CARACTERÍSTICAS TÉCNICAS Y FUNCIONALIDADES DE PFSENSE

PFSense es un firewall, basado en software libre, que tiene una gran cantidad de usuarios por todo el mundo. Utilizado como firewall en pequeñas y medianas empresas. protegerá tus equipos de las amenazas y ataques cibernéticos. En  este articulo te mostramos sus características técnicas y algunas funcionalidades que tiene este potente software

¿PERO, QUÉ ES PFSENSE?

PFSense es una distribución basada en FreeBSD, personalizada para ser un firewall y router. Es una potente plataforma firewall y router. Incluye una gran lista de paquetes que permiten expandir fácilmente sus funcionalidades sin comprometer la seguridad del sistema.

PFSense es un proyecto abundantemente probado, cuenta con mas de 1.000.000 descargas e innumerables instalaciones en todo el mundo, desde el uso casero hasta la gran empresa, autoridades públicas, ministerios y universidades.

CARACTERÍSTICAS TÉCNICAS DE PFSENSE

PFSense incluye casi todas las funcionalidades de los costosos firewalls comerciales y en muchos casos incluye en más. La siguiente es una lista de las funciones actualmente disponibles. Todas las funciones gestionadas con interfaz web, sin la ayuda de la consola.

  1. Filtrado por IP de origen y destino, protocolo IP, puerto de origen y destino para el tráfico TCP y UDP
  2. Puede limitar conexiones simultáneas por regla
  3. pfSense utiliza p0f, una avanzada herramienta pasiva de huellas digitales OS / red que le permite filtrar por el sistema operativo que inicia la conexión. ¿Quieres permitir que las máquinas FreeBSD y Linux se conecten a Internet, pero bloquear las máquinas con Windows? pfSense permite eso (entre muchas otras posibilidades) mediante la detección pasiva del sistema operativo en uso
  4. Opción para registrar o no el tráfico que coincide con cada regla
  5. Posibilidad de enrutamiento de políticas altamente flexible seleccionando la puerta de enlace por regla (para el equilibrio de carga, conmutación por error, WAN múltiple, etc.)
  6. Los alias permiten agrupar y nombrar direcciones IP, redes y puertos. Esto ayuda a mantener el conjunto de reglas de firewall limpio y fácil de entender, especialmente en entornos con múltiples direcciones IP públicas y numerosos servidores
  7. Capacidad de firewall transparente de capa 2: puede puentear interfaces y filtrar el tráfico entre ellas, incluso permitiendo un firewall sin IP (aunque es probable que desee una IP para fines de administración)
  8. Normalización de paquetes – Descripción de la documentación de depuración de pf – «‘Scrubbing’ es la normalización de paquetes, por lo que no hay ambigüedades en la interpretación por el destino final del paquete. La directiva de depuración también re ensambla paquetes fragmentados, protegiendo algunos sistemas operativos de algunas formas de ataque, y descarta los paquetes TCP que tienen combinaciones de banderas no válidas.»
  9. Network Address Translation (NAT). Permite tener una red detrás de una dirección IP publica.
  10. Alta disponibilidad: Si tenemos 2 proveedores de internet. Pfsense permite activar o desactivar el modo contingencia para que la internet salga por uno o por otro proveedor.
  11. Multi WAN: Permite contar con 2 o mas proveedores de internet, de esta forma se puede enrutar trafico bajo demanda
  12. Balanceo de carga: Como su nombre lo dice, permite balancear carga entre dos o mas proveedores de internet.
  13. VPN: Trabaja con casi todas las tecnologias de VPN: OpenVPN, IPsec y L2TP
  14. Servidor PPPoE
  15. Monitoreo gráfico y por logs: Desde la consola web se puede ver el consumo de trafico en ese momento asi como los registros del firewall y demas servicios
  16. DNS dinámico: En caso de no contar con una IP publica estática, permite conectar a servicios como DynDNS para encontrar nuestro firewall cada vez que cambie la IP
  17. Portal cautivo: Permite contar con un portal de acceso WIFI para visitantes o invitados con limitaciones acceso o tiempo limitado.
  18. Servidor DHCP y DHCP Relay: Permite asignar direcciones IP automaticamente a los usuarios de la red, via cableada o WIFI.

¿COMO PUEDE MEJORAR PFSENSE EL USO DE LA RED?

La instalación puede realizarse en un equipo existente o nuevo teniendo en cuenta la guía de selección de hardware. La configuración puede realizarse a través de una interfaz web mediante a cuál se pueden activar y configurar los servicios de red como, NAT, DHCP, VLANs, entre otras.

USAR PFSENSE COMO ROUTER VPN

Una red privada virtual (VPN) es una extensión de nuestra red interna a través de Internet para poder acceder a servicios que de otra forma estarían inaccesibles.

Podemos elegir entre 3 opciones para la creación de una red privada virtual en pfSense:

IPSEC

Permite la conectividad con todos los dispositivos que soportan el estándar IPsec. Esto es de uso común en las configuraciones site to site con otros dispositivos pfSense. Otros firewall software libre como m0n0wall y muchos otros firewall comerciales como Cisco, Juniper, etc.. la implementan. Es usada a menudo en las conexiones cliente móvil.

OpenVPN

Es una flexible, potente solución SSL VPN que soporta una amplia gama de sistemas operativos client. Es la opción preferida por Nettix y sus servicios.

PPTP

Es un sistema VPN muy popular porque viene instalado en casi todos los sistemas operativos client incluidos todos los sistemas operativos Windows. El server pfSense PPTP puede usar un base de datos local o un RADIUS server para la autenticación.

PFSENSE COMO PORTAL CAUTIVO

Un portal cautivo es un servicio que por lo generalmente se usa cuando nos conectamos a una red para controlar el acceso de la misma y la velocidad de Internet. Pero también se puede emplear en red cableada e inalámbrica.

Su funcionamiento se basa en que cuando nos conectamos a una red, nos presentará una página de registro al sistema, el usuario introduce sus datos y estos al ser comprobados permiten el acceso a la red.

Con PFsense podemos configurar la forma en que los usuarios de una red entran a navegar por Internet. Desde configuraciones sencillas donde sólo aparece una página de información al usuario hasta distintos sistemas de validación.

Puedes configurar un portal cautivo para la red sin hilos (wireless) con una página de información al usuario, sin autentificación y con un tiempo máximo de conexión de 30 minutos.

RAZONES DE USAR PFSENSE EN VEZ DE UN FIREWALL COMERCIAL

Ahora que ya hemos visto para que funciona y algunas de sus características, voy a resumirte las razones por las que deberías usar el firewall pfSense en vez de un firewall comercial.

Es software libre con licencia FreeBSD

pfSense es open source y tiene la licencia FreeBSD de manera similar a otros sistemas, como Linux, que son plataformas naturales para la construcción de productos muy seguros y estables. Incluso la mayoría de los cortafuegos comerciales se basan en alguno de ellos, por lo que además de ser una solución gratuita es muy segura.

Es versátil y practico

pfSense puede ser ejecutado directamente desde un USB o un CD, aparte de ofrecer una versión para máquinas virtuales, en caso que utilices sistemas virtualizados en tu empresa o en casa, obteniendo una red más segura.

Tiene una interfaz intuitiva

La interfaz de pfSense es sencilla, tanto la parte de instalación por consola como el configurador web. La configuración es fácil, una vez que te familiarizas con la interfaz, la curva de aprendizaje es corta. En un par de horas, como mucho, la habrás entendido.

Comunidad pfSense y centro de información

Lo cierto es que no hay demasiada documentación en castellano sobre pfSense. En inglés hay mucha más. Menos mal que conforme el proyecto va ganando popularidad, cada vez hay más información técnica en los foros y comunidades online. En el foro de pfSense, por ejemplo, todas tus preguntas serán contestadas por técnicos del proyecto, además si lo deseas puedes consultar la documentación oficial.

Package Manager

PFSense posee actualmente decenas de paquetes adicionales que le permiten acceder al puesto de UTM (Unified Threat Management) ya que se pueden realizar la mayoría de funciones que se esperan de un sistema con este título. A pesar de tener disponibles paquetes adicionales como Snort (IDS/IPS), SquidGuard (proxy), Mailscanner, Asterisk, hay que tener cuidado en instalar demasiados paquetes.