Configurando uma infraestrutura básica do ZERO !!!


Fala pessoal de TI, como estão ?

Sempre que passo por alguma situação em que precise pesquisar uma solução e ou quando surge uma ideia bacana como essa aqui, saio criando posts a respeito, buscando única e exclusivamente compartilhar conhecimento.

A verdade é que as vezes por falta de tempo, não termino, não reviso e não publico. Então as ideias vão se acumulando.

Havia pensando nesta série visando mostrar como sempre, algo descomplicado, com ferramentas em sua maioria gratuitas e ou comuns na maioria das infraestruturas.

A intenção é criar uma série de posts onde mostro como configurar uma infraestrutura simples de servidores e serviços para uma pequena empresa.

Basicamente o escopo será :

– Instalar e configurar um firewall;

– Instalar e configurar um Windows Server;

– Instalar e configurar serviços ( AD, File Server e Printserver);

– Ajustes finais, resoluções de problemas e respostas a duvidas; 

Para este ultimo tópico, peço que me enviem e-mails a respeito, já que mantenho os comentário desabilitados. Ao receber os e-mails, vou respondendo e por ultimo coloco tudo isso em um post.

De acordo com a necessidade posso adicionar tópicos e sub-tópicos na tentativa de deixar o mais completo possível.

Quero começar pelo firewall. E porque por ele ?

Alguns clientes nos quais inicio um trabalho, basicamente possuem um roteador fazendo distribuição de internet na rede.

Independente de qual seja o serviço contratado, sempre alerto para o quesito segurança e ofereço muitas vezes gratuitamente a implantação de um firewall.

Vou sugerir uma ferramenta muito bacana, opensource e fácil de trabalhar chamada pfSense.

Então vamos lá !!!

Caso ainda tenha dúvidas em como criar VM, indico a leitura destes posts:

VMWare Workstation

Hyper-V no Windows 8/8.1

Criar Uma VM no Hyper-V

 

LAB01 – Firewall

Vou utilizar máquinas virtuais para estes labs.

O primeiro passo é configurar as placas de rede para nosso firewall.

Estou utilizando o Wmware WorkStation, porém, você consegue o mesmo resultado com VirtualBox, Hyper-V no windows 8/8.1 e etc;

Mostro aqui como configurar as placas virtuais para simulação de um ambiente real, onde temos em redes separadas para acesso de WAN e acesso de LAN.

Utilizaremos a placa em NAT para prover acesso WAN ao nosso firewall e a placa Host Only para trafego de LAN entre nosso firewall e nossos servidores e estações. Alguns tratam esta placa como Internal/Interna.

Utilizando o Hyper-V no Windows 8/8.1, não temos o modo NAT. Se alguém quiser utilizá-lo deve optar por usar o modo bridge. Qualquer me mande um e-mail e discutimos melhor essa implantação.

Anote a sequência em que adicionou as placas e como as configurou (modo e range de IP), mas a frente será importante essa informação.

Modo Bridge, Host Only e NAT.

Esta configuração abaixo atende as necessidade para nosso firewall.

Vamos iniciar o processo de instalação.

Faça o download da ISO AQUI.

Quando tirei esses prints, a versão mais atual era a 2.1.3. Atualmente esta na versão 2.2.3, então pouca coisa mudou em termos de funcionalidades.

Faça o download, salve em uma pasta e após apresente a sua VM para que possa dar boot e instalar.

No processo inicial de boot temos a opção de rodar o pfSense em modo Live CD e ou instalar. Nossa intenção é a instalação, por isso, pressionamos I para instalar.

No processo de instalação temos que obviamente responder algumas perguntas e ou selecionar algumas opções. Como todo Unix/linux é possível customizar a instalação, poupando aos mais experientes tempo na configuração pós instalação e ao mesmo tempo aos menos experientes a possibilidade de instalar sem precisar de muito conhecimento técnico.

Selecione a opção Accept these settings com a seta para baixo e pressione Enter

Selecione a opção Quick/Easy install com a seta para baixo e pressione Enter

Nesta parte inicial é preparado o disco para instalação.

Selecione a opção OK com a seta para baixo e pressione Enter.

Temos então o inicio de criação de alguns scripts e cópia de arquivos.

Mantenha a opção Standard Kernel selecionada e pressione Enter.

Montando alguns diretórios, criando links, pois, toda a instalação é feita em modo Jail.

O processo é bem rápido, mesmo em uma maquina virtual.

Mantenha Reboot selecionado e pressione Enter

Processo de reboot.

Vamos iniciar o processo de configuração das placas de redes.

A primeira configuração é dizer se você tem ou não vlans, como não é o caso no momento, então responda com N e pressionamos Enter.

Próximo passo, dizer qual é a placa destinada para WAN e qual será destinada para LAN.

A dica aqui para saber quem é quem é simples, ele irá mostrar as placas na mesma sequência que foram adicionadas. No início solicitei anotar essa informação, que no meu caso será EM0 para WAN.

Esse nomenclatura irá variar, então dependendo do seu virtualizar será diferente.

No meu caso digitei EM0. Digite a identificação da sua interface e pressione Enter.

O processo com LAN é o mesmo. Preencha com a sua próxima placa e pressione Enter.

Por pelo menos uma vez ele indicará a configuração de uma placa adicional.

Já implantei ambientes com 5 placas, onde tenho 2 placas para WANs (dois links de internet), placa para LAN, para DMZ e para uma VPN site-to-site.

Como a configuração para esse Lab se baseia em duas placas, pressione Enter para finalizar.

O retorno é uma confirmação da configuração efetuada. Revise de acordo com suas anotações.

Digite Y e pressione Enter.

Finalizando o processo de configuração

Menu completo de acesso via console.

Por padrão, o pfSense atribui requisição de DHCP para WAN e IP fixo para LAN.

Altere o IP fixo da LAN para o mesmo range de IP configurado na placa virtual destinada a ela (Host Only / Internal).

Para alterar digite 2 em Enter as option e pressione Enter.

Será mostrado a lista de placas disponíveis. Para alterar o IP de LAN digite 2 novamente e pressione Enter.

Digite o IP destinado para LAN. No meu caso digitei 192.168.200.254, que é meu ultimo IP disponível.

Sua rede virtual pode ter outro range, você deve-rá digitá-lo aqui. Há a possibilidade em uma coincidência muito grande estarem sua rede virtual e IP atribuido automaticamente pelo pfSense para LAN no mesmo range.

Alerto para os possíveis conflitos que possa existir, então é importante dar a devida atenção ao planejamento dessas redes.

Digite o IP de LAN e pressione Enter.

Após você terá que digitar a mascara usando o formato de contagem de bits ( bit count ). Ele te dá o exemplo de que sua máscara é 255.255.255.0 então ela será igual a 24.

Digite 24 se ela for 255.255.255.0 ( mais comum ) ou a máscara correspondente se for de um range maior e pressione Enter.

Na próxima opção esta destinada a configuração de um Gateway. Este script é compartilhado para configuração de WAN e LAN.

Ele é específico, ou seja, diz que se você estiver configurando um IP para LAN, você deve pressionar enter para nenhum. Apenas pressione Enter para continuar.

Uma das muitas funções do pfSense instaladas por padrão é um servidor DHCP sendo necessário apenas ativá-lo. Vamos utilizá-lo neste início, porém, também é uma ferramenta disponível no Windows Server. Em uma rede com Active Directory é aconselhável usar a integração entre AD, DNS e DHCP do Windows Server.

Reponda Y para ativar o DHCP Server e pressione Enter.

Digitamos o IP inicial que será atribuído automaticamente aos clientes de rede e pressionamos Enter.

Digitamos o IP final que será atribuído automaticamente aos cliente de rede e pressionamos Enter.

Por padrão o pfSense vem com o protocolo HTTPS habilitado para acesso a sua console WEB de configuração.

Ele então faz a pergunta se desejamos alterar esse protocolo para HTTP ( menos seguro ). A única diferença aqui para o sim ou para o não em um ambiente de testes/aprendizado é como você irá digitar a url de acesso. Obviamente que haverá um aviso dizendo que o certificado não é reconhecido.

Se não sabe muito bem o que é tudo isso. Responda Y e pressione Enter.

Garanto que sua LAN não ficará mais ou menos seguro com isso. Já em um ambiente corporativo, faz toda a diferença.

Temos então um resumo das ultimas configurações. Pressione Enter para continuar.

Retornamos ao menu principal.

A primeira parte do primeiro Lab esta entregue. A segunda parte é o acesso a console do firewall.

Não vou abordar a instalação de um Windows 7/8, porém, precisaremos dele para os próximos LABs.

Peço que providenciem a mesma.

É necessário que a placa de rede desta VM Windows esteja no mesmo switch virtual da LAN do firewall.

Abraço, até o próximo.

Dúvidas/Sugestões/Reclamações: ricardo.santos@adminderedes.com.br