Internet es un lugar aterrador en estos días. Casi a diario, se produce un nuevo día cero, una infracción de seguridad o ransomware que deja a muchas personas preguntándose si es posible proteger sus sistemas.
Muchas organizaciones gastan cientos de miles, si no millones, de dólares tratando de instalar las últimas y mejores soluciones de seguridad para proteger su infraestructura y datos. Sin embargo, los usuarios domésticos se encuentran en desventaja monetaria. Invertir incluso cien dólares en un firewall dedicado a menudo está fuera del alcance de la mayoría de las redes domésticas.
Afortunadamente, hay proyectos dedicados en la comunidad de código abierto que están logrando grandes avances en el campo de las soluciones de seguridad para usuarios domésticos. Proyectos como IPfire, Snort, Squid y pfSense brindan seguridad de nivel empresarial a precios de productos básicos.
PfSense es una solución de firewall de código abierto basada en FreeBSD. La distribución es gratuita para instalar en el propio equipo o la empresa detrás de pfSense, NetGate, vende dispositivos de firewall preconfigurados.
El hardware requerido para pfSense es mínimo y, por lo general, una torre doméstica más antigua se puede reutilizar fácilmente en un cortafuegos pfSense dedicado. Para aquellos que buscan construir o comprar un sistema más capaz para ejecutar más de las funciones avanzadas de pfSense, hay algunos mínimos de hardware sugeridos:
Mínimos de hardware
- CPU de 500 mhz
- 1 GB de RAM
- 4GB de almacenamiento
- 2 tarjetas de interfaz de red
Hardware sugerido
- CPU de 1 GHz
- 1 GB de RAM
- 4GB de almacenamiento
- 2 o más tarjetas de interfaz de red PCI-e.
Serias sugerencias de hardware para usuarios domésticos (y empresas)
En el caso de que un usuario doméstico desee habilitar muchas de las características y funciones adicionales de pfSense, como Snort , escaneo antivirus , listas negras de DNS, filtrado de contenido web, etc., el hardware recomendado se vuelve un poco más complicado.
Para admitir los paquetes de software adicionales en el cortafuegos pfSense, se recomienda que se proporcione el siguiente hardware a pfSense:
- CPU moderna de varios núcleos que funciona al menos a 2,0 GHz
- 4GB + de RAM
- 10GB + de espacio HD
- 2 o más tarjetas de interfaz de red Intel PCI-e
Instalación de pfSense 2.4.4
En esta sección, veremos la instalación de pfSense 2.4.4 (última versión al momento de escribir este artículo).
La configuración del laboratorio
pfSense a menudo resulta frustrante para los usuarios nuevos en los cortafuegos. El comportamiento predeterminado de muchos firewalls es bloquear todo, bueno o malo. Esto es genial desde el punto de vista de la seguridad, pero no desde el punto de vista de la usabilidad. Antes de comenzar con la instalación, es importante conceptualizar el objetivo final antes de comenzar las configuraciones.
Diagrama de red pfSense
Descargando pfSense
Independientemente del hardware que se elija, la instalación de pfSense en el hardware es un proceso sencillo, pero requiere que el usuario preste mucha atención a qué puertos de interfaz de red se utilizarán para qué propósito (LAN, WAN, inalámbrico, etc.).
Parte del proceso de instalación implicará pedirle al usuario que comience a configurar las interfaces LAN y WAN. El autor sugiere solo conectar la interfaz WAN hasta que se haya configurado pfSense y luego proceder a finalizar la instalación conectando la interfaz LAN.
El primer paso es obtener el software pfSense de https://www.pfsense.org/download/ . Hay un par de opciones diferentes disponibles según el dispositivo y el método de instalación, pero esta guía utilizará el ‘ Instalador de CD (ISO) AMD64 ‘.
Usando el menú desplegable en el enlace proporcionado anteriormente, seleccione un espejo apropiado para descargar el archivo.
Una vez que se ha descargado el instalador, se puede grabar en un CD o se puede copiar a una unidad USB con la herramienta ‘ dd ‘ incluida en la mayoría de las distribuciones de Linux.
El siguiente proceso es escribir la ISO en una unidad USB para iniciar el instalador. Para lograr esto, use la herramienta ‘ dd ‘ dentro de Linux. Primero, el nombre del disco debe ubicarse con ‘lsblk’.
$ lsblk
Buscar el nombre del dispositivo en Linux
Con el nombre de la unidad USB determinado como ‘ / dev / sdc ‘, el pfSense ISO se puede escribir en la unidad con la herramienta ‘ dd ‘.
$ gunzip /Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz $ dd if=/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc
Importante : El comando anterior requiere privilegios de root, así que utilice ‘ sudo ‘ o inicie sesión como usuario root para ejecutar el comando. Además, este comando ELIMINARÁ TODO en la unidad USB. Asegúrese de hacer una copia de seguridad de los datos necesarios.
Instalación de pfSense
Una vez que ‘ dd ‘ haya terminado de escribir en la unidad USB o se haya grabado el CD, coloque el medio en la computadora que se configurará como firewall pfSense. Inicie esa computadora en ese medio y se presentará la siguiente pantalla.
Menú de inicio de pfSense
En esta pantalla, deje que el temporizador se agote o seleccione 1continuar con el arranque en el entorno del instalador. Una vez que el instalador termine de iniciarse, el sistema le solicitará los cambios que desee en la distribución del teclado. Si todo se muestra en un idioma nativo, simplemente haga clic en ‘ Aceptar esta configuración ‘.
pfSense Configurar consola
La siguiente pantalla proporcionará al usuario la opción de una ‘ Instalación rápida / fácil ‘ u opciones de instalación más avanzadas. Para los propósitos de esta guía, se sugiere simplemente usar la opción ‘ Instalación rápida / fácil ‘.
Opción de instalación de pfSense
La siguiente pantalla simplemente confirmará que el usuario desea utilizar el método ‘ Instalación rápida / fácil ‘ que no hará tantas preguntas durante la instalación.
La primera pregunta que probablemente se presentará será sobre qué kernel instalar. Nuevamente, se sugiere que se instale el ‘ Kernel estándar ‘ para la mayoría de los usuarios.
Kernel estándar de pfSense
Cuando el instalador haya finalizado esta etapa, solicitará un reinicio. Asegúrese de quitar también los medios de instalación para que la máquina no se reinicie en el instalador.
Instalación de pfSense completa
Configuración de pfSense
Después del reinicio y la eliminación del CD / medio USB, pfSense se reiniciará en el sistema operativo recién instalado. De forma predeterminada, pfSense elegirá una interfaz para configurar como la interfaz WAN con DHCP y dejará la interfaz LAN sin configurar.
Configuración de la interfaz pfSense
Si bien pfSense tiene un sistema de configuración gráfica basado en la web, solo se está ejecutando en el lado LAN del firewall, pero por el momento, el lado LAN no estará configurado. Lo primero que debe hacer es configurar una dirección IP en la interfaz LAN.
Para hacer esto, siga estos pasos:
- Tome nota de qué nombre de interfaz es la interfaz WAN ( em0 arriba).
- Ingrese ‘1’ y presione la tecla ‘Enter’ .
- Escriba ‘n’ y presione la tecla ‘Enter’ cuando se le pregunte acerca de las VLAN.
- Escriba el nombre de la interfaz registrado en el paso uno cuando se le solicite la interfaz WAN o cambie a la interfaz adecuada ahora. Nuevamente, en este ejemplo, ‘ em0 ‘ es la interfaz WAN, ya que será la interfaz frente a Internet.
- El siguiente mensaje le pedirá la interfaz LAN, nuevamente escriba el nombre de la interfaz adecuada y presione la tecla ‘Enter’ . En esta instalación, ’em1′ es la interfaz LAN.
- pfSense continuará solicitando más interfaces si están disponibles, pero si se han asignado todas las interfaces, simplemente presione la tecla ‘Enter’ nuevamente.
- pfSense ahora le pedirá que se asegure de que las interfaces estén asignadas correctamente.
Interfaces de red pfSense
- Si las interfaces son correctas, escriba ‘y’ y presione la tecla ‘Enter’ .
El siguiente paso será asignar a las interfaces la configuración IP adecuada. Después de que pfSense regrese a la pantalla principal, escriba ‘2’ y presione la tecla ‘Enter’ . (Asegúrese de realizar un seguimiento de los nombres de interfaz asignados a las interfaces WAN y LAN).
* NOTA * Para esta instalación, la interfaz WAN puede usar DHCP sin ningún problema, pero puede haber casos en los que se requiera una dirección estática. El proceso para configurar una interfaz estática en la WAN sería el mismo que el de la interfaz LAN que está a punto de configurarse.
Escriba ‘2’ nuevamente cuando se le solicite qué interfaz establecer la información de IP. De nuevo, 2 es la interfaz LAN en este tutorial.
Interfaces disponibles de pfSense
Cuando se le solicite, escriba la dirección IPv4 deseada para esta interfaz y presione la tecla ‘Enter’ . Esta dirección no debe estar en uso en ningún otro lugar de la red y probablemente se convertirá en la puerta de enlace predeterminada para los hosts que se conectarán a esta interfaz.
Dirección IP pfSense
El siguiente mensaje le pedirá la máscara de subred en lo que se conoce como formato de máscara de prefijo. Para esta red de ejemplo , se utilizará un simple / 24 o 255.255.255.0 . Presione la tecla ‘ <strong>Enter</strong> ‘ cuando haya terminado.
Máscara de subred de red pfSense
La siguiente pregunta se referirá a una ” puerta de <strong>enlace IPv4 ascendente</strong> “. Dado que la interfaz LAN está configurada actualmente, simplemente presione la tecla ‘ <strong>Enter</strong> ‘.
Puerta de enlace de red pfSense
El siguiente mensaje le pedirá que configure IPv6 en la interfaz LAN. Esta guía simplemente usa IPv4, pero si el entorno requiere IPv6, se puede configurar ahora. De lo contrario, simplemente presionando la tecla ‘ Enter ‘ continuará.
Dirección IPv6 pfSense
La siguiente pregunta le preguntará acerca de cómo iniciar el servidor DHCP en la interfaz LAN. La mayoría de los usuarios domésticos necesitarán habilitar esta función. Una vez más, es posible que sea necesario ajustar esto según el entorno.
Esta guía asume que el usuario querrá que el firewall proporcione servicios DHCP y asignará 51 direcciones para que otras computadoras obtengan una dirección IP del dispositivo pfSense.
Configuración de pfSense DHCP
La siguiente pregunta pedirá revertir la herramienta web de pfSense al protocolo HTTP. Se recomienda encarecidamente NO hacer esto, ya que el protocolo HTTPS proporcionará cierto nivel de seguridad para evitar la divulgación de la contraseña de administrador para la herramienta de configuración web.
Protocolo HTTP pfSense
Una vez que el usuario presione ‘ Enter ‘, pfSense guardará los cambios de la interfaz e iniciará los servicios DHCP en la interfaz LAN.
URL de la interfaz pfSense
Tenga en cuenta que pfSense proporcionará la dirección web para acceder a la herramienta de configuración web a través de una computadora conectada en el lado LAN del dispositivo de firewall. Con esto concluyen los pasos de configuración básicos para que el dispositivo de firewall esté listo para más configuraciones y reglas.
Se accede a la interfaz web a través de un navegador web navegando hasta la dirección IP de la interfaz LAN.
Interfaz de inicio de sesión de pfSense
La información predeterminada para pfSense en el momento de escribir este artículo es la siguiente:
Username: admin Password: pfsense
Después de un inicio de sesión exitoso a través de la interfaz web por primera vez, pfSense ejecutará una configuración inicial para restablecer la contraseña de administrador.
Asistente de configuración de pfSense
El primer mensaje es para registrarse en la Suscripción Gold de pfSense, que tiene beneficios tales como copia de seguridad automática de la configuración, acceso a los materiales de capacitación de pfSense y reuniones virtuales periódicas con los desarrolladores de pfSense. No es necesario comprar una suscripción Gold y el paso se puede omitir si se desea.
El siguiente paso solicitará al usuario más información de configuración para el firewall, como el nombre de host, el nombre de dominio (si corresponde) y los servidores DNS.
Información general de pfSense
El siguiente mensaje será configurar el protocolo de tiempo de red , NTP . Las opciones predeterminadas se pueden dejar a menos que se deseen diferentes servidores de tiempo.
Protocolo de tiempo de red pfSense
Después de configurar NTP, el asistente de instalación de pfSense le pedirá al usuario que configure la interfaz WAN. pfSense admite varios métodos para configurar la interfaz WAN.
El valor predeterminado para la mayoría de los usuarios domésticos es utilizar DHCP. DHCP del proveedor de servicios de Internet del usuario es el método más común para obtener la configuración IP necesaria.
Configuración de pfSense WAN
El siguiente paso solicitará la configuración de la interfaz LAN. Si el usuario está conectado a la interfaz web, es probable que la interfaz LAN ya esté configurada.
Sin embargo, si es necesario cambiar la interfaz LAN, este paso permitiría realizar cambios. ¡Asegúrese de recordar cuál es la dirección IP de la LAN, ya que así es como el
administrador accederá a la interfaz web!
Configuración de pfSense LAN
Como ocurre con todas las cosas en el mundo de la seguridad, las contraseñas predeterminadas representan un riesgo de seguridad extremo. La siguiente página le pedirá al administrador que cambie la contraseña predeterminada para el usuario ‘ admin ‘ a la interfaz web pfSense.
Configuración de administrador de pfSense
El paso final implica reiniciar pfSense con las nuevas configuraciones. Simplemente haga clic en el botón ” Recargar “.
Recarga de la configuración de pfSense
Después de que pfSense se vuelva a cargar, le presentará al usuario una pantalla final antes de iniciar sesión en la interfaz web completa. Simplemente haga clic en el segundo ” Haga clic aquí ” para iniciar sesión en la interfaz web completa.
Asistente pfSense completado
¡Por fin pfSense está listo para configurar las reglas!
Panel de pfSense
Ahora que pfSense está en funcionamiento, el administrador deberá seguir adelante y crear reglas para permitir el tráfico apropiado a través del firewall. Cabe señalar que pfSense tiene una regla predeterminada permitir todo. Por razones de seguridad, esto debería cambiarse, pero nuevamente es una decisión del administrador.
Lea también : Instale y configure pfBlockerNg para DNS Black Listing en pfSense Firewall
Gracias por la lectura a través de este TecMint artículo sobre la instalación pfSense! Esté atento a los artículos futuros sobre la configuración de algunas de las opciones más avanzadas disponibles en pfSense.
Cortafuegos
