CaietDeLaborator PfSense

Telefon/Fax: +40 21 3181938
RMNC: 1027-581, 574,572;

Email*: contact@certmil.ro
Site: https://www.certmil.ro
GHID
Ghid de laborator
- pfSense -
NECLASIFICAT
1 din 45
NECLASIFICAT Cyber-range: pfSense
Pagina albă
NECLASIFICAT
2 din 45
Conţinut
Modulul 0 ................................................................................................................................................... 4
Ex. 0.1 – Instalare module software ....................................................................................................... 4
Ex. 0.2 – Alocarea utilizatorilor ............................................................................................................... 4
Ex. 0.3 – Conectarea la cyber-range ....................................................................................................... 4
Modulul 1 ................................................................................................................................................... 6
Ex. 1.1 – Descrierea mediului cyber-range ............................................................................................. 6
Ex. 1.2 – Accesarea resurselor cyber-range ............................................................................................ 8
Ex. 1.3 – Administrarea maşinilor virtuale.............................................................................................. 9
Modulul 2 ................................................................................................................................................. 10
Ex. 2.1 – Cerinţe hardware ................................................................................................................... 10
Ex. 2.2 – Crearea maşinii virtuale ......................................................................................................... 10
Modulul 3 ................................................................................................................................................. 15
Ex. 3.1 – Instalare pfSense .................................................................................................................... 15
Ex. 3.2 – Configurare iniţială pfSense ................................................................................................... 20
Modulul 4 ................................................................................................................................................. 25
Ex. 4.1 – Schimbarea parolei de acces la pfSense ................................................................................ 25
Ex. 4.2 – Setarea interfeţei conectată la WAN ..................................................................................... 25
Ex. 4.3 – Setarea interfeţei conectată la DMZ ...................................................................................... 28
Modulul 5 ................................................................................................................................................. 31
Ex. 5.1 – Generalităţi despre reguli ...................................................................................................... 31
Ex. 5.2 – Regula 1: permitem ping pe toate interfeţele ....................................................................... 31
Ex. 5.3 – Regula nr. 2: Permitem navigarea pe Internet în LAN ........................................................... 34
Ex. 5.4 – Regula nr. 3: Permitem accesul la serverul de web intern .................................................... 37
Ex. 5.5 – Regula nr. 4: Permitem accesul prin ssh la serverele din DMZ doar de la o staţie din LAN .. 39
Modulul 6 ................................................................................................................................................. 40
Ex. 6.1 – Vizualizare log-uri ................................................................................................................... 40
Ex. 6.2 – Transmitere log-uri către un server extern (SIEM) ................................................................ 41
Modulul 7 ................................................................................................................................................. 42
Ex. 7.1 – Instalare şi configurare proxy transparent............................................................................. 42
Ex. 7.2 – Instalare modul vizualizare log-uri ......................................................................................... 44
Modulul 8 ................................................................................................................................................. 45
NECLASIFICAT
3 din 45
Modulul 0
Conectarea la cyber-range
Ex. 0.1 – Instalare module software
Pentru accesarea şi administrarea resurselor din cadrul acestui laborator este necesară
instalarea a două pachete software gratuite, FortiClient şi VMWare Remote Console. Modul de
instalare a acestora sunt prezentate în Anexa nr.1
Ex. 0.2 – Alocarea utilizatorilor

Înainte de toate, se vor stabili maxim 10 echipe de lucru şi se vor denumi astfel:
user50 user51 user52 user53 user54 user55 user56 user57 user58 user59
Observaţie: Marcaţi pe acest tabel utilizatorul asignat de către îndrumător.
Ex. 0.3 – Conectarea la cyber-range

1. Pentru accesarea cyber-range este necesară instalarea unui client VPN, numit FortiClient
configurat astfel:
 Remote gateway: 213.177.20.252
 Preshared Key: Mur3sulcurg@tor
 Username: userxy (Fiecare utilizator va primi un cont individual, cu xy număr în
intervalul [50-59]. Exemple: user50, user51, …user59)
 Password: Us3rxyXY (Unde xy este un număr în intervalul *50-59+ corespunzător
utilizatorului userxy, iar XY reprezintă caracterele obţinute apăsând simultan tasta Shift
şi pe rând numerele x şi y. Exemplu: user53 parola: Us3r53%#).
Observaţie: Detalii despre modul de instalare al FortiClient găsiţi în Anexa nr. 1.
2. După efectuarea cu succes a conexiunii VPN, utilizatorii se vor conecta la vCenter, aplicaţia
care permite administrarea maşinilor virtuale. Conectarea la vCenter se face folosind un
browser web şi următoarele elemente:
 Adresa web: https://vcenter.certmil.local/vsphere-client/
NECLASIFICAT
4 din 45
 User name: userxy@certmil.local, unde userxy este cel folosit anterior la conexiunea VPN
(Exemplu: user53)
 Pasword: Us3rxyXY (aceeaşi parolă ca la VPN. Exemplu: user53 parola: Us3r53%#).
3. După conectare fiecare utilizator are acces la nişte resurse tip maşini virtuale, ca în imaginea de
mai jos:
NECLASIFICAT
5 din 45
Modulul 1
Familiarizarea cu mediul cyber-range

Ex. 1.1 – Descrierea mediului cyber-range
În imaginea de mai sus este prezentată reţeaua virtuală cyber-range din care reiese modul de
partajare a resurselor.
Fiecare utilizator va avea acces la propria partiţie pe baza contului folosit în momentul
conectării la vCenter. Pentru fiecare utilizator, au fost deja configurate mai multe elemente, astfel:
 o legătură la Internet pe care utilizatorii o vor folosi pe interfaţa de WAN a firewall-

ului PfSene, având ca punct de ieşire (gatway) 172.16.0.100;
NECLASIFICAT
6 din 45
 o maşină virtuală cu sistem de operare Ubuntu pe care rulează un server de web,
denumită DMZ-userxy, care simulează zona de servere a unei reţele (DMZ), având adresa de IP statică
10.10.xy.1. Credenţialele de acces la această maşină sunt de tipul userxy / userxy;
 o maşină virtuală cu sistem de operare Windows XP, ce simulează partea de reţea
destinată utilizatorilor (LAN), având adresă de IP alocată dinamic (DHCP) de către pfSense.
Credenţialele de acces la această maşină sunt de tipul userxy / userxy;
 pfSense este singura maşină virtuală ce se va instala de către utilizatori începând de
la alocarea resurselor, instalare sistem de operare şi configurare servicii: firewall (cu minim 3 zone:
WAN, LAN şi DMZ), proxy, filtrare adrese web şi IP-uri etc.;
 reţeaua LAN este simulată printr-un switch virtual pentru fiecare utilizator, denumit
LANXY-pfSense, la care se vor conecta atât maşinile pfSense cât şi maşinile cu Windws XP;
 reţeaua DMZ este simulată printr-un switch virtual, denumit DMZ-pfSense, la care se
vor conecta atât maşinile pfSense cât şi maşinile cu Ubuntu;
NECLASIFICAT
7 din 45
 legătura la Internet, necesară interfeţei WAN a pfSense, este disponibilă pe swich-ul
virtual denumit VM Int Prime.
Ex. 1.2 – Accesarea resurselor cyber-range

Pentru a putea continua acest exerciţi trebuie să fiţi deja conectat la vCenter (a se vedea
Ex0.2).
Dacă sunteţi deja conectat la vCenter urmaţi paşii de mai jos pentru a accesa resursele puse la
dispoziţie:
1. Din fereastra de Home din meniul din partea stângă a paginii, denumită Navigator, accesaţi
Hosts and Clusters
2. Meniul Navigator se modifică şi va afişa o structură în trepte având la vârf denumirea

vcenter.certmil.local. Desfăcând întreaga structură (apăsând pe săgeţile din stânga scrisului),
fiecare utilizator va ajunge la zona de resurse asignată ce conţine, la acest moment 2 maşini
virtuale:
NECLASIFICAT
8 din 45
Ex. 1.3 – Administrarea maşinilor virtuale
Asupra fiecărei maşini virtuale în parte se pot efectua mai multe acţiuni
1. Oprirea/Pornirea maşinii virtuale. Din Navigator (meniu stânga) se selectează maşina virtuală
care necesită pornire/oprirea, din fereastra din mijloc se alege primul tab Getting Started care
oferă următoarele acţiuni:
Observaţie: Dacă numele de host al Managerului ArcSight NU este „arcsight”, va trebui modificată
adresa URL în mod corespunzător
2. Detalii despre resursele consumate de maşina virtuală respectivă, precum şi opţiunea de

deschidere a unei console pentru accesarea maşinii virtuale sunt disponibile prin accesare tab-
ului al doilea Summary:
Observaţie: Utilizarea consolei din această fereastră este posibilă doar după instalarea pachetului
VMWare Remote Console, a cărui instalare este detaliată în Anexa nr.1.
3. În tab-ul al patrulea Manage sunt localizate toate setările ce fac referire la maşina virtuală:
resursele hardware alocate, permisiunile utilizatorilor asupra maşinii virtuale etc.
 Vizualizare/Modificare resurse hardware alocate pentru maşina virtuală:
NECLASIFICAT
9 din 45
Modulul 2
Configurare maşina virtuala

Ex. 2.1 – Cerinţe hardware
Pentru instalarea pfSense vom avea nevoie de o maşină virtuală cu următoarele resurse
hardware:
 memorie RAM: 1GB;

 număr procesoare: 1;
 spaţiu HDD: 50GB;
 interfeţe de reţea: 3 (WAN, LAN şi DMZ).
Observaţie: Resursele hardware enumerate mai sus sunt suficiente pentru susţinerea unei reţele de
mici dimensiuni (maxim 10 computere) cu un număr restrâns de servicii.
Ex. 2.2 – Crearea maşinii virtuale

Crearea maşinii virtuale pe care se va instala pfSense se realizează urmând următoarele etape:
1. Utilizând interfaţa vSphere Web Client vă veţi conecta cu utilizatorul asignat la începutul
laboratorului
2. Navigaţi folosind meniul din partea stângă până la directorul specific utilizatorului cu care v-aţi
conectat:
NECLASIFICAT
10 din 45
3. Efectuaţi clic-dreapta pe numele directorului (Exemplu: User53) şi alegeţi opţiunea New Virtual
Machine New Virtual Machine
4. Din fereastra nou apărută alegeţi opţiunea „Create a new virtual machine”, după care apăsaţi
butonul Next
5. Asignaţi un nume maşinii virtuale pe care o creaţi, de preferinţă de forma pfSense-userxy după
care apăsaţi butonul Next:
NECLASIFICAT
11 din 45
6. În pasul următor veţi lăsa neschimbată locaţia/resursa unde se va afla maşina virtuală şi apăsaţi
butonul Next:
7. În această etapă puteţi alege zona de stocare unde se va instala maşina virtuală, în cazul nostru
de faţă existând o singură posibilitate, şi anume srv2.datastore_1. Selectaţi resursa şi apăsaţi
butonul Next.
8. În fereastra de alegere a tipului de maşină virtuală lăsaţi neschimbată valoarea predefinită şi

apăsaţi butonul Next:
NECLASIFICAT
12 din 45
9. În această etapă trebuie, obligatoriu, să alegem ca sistem de operare FreeBSD (x64), aşa cum
se observă în imaginea de mai jos, după care apăsăm butonul Next:
10. Această etapă este cea mai importantă, aici fiind selectate resursele hardware de care avem
nevoie. Urmăriţi cu atenţie valorile din imaginea de mai jos şi configuraţi propria maşină
virtuală asemănător, după care apăsaţi butonul Next:
Observaţie: Adăugarea de resurse suplimentare,

cum este în cazul nostru adăugarea a încă două
interfeţe de reţea, se realizează selectând resursa
necesară din lista derulantă New Device, din josul
ferestrei, urmată de apăsarea butonului Add din
dreptul acesteia.
Atenţie: Urmăriţi cu atenţie modul în care au fost asignate resursele, inclusiv conectarea interfeţelor de
reţea la switch-urile virtuale.
NECLASIFICAT
13 din 45
LAN53-pfSense
Observaţie: Dacă aţi greşit în această etapă NU este foarte grav deoarece se pot aduce modificări ale
hardware-ului şi ulterior, după finalizarea procesului de creare a maşinii virtuale.
11. Finalizarea procesului de creare a maşinii virtuale se face prin apăsarea butonului Finish.
Observaţie: Procesul de creare al maşinii virtuale poate fi de durată, în funcţie de încărcarea serverului
la acel moment şi de resursele hrdware necesare a fi alocate. Progresul procesului se poate urmări în
fereastra „Recent Tasks” din josul paginii:
NECLASIFICAT
14 din 45
Modulul 3
Initializare pfSenşe
Ex. 3.1 – Instalare pfSense
Pentru efectuarea instalării pfSense pe maşina virtuală creată anterior veţi ave nevoie de imaginea
cu sistemul de operare ce susţine produsul pfSense care poate fi descărcat de pe site-ul
dezvoltatorului https://www.pfsense.org/download/ sau de pe site-ul https://certmil.ro/ secţiunea
Download. În acest laborator s-a folosit următoare imagine: pfSense-CE-2.3.2-RELEASE-amd64.iso.
1. Descărcaţi imaginea de pfSense care doriţi să o instalaţi

2. Verificaţi, din vSphere Web Client dacă resursele alocate pentru maşina virtuală pe care se va
instala pfSense respectă cerinţele minime specificate anterior sau cele oferite de dezvoltator
3. Completaţi următorul tabel cu informaţiile referitoare la interfeţele de reţea întrucât vă vor fi
necesare în timpul procesului de configurare iniţială a pfSense:
Nr.crt. Tip interfaţă Conectată la switch/reţea MAC address

1. WAN VM Int Prime 00:50:56:80:52:db
2. LAN LAN53-pfSense 00:50:56:80:6b:16
3. DMZ DMZ-pfSense 00:50:56:80:47:d3
Din tab-ul Manage Settings se apasă butonul Edit (dreapta sus). În fereastra apărută, pentru
resursa CD/DVD se va selecta Datastore iso file şi se va alege fişierul pfSense-CE-2.3.2-RELEASE-
amd64.iso aflat în srv2.datastore_1/ISOs/pfSense/, după care se apasă butonul OK.
NECLASIFICAT
15 din 45
Se pune bifa la căsuţa de Connect at Power on după care se apasă butonul OK.
4. Din tab-ul Summary deschideţi consola apăsând pe link-ul Launch Remote Console
NECLASIFICAT
16 din 45
Atenţie: Consola se va deschide decât dacă aţi instalat anterior VMware Remote Console şi va afişa un
ecran negru, fără alt mesaj.
5. Din tab-ul Getting Started porniţi maşina virtuală apăsând pe link-ul Power on the virtual
machine, după care mergeţi rapid la fereastra de consolă deschisă anterior.
6. Maşina virtuală este pornită folosind imaginea ISO specficată anterior, prezentând
utilizatorului următorul meniu:
NECLASIFICAT
17 din 45
Observaţie: Dacă nu sunteţi întâmpinaţi de un ecran asemănător imaginii anterioare cel mai probabil
s-a iniţiat deja procesul de instalare al pfSense. Pentru a ajunge din nou la acest ecran folosiţi meniul
VMRC Send Ctrl+Alt+Del.
7. Alegeţi opţiunea de instalare Boot Multi User [Enter] şi aşteptaţi până la iniţializarea mediului
de instalare.
8. După iniţializarea interfeţei grafice de instalare veţi fin întâmpinaţi de un meniu în genul celui
de mai jos. În principiu nu este necesar să se modifice nici o setare aici decât dacă instalaţi
pfSense pe un calculator ce deţine o placă video mai slabă. Alegeţi opţiunea Accept these
Settings.
9. Din meniul acesta vom selecta opţiunea predefinită de instalare Quick/Easy Install. Confirmaţi
încă o dată, apăsând butonul OK, că doriţi o instalare rapidă fără prea multe întrebări.
NECLASIFICAT
18 din 45
10. Confirmaţi că doriţi să instalaţi un kernel standard
11. Înainte de repornirea sistemului după finalizarea instalării, trebuie să dezactivaţi CD/DVD –ul
sau să demontaţi imaginea.
NECLASIFICAT
19 din 45
12. În consolă, după re-startare, veţi fi întâmpinaţi de următorul meniu:
Ex. 3.2 – Configurare iniţială pfSense

După ce pfSense, ca şi sistem de bază, a fost instalat trebuie să efectuăm o configurare iniţială,
cel puţin a interfeţei de reţea locală pentru a putea accesa interfaţa web de administrare a platformei.
De asemenea, este bine să reţineţi, dacă cumva aţi ratat acest lucru în timpul instalării, că accesul la
interfaţa web de administrare se realizează cu contul admin şi parola pfsense:
1. Alegeţi opţiunea 1, Assign Interfaces, şi încercaţi să identificaţi dup adresa MAC interfaţa
de reţea ce va fi conectată la LAN (LAN-pfSense)
NECLASIFICAT
20 din 45
2. Din informaţiile obţinute din imaginea de mai sus, tabelul anterior referitor la interfeţele de
reţea, în cazul de faţă, poate fi completat astfel:
Nr. Tip Conectată la MAC address Interfaţă pfSense
crt. interfaţă switch/reţea
1. WAN VM Int Prime 00:50:56:80:52:db em0
2. LAN LAN53-pfSense 00:50:56:80:6b:16 em2
3. DMZ DMZ-pfSense 00:50:56:80:47:d3 em1
3. Specificaţi dacă doriţi să folosiţi VLAN. Pentru configuraţia actuală de reţea vom merge fără
VLAN.
4. Specificaţi care este interfaţa de reţea pentru WAN, în cazul prezentat este em0
5. Specificaţi care este interfaşa de reţea pentru LAN, în cazul prezentat este em2
6. Specificaţi interfaţa de reţea pe care o vom folosi pentru DMZ, pe care pfSense o
denumeşte Optional 1.
7. Verificaţi dacă interfeţele de reţea sunt asignate corespunzător şi mergeţi mai departe
8. Configuraţi cel puţin interfaţa de LAN cu un IP corespunzător, aşa cum a fost el asignat la
începutul laboratorului.
Exemplu: user53 va avea ca adrese de IP pentru LAN 192.168.53.X/24, iar ca gateway
192.168.53.100., iar adresele vor fi asignate prin DHCP
a) alegeţi din meniu opţiunea 2:
NECLASIFICAT
21 din 45
b) urmată tot de opţiunea 2 specifică LAN
c) introduceţi adresa de IP specifică gateway-ului de LAN
d) Alegeţi masca de reţea
e) Nu asignaţi adrese de IPv6
f) Setaţi DHCP pentru LAN, pentru a uşura asignarea de IP la staţiile locale
g) Alegeţi NU la întrebarea referitoare la reactivarea HTTP. Aceasta ar fi utilă decât în

cazul în care sunt probleme cu accesarea pe HTTPS a interfeţei web.
h) Acceptaţi schimbările făcute şi notaţi, dacă este cazul, adresa de IP la care poate fi
accesată interfaţa web
NECLASIFICAT
22 din 45
9. Deschideţi o consolă către maşina virtuală din LAN (LAN-user53) şi configuraţi interfaţa de
reţea să obţină IP automat de la pfSense.
10. Dezactivaţi şi reactivaţi placa de reţea de pe staţia din LAN şi vedeţi dacă pfSense vă
asignează adresă de IP
11. Accesaţi interfaţa web de administrare a pfSense deschizând într-un browser web, pe staţia
din LAN, adresa https://192.168.XY.100
NECLASIFICAT
23 din 45
12. Vă puteţi conectat la interfaţa de administrare folosind credenţialele admin/pfsense. În
prima fază, după conectare, sunteţi întâmpinaţi de un nou „wizard” pentru configurarea
iniţială
13. Ieşiţi din „wizard” apăsând pe logo-ul din stânga sus, deoarece vom realiza setările manual.
Veţi vedea pe ecran o pagină web cu date despre actuala instalare sub formă de
dashboard-uri.
NECLASIFICAT
24 din 45
Modulul 4
Configurare pfSenşe
Ex. 4.1 – Schimbarea parolei de acces la pfSense

Pentru schimbarea parolei de acces la interfaţa web de administrare a pfSense urmaţi
următorii paşi:
1. De pe staţia din LAN, accesaţi interfaţa web de administrare

2. Din meniu se alege System User manager
3. Modificaţi parola asignată utilizatorului admin apăsând pe icon-ul sub formă de creion, după
care apăsaţi butonul Save.
Ex. 4.2 – Setarea interfeţei conectată la WAN
Pentru a configura interfaţa de WAN se poate folosi atât consola maşinii pfSense cât şi
interfaţa web. Pentru configurarea acesteia din consola pfSense se efectuează următorii paşi:
1. Se deschide din vSphere consola maşinii virtuale pfSense

2. Din meniul pfSense se alege opţiunea 2, Set Interface (s) IP Address
NECLASIFICAT
25 din 45
3. Se alege interfaţa 1, WAN, pe care dorim să o configurăm
4. Important!!! La acest pas nu lăsaţi ca interfaţa de WAN să ia IP prin DHCP
5. Setaţi adresa de IP a interfeţei dup modelul: userXY -- 172.16.0.XY
6. Setaţi masca de reţea pentru WAN
7. Setaţi gateway-ul pentru conexiunea la Internet astfel:
8. Dezactivaţi IPv6 pentru WAN
9. Apăsaţi Enter pentru toate celelalte întrebări şi finalizaţi procesul de configurare al WAN
10. Din meniul pfSense alegem opţiunea 7, Ping host, pentru a testa legătura la Internet
NECLASIFICAT
26 din 45
11. De pe staţia din LAN verificaţi modul de configurare al WAN, accesând din meniul interfeţei
web Interfaces  WAN
12. De pe staţia din LAN verificaţi dacă puteţi accesa Internetul
NECLASIFICAT
27 din 45
Ex. 4.3 – Setarea interfeţei conectată la DMZ

Pentru configurarea interfeţei de reţea pentru zona de DMZ urmaţi următorii paşi:
1. De pe staţia din LAN, accesaţi interfaţa web de administrare

2. Accesaţi din meniul interfeţei web Interfaces  OPT1 în care veţi modifica următoarele valori:
 Numele interfeţei: din OPT1 o veţi denumi DMZ
 Se va activa interfaţa (enable)
 Adresa de IPv4: 10.10.XY.100
NECLASIFICAT
28 din 45
3. Din consola pfSense se verifică conexiunea de DMZ
4. După cum se observă conexiunea între pfSense şi serverul din DMZ nu poate fi realizată. Cauza
acestui comportament este lipsa regulilor care să permită conexiunile (Firewall  Rules  DMZ)
5. Veţi crea o primă regulă pentru DMZ care să permită traficul ICMP (ping)
Atenţie: Nu uitaţi să confirmaţi adăugarea regulii prin apăsare butonului Apply Changes care apare
după salvarea acesteia.
NECLASIFICAT
29 din 45
6. Verificaţi dacă placa de reţea de pe serverul din DMZ are setat ca gateway adresa DMZ din
pfSense:
7. Testaţi din nou legătura în DMZ, folosind de data aceasta soluţia oferită de pfSense în interfaţa
web Diagnostics  Ping
În final, pe prima pagină ce conţine dashboard-uri ar trebui să vedeţi cele 3 interfeţe

configurate corespunzător:
NECLASIFICAT
30 din 45
Modulul 5
Creare reguli perşonalizate

Ex. 5.1 – Generalităţi despre reguli
După cum aţi putut sesiza conexiunea din LAN către WAN a funcţionat fără nici o restricţie
deoarece predefinit pfSense vine deja cu câteva reguli configurate pentru interfaţa de LAN. Pentru
orice altă interfaţă configurată, WAN sau DMZ, regula predefinită este de „drop all”. Regulile se pot
vizualiza şi/sau crea accesând meniul FirewallRules:
După cum observaţi regulile se creează la nivelul fiecărei interfeţe: WAN, LAN şi DMZ.
Ex. 5.2 – Regula 1: permitem ping pe toate interfeţele

Predefinit, singura interfaţă care acceptă trecerea pachetelor ICMP este cea de LAN care are ca
regula predefinit permiterea traficului către orice destinaţie, către orice port şi cu orice protocol.
Atenţie: Această regulă de tip „permit all” trebuie să fie dezactivată pentru orice sistem care intră în
producţie.
NECLASIFICAT
31 din 45
Dezactivarea regulii „permit all” şi crearea unei reguli pentru ICMP se realizează urmând paşii:
1. Accesaţi meniul Firewall Rules şi apoi tab-ul LAN. Din acesta alegeţi regula „Default allow
LAN to any rule” (cea din poza anterioară) şi apăsaţi icon-ul sub formă de zero tăiat --
2. Dacă testaţi acum cu ping conexiunea din LAN către DMZ ar trebui să nu mai funcţioneze:
3. Din această pagină apăsaţi butonul Add rule şi competăm astfel:
NECLASIFICAT
32 din 45
4. Apăsaţi butonul Save după care apăsaţi butonul de deasupra regulilor numit Applay changes
5. Dacă testaţi acum cu ping conexiunea din LAN către DMZ ar trebui să funcţioneze:
6. Pentru ca interfaţa de WAN să răspundă la PING va trebui creaţi o regulă asemănătoare pe

interfaţa de WAN:
6.1. Test: Ping de pe o maşină din WAN către toate pfSense din reţea pe interfaţa de WAN.
7. Încercaţi să accesaţi Internetul de pe maşina din LAN şi cea din DMZ şi veţi observa că nu
funcţionează, deoarece firewall-ul nu permite nici o conexiune decât ce ICMP:
NECLASIFICAT
33 din 45
Ex. 5.3 – Regula nr. 2: Permitem navigarea pe Internet în LAN

Pentru a permite navigarea pe Internet trebuie să creaţi în principiu cel puţin 3 reguli care să
permită conexiuni HTTP (TCP/80), HTTPS (TCP/443) şi DNS query (UDP/53). Pentru a crea aceste reguli
urmaţi următorii paşi:
1. Pentru acces Internet din LAN, accesaţi meniul Firewall Rules şi apoi tab-ul LAN.
a) Din această pagină apăsaţi butonul Add rule, pentru HTTP, completaţi ca în imaginile de
mai jos după care apăsaţi butonul Save urmat de Applay changes
b) Din această pagină apăsaţi butonul Add rule, pentru HTTPS, completaţi ca în imaginile de
mai jos după care apăsaţi butonul Save urmat de Applay changes
NECLASIFICAT
34 din 45
c) Din această pagină apăsaţi butonul Add rule, pentru DNS, completaţi ca în imaginile de mai
jos după care apăsaţi butonul Save urmat de Applay changes
NECLASIFICAT
35 din 45
d) Cele 3 filtre vor arăta astfel:
e) Testaţi conectivitatea din LAN către Internet:
NECLASIFICAT
36 din 45
Ex. 5.4 – Regula nr. 3: Permitem accesul la serverul de web intern

Pentru a putea accesa serverul de web aflat în DMZ la adresa 10.10.XY.1, de către oricine
(LAN şi WAN), vor trebui create filtre/reguli specifice pe interfeţele de DMZ şi WAN.
1. Pe interfaţa DMZ, trebuie să deschideţi porturile specifice web (80 şi 443). Pentru acest
lucru accesaţi meniul Firewall Rules şi apoi în tab-ul DMZ creaţi 2 reguli pentru HTTP şi
HTTPS după modelul:
a) Pentru HTTP
NECLASIFICAT
37 din 45
b) Cele 2 filtre vor arăta astfel:
c) Verificaţi dacă puteţi accesa din LAN serverul de web de la adresa http://10.10.XY.1
2. Pentru a putea accesa serverul local de web şi din WAN trebuie creată o regulă de NAT pentru
forward de port.
a) accesaţi meniul Firewall NAT şi completaţi după modelul:
NECLASIFICAT
38 din 45
b) Crearea regulei anterioare va genera în mod automat un nou filtru pe interfaţa de WAN
astfel:
c) Dacă serverul de web trebuie accesat şi pe HTTPS, se va crea o regulă asemănătoare cu cea
de mai sus
d) Verificaţi de pe o staţie din WAN dacă serverul web poate fi accesat folosind adresa de IP de
WAN a pfSense, http://172.16.0.XY
Ex. 5.5 – Regula nr. 4: Permitem accesul prin ssh la serverele din DMZ doar de la o
staţie din LAN
Paşii necesari pentru finalizarea exerciţiului sunt:
1. Pe interfaţa DMZ, trebuie să deschideţi portul de ssh configurat pe servere (în general 22).
Pentru acest lucru accesaţi meniul Firewall Rules şi apoi în tab-ul DMZ creaşi următoarea regulă:
NECLASIFICAT
39 din 45
2. O regulă asemănătoare creaţi şi pe interfaţa de LAN
3. Verificaţi conexiunea prin ssh către serverul 10.10.XY.1:
Modulul 6
Managementul log-urilor
Ex. 6.1 – Vizualizare log-uri
Accesaţi Status  System Logs pentru a vizualiza mai multe tipuri de log-uri. Unul dintre
acestea, foarte important pentru monitorizarea reţelei este cel de Firewall:
NECLASIFICAT
40 din 45
Ex. 6.2 – Transmitere log-uri către un server extern (SIEM)
Accesaţi Status  System Logs după care alegeţi tab-ul Settings în care puteţi modifica mai
multe elemente referitoare la log-uri dintre care amintim:
NECLASIFICAT
41 din 45
Modulul 7
Proxy şerver
Ex. 7.1 – Instalare şi configurare proxy transparent
1. Din meniul System  Package manager alegeţi tab-ul Available Packages iar din lista apărută
instalaţi pachetul Squid
2. În tab-ul Installed packages veţi putea vedea cele două pachete instalate
3. În meniul Services veţi regăsi acum şi opţiunea Squid Proxy Server. Printre opţiunile care pot fi
setate aici pentru un minim de funcţionalitate sunt disponibile:
 Setări generale
NECLASIFICAT
42 din 45
 Activare modul antivirus
NECLASIFICAT
43 din 45
Ex. 7.2 – Instalare modul vizualizare log-uri
1. Instalaţi pachetul LightSquid

2. Adăugaţi o regulă pe interfaţa de LAN care să permită accesul pe portul 7445
3. În meniul Status Squid Proxy Report puteţi vizualiza log-urile generate de Squid
NECLASIFICAT
44 din 45
4. Apăsaţi pe butonul Open LightSquid iar în interfaţa care apare introduceţi userul şi parola
setate anterior (default: admin/pfsense)
Modulul 8
Alte pachete
Platforma pfSense poate fi personalizată în funcţie de cerinţele de securitate ale reţelei în care
este instalată. Printre pachetele des uzitate şi care aduc un plus real la securitatea reţelei amintim:
 Snort sau Suricata – IDS/IPS

 Postfix antispam – soluţie antispam
 PfBlocker – IP/site blocker
 SquidGuard – Domain Blacklist
NECLASIFICAT
45 din 45

CaietDeLaborator PfSense

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

CaietDeLaborator PfSense

Încărcat de

Drepturi de autor:

Formate disponibile

Telefon/Fax: +40 21 3181938

RMNC: 1027-581, 574,572;

Ex. 0.2 – Alocarea utilizatorilor

Observaţie: Marcaţi pe acest tabel utilizatorul asignat de către îndrumător.

Ex. 0.3 – Conectarea la cyber-range

Observaţie: Detalii despre modul de instalare al FortiClient găsiţi în Anexa nr. 1.

Familiarizarea cu mediul cyber-range

 o legătură la Internet pe care utilizatorii o vor folosi pe interfaţa de WAN a firewall-

Ex. 1.2 – Accesarea resurselor cyber-range

2. Meniul Navigator se modifică şi va afişa o structură în trepte având la vârf denumirea

2. Detalii despre resursele consumate de maşina virtuală respectivă, precum şi opţiunea de

Configurare maşina virtuala

 memorie RAM: 1GB;

Ex. 2.2 – Crearea maşinii virtuale

8. În fereastra de alegere a tipului de maşină virtuală lăsaţi neschimbată valoarea predefinită şi

Observaţie: Adăugarea de resurse suplimentare,

1. Descărcaţi imaginea de pfSense care doriţi să o instalaţi

Nr.crt. Tip interfaţă Conectată la switch/reţea MAC address

Ex. 3.2 – Configurare iniţială pfSense

b) urmată tot de opţiunea 2 specifică LAN

c) introduceţi adresa de IP specifică gateway-ului de LAN

d) Alegeţi masca de reţea

e) Nu asignaţi adrese de IPv6

f) Setaţi DHCP pentru LAN, pentru a uşura asignarea de IP la staţiile locale

g) Alegeţi NU la întrebarea referitoare la reactivarea HTTP. Aceasta ar fi utilă decât în

Ex. 4.1 – Schimbarea parolei de acces la pfSense

1. De pe staţia din LAN, accesaţi interfaţa web de administrare

Ex. 4.2 – Setarea interfeţei conectată la WAN

1. Se deschide din vSphere consola maşinii virtuale pfSense

4. Important!!! La acest pas nu lăsaţi ca interfaţa de WAN să ia IP prin DHCP

5. Setaţi adresa de IP a interfeţei dup modelul: userXY -- 172.16.0.XY

6. Setaţi masca de reţea pentru WAN

7. Setaţi gateway-ul pentru conexiunea la Internet astfel:

8. Dezactivaţi IPv6 pentru WAN

12. De pe staţia din LAN verificaţi dacă puteţi accesa Internetul

Ex. 4.3 – Setarea interfeţei conectată la DMZ

1. De pe staţia din LAN, accesaţi interfaţa web de administrare

În final, pe prima pagină ce conţine dashboard-uri ar trebui să vedeţi cele 3 interfeţe

Creare reguli perşonalizate

Ex. 5.2 – Regula 1: permitem ping pe toate interfeţele

3. Din această pagină apăsaţi butonul Add rule şi competăm astfel:

6. Pentru ca interfaţa de WAN să răspundă la PING va trebui creaţi o regulă asemănătoare pe

Ex. 5.3 – Regula nr. 2: Permitem navigarea pe Internet în LAN

d) Cele 3 filtre vor arăta astfel:

e) Testaţi conectivitatea din LAN către Internet:

Ex. 5.4 – Regula nr. 3: Permitem accesul la serverul de web intern

2. O regulă asemănătoare creaţi şi pe interfaţa de LAN

3. Verificaţi conexiunea prin ssh către serverul 10.10.XY.1:

 Activare modul antivirus

Ex. 7.2 – Instalare modul vizualizare log-uri

1. Instalaţi pachetul LightSquid

 Snort sau Suricata – IDS/IPS

S-ar putea să vă placă și