Documente Academic
Documente Profesional
Documente Cultură
GHID
Ghid de laborator
- pfSense -
NECLASIFICAT
1 din 45
NECLASIFICAT Cyber-range: pfSense
Pagina albă
NECLASIFICAT
2 din 45
NECLASIFICAT Cyber-range: pfSense
Conţinut
Modulul 0 ................................................................................................................................................... 4
Ex. 0.1 – Instalare module software ....................................................................................................... 4
Ex. 0.2 – Alocarea utilizatorilor ............................................................................................................... 4
Ex. 0.3 – Conectarea la cyber-range ....................................................................................................... 4
Modulul 1 ................................................................................................................................................... 6
Ex. 1.1 – Descrierea mediului cyber-range ............................................................................................. 6
Ex. 1.2 – Accesarea resurselor cyber-range ............................................................................................ 8
Ex. 1.3 – Administrarea maşinilor virtuale.............................................................................................. 9
Modulul 2 ................................................................................................................................................. 10
Ex. 2.1 – Cerinţe hardware ................................................................................................................... 10
Ex. 2.2 – Crearea maşinii virtuale ......................................................................................................... 10
Modulul 3 ................................................................................................................................................. 15
Ex. 3.1 – Instalare pfSense .................................................................................................................... 15
Ex. 3.2 – Configurare iniţială pfSense ................................................................................................... 20
Modulul 4 ................................................................................................................................................. 25
Ex. 4.1 – Schimbarea parolei de acces la pfSense ................................................................................ 25
Ex. 4.2 – Setarea interfeţei conectată la WAN ..................................................................................... 25
Ex. 4.3 – Setarea interfeţei conectată la DMZ ...................................................................................... 28
Modulul 5 ................................................................................................................................................. 31
Ex. 5.1 – Generalităţi despre reguli ...................................................................................................... 31
Ex. 5.2 – Regula 1: permitem ping pe toate interfeţele ....................................................................... 31
Ex. 5.3 – Regula nr. 2: Permitem navigarea pe Internet în LAN ........................................................... 34
Ex. 5.4 – Regula nr. 3: Permitem accesul la serverul de web intern .................................................... 37
Ex. 5.5 – Regula nr. 4: Permitem accesul prin ssh la serverele din DMZ doar de la o staţie din LAN .. 39
Modulul 6 ................................................................................................................................................. 40
Ex. 6.1 – Vizualizare log-uri ................................................................................................................... 40
Ex. 6.2 – Transmitere log-uri către un server extern (SIEM) ................................................................ 41
Modulul 7 ................................................................................................................................................. 42
Ex. 7.1 – Instalare şi configurare proxy transparent............................................................................. 42
Ex. 7.2 – Instalare modul vizualizare log-uri ......................................................................................... 44
Modulul 8 ................................................................................................................................................. 45
NECLASIFICAT
3 din 45
NECLASIFICAT Cyber-range: pfSense
Modulul 0
Conectarea la cyber-range
Ex. 0.1 – Instalare module software
Pentru accesarea şi administrarea resurselor din cadrul acestui laborator este necesară
instalarea a două pachete software gratuite, FortiClient şi VMWare Remote Console. Modul de
instalare a acestora sunt prezentate în Anexa nr.1
user50 user51 user52 user53 user54 user55 user56 user57 user58 user59
2. După efectuarea cu succes a conexiunii VPN, utilizatorii se vor conecta la vCenter, aplicaţia
care permite administrarea maşinilor virtuale. Conectarea la vCenter se face folosind un
browser web şi următoarele elemente:
Adresa web: https://vcenter.certmil.local/vsphere-client/
NECLASIFICAT
4 din 45
NECLASIFICAT Cyber-range: pfSense
User name: userxy@certmil.local, unde userxy este cel folosit anterior la conexiunea VPN
(Exemplu: user53)
Pasword: Us3rxyXY (aceeaşi parolă ca la VPN. Exemplu: user53 parola: Us3r53%#).
3. După conectare fiecare utilizator are acces la nişte resurse tip maşini virtuale, ca în imaginea de
mai jos:
NECLASIFICAT
5 din 45
NECLASIFICAT Cyber-range: pfSense
Modulul 1
În imaginea de mai sus este prezentată reţeaua virtuală cyber-range din care reiese modul de
partajare a resurselor.
Fiecare utilizator va avea acces la propria partiţie pe baza contului folosit în momentul
conectării la vCenter. Pentru fiecare utilizator, au fost deja configurate mai multe elemente, astfel:
NECLASIFICAT
6 din 45
NECLASIFICAT Cyber-range: pfSense
o maşină virtuală cu sistem de operare Ubuntu pe care rulează un server de web,
denumită DMZ-userxy, care simulează zona de servere a unei reţele (DMZ), având adresa de IP statică
10.10.xy.1. Credenţialele de acces la această maşină sunt de tipul userxy / userxy;
o maşină virtuală cu sistem de operare Windows XP, ce simulează partea de reţea
destinată utilizatorilor (LAN), având adresă de IP alocată dinamic (DHCP) de către pfSense.
Credenţialele de acces la această maşină sunt de tipul userxy / userxy;
pfSense este singura maşină virtuală ce se va instala de către utilizatori începând de
la alocarea resurselor, instalare sistem de operare şi configurare servicii: firewall (cu minim 3 zone:
WAN, LAN şi DMZ), proxy, filtrare adrese web şi IP-uri etc.;
reţeaua LAN este simulată printr-un switch virtual pentru fiecare utilizator, denumit
LANXY-pfSense, la care se vor conecta atât maşinile pfSense cât şi maşinile cu Windws XP;
reţeaua DMZ este simulată printr-un switch virtual, denumit DMZ-pfSense, la care se
vor conecta atât maşinile pfSense cât şi maşinile cu Ubuntu;
NECLASIFICAT
7 din 45
NECLASIFICAT Cyber-range: pfSense
legătura la Internet, necesară interfeţei WAN a pfSense, este disponibilă pe swich-ul
virtual denumit VM Int Prime.
Dacă sunteţi deja conectat la vCenter urmaţi paşii de mai jos pentru a accesa resursele puse la
dispoziţie:
1. Din fereastra de Home din meniul din partea stângă a paginii, denumită Navigator, accesaţi
Hosts and Clusters
NECLASIFICAT
8 din 45
NECLASIFICAT Cyber-range: pfSense
Ex. 1.3 – Administrarea maşinilor virtuale
Asupra fiecărei maşini virtuale în parte se pot efectua mai multe acţiuni
1. Oprirea/Pornirea maşinii virtuale. Din Navigator (meniu stânga) se selectează maşina virtuală
care necesită pornire/oprirea, din fereastra din mijloc se alege primul tab Getting Started care
oferă următoarele acţiuni:
Observaţie: Dacă numele de host al Managerului ArcSight NU este „arcsight”, va trebui modificată
adresa URL în mod corespunzător
Observaţie: Utilizarea consolei din această fereastră este posibilă doar după instalarea pachetului
VMWare Remote Console, a cărui instalare este detaliată în Anexa nr.1.
3. În tab-ul al patrulea Manage sunt localizate toate setările ce fac referire la maşina virtuală:
resursele hardware alocate, permisiunile utilizatorilor asupra maşinii virtuale etc.
Vizualizare/Modificare resurse hardware alocate pentru maşina virtuală:
NECLASIFICAT
9 din 45
NECLASIFICAT Cyber-range: pfSense
Modulul 2
Observaţie: Resursele hardware enumerate mai sus sunt suficiente pentru susţinerea unei reţele de
mici dimensiuni (maxim 10 computere) cu un număr restrâns de servicii.
1. Utilizând interfaţa vSphere Web Client vă veţi conecta cu utilizatorul asignat la începutul
laboratorului
2. Navigaţi folosind meniul din partea stângă până la directorul specific utilizatorului cu care v-aţi
conectat:
NECLASIFICAT
10 din 45
NECLASIFICAT Cyber-range: pfSense
3. Efectuaţi clic-dreapta pe numele directorului (Exemplu: User53) şi alegeţi opţiunea New Virtual
Machine New Virtual Machine
4. Din fereastra nou apărută alegeţi opţiunea „Create a new virtual machine”, după care apăsaţi
butonul Next
5. Asignaţi un nume maşinii virtuale pe care o creaţi, de preferinţă de forma pfSense-userxy după
care apăsaţi butonul Next:
NECLASIFICAT
11 din 45
NECLASIFICAT Cyber-range: pfSense
6. În pasul următor veţi lăsa neschimbată locaţia/resursa unde se va afla maşina virtuală şi apăsaţi
butonul Next:
7. În această etapă puteţi alege zona de stocare unde se va instala maşina virtuală, în cazul nostru
de faţă existând o singură posibilitate, şi anume srv2.datastore_1. Selectaţi resursa şi apăsaţi
butonul Next.
NECLASIFICAT
12 din 45
NECLASIFICAT Cyber-range: pfSense
9. În această etapă trebuie, obligatoriu, să alegem ca sistem de operare FreeBSD (x64), aşa cum
se observă în imaginea de mai jos, după care apăsăm butonul Next:
10. Această etapă este cea mai importantă, aici fiind selectate resursele hardware de care avem
nevoie. Urmăriţi cu atenţie valorile din imaginea de mai jos şi configuraţi propria maşină
virtuală asemănător, după care apăsaţi butonul Next:
Atenţie: Urmăriţi cu atenţie modul în care au fost asignate resursele, inclusiv conectarea interfeţelor de
reţea la switch-urile virtuale.
NECLASIFICAT
13 din 45
NECLASIFICAT Cyber-range: pfSense
LAN53-pfSense
Observaţie: Dacă aţi greşit în această etapă NU este foarte grav deoarece se pot aduce modificări ale
hardware-ului şi ulterior, după finalizarea procesului de creare a maşinii virtuale.
11. Finalizarea procesului de creare a maşinii virtuale se face prin apăsarea butonului Finish.
Observaţie: Procesul de creare al maşinii virtuale poate fi de durată, în funcţie de încărcarea serverului
la acel moment şi de resursele hrdware necesare a fi alocate. Progresul procesului se poate urmări în
fereastra „Recent Tasks” din josul paginii:
NECLASIFICAT
14 din 45
NECLASIFICAT Cyber-range: pfSense
Modulul 3
Initializare pfSenşe
Ex. 3.1 – Instalare pfSense
Pentru efectuarea instalării pfSense pe maşina virtuală creată anterior veţi ave nevoie de imaginea
cu sistemul de operare ce susţine produsul pfSense care poate fi descărcat de pe site-ul
dezvoltatorului https://www.pfsense.org/download/ sau de pe site-ul https://certmil.ro/ secţiunea
Download. În acest laborator s-a folosit următoare imagine: pfSense-CE-2.3.2-RELEASE-amd64.iso.
Din tab-ul Manage Settings se apasă butonul Edit (dreapta sus). În fereastra apărută, pentru
resursa CD/DVD se va selecta Datastore iso file şi se va alege fişierul pfSense-CE-2.3.2-RELEASE-
amd64.iso aflat în srv2.datastore_1/ISOs/pfSense/, după care se apasă butonul OK.
NECLASIFICAT
15 din 45
NECLASIFICAT Cyber-range: pfSense
Se pune bifa la căsuţa de Connect at Power on după care se apasă butonul OK.
4. Din tab-ul Summary deschideţi consola apăsând pe link-ul Launch Remote Console
NECLASIFICAT
16 din 45
NECLASIFICAT Cyber-range: pfSense
Atenţie: Consola se va deschide decât dacă aţi instalat anterior VMware Remote Console şi va afişa un
ecran negru, fără alt mesaj.
5. Din tab-ul Getting Started porniţi maşina virtuală apăsând pe link-ul Power on the virtual
machine, după care mergeţi rapid la fereastra de consolă deschisă anterior.
6. Maşina virtuală este pornită folosind imaginea ISO specficată anterior, prezentând
utilizatorului următorul meniu:
NECLASIFICAT
17 din 45
NECLASIFICAT Cyber-range: pfSense
Observaţie: Dacă nu sunteţi întâmpinaţi de un ecran asemănător imaginii anterioare cel mai probabil
s-a iniţiat deja procesul de instalare al pfSense. Pentru a ajunge din nou la acest ecran folosiţi meniul
VMRC Send Ctrl+Alt+Del.
7. Alegeţi opţiunea de instalare Boot Multi User [Enter] şi aşteptaţi până la iniţializarea mediului
de instalare.
8. După iniţializarea interfeţei grafice de instalare veţi fin întâmpinaţi de un meniu în genul celui
de mai jos. În principiu nu este necesar să se modifice nici o setare aici decât dacă instalaţi
pfSense pe un calculator ce deţine o placă video mai slabă. Alegeţi opţiunea Accept these
Settings.
9. Din meniul acesta vom selecta opţiunea predefinită de instalare Quick/Easy Install. Confirmaţi
încă o dată, apăsând butonul OK, că doriţi o instalare rapidă fără prea multe întrebări.
NECLASIFICAT
18 din 45
NECLASIFICAT Cyber-range: pfSense
10. Confirmaţi că doriţi să instalaţi un kernel standard
11. Înainte de repornirea sistemului după finalizarea instalării, trebuie să dezactivaţi CD/DVD –ul
sau să demontaţi imaginea.
NECLASIFICAT
19 din 45
NECLASIFICAT Cyber-range: pfSense
12. În consolă, după re-startare, veţi fi întâmpinaţi de următorul meniu:
1. Alegeţi opţiunea 1, Assign Interfaces, şi încercaţi să identificaţi dup adresa MAC interfaţa
de reţea ce va fi conectată la LAN (LAN-pfSense)
NECLASIFICAT
20 din 45
NECLASIFICAT Cyber-range: pfSense
2. Din informaţiile obţinute din imaginea de mai sus, tabelul anterior referitor la interfeţele de
reţea, în cazul de faţă, poate fi completat astfel:
Nr. Tip Conectată la MAC address Interfaţă pfSense
crt. interfaţă switch/reţea
1. WAN VM Int Prime 00:50:56:80:52:db em0
2. LAN LAN53-pfSense 00:50:56:80:6b:16 em2
3. DMZ DMZ-pfSense 00:50:56:80:47:d3 em1
3. Specificaţi dacă doriţi să folosiţi VLAN. Pentru configuraţia actuală de reţea vom merge fără
VLAN.
4. Specificaţi care este interfaţa de reţea pentru WAN, în cazul prezentat este em0
5. Specificaţi care este interfaşa de reţea pentru LAN, în cazul prezentat este em2
6. Specificaţi interfaţa de reţea pe care o vom folosi pentru DMZ, pe care pfSense o
denumeşte Optional 1.
7. Verificaţi dacă interfeţele de reţea sunt asignate corespunzător şi mergeţi mai departe
8. Configuraţi cel puţin interfaţa de LAN cu un IP corespunzător, aşa cum a fost el asignat la
începutul laboratorului.
Exemplu: user53 va avea ca adrese de IP pentru LAN 192.168.53.X/24, iar ca gateway
192.168.53.100., iar adresele vor fi asignate prin DHCP
a) alegeţi din meniu opţiunea 2:
NECLASIFICAT
21 din 45
NECLASIFICAT Cyber-range: pfSense
h) Acceptaţi schimbările făcute şi notaţi, dacă este cazul, adresa de IP la care poate fi
accesată interfaţa web
NECLASIFICAT
22 din 45
NECLASIFICAT Cyber-range: pfSense
9. Deschideţi o consolă către maşina virtuală din LAN (LAN-user53) şi configuraţi interfaţa de
reţea să obţină IP automat de la pfSense.
10. Dezactivaţi şi reactivaţi placa de reţea de pe staţia din LAN şi vedeţi dacă pfSense vă
asignează adresă de IP
11. Accesaţi interfaţa web de administrare a pfSense deschizând într-un browser web, pe staţia
din LAN, adresa https://192.168.XY.100
NECLASIFICAT
23 din 45
NECLASIFICAT Cyber-range: pfSense
12. Vă puteţi conectat la interfaţa de administrare folosind credenţialele admin/pfsense. În
prima fază, după conectare, sunteţi întâmpinaţi de un nou „wizard” pentru configurarea
iniţială
13. Ieşiţi din „wizard” apăsând pe logo-ul din stânga sus, deoarece vom realiza setările manual.
Veţi vedea pe ecran o pagină web cu date despre actuala instalare sub formă de
dashboard-uri.
NECLASIFICAT
24 din 45
NECLASIFICAT Cyber-range: pfSense
Modulul 4
Configurare pfSenşe
3. Modificaţi parola asignată utilizatorului admin apăsând pe icon-ul sub formă de creion, după
care apăsaţi butonul Save.
Pentru a configura interfaţa de WAN se poate folosi atât consola maşinii pfSense cât şi
interfaţa web. Pentru configurarea acesteia din consola pfSense se efectuează următorii paşi:
NECLASIFICAT
25 din 45
NECLASIFICAT Cyber-range: pfSense
3. Se alege interfaţa 1, WAN, pe care dorim să o configurăm
9. Apăsaţi Enter pentru toate celelalte întrebări şi finalizaţi procesul de configurare al WAN
10. Din meniul pfSense alegem opţiunea 7, Ping host, pentru a testa legătura la Internet
NECLASIFICAT
26 din 45
NECLASIFICAT Cyber-range: pfSense
11. De pe staţia din LAN verificaţi modul de configurare al WAN, accesând din meniul interfeţei
web Interfaces WAN
NECLASIFICAT
27 din 45
NECLASIFICAT Cyber-range: pfSense
NECLASIFICAT
28 din 45
NECLASIFICAT Cyber-range: pfSense
3. Din consola pfSense se verifică conexiunea de DMZ
4. După cum se observă conexiunea între pfSense şi serverul din DMZ nu poate fi realizată. Cauza
acestui comportament este lipsa regulilor care să permită conexiunile (Firewall Rules DMZ)
5. Veţi crea o primă regulă pentru DMZ care să permită traficul ICMP (ping)
Atenţie: Nu uitaţi să confirmaţi adăugarea regulii prin apăsare butonului Apply Changes care apare
după salvarea acesteia.
NECLASIFICAT
29 din 45
NECLASIFICAT Cyber-range: pfSense
6. Verificaţi dacă placa de reţea de pe serverul din DMZ are setat ca gateway adresa DMZ din
pfSense:
7. Testaţi din nou legătura în DMZ, folosind de data aceasta soluţia oferită de pfSense în interfaţa
web Diagnostics Ping
NECLASIFICAT
30 din 45
NECLASIFICAT Cyber-range: pfSense
Modulul 5
După cum observaţi regulile se creează la nivelul fiecărei interfeţe: WAN, LAN şi DMZ.
Atenţie: Această regulă de tip „permit all” trebuie să fie dezactivată pentru orice sistem care intră în
producţie.
NECLASIFICAT
31 din 45
NECLASIFICAT Cyber-range: pfSense
Dezactivarea regulii „permit all” şi crearea unei reguli pentru ICMP se realizează urmând paşii:
1. Accesaţi meniul Firewall Rules şi apoi tab-ul LAN. Din acesta alegeţi regula „Default allow
LAN to any rule” (cea din poza anterioară) şi apăsaţi icon-ul sub formă de zero tăiat --
2. Dacă testaţi acum cu ping conexiunea din LAN către DMZ ar trebui să nu mai funcţioneze:
NECLASIFICAT
32 din 45
NECLASIFICAT Cyber-range: pfSense
4. Apăsaţi butonul Save după care apăsaţi butonul de deasupra regulilor numit Applay changes
5. Dacă testaţi acum cu ping conexiunea din LAN către DMZ ar trebui să funcţioneze:
6.1. Test: Ping de pe o maşină din WAN către toate pfSense din reţea pe interfaţa de WAN.
7. Încercaţi să accesaţi Internetul de pe maşina din LAN şi cea din DMZ şi veţi observa că nu
funcţionează, deoarece firewall-ul nu permite nici o conexiune decât ce ICMP:
NECLASIFICAT
33 din 45
NECLASIFICAT Cyber-range: pfSense
1. Pentru acces Internet din LAN, accesaţi meniul Firewall Rules şi apoi tab-ul LAN.
a) Din această pagină apăsaţi butonul Add rule, pentru HTTP, completaţi ca în imaginile de
mai jos după care apăsaţi butonul Save urmat de Applay changes
b) Din această pagină apăsaţi butonul Add rule, pentru HTTPS, completaţi ca în imaginile de
mai jos după care apăsaţi butonul Save urmat de Applay changes
NECLASIFICAT
34 din 45
NECLASIFICAT Cyber-range: pfSense
c) Din această pagină apăsaţi butonul Add rule, pentru DNS, completaţi ca în imaginile de mai
jos după care apăsaţi butonul Save urmat de Applay changes
NECLASIFICAT
35 din 45
NECLASIFICAT Cyber-range: pfSense
NECLASIFICAT
36 din 45
NECLASIFICAT Cyber-range: pfSense
1. Pe interfaţa DMZ, trebuie să deschideţi porturile specifice web (80 şi 443). Pentru acest
lucru accesaţi meniul Firewall Rules şi apoi în tab-ul DMZ creaţi 2 reguli pentru HTTP şi
HTTPS după modelul:
a) Pentru HTTP
NECLASIFICAT
37 din 45
NECLASIFICAT Cyber-range: pfSense
b) Cele 2 filtre vor arăta astfel:
c) Verificaţi dacă puteţi accesa din LAN serverul de web de la adresa http://10.10.XY.1
2. Pentru a putea accesa serverul local de web şi din WAN trebuie creată o regulă de NAT pentru
forward de port.
a) accesaţi meniul Firewall NAT şi completaţi după modelul:
NECLASIFICAT
38 din 45
NECLASIFICAT Cyber-range: pfSense
b) Crearea regulei anterioare va genera în mod automat un nou filtru pe interfaţa de WAN
astfel:
c) Dacă serverul de web trebuie accesat şi pe HTTPS, se va crea o regulă asemănătoare cu cea
de mai sus
d) Verificaţi de pe o staţie din WAN dacă serverul web poate fi accesat folosind adresa de IP de
WAN a pfSense, http://172.16.0.XY
Ex. 5.5 – Regula nr. 4: Permitem accesul prin ssh la serverele din DMZ doar de la o
staţie din LAN
Paşii necesari pentru finalizarea exerciţiului sunt:
1. Pe interfaţa DMZ, trebuie să deschideţi portul de ssh configurat pe servere (în general 22).
Pentru acest lucru accesaţi meniul Firewall Rules şi apoi în tab-ul DMZ creaşi următoarea regulă:
NECLASIFICAT
39 din 45
NECLASIFICAT Cyber-range: pfSense
Modulul 6
Managementul log-urilor
Ex. 6.1 – Vizualizare log-uri
Accesaţi Status System Logs pentru a vizualiza mai multe tipuri de log-uri. Unul dintre
acestea, foarte important pentru monitorizarea reţelei este cel de Firewall:
NECLASIFICAT
40 din 45
NECLASIFICAT Cyber-range: pfSense
Ex. 6.2 – Transmitere log-uri către un server extern (SIEM)
Accesaţi Status System Logs după care alegeţi tab-ul Settings în care puteţi modifica mai
multe elemente referitoare la log-uri dintre care amintim:
NECLASIFICAT
41 din 45
NECLASIFICAT Cyber-range: pfSense
Modulul 7
Proxy şerver
Ex. 7.1 – Instalare şi configurare proxy transparent
1. Din meniul System Package manager alegeţi tab-ul Available Packages iar din lista apărută
instalaţi pachetul Squid
2. În tab-ul Installed packages veţi putea vedea cele două pachete instalate
3. În meniul Services veţi regăsi acum şi opţiunea Squid Proxy Server. Printre opţiunile care pot fi
setate aici pentru un minim de funcţionalitate sunt disponibile:
Setări generale
NECLASIFICAT
42 din 45
NECLASIFICAT Cyber-range: pfSense
NECLASIFICAT
43 din 45
NECLASIFICAT Cyber-range: pfSense
3. În meniul Status Squid Proxy Report puteţi vizualiza log-urile generate de Squid
NECLASIFICAT
44 din 45
NECLASIFICAT Cyber-range: pfSense
4. Apăsaţi pe butonul Open LightSquid iar în interfaţa care apare introduceţi userul şi parola
setate anterior (default: admin/pfsense)
Modulul 8
Alte pachete
Platforma pfSense poate fi personalizată în funcţie de cerinţele de securitate ale reţelei în care
este instalată. Printre pachetele des uzitate şi care aduc un plus real la securitatea reţelei amintim:
NECLASIFICAT
45 din 45