Autora: Yuli J Salave Ch /Centro de Seguridad Informática y Certificación Electrónica (CESICE).
Resumen
PfSense es una distribución FreeBSD personalizada que se puede utilizar para servicios de red LAN y WAN, como cortafuegos, enrutadores, equilibrio de carga del servidor y otros servicios que se mencionarán más adelante. Tiene un administrador de paquetes desde su interfaz gráfica, al cual se puede acceder de forma remota para ampliar su funcionalidad. Cuando se selecciona el paquete requerido, el sistema lo descargará e instalará automáticamente. Se puede instalar en cualquier PC o servidor, independientemente de su arquitectura, con al menos 2 tarjetas de red.
PfSense es un proyecto completamente probado desde el hogar hasta grandes empresas, instituciones públicas, departamentos gubernamentales y universidades
PfSense y su funcionamiento
PfSense es un sistema operativo basado en FreeBSD diseñado para instalar un cortafuego (firewall) fácil de configurar a través de una interfaz web y se puede instalar en cualquier PC. Contiene una gran cantidad de paquetes de software, lo que le permite expandir fácilmente la funcionalidad sin comprometer la seguridad del sistema.
Esta es una solución muy completa que ha sido licenciada por BSD, lo que significa que se puede distribuir libremente. OpenBsd se considera el sistema operativo más seguro del mundo, con el filtro de paquetes actual (PF) (el sistema de filtro de paquetes de OpenBsd puede filtrar el tráfico tcp / ip, también proporciona control de ancho de banda y priorización de paquetes).
Funciones:
Todas las siguientes funciones se pueden administrar a través de la interfaz web sin la ayuda de la consola (sin línea de comando).
- Firewall: PfSense se puede configurar como unos cortafuegos, que permite y niega cierto tráfico de red entrante y saliente de las redes de origen y destino o direcciones de host, y también puede realizar un filtrado avanzado de paquetes a través de protocolos y puertos.
- Servidor VPN: PfSense se puede configurar como un servidor VPN utilizando protocolos de tunelización como IPSec y PPTP.
- Servidor de Balanceo de carga: PfSense se puede configurar como un servidor de equilibrio de carga entrante y saliente. Esta función se utiliza normalmente en servidores web, de correo y DNS. Para proporcionar estabilidad y redundancia, también envía tráfico a través del enlace WAN, evitando así cuellos de botella.
- Portal cautivo: Este servicio incluye obligar a los usuarios a autenticarse redirigiéndolos a una página de autenticación especial y / o aceptando términos de uso, pago, etc. Para acceder a la red.
- Tabla de estado: función principal es guardar el estado de la conexión abierta en una tabla. La mayoría de los firewalls no pueden controlar con precisión la tabla de estado. PfSense tiene una gran cantidad de características que pueden proporcionar una granularidad muy fina para procesar tablas de estado
- Servidor DNS y reenviador de caché DNS: PfSense se puede configurar como servidor DNS primario y reenviador de consultas DNS. Servidor DHCP: también se puede utilizar como servidor DHCP y también puede implementar VLAN desde PfSense.
- Servidor PPPoE: ISP utiliza este servicio para autenticar a los usuarios que acceden a Internet a través de una estación base local o un radio.
- Enrutamiento estático: PfSense funciona como un enrutador al proporcionar direcciones IP y viajes sin problemas.
- Redundancia: PfSense le permite configurar dos o más firewalls a través de un protocolo CARP (Common Address Redundancy Protocol), en caso de que un firewall falle y el otro firewall se declare como firewall principal.
- Reportes y Monitoreo: PfSense muestra el estado de los siguientes componentes a través de gráficos RDD:
- Utilización de CPU
- Rendimiento global Estado del firewall
- Rendimiento personalizado de cada interfaz
- Paquetes enviados y recibidos por cada interfaz ·
- Gestión de flujo y ancho de banda.
Beneficios al utilizar PfSense
Se pueden personalizar varios servicios de pfSense de acuerdo con las necesidades de seguridad de la empresa. Los mayores beneficios proporcionados por pfSense son:
- Sin tarifas de licencia de por vida.
- Fácil gestión de la red e interacción con el software de gestión.
- Mayor rendimiento de hardware Todos los módulos que habitualmente posee en una marca comercial se pueden obtener a través de código abierto.
- Puedes generar un servidor VPN
- Capacidad para limitar el ancho de banda
- Generar estrategias de navegación web para usuarios Puede administrar varios enlaces de Internet
- Actualizaciones continúas de seguridad de software
- Es fácil de implementar, como firewalls, servidores proxy, etc.
- Crecimiento modular según las necesidades de la empresa Con funciones de monitoreo y reporte de información en tiempo real.
- Soporte de socios autorizados y comunidades de usuarios.
Requisitos mínimos de hardware pfSense Firewall
- Procesador 600Mhz (mas es mejor) de 64Bits
- 512Mb RAM (mas es mejor)
- 4Gb disco (mas es mejor)
- 2 tarjetas de red (mínimo WAN y LAN)
- Puerto USB o DVD para instalación del ISO
- Conectividad a internet
FIREWALL PFSENSE EN LA NUBE
Hoy en día es más fácil alojar archivos en la nube, lo que es una opción muy atractiva y práctica. Por lo tanto el firewall tiene la función de protegernos y evitar que entren amenazas. Tradicionalmente, los firewalls protegen dispositivos o redes específicas, pero ocupan espacio físico. Si consideramos datos críticos en la nube, también debemos considerar instalar un firewall en la nube. Con la ayuda de un firewall en la nube, podemos guardar archivos en un servidor alojado en la nube. Esto permite crear redes privadas y controlar el acceso a instancias, aplicaciones y brinda una amplia gama de posibilidades para empresas y usuarios dedicados.
- Proceso de instalación
El proceso de instalación es similar al de FreeBSD. Después de copiar los archivos del sistema al disco duro, continuaremos configurando la dirección IP de la tarjeta de red. Después de completar las operaciones anteriores, puede acceder al sistema desde un navegador web. El portal de gestión está basado en PHP, en teoría toda la configuración y gestión se puede realizar desde PHP, por lo que no es imprescindible para la gestión de línea de comandos de UNIX. PfSense tiene un administrador de paquetes para expandir su funcionalidad. Al seleccionar el paquete requerido, el sistema lo descargará e instalará automáticamente. Hay alrededor de 70 módulos disponibles, incluidos Squid agent, IMSpector, Snort, ClamAV, etc.
- Opciones de instalación del cortafuego PfSense
Las únicas dos formas de instalar el firewall pfSense son:
- A través de almacenamiento USB
- O usando CD / DVD
Ambos métodos formatearán completamente el disco de la computadora donde se instalará y no permitirán el arranque dual con otro sistema operativo.
Se recomienda que si desea instalar una computadora física, use un almacenamiento USB, pero si desea implementar una máquina virtual, es mejor usar CD / DVD ISO.
- Instalando PfSense firewall
- Topología de pfSense:
Para Redes LAN
Es necesario tener claro la Topología de la red donde está participando el PfSense.
- La red LAN se refiere a la red interna de la organización conectada a la interfaz LAN. Debe estar protegido contra ataques de Internet.
- La red DMZ es una zona desmilitarizada, donde se ubica el servidor, al que se puede acceder desde Internet como servidor Web y de correo con determinados parámetros.
- La red WAN (básicamente Internet) está conectada a la interfaz WAN de PfSense, que también se niega a comunicarse desde la red a Internet, y viceversa.
Referencias
- Guillermogalvanb. G (2010) Instalación de PfSense.
- Articulo en línea: http://www.taringa.net/posts/linux/6555753/Tutorial-PfSense_Instalacion.html
- http://www.firewallhardware.es/pfsense.html
- https://www.academia.edu/22360402/Manual_de_Usuario_de_Pfsense_Firewall
- https://www.drivemeca.com/pfsense-firewall-instalacion/
Contacto: salaveyuli1109@gmail.com