O pfSense é uma das plataformas de firewall mais usadas quando o objetivo é unir segurança, flexibilidade e custo‑benefício. Abaixo você encontra os 10 recursos indispensáveis que melhoram a proteção e a disponibilidade da sua rede — com exemplos práticos de onde configurar.
1) VPN: OpenVPN, IPsec e WireGuard
Crie túneis seguros para acesso remoto de colaboradores e site‑to‑site entre filiais. O pfSense suporta nativamente OpenVPN, IPsec e WireGuard.
- Onde configurar: VPN > OpenVPN/IPsec/WireGuard.
- Boas práticas: use autenticação por certificado, PFS, criptografia forte (ex.: AES‑GCM), e split‑tunnel quando fizer sentido.
- Dica rápida: para usuários remotos, habilite Client Export (pacote) e ofereça instaladores prontos.
2) IDS/IPS: Snort ou Suricata
Detecte e bloqueie ameaças em tempo real com Snort ou Suricata. É possível aplicar regras por interface e escolher listas de assinatura (ET Open/Pro, Snort VRT, etc.).
- Onde instalar: System > Package Manager > Available Packages.
- Boas práticas: comece em modo IDS (somente detecção), ajuste false positives e depois ative IPS (bloqueio).
- Dica rápida: ative Home Net corretamente e use policy por perfil (Balanced/Security).
3) QoS: Limiters & Traffic Shaper
Priorize voz, vídeo e aplicações críticas. Use Limiters para controlar banda por fila e o Traffic Shaper para criar queues com prioridade.
- Onde configurar: Firewall > Traffic Shaper e Firewall > Rules (amarrando as filas às regras).
- Boas práticas: descubra a banda real do link e defina queues por aplicação (ex.: VoIP > Alta, Vídeo > Média, Downloads > Baixa).
4) Balanceamento de Carga (Multi‑WAN)
Distribua o tráfego entre múltiplos links para ganhar desempenho e resiliência.
- Onde configurar: System > Routing > Gateway Groups.
- Método comum: defina um Gateway Group com Tier iguais (ex.: Tier 1/1) para balancear.
- Dica rápida: use policy‑based routing nas regras para escolher que tráfego usa o grupo.
5) Failover Automático
Mantenha a rede online quando um link cair. O failover troca automaticamente para o link reserva.
- Onde configurar: em Gateway Groups, use Tier diferentes (ex.: WAN1 Tier 1, WAN2 Tier 2).
- Boas práticas: ajuste Monitor IP para cada gateway e use Trigger Level apropriado (Packet Loss/High Latency).
6) Controle de Acesso Avançado (Firewall Rules)
Crie políticas por rede, host, porta e protocolo. Combine com Aliases para simplificar a gestão.
- Onde configurar: Firewall > Aliases e Firewall > Rules.
- Boas práticas: regra block específica acima da regra allow geral; registre logs nas regras críticas.
- Dica rápida: crie Schedules para limitar acesso por horário.
7) Captive Portal
Autentique usuários em redes Wi‑Fi de hóspedes, coworkings, hotéis e recepções. Integra com vouchers, RADIUS e portal personalizado.
- Onde configurar: Services > Captive Portal.
- Boas práticas: política de privacidade visível, tempo de sessão limitado e walled garden para domínios essenciais.
8) Filtro de Conteúdo e IP Reputation (pfBlockerNG)
Bloqueie domínios maliciosos, anúncios e faixas de IP por país/região. O pfBlockerNG combina DNSBL e listas de IP reputation.
- Onde instalar: System > Package Manager.
- Boas práticas: comece com listas conservadoras e monitore o DNSBL para evitar bloqueios indevidos.
9) Proxy e Cache (Squid)
Melhore o controle sobre HTTP/HTTPS e economize banda com cache. Combine com SquidGuard para categorias de bloqueio.
- Onde instalar: System > Package Manager.
- Boas práticas: use SSL Bump somente onde houver base legal e aceite do usuário. Mantenha certificados em dia.
10) Monitoramento e Relatórios
Ganhe visibilidade com gráficos nativos e pacotes como Darkstat, BandwidthD e integrações com syslog/Prometheus.
- Onde ver: Status > System Activity, Status > Traffic Graph, Status > Monitoring.
- Dica: envie logs para um SIEM/ELK para retenção e correlação.
Checklist Rápido (para aplicar hoje)
- Instale pfBlockerNG e habilite DNSBL básico.
- Crie um Gateway Group para failover da sua WAN de backup.
- Implemente OpenVPN com autenticação por certificado e export de clientes.
- Ative IDS (Suricata) em modo alert e ajuste falsos positivos.
- Configure queues de QoS para VoIP/Vídeo.
Nenhum comentário:
Não é permitido fazer novos comentários.