Convidado 
Por: - gestor de segurança da informação
Na área da segurança da informação precisamos realizar testes, simular cenários ou, simplesmente, estudar novas ferramentas e técnicas. Um laboratório funcional e bem configurado é fundamental para isso.
A ideia deste artigo é partilhar a experiência de construir um laboratório flexível, seguro, que não exigisse muito investimento e que não ocupasse muito espaço.
Esse laboratório tinha como requisitos: a possibilidade de realizar testes camada 2 do modelo OSI e ser o mais realista possível para facilitar tarefas de análise de malware e uso de técnicas mais invasivas de pentest.
Algumas opções consideradas:
- A forma tradicional com um virtualizador, tipo o virtualbox, em um notebook ou desktop, foi descartada porque não atendia aos requisitos;
- Usar um ambiente cloud, como a Amazon ou Azure, mas os testes seriam limitados e os custos poderiam ser altos;
- Utilizar o GNS3 ou Eve-NG que também não atendeu os critérios necessários e seria ainda menos flexível e mais restrito, principalmente, na parte de sistemas operacionais.
O cenário final utilizou um swicth de 8 portas, um acess point, um Netagate com o pfsense embarcado e um notebook com o proxmox.
O resultado ficou muito bom e atendeu todos os requisitos propostos, de maneira escalável e robusta.
Ainda existem algumas coisas que não foram implementadas como o uso de diversos SSID’s entregando vlans diferentes e implementar o suricata (IPS) no pfsense.
O laboratório
1. Equipamentos utilizados:
Como virtualizador foi usado o proxmox em notebook com 32 GB de RAM, 1 ssd de 512 para o SO e um outro SSD de 4 TB para as máquinas virtuais.
Equipamentos de rede:
- 1 Netgate 1100 – Firewall com 3 interfaces;
- 1 Switch TL-SG108E Switch com 8 portas e suporte ao protocolo 802.1Q;
- 1 Router Wifi Mi A4 Roteador Wifi.
2. Planeamento de rede
O planeamento IP e segmentação das vlans foi a primeira actividade realizada.
A topologia planeada:
O Netgate, um hardware que roda o pfsense embarcado, é o responsável pelo roteamento das vlans, sendo o gateway de todos os segmentos de rede.
3. Configurando a rede sem fio
Os critérios para a escolha do roteador wi-fi foram: suportar as frequências 2,4GHz e 5GHz, ter pelo menos uma interface de rede de 1000 Mbps e ter suporte ao 801.Q (Vlan), além da flexibilidade nas configurações.
Geralmente, os firmwares dos acess points, não suportam 801.Q e são pouco flexíveis nas possibilidades de configuração, então, a solução foi usar o OpenWrt em um roteador compatível: o Xiaomi Mi Router 4A Gigabit Edition.
Para instalar o Openwrt as instruções da própria página do projecto foram mais que suficientes e tudo funcionou perfeitamente. O link para as instruções: (https://openwrt.org/inbox/toh/xiaomi/xiaomi_mi_router_4a_gigabit_edition)
Como pfsense será o servidor DHCP, logo o DHCP do roteador wi-fi foi desactivado.
4. Configurando o NetGate 1100 (Pfsense)
Foi a etapa mais demorada e trabalhosa.
O modelo escolhido, o NetGate 1100, tem 3 interfaces físicas: WAN, LAN e OPT1.
Conforme a topologia planeada, a configuração deve ser feita da seguinte forma:
- A interface WAN fica directamente conectada ao modem da operadora recebendo endereço ip via DHCP;
- A interface LAN com o endereço 10.169.254.254/24 e DHCP activo, é conectada ao roteador wi-fi e usa o vlan id 1 untag;
- A interface OPT, conecta no switch e tem o endereço ip 10.168.150.254/24 (vlan de gestão), usando o vlan id 1 untag e todas as outras vlans tagged. O DHCP fica activo para todas as vlans dessa interface.
A forma de configurar as vlans muda dependendo do modelo do Netgate e é bem diferente dos ajustes do pfsense no formato de appliance virtual.
Uma vez que existem 3 (três) interfaces físicas (figura 1) a expectativa era que isso fosse reflectido na tela de configuração do pfsense, mas não é isso que ocorre.
Figura 1 – As interfaces físicas
Na tela de configuração Interfaces -> Switch -> System aparece apenas uma interface denominada Marvell 6000 series switch (figura 2).
Figura 2 – Na tela de configuração só aparece 1 (uma) interface
Inicialmente, essa característica parece estranha, mas aos poucos as coisas vão ficando mais claras na medida que as configurações são feitas.
O primeiro passo é criar as vlans e isso é feito em: Interfaces -> Interface Assignments -> Vlans.
Aqui as coisas ficam um pouco mais claras. A coluna VLAN Interfaces mostra apenas uma interface com o nome (mvneta0) e na coluna Description, finalmente, é possível ver os nomes correspondentes as interfaces físicas (figura 3).
Figura 3
Por padrão, as vlans 4090, 4091 e 4092 já estão definidas nas interfaces WAN, LAN e OPT, respectivamente.
Essa é configuração default do pfsense e não deve ser alterada.
Para adicionar uma nova vlan basta clicar no botão ADD.
A tela é auto explicativa. Basta digitar a tag da vlan que está sendo adicionada, por exemplo a 130, e salvar. O mesmo processo é feito para todas as vlans.
Em Interfaces -> Interface Assignments, adicionamos as vlans criadas no passo anterior uma a uma. No final do processo é preciso salvar as alterações feitas.
Na tela Interfaces ->Switch -> Ports é possível ver o número da porta e o seu nome.
A port 0 (LAN Uplink) não é relevante pois não será alterada.
É preciso identificar o número da porta atribuído para a interface OPT, pois é nessa interface que ficacarão as vlans.
A figura abaixo mostra que a interface OPT tem o port number 1.
O campo PORT VID define o Vlan ID que será untag (também chamada de vlan nativa ou pvid). O campo parece não ser editável, mas clicando em cima do numero 492 é possível fazer alterações.
O valor deve ser ajustado para 1 e as modificações salvas, conforme a figura abaixo:
A próxima configuração é feita em: Interfaces -> Switch -> VLANs.
Nessa tela é definida quais vlans serão tagged ou untag.
Detalhando cada um dos campos:
- VLAN group: é um número sequencial e preenchido automaticamente;
- VLAN tag: é o vlan Id;
- Members: indica o número da porta e como a vlan foi configurada ( tagged ou untag). A letra “t” depois do número da porta indica que a vlan é tagged.
Para verificar o número da porta: Interfaces -> Switch -> Ports .
Detalhando:
- O primeiro retângulo mostra o Vlan Group 2 com o vlan id 4091 e a coluna Members com valor 0t,2 indicando que a vlan 4091 é tagged na porta 0 e untag na porta 2; (0t,2)
- O segundo retângulo mostra o Vlan Group 4 com o vlan id 120, sendo tagged nas porta 0 e 1 (0t, 1t), como indicado na coluna Members
Todas as vlans devem ser ajustadas com tagged na porta 0 (0t), essa configuração é padrão no NetGate e não deve ser alterada.
Clicando em Add Tag surge a tela onde é feita essa configuração.
A figura abaixo mostra o detalhe da configuração da vlan 140 como tagged nas portas 0 e 1, vale lembrar que a porta 1 corresponde a interface OPT.
Depois de salvar as alterações é possível ver o resumo do que foi configurado.
A tela de resumo reflete as configurações feitas
Ainda restam algumas configurações a serem feitas.
Na tela Interfaces -> Interface Assignments, devem ser ajustadas as novas interfaces criadas.
Clicando no campo OPT6 aparece a tela de configuração de interfaces do pfsense, que é bastante simples e intuitiva.
Depois de feitos os ajustes é só salvar e aplicar as configurações.
Após finalizar as configurações dos passos anteriores, falta apenas definir as regras de firewall e ajustar o servidor dhcp, se for necessário.
A configuração das regras é feita da maneira tradicional está muito bem documentada.
A documentação oficial para a configuração das regras pode ser encontrada na página: https://docs.netgate.com/pfsense/en/latest/firewall/configure.html
5. Configurado o Swith TL-SG108E
As configurações iniciais são simples e podem ser feitas de acordo com o guia de configuração rápida. (https://static.tp-link.com/res/down/doc/TL-SG105E_V2_IG.pdf).
É necessário habilitar o protocolo 802.1Q, conforme a figura abaixo:
Após esse ajuste é preciso reiniciar o equipamento.
A configuração das vlans é feita no menu 802.1Q VLAN. A figura baixo mostra como adicionar a vlan ID 140 como tagged nas portas 7 e 8.
Após clicar em Add/Modify a vlan é adicionada, como mostrado na imagem a seguir:
Falta ajustar a PVID, também chamada de native vlan, e esse ajuste é feito no menu 802.1Q Settings:
O número da PVID deve ser o mesmo configurado no pfsense.
6. Configurando o Proxmox
A instalação do proxmox é bem simples e existem diversos tutorias na Internet. Uma busca no Google sobre o assunto trará vários resultados.
Depois de instalar é necessário configurar as vlans e activar o Nested virtualization.
O Nested virtualization é uma característica que permite rodar uma máquina virtual dentro de outra máquina virtual.
Clicando na interface física e marcando o campo VLAN aware, o proxmox já passa a aceitar vlans.
Habilitando o VLAN aware
É bem útil criar uma interface específica para a gestão, no caso a vmbr0.150.
O id (tag) da vlan de gestão é 150, então, o nome da interface precisa ser vmbr0.150, seguindo o padrão: vmbr0.<vlanid>.
As telas são auto explicativas:
Esses ajustes podem ser feitos de outra forma; editando o arquivo /etc/network/interfaces no shell do proxmox.
Dessa forma é possível limitar quais vlans serão aceitas através da linha bridge-vids.
Por exemplo, para aceitar apenas as vlans de 100 a 150, basta ajustar a configuração dessa forma: bridge-vids 100-150
O arquivo ficou da seguinte forma:
Para colocar uma máquina virtual em uma vlan específica, adiciona-se o número da vlan na tela de configuração da interface de rede, conforme o indicado:
O último passo é configurar o Nested virtualization.
O link https://ostechnix.com/enable-nested-virtualization-in-proxmox/ detalha o procedimento passo a passo, então basta seguir as configurações sugeridas nesse link.
O resultado final é um laboratório funcional, robusto e escalável, tornando muito fácil e simples criar novos segmentos de rede, fazer testes com ferramentas como o LanTurtle ou bettercap e simular ambientes reais.
Espero que as informações partilhadas aqui sejam úteis.
