El firewall es esa pieza tecnológica que debe formar parte de toda red. En el momento que hablamos de firewalls, inmediatamente pensamos en la gran cantidad de soluciones comerciales que existen en el mercado, pero desconocemos la existencia de una plataforma robusta, segura y confiable como es PfSense.
¿Qué es pfSense?
El proyecto pfSense es una distribución personalizada de código abierto gratuito de FreeBSD diseñada para su uso como firewall y router completamente administrado por una interfaz web fácil de usar, por lo que no requieren conocimientos avanzados en linux o bsd para su gestión.
¿Dónde puedo instalar pfSense?
- Casi que en cualquier lugar ajaja y sí básicamente es eso, con 512MB de memoria RAM, un procesador base de 600MHz, 2 puertos de red y 4GB de disco es más que suficiente para sus funciones básicas (Router, Firewall para redes pequeñas).
- En entornos virtuales (Vmware, Proxmox, VirtualBox, Hyper-v, etc)
- En hardware appliance (Recomendado)
- En entornos cloud (AWS, Azure)
Características de pFsense
pfSense incluye casi todas las funcionalidades de los costosos firewalls comerciales y en muchos casos incluye en más. A continuación veremos las funciones actualmente disponibles. Todas las funciones gestionadas con interfaz web, sin la ayuda de la consola.
- Filtrado por IP de origen y destino
- Puede limitar conexiones simultáneas por regla
- Los alias permiten agrupar y nombrar direcciones IP
- Normalización de paquetes
- Multi WAN
- Integración automatizada para creación de VPN Site2Site con AWS Amazon
- Monitoreo gráfico y por logs
- VPN
- Soporte de Vlans
- Balanceo de Carga
- IDS/IPS
- Clúster
- Portal Cautivo
- NAT/PAT
- y más mucho más…
PfSense y sus múltiples roles
Como VPN
Una red privada virtual (VPN) es una extensión de nuestra red interna a través de Internet para poder acceder a servicios que de otra forma estarían inaccesibles. pfSense soporta múltiples tipos de VPN, sin embargo nos enfocaremos en este artículo en 3 de ellas:
- IPSec: Permite la conectividad con todos los dispositivos que soportan el estándar IPsec.
- OpenVPN: Es una flexible, potente solución SSL VPN que soporta una amplia gama de sistemas operativos cliente.
- WireGuard: es un nuevo protocolo VPN Layer 3 diseñado para brindar velocidad y simplicidad. Funciona casi tan rápido como el IPsec acelerado por hardware y solo tiene una pequeña cantidad de opciones en su configuración.
Como Autoridad Certificadora
Pfsense de forma nativa te permite generar de una forma muy sencilla certificados autofirmados, principalmente utilizados para configuraciones VPN, servicios web para desarrollo o herramientas Internas.
¡Ah, pero no me gusta que me salgan esas alertas de que el certificado no es seguro!
No hay problema, pfSense dentro de su larga lista de paqueterías cuenta con uno llamado ACME, este módulo se encarga de comunicarse con letsencrypt y generar los certificados que necesites 100% válidos para navegadores, y lo mejor puedes configurarlo para que automáticamente renueve los certificados y no tengas que darle baja a tu servicio.
Como Proxy
Los proxies son intermediarios que se ubican entre clientes y servidores. Un cliente se conecta a un proxy y luego el proxy decide si el cliente puede recibir contenido de un servidor. Si es así, el proxy realiza su propia conexión con el servidor y luego devuelve los datos al cliente.
- Proxy de reenvío: normalmente se encuentra entre clientes locales y servidores de Internet remotos. Se puede utilizar para controlar qué sitios web pueden cargar los clientes, o registrar servidores y URL que visitan los clientes. En su mayoría, funcionan con HTTP, pero en casos especiales también pueden funcionar con HTTPS.
- Squid es principalmente un proxy de reenvío que se utiliza para el control de acceso del cliente.
- Proxy reverso: normalmente se encuentra entre clientes remotos y servidores locales. Estos permiten el equilibrio de carga, la conmutación por error u otro enrutamiento de conexión inteligente para servicios públicos como servidores web.
- HAProxy es una solución gratuita, muy rápida y confiable que ofrece alta disponibilidad, equilibrio de carga y proxy para aplicaciones basadas en TCP, HTTP y HTTPS.
Como portal cautivo
El portal cautivo en el software pfSense® obliga a los usuarios en una interfaz a autenticarse antes de otorgar acceso a Internet.
El firewall presenta automáticamente una página web de inicio de sesión en la que el usuario debe ingresar credenciales como un nombre de usuario/contraseña, un código de cupón o un simple clic.
Esta característica se usa comúnmente en la industria hotelera (hoteles, restaurantes, aeropuertos y más), así como en entornos corporativos e incluso domésticos. Se utiliza principalmente para puntos de acceso inalámbricos o para autenticación adicional antes de permitir el acceso a redes internas desde clientes inalámbricos.
Como Servidor DNS
DNS, o sistema de nombres de dominio, es el mecanismo por el cual un dispositivo de red resuelve un nombre como www.example.com en una dirección IP como 198.51.100.25, o viceversa. Los clientes deben tener un DNS funcional si van a llegar a otros dispositivos, como servidores, utilizando sus nombres de host o nombres de dominio completos.
PfSense, permite ser configurado como un DNS del tipo Resolver o Forwarder con tan solo un par de clics. Además de contar con métodos de protección para ataques del tipo DNS rebind.
Como Router
PfSense de forma nativa puede ser utilizado como un router dentro de su red, recordemos que un firewall únicamente puede analizar y filtrar todo tráfico que pase a través de él, por lo que quién mejor para encargarse no solo del filtrado de tráfico sino del ruteo dentro de la red.
Además mediante paquetes tenemos la posibilidad de configurar enrutamiento dinámico para comunicarnos con otros routers de nuestra red interna o con un proveedor de servicios.
Protocolos soportados:
- RIP: El demonio del Protocolo de información de enrutamiento (RIP) es un protocolo de enrutamiento dinámico que, cuando se combina con otros enrutadores que también tienen RIP habilitado, permitirá actualizaciones de ruta automáticas entre ellos.
- BGP: El paquete OpenBGPD se puede utilizar en combinación con CARP. Por lo general, es mejor tener dos sesiones BGP con cada proveedor, una de cada firewall, y configurar el siguiente salto en la declaración de red BGP a una IP CARP en la subred de interconexión con ese proveedor ascendente.
- OSPF: También está disponible un paquete OSPF que utiliza el demonio de enrutamiento Quagga.
Como Firewall de Siguiente Generación
pfSense mediante el packete pfblocker-ng permite filtrar el tráfico de red por ubicación geográfica de una dirección IP, bloquear anuncios en línea y contenido malicioso. PfblockerNG tiene muchas opciones para elegir que le permiten especificar qué bloquear y cómo bloquear.
Como IDS/IPS
El software pfSense® puede actuar en un rol de Sistema de detección de intrusiones (IDS) / Sistema de prevención de intrusiones (IPS) con paquetes complementarios como Snort y Suricata.
- Snort es un sistema de prevención y detección de intrusos. Se puede configurar para registrar simplemente los eventos de red detectados para registrarlos y bloquearlos. Gracias a los detectores y las reglas de OpenAppID, el paquete Snort permite la detección y el filtrado de aplicaciones.
- Suricata es un motor de detección de amenazas de red maduro, rápido y robusto, gratuito y de código abierto. El motor Suricata es capaz de detección de intrusiones en tiempo real (IDS), prevención de intrusiones en línea (IPS), monitoreo de seguridad de red (NSM) y procesamiento pcap fuera de línea.
Ventajas de uso de pfSense
- Hardware a precio accesible (https://store.netgear.com/)
- Sin costo de licencias
- Soporte Comercial y de Comunidad (https://www.pfsense.org/get-support/)
- Fácil instalación y Gestión
- Extensa lista de Módulos y Funcionalidades
- OpenSource
- Diseño simple e intuitivo
- Disponible en modalidad Cloud, Virtual Appliance, Hardware y Software
Desventajas
- Al no contar con una API, dificulta la integración con otras soluciones comerciales de forma sencilla. Dificulta la automatización.
- Soporte con el fabricante únicamente disponible en inglés (En Gudix Security proporcionamos soporte en español e inglés para pfSense).
- Pobre sistema de reporte.
Conclusiones
Elegir un firewall no es una decisión a tomar a la ligera, debemos tener claros nuestros requerimientos, la cantidad de tráfico a procesar y las funcionalidades que deseamos tener de la solución a elegir.
PfSense Firewall, es una solución empresarial opensource utilizada por muchísimas empresas alrededor del mundo, además de universidades y entidades de gobierno que confían en la tecnología y robustez a un costo muy bajo.
¿Desea implementar o cambiar su solución de firewall actual y no sabe por dónde empezar? Contáctenos a [email protected]