Instalación y Configuración de Firewall bajo Linux BSD
En este capitulo veremos como instalar y realizar configuraciones básicas de un firewall con ruteo, y la opción de poder filtrar puertos, tanto entrantes como saliente.
Pfsense, es una distribución basada en Linux BSD que esta destinada a cumplir la función de router/firewall, con la capacidad de instalar otro tipos de paquetes, como por ejemplo Squid/Squid3 .
La instalación de esta distribución es muy sencilla, por lo que no vamos a profundizar en esto. En primer lugar debemos descargar la Imagen ISO del sistema operativo ( http://www.pfsense.org ), arrancar nuestro pc, y ya entramos en la consola de administración. Solo hay que decirle que aceptamos los parámetros por defecto y que utilice todo el disco.
Como requisito fundamentar es que cuando arranquemos el equipo, nos va a pedir como mínimo 2 placas de red, una WAN y otra LAN, en la configuración podemos setear los parámetros de nuestro servidor DHCP LAN.
Luego de configurar estas cuestiones vamos a poder entrar a la administración WEB, por defecto es http://192.168.1.1 con el usuario "admin", y contraseña "pfsense".
No nos apuremos ya que veremos como ir aumentando nuestra seguridad.
Paso 1 : Accesso
pfsense_1_1 (imagen 1)
Aquí tenemos la interfaz web de administración junto a una consola de administración, en lo que vamos a ver en el servidor, en este caso me conecte vía SSH habilitado con la opción 14.
Desde el servidor Web escrito php vamos a iniciar la configuración de Pfsense, observando en Firewall ( Rules , que viene todo habilitado por defecto, es decir conexiones entrantes y salientes
Paso 2 : Reglas Salientes
pfsense_2_1 (imagen 2)
En este paso vamos a filtrar todos los puertos salientes de cada host o pc a la Interface WAN. Es decir toda nuestra red, en este caso, va a poder solamente navegar por paginas http/https haciendo con consuldas DNS por UDP.
Primero deshabilitar la regla por defecto (click en el icono verde de play) o simplemente tildar e ir a la cruz del lado derecho de nuestra pantalla.
Luego, ir al icono [+], aquí seleccionamos:
1) Interface : LAN
3) Source : Lan Subnet
4) Destination Port : 80 (en este caso, se pueden elegir desde el submenú)
5) Description : Algo que identifique la regla a modo comentario
El resto de las cosas van por defaulto, observar que se puede aplicar la regla según el Sistema Operativo Host.
Paso 3 : Reglas Entrantes
pfsense_3_1 (imagen 3)
Aquí la misma metodología que el PASO 2, Firewall ( NAT:
1) Interface : WAN
2) Destingatio por Range : Puerto por el cual queremos ingresar
3) Redirect target IP : IP del Host que deseamos acceder
4) Redirect target Port : Puerto que esta a la escucha ese host
Una vez configurado el NAT, nos creara la regla en la Interface WAN, aquí una buena practica, es cambiar el puerto de acceso, es decir, si queremos acceder a un Servidor de Ftp, ingresar desde la WAN, mediando un puerto alto (ej. 22021) y el Pfsense se encargara de llevarnos a puerto 21 del host.
Aquí vemos otras reglas creadas para el acceso remoto a la Web de Pfsense.
Paso 4 : Acceso Seguro
pfsense_4_1 (imagen 4)
Para configurar un acceso seguro al servidor, System ( Advance, aquí elegimos el Protocolo HTTPS junto a un puerto alto, asi los escaneos de red demorarían es dar con este servicio. Luego podemos habilitar el acceso remoto por SSH con la misma seguridad. Por ultimo, una opción que utilizamos mucho, es en "Console Opcion", tildar la única opción, para que solo los usuario permitidos puedan ingresar a este Firewall.
Paso 5 : Seguridad DHCP
pfsense_5_1 (imagen 5)
Aquí podemos fijar las IP de nuestros host, para luego poder adoptar una política de filtros, y demás. Solo debemos ir a Status ( DHCP Leases y veremos las maquinas activas o un histórico de validación, en el icono [+], no llevara a realizar este paso, ingresando la IP deseada, y una descripción. Luego vamos a las configuración en Sevices ( DHCP Server, y veremos los hosts agregados. Una opción Segura el Tildar "Deny Unknown Clients", es decir, cualquier host no ingresado en esta lista, no se le asignara IP, por ende no accederá a ningún recurso.
Paso 6 : Rutinas de Acceso
pfsense_6_1 (imagen 6)
Para configurar un esquema de accesos debemos ir a Firewall ( Schedules [+]
Donde le pondremos nombre y descripción. Luego marcarmos días (para seleccionar ej, todos los lunes, hacer click en Mon), para finalizar el horario y "add time" para ver el equema debajo. Luego podemos hacer uso del mismo al configurar una Regla en Paso 2 o 3 , para por ejemplo acceder a los NAT en el horario seleccionado, y luego se cierren los puestos. En este caso solo se permitirán el uso, todos los días de 8am a 18pm.
Paso 7 : Instalacion de Paquetes
pfsense_7_1 (imagen 7)
Por ultimo, explicaremos como hacer uso de paquetes disponibles para instalar en nuestro servidor. Dirigirnos a System ( Package Manager, y solo resta click en [+]. Luego para la configuración del mismo dependerá si es herrmienta de diagnostico, servicio, etc. Cabe mencionar que aquí encontraremos la herramienta Squid para configurar nuestro proxy.
Paso 8 : Advertencia y Recomedacion
pfsense_8_1 (imagen 8)
Verificar intensamente logs del servidor y el estado del mismo, mediante las herramientas de monitoreo y grafico de conexiones.
Se recomienda instalar y hacer uso del paquete NMAP, desde los repositorios para realizar escaneos de red a fin de obtener, los puertos accesibles de cada host, o inclusivo chequear el estado de otras IP Publicas. Es una herramienta que nos brinda información precisa, muy útil para resolver problemas de conexiones
En estos ocho pasos, logramos tener un Firewall de Red configurado en forma segura, si a este lo comparamos con un router convencional .
En cuanto a Hardware, requiere de minimas caracteristicas, como procesadores Intel Pentium III en adelante, y un minimo de 256 de Ram con un minimo de 8 Gigabytes de espacio en disco.
En mi experiencia me ha dado muy bueno resultados montandolos sobre servidores con alta reduncia pero con hardware un poco obsoleto, como ser Dual Pentium III , en Raid 1 y la posibilidad de fuentes redundantes.
En cuanto a configuracion es totalmente customizable a nuestras necesidades, por la capacidad de tener multiples capas de red, y hacer uno reduncancias de conecciones WAN, mediante Failover o Balance de las mismas, como asi tambien multiples Interfaces LAN, para aislar Brodcasts entre maquinas clientes y servidores en produccion por ejemplo.
En cuanto a la configuracion de Vlans, es factible verificar el modelo de las placas de red en la pagina de Pfsense, para ver si la proxima a configurar es aceptada para este proposito.
Esta herramienta cuenta con soporte mediante un foro un extenso en la cual hay muchisima informacion, y las consultas son respondidas a la brevedad.
Para finalizar cabe mencionar, que Pfsense esta basado en la distribucion Linux BSD.
Autor
Gustavo Martin Moglie