Artigos

30 de maio de 2016

Login seguro no PFSense

Mais artigos de »
Escrito por: Leonardo Souza
Tags:

Neste artigo vamos apresentar 3 (três) medidas práticas que vão garantir um login seguro no PFSense e consequentemente uma segurança maior durante o acesso remoto, seja ele pelo WebConfigurator ou pelo Console de texto. As medidas são: habilitar o acesso via web por meio do protocolo HTTPS, habilitar o acesso remoto por meio do SSH e configurar o console de texto para solicitar senha.

Login seguro no PFSense

O PFSense é uma poderosa ferramenta de rede administrado, via de regra, por meio do WebConfigurator, ou seja, através de um painel web. Sendo assim, na maioria das vezes o administrador não estará acessando o PFSense diretamente do host físico, mas o fará de um outro host, seja este acesso por meio do painel web ou por meio do console de texto. Por este motivo, inclusive, na maioria das vezes o host físico se quer possui monitor e teclado.




Isso significa que o acesso ao PFSense na maioria do tempo se dará por meio de acesso remoto. Neste artigo vamos mostrar 3 (três) configurações práticas que podem garantir uma maior segurança durante este acesso. Estas configurações são:

1 – Habilitar o acesso ao painel apenas pelo protocolo HTTPS;

2 – Habilitar uma senha para acesso ao console de texto;

3 – Habilitar acesso SSH ao PFSense.

Estas medidas de segurança podem melhorar e muito a segurança no acesso ao sistema.

1 – Acesso ao WebConfigurator pelo HTTPS

Como a administração do PFSense, pelo WebConfigurator, é por meio de uma interface web, ele pode ser utilizado de duas formas: HTTP ou HTTPS. Como se sabe o acesso HTTP acontece por meio de texto puro, ou seja, texto sem criptografia. Dessa forma, é possível que um sniffer posto entre a conexão, num clássico caso de ataque Man in The Meadle, consiga capturar as credenciais da conexão (usuário e senha).

Para se evitar este tipo de ataque a técnica mais bem sucedida é a implementação de criptografia na conexão. Ela permite que as informações trocadas durante a sessão sejam criptografadas e dessa forma protegidas. Assim, ainda que um sniffer consiga interceptar a conexão, ele não conseguirá interpretá-las, fazendo com que esta conexão esteja protegida.

Diante disso podemos dizer que a conexão criptografada possui uma camada maior de segurança e é exatamente esta camada que o protocolo HTTPS implementa.

Para habilitar este recurso acesse o menu System => Advanced.

menu avançado

Se seu sistema está em português o menu é sistema => avançado.

Na tela que vai abrir marque a opção HTTPS. Quando esta opção é marcada surge a possibilidade de escolher o certificado no campo SSL Certificate.

https

Todos os certificados instalados serão listados nesta opção. Se não tiver nenhum certificado próprio podemos utilizar o padrão do PFSense.

Depois de realizar as marcações basta clicar no botão “Save” e aplicar as alterações.

2 – Senha para acessar o console

Por padrão o console de texto do PFSense é acessado sem que seja solicitado login e senha. Este cenário é altamente perigoso do ponto de vista da segurança, por este motivo vamos realizar uma configuração que vai obrigar o acesso pelo console por meio de senha/login. Dessa forma apenas o usuário que possuir as credenciais do sistema poderá acessá-lo.

Para utilizar este recurso acesse o menu System => Advanced.

Na tela que vai aparecer marque a opção “Password protect the console menu”.

console-protect1

Salve a alteração por meio do botão Save.

Basta reiniciar o sistema e no próximo boot o sistema já vai solicitar as credenciais para o acesso.

Login seguro no PFSense

3 – Habilitar o SSH

SSH (Secure Shell) é um protocolo que permite acesso remoto de computadores por meio de um túnel criptografado. Semelhante ao protocolo HTTPS, tanto as credenciais quanto as informações trocadas durante a conexão são protegidas por meio da criptografia.

Para habilitar o SSH acesse o menu System => Advanced.

Se seu sistema está em português o menu é sistema => avançado.

Na tela apresentada procure a opção Secure Shell, onde estão as opção relativas ao SSH.

ssh

Para habilitar o SSH marque a opção “Enable Secure Shell”. Desta forma habilitamos o acesso por meio do SSH.

Na opção “SSH Port” definimos a porta que será utilizada durante o acesso. Por padrão a porta é a 22, porém é possível definir uma outra. Informe a porta desejada e salve a configuração por meio do botão “Save”.

Conclusão

Estas medidas de segurança são apenas algumas das possibilidades existentes para se reforçar a segurança do sistema. A experiência nos mostra que se a camada de segurança estiver fraca todo o sistema estará comprometido e é apenas questão de tempo para que um incidente tire a paz do administrador.






Sobre o Autor

Foto de perfil de Leonardo Souza
Leonardo Souza
Bacharel em Informática, pós graduado em Segurança de Redes de Computadores e analista de Segurança da Informação. Entusiasta de Segurança da Informação e usuário FreeBSD, porém sem xiismo.




0 Comments


Seja o Primeiro a Comentar!


You must be logged in to post a comment.