espaço.
- Password Encryption: Cleartext-Password.
- One-Time Password Configuration: habilite-o clicando no checkbox.
- OTP Auth Method: Google-Authenticator.
- Init-Secret: Clique em "Generate OTP Secret" para gerar o Segredo OTP.
- PIN: Atribua um PIN simples (4 a 6 caracteres - preferencialmente números).
- QR Code: Clique no botão azul "Generate QR Code" e ele mostrará o qrcode que deverá ser scaneado pelo aplicativo do Google authentication no dispositivo. Esse processo adicionará o pfSense no app e iniciará a rotina de criação de senhas aleatórias com um tempo definido.
Clique em salvar, no fim da página.
Acesse Sistema > Usuarios (System > User manager) e crie um novo usuario local no Firewall (com a mesma denominação do usuario FreeRADIUS). Lembre-se de adicioná-lo no grupo de "admins".
Servidor de Autenticação[editar | editar código-fonte]
Ainda em Sistema > Usuarios (System > User manager) clique em "Authentication Servers" para setar o FreeRADIUS como servidor de autenticação padrão no seu pfSense, você deverá clicar no botão "Add".
Parâmetros:
- Descriptive name: Crie um nome para o seu Servidor de Autenticação
- Type: RADIUS
- Protocol: PAP
- Hostname or IP address: IP do Pfsense
- Shared Secret: “Segredo compartilhado do cliente” criado no passo 4.
- Services offered: Authentication and Accounting
As demais configurações ficam como padrão. Clique em "Save".
Testando o FreeRADIUS[editar | editar código-fonte]
Antes de configurar um serviço para autenticação no FreeRADIUS, é uma boa ideia testá-lo primeiro. Você pode testar sua configuração navegando até Diagnóstico > Autenticação (Diagnostics > Authentication) e escolhendo FreeRADIUS como servidor de autenticação. Digite seu nome de usuário que foi criado anteriormente, e no campo de senha digite o PIN de 4 dígitos (exemplo: 2545) junto com o código de 6 dígitos do Google Authenticator (exemplo:693 953), tornando todo o campo de senha para ser “2545693953” e clique em Testar. Se tudo correr bem, você deverá ver a faixa verde indicando sucesso.
Lightsquid[editar | editar código-fonte]
O que é[editar | editar código-fonte]
LightSquid é um analisador de log para o Squid rodando no pfSense. Através da análise dos logs de acesso de pacote de proxy é capaz de gerar relatórios baseados nos acessos à Web que detalham as URLs acessadas pelos usuários da rede. Neste post veja como criar relatórios no pfSense.
Pré-requisitos: 1. O pfSense já deve estar com o Squid Proxy Server instalado e configurado. 2. Liberação para a porta 7445 na LAN e para qualquer outra rede que acessará os relatórios.
Instalação[editar | editar código-fonte]
Para instalar a ferramenta Lightsquid, siga os passos:
Acesse System > Package Manager e clique em "Available Packages" e pesquise por “Liquidsquid”. Instale o pacote;
Após a instalação, acesse Status > Squid Proxy Reports. O Lightsquid já está praticamente configurado, contudo, ao acessar a página do Ligthsquid, você deverá atentar-se a algumas Instruções que aparecerão quando você clicar i ícone azul em "Instruções": Nele haverão instruções imprescindíveis, para o funcionamento do LigthSquid, tais como:
=== Habilitar e configurar o log do Squid= PfSense[editar | editar código-fonte]
Autenticação em dois fatores[editar | editar código-fonte]
Procedimento de instalação de autenticação em dois fatores no pfSense
1 Instala o FreeRADIUS[editar | editar código-fonte]
Acesse no menu superior na Dashboard do Firewall Sistema > Gerenciador de Pacotes (System > Package Manager). faça uma busca por "freeradius". Instale o pacote correspondente ao serviço.
2 Configuração[editar | editar código-fonte]
No mesmo menu do passo 1, acesse Serviços > FreeRADIUS (Services > FreeRADIUS). Na página que abrirá, inicie clicando em "Configurações" (Settings). Aqui, você deverá habilitar o suporte para Mobile One-Time-Password (OTP). Deixe todos os outros valores como padrão e salve.
3 Criar a Listener Port[editar | editar código-fonte]
Nesse ponto, clicamos em "interface" e no botão verde para criar uma nova interface para o FreeRADIUS. Nessa parte, nao é necessário nenhuma alteração. Somente recomendamos inserir uma descrição para a interface. e clique em salvar.
4 Criando o client[editar | editar código-fonte]
Em “NAS/Clientes” e clique em Add. Você só precisa preencher a parte superior do formulário e clicar em Salvar. Atribua uma chave do “Segredo compartilhado do cliente” (“Client Shared Secret”) inserido aqui. Não esqueça desta informação pois ela será necessária mais adiante.
5 Criando o usuário[editar | editar código-fonte]
Aqui, devemos criar dois usuários: Um no FreeRADIUS para a autenticação em si e outro no pfSense (User manager) por motivos de permissão. Ambos deverão ser iguais. No FreeRADIUS, clique em "User" e adicione um usuario clicando no botão verde (Add).
Parâmetros:
- Username: atribua o seu usuario - Password: Não atribua nenhuma senha aqui nesse espaço. - Password Encryption: Cleartext-Password. - One-Time Password Configuration: habilite-o clicando no checkbox. - OTP Auth Method: Google-Authenticator. - Init-Secret: Clique em "Generate OTP Secret" para gerar o Segredo OTP. - PIN: Atribua um PIN simples (4 a 6 caracteres - preferencialmente números). - QR Code: Clique no botão azul "Generate QR Code" e ele mostrará o qrcode que deverá ser scaneado pelo aplicativo do Google Authentication no dispositivo. Esse processo adicionará o pfSense no app e iniciará a rotina de criação de senhas aleatórias com um tempo definido.
Clique em salvar, no fim da página.
Acesso Sistema > Usuarios (System > User manager) e crie um novo usuario local no Firewall (com a mesma denominação do usuario FreeRADIUS). Lembre-se de adicioná-lo no grupo de "admins".
6 Servidor de Autenticação[editar | editar código-fonte]
Ainda em Sistema > Usuarios (System > User manager) clique em "Authentication Servers" para setar o FreeRADIUS como servidor de autenticação padrão no seu pfSense, você deverá clicar no botão "Add".
Parâmetros:
- Descriptive name: Crie um nome para o seu Servidor de Autenticação - Type: RADIUS - Protocol: PAP - Hostname or IP address: IP do Pfsense - Shared Secret: “Segredo compartilhado do cliente” criado no passo 4. - Services offered: Authentication and Accounting As demais configurações ficam como padrão. Clique em "Save".
7 Testando o FreeRADIUS[editar | editar código-fonte]
Antes de configurar um serviço para autenticação no FreeRADIUS, é uma boa ideia testá-lo primeiro. Você pode testar sua configuração navegando até Diagnóstico > Autenticação (Diagnostics > Authentication) e escolhendo FreeRADIUS como servidor de autenticação. Digite seu nome de usuário que foi criado anteriormente, e no campo de senha digite o PIN de 4 dígitos (exemplo: 2545) junto com o código de 6 dígitos do Google Authenticator (exemplo:693 953), tornando todo o campo de senha para ser “2545693953” e clique em Testar. Se tudo correr bem, você deverá ver a faixa verde indicando sucesso.
Lightsquid[editar | editar código-fonte]
O que é[editar | editar código-fonte]
LightSquid é um analisador de log para o Squid rodando no pfSense. Através da análise dos logs de acesso de pacote de proxy é capaz de gerar relatórios baseados nos acessos à Web que detalham as URLs acessadas pelos usuários da rede. Neste post veja como criar relatórios no pfSense.
Pré-requisitos: 1. O pfSense já deve estar com o Squid Proxy Server instalado e configurado. 2. Liberação para a porta 7445 na LAN e para qualquer outra rede que acessará os relatórios.
Instalação[editar | editar código-fonte]
Para instalar a ferramenta Lightsquid, siga os passos:
1. Acesse System > Package Manager. Clique em "Available Packages" e pesquise por “Liquidsquid”. Instale o pacote;
2. Após a instalação, acesse Status > Squid Proxy Reports. O Lightsquid já está praticamente configurado, contudo, ao acessar a página do Ligthsquid, você deverá atentar-se a algumas Instruções que aparecerão quando você clicar i ícone azul em "Instruções": Nele haverão instruções imprescindíveis, para o funcionamento do LigthSquid, tais como:
- Habilitar e configurar o log do Squid Marque 'Habilitar log de acesso' e configure 'Diretório de armazenamento de log' na página Squid Proxy Server > Geral. Dica: É altamente recomendável deixar o 'Log Store Directory' como padrão
- Habilitar e configurar o registro do Squid Marque 'Ativar registro de acesso' e configure 'Log Store Directory' na página Squid Proxy Server> Geral. Dica: É altamente recomendável deixar o 'Log Store Directory' com o valor padrão /var/squid/logs. (SOMENTE se o Squid NÃO estiver configurado como proxy transparente) Configure 'Interface(s) Proxy' na página Squid Proxy Server > Geral para incluir a interface 'loopback' (além de quaisquer outras interfaces que você deseja que o Squid vincule). Isso é necessário para que o sqstat funcione.
- Configurar o Lightsquid Preencha as seções 'Configurações do modelo de relatório' e 'Configurações de relatório e agendador' abaixo e salve quando terminar.
Gerando relatórios[editar | editar código-fonte]
Crie relatórios iniciais do Lightsquid
Caminho: MENU > Status > Squid Proxy Reports
1. Use o botão "Refresh" (ou "Atualizar") na seção "Atualização manual"
2. Em "Web Service Settings", na seção "Links" clique no botão azul escrito "Open Lightsquid.
3. Você será redirecionado para os relatórios á partir da autenticação.
Importante: Se você pular esta etapa, receberá uma página de erro de diagnóstico ao clicar em ‘Abrir Lightsquid’.
Marque 'Habilitar log de acesso' e configure 'Diretório de armazenamento de log' na página Squid Proxy Server > Geral. Dica: É altamente recomendável deixar o 'Log Store Directory' como padrão
- Habilitar e configurar o registro do Squid Marque 'Ativar registro de acesso' e configure 'Log Store Directory' na página Squid Proxy Server> Geral. Dica: É altamente recomendável deixar o 'Log Store Directory' com o valor padrão /var/squid/logs. (SOMENTE se o Squid NÃO estiver configurado como proxy transparente) Configure 'Interface(s) Proxy' na página Squid Proxy Server > Geral para incluir a interface 'loopback' (além de quaisquer outras interfaces que você deseja que o Squid vincule). Isso é necessário para que o sqstat funcione.
- Configurar o Lightsquid Preencha as seções 'Configurações do modelo de relatório' e 'Configurações de relatório e agendador' abaixo e salve quando terminar.
Gerando relatórios[editar | editar código-fonte]
Crie relatórios iniciais do Lightsquid
Caminho: MENU > Status > Squid Proxy Reports
Use o botão "Refresh" (ou "Atualizar") na seção "Atualização manual"
Em "Web Service Settings", na seção "Links" clique no botão azul escrito "Open Lightsquid.
Você será redirecionado para os relatórios á partir da autenticação.
Importante: Se você pular esta etapa, receberá uma página de erro de diagnóstico ao clicar em ‘Abrir Lightsquid’.