pfsense firewall

Acerca de este blog

Este blog es una compilación de varios tutoriales, videos y documentación oficial cuyas fuentes serán citadas al final de este blog, es un trabajo de carácter académico y no representa ninguna violación a los derechos de autor. Este blog mostrara la descripción general del software, su casa de software desarrolladora, requerimientos de hardware, instalación, funcionalidades haciendo énfasis a la configuración de las reglas de firewall, conclusiones y por último se citaran las fuentes bibliográficas de donde fue extraída la información.

Introducción a Pfsense:

Pfsense es una distribución personalizada de FreeBSD para usarlo en servicios de redes LAN y WAN tales como firewall, enrutador, servidor de balanceo de carga, entre otras las cuales serán mencionadas más adelante.  El proyecto es comercialmente sostenido por BSD perimeter LLC. Este proyecto nació el año 2004 por Chris Buechler y Ullrich Scott en instalaciones para PC y servidores. El modelo de desarrollo de pfsense es de código abierto, la última versión estable es la versión 1 2 3, el núcleo de pfsense es basado en el sistema operativo libre llamado BSD, el tipo de nucleo de pfsense es de tipo monolítico. De acuerdo al portal oficial de pfsense para el 2010 pfsense ha tenido más de un millón de descargas donde ha sido instalado con éxito en ambientes desde redes domésticas hasta grandes corporaciones. Pfsense cuenta con un gestor de paquetes desde su interfaz gráfica accedida remotamente para ampliar sus funcionalidades, al elegir el paquete deseado el sistema lo descarga y lo instala automáticamente. Existen 60 modulos disponibles para descargar al pfsense e instalarlos entre estos son el proxy squid IMinspector, Snort, ClamAV entre otros. Para manejar pfsense no es necesario tener conocimientos avanzados sobre línea de comandos de BSD. Pfsense puede ser instalado en cualquier ordenador PC o servidor independientemente de su arquitectura que cuente con un mínimo de 2  tarjetas de red. Al poseer software de código abierto, la comunidad de desarrolladores pueden dar soporte y asistencia con costo por parte de BSD Perimeter. Cada persona es libre de modificar y vender su propia distribución con ciertas condiciones.

Requerimientos de Hardware

Para la instalación de pfsense sobre arquitectura i386 los requerimientos de hardware son los siguientes.

1.    Procesador Intel Pentium III, hasta un Intel Xeon, nada de AMD. 

2.    Memoria RAM desde 256 Mb hasta 3 Gb. 

3.    Disco Duro de 2 Gb hasta 80 Gb, IDE, SCSI, SATA Y SAS-SATA. 

4.    Tarjetas de red cableadas Intel y Realtek (la red inalambrica solamente funcionan las tarjetas de red marca Atheros).

5.    Debido a que este software será instalado sobre un servidor o PC dedicado única y exclusivamente, este PC o servidor no necesitara un mouse, solo un teclado y monitor ya que este servidor será administrado remotamente.

     Funciones

Pfsense es una aplicación que se instala como un sistema operativo ya que tiene varias funcionalidades entre estos servicios de redes LAN y WAN, con detalle estos servicios son los siguientes:

Firewall: Pfsense se puede configurar como un cortafuego permitiendo y denegando determinado tráfico de redes tanto entrante como saliente a partir de una dirección ya sea de red o de host de origen y de destino, también haciendo filtrado avanzado de paquetes por protocolo y puerto.

Servidor VPN: Pfsense se puede se puede configurar como un servidor VPN usando protocolos de tunneling tales como IPSec, PPTP, entre otras.

Servidor de Balanceo de Carga: Pfsense puede ser configurado como servidor de balanceo de carga tanto entrante como saliente, esta característica es usada comúnmente en servidores web, de correo, de DNS. También para proveer estabilidad y redundancia en él envió de tráfico a través del enlace WAN evitando los cuellos de botella.

Portal Cautivo: Este servicio consiste en forzar la autenticación de usuarios redirigiéndolos a una página especial de autenticación y/o para aceptar los términos de uso, realizar un pago etc. para poder tener acceso a la red. El portal cautivo es usado comúnmente para control de accesos a la red en los puntos de accesos inalámbricos de los hoteles, restaurantes, parques y kioscos.

Tabla de estado: PFSense es un stateful firewall, el cual como característica principal guardad el estado de las conexiones abiertas en una tabla. La mayoría de los firewall no tienen la capacidad de controlar con precisión la tabla de estado. Pfsense tiene un enorme número de características que permiten una granularidad muy fina para el manejo de la tabla de estado.

Servidor DNS y reenviador de cache DNS: Pfsense se puede configurar como un servidor DNS primario y reenviador de consultas de DNS.

Servidor DHCP: Tambien funciona como servidor de DHCP, se puede también implementar VLAN desde Pfsense.

Servidor PPPoE: Este servicio es usado por los ISP para la autenticación de usuarios que puedan ingresar a internet, por una base local o via radius.   

Enrutamiento estatico: Pfsense funciona como un enrutador ya que entrega direccionamiento IP y hace el nateo hacia afuera.

Redundancia: Pfsense permite configurar dos o más cortafuegos a través del protocolo CARP (Common Address Redundancy Protocol) por si uno de los cortafuegos se cae el otro se declara como cortafuegos primario.

Reportes Y Monitoreo: A través de los graficos RDD Pfsense muestra el estado de los siguientes componentes:

·         Utilización de CPU

·         Rendimiento Total

·         Estado del Firewall

·         Rendimiento individual por cada interface

·         Paquetes enviados y recibidos por cada interface

·         Manejo de tráfico y ancho de banda.

Conclusiones

·         Pfsense es una distribución de BSD el cual se deriva de Unix que funciona como Firewall, Portal Cautivo, servidor VPN, DDNS, DHCP, entre otras. Cuya principal aplicación se evidencia en los WISP ya que también maneja servidor de autenticación PPPoE,

·         existen más de 1 millón  de implementaciones de Pfsense a nivel mundial que han mostrado resultados exitosos.

·         Pfsense está soportado comercialmente por BSD Perimeter INC. El cual ofrece soporte comercial especializado para esta solución de seguridad para redes LAN y WAN

·         No se requiere conocimientos avanzados en línea de comandos de BSD para poder manejar el sistema operativo.

·         Se puede acceder a la GUI de Pfsense a través de un explorador de internet (IE, Mozilla, Chrome etc.)

·         Pfsense se puede instalar sobre cualquier arquitectura de PC

·         Pfsense es una solución de seguridad de código abierto es decir que cualquier desarrollador 

      puede añadir mejoras al S.O bajo ciertas condiciones legales.

   Topologias de PFSENSE

    para redes LAN

    Para Proveedores de servicio de internet ADSL

Material de referencia

·         BSD PERIMETER LLC, B P (2004). Documentación oficial PFSENSE. Feb, 11, 2011, http://doc.pfsense.org/

·    Wbolivar, W (2007) Pfsense + Bridge y no morir en el intento. Abr. 04, 2007http://ricondefreebsd.blogspot.com/2007/04/pfsensebridge-y-no-morir-en-el-intento.html

·         Josep Pujadas i Jubany JPIJ (2007) Reglas de cortafuegos. No tiene mes ni dia (2007) http://www.bellera.cat/josep/pfsense/regles_cs.html

·         Guillermogalvanb. G  (2010) Instalacion de Pfsense. Dic, 12 2010http://www.taringa.net/posts/linux/6555753/Tutorial-PfSense_--Instalacion.html

·         Wikipedia W. (2011) Pfsense. Ene, 19, 2011http://es.wikipedia.org/wiki/PfSense

Presentado por

Aura Cárdenas

Alexander Galvis

Jonattan Ospina

Roger Perez