2019 - Avaliação - Opnsense

1. Auto Avaliação de OPNSense
2.  
3. 1 - instale o opnsense com 4 interfaces no virtual box:
4.     - interface wan ( modo nat/bridge ) - configure no shell
5.     - interface wan 2 ( modo nat/bridge )  - configure via web
6.     - interface LAN_ADM - configure no shell
7.     - interface LAN_ACAD - configure via web
8.  
9.  
10. 2 - Apos realizar as primeiras configurações durante a instalação use o wizard e configure as opções:
11.     - nome opnsense
12.     - domínio opnsense.local
13.     - servidor ntp = a.ntp.br, b.ntp.br
14.     - fuso horário América/porto velho
15.     - permita acesso ao firewall via ssh
16.     - desabilite o bloqueio de redes bogon
17.     - verifique se exite update e atualize o firewall
18.     - verifique se os usuários ja tem acesso a internet
19.     - mostre como realizar pesquisa por alguma função que vc não sabe onde esta dentro do firewall.
20.     - coloque endereços ips estáticos nas interfaces de LAN
21.     - se as interfaces wan estiverem em bridge coloque nelas ips estáticos
22.     - marque as opções para que as interfaces não possam ser removidas facilmente.
23.     - crie uma regra de ping e permita ping nas interfaces WAN ( se em bridge ).
24.     - se as WANs estiverem em bridge set um endereço de gateway para elas.
25.     - entre em modo shell e recarregue os serviços sem rebotar o firewall.
26.     - mostre informaçoes detalhadas das placas usando o overview.
27.     - em caso de uso de IDS mostre quais as configurações que devem ficar marcadas nas config de interface.
28.     - mostre quais são os tipos de interface que o opnsense suporta ( dica olhe nos menus e submenus )
29.     - explique e mostre como colocar uma interface em mais de uma vlan ( ex: em2 na vlan 100, 200 ).
30.     - mostre os logs geral, backend, e onde estão as configurações gerais dos logs do opnsense.
31.  
32.  
33. 3 - Configurando Serviços de DHCP, DNS e Certificados
34.     - Configure o DHCP para distribuir endereços.
35.     - Crie um mapeamento estático no DHCP.
36.     - configure o opnsense para atuar como seu dns local ( dns unbound )
37.     - configure o ubound dns para registrar o nome dos hosts conforme eles pegarem endereço ip.
38.     - deixe o DNS funcionando somente nas interfaces LAN.
39.     - habilite o encaminhamento de consultas dns caso este ja nao esteja configurado
40.     - crie um dns overrides apontando xvideos.com para 186.219.240.80
41.     - como fazer para impedir todos os clientes da LAN realizarem consultas DNS mas acessarem por IP ?
42.     - crie uma CA interna com o nome opnsense-ca
43.     - crie um certificado auto assinado usando a CA criada anteriormente.
44.     - mostre como trocar o certificado da web GUI, não precisa realmente trocar, so mostre o procedimento
45.     - por que quando vc cria uma CA interna + certificado auto assinado o ícone de HTTPS do chrome não fica verde ?
46.     - mostre como fazer instalação de plugins no opnsense e instale o plugin cicada para alterar o tema do firewall para dark.
47.  
48. 4 - Troubleshooting em problemas de rede:
49.     - mostre se existe conectividade de camada 2 entre o cliente e o firewall pela arp table.
50.     - faça um teste de conectividade de camada 3 usando o ping e mostre o resultado.
51.     - faça um teste de rota de camada 3 usando o traceroute e mostre o resultado.
52.     - faça um teste de conectividade de porta para algum servidor web ou com ip publico.
53.     - faça um teste de resolução dns e mostre o resultado.
54.     - faça uma captura de pacotes para analise com wireshark e baixe o pcap para seu pc.
55.     - mostre onde ficam os gráficos de trafego básico, uso de memoria e pacotes do opnsense só mostre o lugar mesmo.
56.     - mostre o que eh o netflow como ativa-lo e como ver os relatórios dentro do próprio opnsense
57.     - mostre como esta o consumo de banda e o top user através do gráfico de trafic do opnsense.
58.    
59.  
60. 5 - Gerenciamento de Usuários:
61.     - crie um usuário mas não o coloque no grupo de administradores.
62.     - de as permissões para o usuário em diagnostics, logs, backups, Services, SSH Shell.
63.     - mostre a tabela que bloqueia o usuário em varias tentativas incorretas de login ssh no opnsense.
64.     - mostre como configurar a autenticação no opnsense pelo AD, as informações podem ser fictícias.
65.  
66.  
67. 6 - Regras de Firewall:
68.     - como o opnsense lê as regras que vc criou
69.     - a ação padrão do opnsense eh permitir ou bloquear
70.     - crie um alias de porta com as portas 53, 80, 443, 3128, 8080 chamado portas permitidas.
71.     - crie um alias de ip com alguns endereços que vc nao quer que seus usuários acessem.
72.     - crie uma regra de firewall que permita saída de trafego somente para o alias de porta chamado portas permitidas
73.     - crie uma regra de firewall que bloqueio a saída para o alias com os endereços ips que não devem ser acessados.
74.     - crie um schedule horario_comercial e aplique na regra de saída padrão para internet
75.     - crie uma schedule horario_almoço e aplique para uma regra permitindo acesso ao facebook nesse horario.
76.     - crie uma regra de bloqueio ao windows update usando um alias com arquivo no pastebin.
77.     - crie um grupo de interfaces no firewall para que uma regra valha tanto para a lan acad quanto para lan adm.
78.     - explique para que serve um virtual ip e crie um para a interface wan. ( ip alias )
79.     - crie uma regra de port nat para que seja possível acessar o MS RDP na rede Lan.
80.     - o estagiário desativou o nat de saída automático, mostre onde e como mudar para automático
81.     - mostre os logs do firewall em tempo real e os logs sumarizados com gráficos bonitos.
82.     - mostre como encerrar todas as conexões ou apenas uma em especifico no firewall diagnostics.
83.     - Crie em Shapper um pipe de 3 Mbps para Download e 1 Mbps para Upload.
84.     - use o shapper do pfsense e limite a quantidade de Mbps para uma subrede e depois para a interface toda ( any ).
85.  
86.  
87. 7 - Configurando Web Proxy com Squid:
88.     - habilite o squid proxy deixe as opções padrão setadas, mude apenas o Nome e o e-mail
89.     - em cache settings habilite o cache local, com 1024 MB de espaço, os demais deixe no padrão.
90.     - em Forward proxy deixe marcado as opções padrão e deixe o proxy somente para a LAN-ACAD por enquanto.
91.     - vá no cliente da LAN-Acad agora e configure o proxy no sistema windows.
92.     - bloqueie alguns sites pelo proxy e veja se funciona.
93.     - o squid do opnsense precisa de autenticação para filtrar ssh como o pfsense ?
94.     - baixe uma black list para seu opnsense, pode ser a shalla list.
95.     - aplique o filtro de porn na list e tambem no filtro de palavras do proxy.
96.     - crie um usuário no opnsense, de permissões de proxy nas permissões.
97.     - mude o proxy para autenticado e autenticação local.
98.     - tente navegar com o usuario autenticado e veja se esta funcionando.
99.     - baixe o plugin os-web-proxy-useracl e instale no seu opnsense.
100.     - configure 3 regras usando seu novo plugin para que ele bloquei linkedin, uol, mercadopago para um dos usuários de teste.
101.  
102.  
103. 8 - Configurando IDS e IPS no OPNSense:
104.     - qual IDS/IPS ja vem padrão com o opnsense ?
105.     - ative o ids e o ips no firewall ( interface WAN )
106.     - verifique se as opções nas configurações de interface estão marcadas para o bom funcionamento do IPS.
107.     - Escolha uma assinatura de trafego e realize o download da mesma e coloque todas suas assinaturas para drop.
108.     - use o IDS/IPS e bloqueie o torrent na rede.
109.  
110.  
111. 9 - Configurando Captive portal:
112.     - escolha em que interface vc vai habilitar o captive portal de preferencia na interface de teste onde vc fez as vlans.
113.     - habilite os serviços de DNS e DHCP para esta interface.
114.     - crie as regras de firewall necessarias para que esta interface possa navegar na internet.
115.     - crie uma regra de firewall permitindo o acesso dessa lan para as portas 8000 - 10000.
116.     - crie uma regra de firewall para que essa interface não acesse outras redes privadas que vc usa.
117.     - crie uma nova zona no captive portal marque somente as opções ( enable, interface, autenticacao not selecioned, description )
118.     - salve as configurações, reinicie o serviço de captive portal e tente acessar uma pagina web nessa rede do captive portal.
119.     - mostre o endereço ip que o cliente pegou e qual o nome de usuário que ele esta usando.
120.     - desconecte esse usuário do captive portal para que ele tenha que fazer login novamente.
121.  
122.  
123. 10 - LoadBalance, FailOver e VPN :
124.     - remodele seu pfsense para que ele tenha 2 interfaces WAN ( 1 bridge e 1 em Nat ) e 2 Interfaces Lan ( adm e acad ).
125.     - crie 2 gateways no opnsense caso apenas 1 tenha sido criado e monitore os ips 1.1.1.1, 8.8.8.8
126.     - crie um grupo de gateways para fazer failover coloque deles com peso menor ( prioritário ) e outro com peso maior.
127.     - va na regra padrão e troque o gateway de saída da regra principal, vc deve continuar navegando apos essa troca.
128.     - use o tracert para mostrar se o fluxo realmente esta saindo pelo gateway que vc especificou na regra padrao.
129.     - como eu mudo o gateway padrão de todas as regras de uma vez so ?
130.     - altere nas suas regras de saida do opnsense para que elas usem o grupo de failover e teste para ver se funciona mesmo.
131.     - qual a diferença de configuração entre loadbalance e failover durante a configuração dos tiers ( pesos ) ?
132.     - crie uma vpn entre o campus e a reitoria usando o openvpn e teste para ver se realmente existe conexão icmp, http.