Sei sulla pagina 1di 43

FACULTAD DE INGENIERA

Ingeniera Informtica
IMPLEMENTACIN DE UN FIREWALL UTILIZANDO UNA PC DE
ESCRITORIO CON LA SOLUCIN DE SOFTWARE LIBRE PFSENSE.

INTEGRANTES:

LUIS MOREL
DANTE PANE
ANAHI GALEANO
HECTOR VILLALBA
FABIAN CACERES

PROFESOR: Ing. Milciades G. Alcaraz


SEMESTRE: Sexto

TURNO: Noche

ASUNCIN PARAGUAY

2015

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

AGRADECIMIENTO

A Dios, por darnos la fuerza necesaria para la culminacin de


este trabajo. A nuestro profesor, quien desde un principio estuvo
cooperando y dando todo de s para que lleguemos a culminar esta
etapa, por su paciencia ya que sin sus orientaciones esto no
hubiese sido posible.

Facultad de Ingeniera

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

DEDICATORIA

A nuestros padres que por su gran esfuerzo que han hecho a lo


largo de su vida han trabajado arduamente para formar personas de
bien y de estudio, que con su apoyo podemos salir adelante y a
Dios principalmente por sus bendiciones y su sabidura.

Facultad de Ingeniera

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

RESUMEN
En la actualidad se ha tratado en forma recurrente el tema generado por
la seguridad informtica, la cual se debe principalmente al aumento
desproporcionado de la demanda de usuarios que van aumentando da a da,
especialmente por parte de las industrias que se empean en buscar sobre
como satisfacer nuestras necesidades humanas, y facilitar las tareas cotidianas
a travs de la informtica. El aumento de la poblacin tambin contribuye en
este tema.
Poco a poco se han ido tomando las medidas que apuntan a una mejor
utilizacin de los recursos Informticos, mediante la aplicacin de polticas de
eficiencia, calidad y seguridad, las cuales se irn masificando gradualmente a
medida que el tiempo avance.
La utilizacin de sistemas de seguridad, como lo son los Firewalls, han
permitido disminuir el fcil acceso a personas no autorizadas a nuestros datos.
Actualmente es una alternativa que debe de estar presente sin falta en
nuestros ordenadores como en nuestra red, ya que es necesario contar con el
mismo para colocar una barrera que nos asegure que la informacin que
tenemos, se encuentra resguardada e integra.
En Paraguay el caso es distinto, porque los usuarios mismos muchas
veces desconocen a ese muro protector que protege lo que visualizan sus ojos.
El fin de este trabajo es dar a conocer al lector una solucin de software libre
denominada PFSENSE, en donde demostraremos como cualquier usuario
puede instalar en su propio domicilio un Firewall.

Facultad de Ingeniera

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

NDICE
Introduccin..06

Captulo I: Consideraciones Generales de la Investigacin

1.1.

Tema.....07

1.2.

Definicin del tema.....07

1.3.

Objetivo General.....07

1.4.

Objetivos Especficos.....07

1.5.

Viabilidad...07

1.6.

Consecuencias......07

1.7.

Justificacin.......08

Captulo II: Marco Referencial

2.1. Marco Conceptual...09

2.2. Marco Terico.....11-39

Facultad de Ingeniera

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Captulo III: Conclusiones y recomendaciones

3.1. Conclusiones...40

3.2. Bibliografa..41

Anexos

4.1 Efectividad del Firewall42

Facultad de Ingeniera

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

INTRODUCCIN
Un firewall es un software o hardware que comprueba la informacin
procedente de Internet o de una red y, a continuacin, bloquea o permite el
paso de sta al equipo, en funcin de la configuracin del firewall. Un firewall
puede ayudar a impedir que hackers o software malintencionado (como
gusanos) obtengan acceso al equipo a travs de una red o de Internet. Un
firewall tambin puede ayudar a impedir que el equipo enve software
malintencionado a otros equipos.
PfSense es una distribucin basada en FreeBSD, derivada de monowall.
Su objetivo es tener un cortafuego (firewall) fcilmente configurable a travs de
una interfaz web e instalable en cualquier PC. Se trata, por tanto, de una
solucin muy completa, de libre distribucin.
El cortafuego forma parte del Kernel del sistema. De hecho, se trata del
Packet Filter (PF) originario de OpenBSD, considerado como el sistema
operativo ms seguro del mundo.
Este trabajo va dirigido a todas las personas quienes desean conocer
acerca de cmo implementar un sistema de seguridad aplicado, ya que es una
nueva opcin de seguridad lista para ser utilizada tanto en una pequea red de
rea local.
El presente trabajo de investigacin esta ordenado en captulos, los cuales,
a su vez, se dividen en temas y subtemas para su mayor y mejor comprensin
de los lectores.

Facultad de Ingeniera

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

CAPITULO I
1.1 Tema:
Implementacin de un firewall utilizando una pc de escritorio con la
solucin de software libre PfSense.

1.2 Definicin del tema:


Configuracin de un firewall utilizando una pc reciclada y la solucin del
software libre PfSense.

1.3 Objetivo General de la Investigacin


Brindar conocimientos actuales y herramientas que permitan el
aprovechamiento del software libre y una pc de escritorio en base al
conocimiento terico prctico en forma experimental.

1.4 Objetivos especficos de la Investigacin


1. Identificar el modo de uso y aplicaciones posibles para un firewall.
2. Establecer los parmetros de acceso/bloqueo de sitios, programas y puertos
especficos.
3. Demostrar la efectividad del Firewall PfSense de cdigo abierto.

1.5 Viabilidad
La investigacin es viable, ya que se dispone de los recursos
necesarios para dicha elaboracin.

1.6 Consecuencias
El equipo de investigacin cuidara cada detalle para que la informacin
recibida sea lo ms concreta posible as descartando posibles confusiones al
lector.
No se anticipa ningn efecto negativo ya sea desmeritando otras formas
de seguridad, en cambio, se pretende proporcionar informacin valiosa a las
personas ya que estaramos informando sobre una nueva alternativa de cambio
a lo habitual.

Facultad de Ingeniera

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

1.7 Justificacin
La informacin es un objeto que se ha convertido en algo con un valor
inmenso para la gente, para las empresas, para todos. Por esto es necesario
aprender lo mtodos de protegerla y salvaguardarla de alguna manera. Una de
las maneras ms conocidas de usurpacin, robo o saboteo de informacin es
mediante los ataques externos e internos hacia los servidores y equipos a
travs de las redes de cmputo.
Una forma de mitigar estos ataques es mediante la proteccin de un
equipo Firewall que se encargue de gestionar y controlar todas las conexiones
que se hagan desde y hacia la red interna del lugar que deseamos proteger.
Un Firewall es una de las mejores alternativas que poseemos para poder
proteger nuestras redes y para ellos debemos aprender los mtodos y los
diversos tipos de Firewall que se encuentra. Tambin es menester aprender sus
diversas topologas y lo ms importante es saber y entender la forma en que
los atacantes operan.
La proteccin de un Firewall es solamente una de los diversos mtodos
que se deben utilizar para proteger la informacin; la Seguridad de la
Informacin es un apartado muy extenso que compite y toca a los sistemas en
prcticamente todos sus flancos.
En este trabajo queremos enfocarnos y dedicarnos en el Tema de los
Firewall, prcticamente el Firewall se convierte en el Portero de nuestro edificio,
en el primer filtro y puerta que podemos controlar para evitar ataques.

Facultad de Ingeniera

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

CAPITULO II
MARCO REFERENCIAL
Marco Conceptual

Firewall:
Un cortafuegos (firewall) es una parte de un sistema o una red que est
diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo
comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para
permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la
base de un conjunto de normas y otros criterios.

Kernel:
En informtica, un ncleo o kernel (de la raz germnica Kern, ncleo,
hueso) es un software que constituye una parte fundamental del sistema
operativo, y se define como la parte que se ejecuta en modo privilegiado
(conocido tambin como modo ncleo). Es el principal responsable de facilitar a
los distintos programas acceso seguro al hardware de la computadora o en
forma bsica, es el encargado de gestionar recursos, a travs de servicios de
llamada al sistema.

Packet Filter:
PF (Packet Filter) es el filtro de paquetes o cortafuegos basado en
configuracin dinmica (stateful rules) escrito originalmente por Daniel
Hartmeier actualmente desarrollado y mantenido por el equipo de desarrollo de
OpenBSD. Es funcionalmente comparable a otras soluciones de filtrado de
paquetes, como iptables, ipfw e ipfilter.
Fue publicado a finales de 2001, en OpenBSD 3.0, como reemplazo de
IPFilter, el filtro de paquetes de Darren Reed, debido a algunos problemas con
la licencia de dicho software, ya que su autor tena que dar autorizacin a los
desarrolladores de OpenBSD para modificar el cdigo.

FreeBSD:
FreeBSD es un sistema operativo libre para computadoras basado en las
CPU de arquitectura Intel, incluyendo procesadores Intel 80386, Intel 80486
(versiones SX y DX), y Pentium. Tambin funciona en procesadores
Facultad de Ingeniera

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

compatibles con Intel como AMD y Cyrix. Actualmente tambin es posible


utilizarlo hasta en once arquitecturas distintas1 como Alpha, AMD64, IA-64,
MIPS, PowerPC y UltraSPARC.
FreeBSD est basado en la versin 4.4 BSD-Lite del Computer Systems
Research Group (CSRG) de la University of California, Berkeley siguiendo la
tradicin que ha distinguido el desarrollo de los sistemas BSD. Adems del
trabajo realizado por el CSRG, el proyecto FreeBSD ha invertido miles de horas
en ajustar el sistema para ofrecer las mximas prestaciones en situaciones de
carga real.

Monowall:
M0n0wall es un incrustado firewall distribucin de FreeBSD, uno de los
BSD sistema operativo descendientes. Proporciona una imagen pequea que
se puede poner en la Compact Flash tarjetas, as como en los CD-ROM y
discos duros. Se ejecuta en varias plataformas integradas y PCs genricos. La
versin para PC se puede ejecutar con slo un Live CD y disquetes para
almacenar los datos de configuracin, o en una sola tarjeta Compact Flash (con
un IDE adaptador). Esto elimina la necesidad de un disco duro, lo que reduce
los niveles de ruido y calor.

OpenBSD:
OpenBSD es un sistema operativo libre tipo Unix multiplataforma, basado
en 4.4BSD. Es un descendiente de NetBSD, con un foco especial en la
seguridad y la criptografa.
Este sistema operativo se concentra en la portabilidad, cumplimiento de
normas y regulaciones, correccin, seguridad proactiva y criptografa integrada.
OpenBSD incluye emulacin de binarios para la mayora de los programas de
los sistemas SVR4 (Solaris), FreeBSD, Linux, BSD/OS, SunOS y HP-UX.

Facultad de Ingeniera

10

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

CAPITULO III
MARCO TERICO
Se entiende por seguridad informtica al conjunto de normas,
procedimientos y herramientas, que tienen como objetivo garantizar la
disponibilidad, integridad, confidencialidad y buen uso de la informacin que
reside en un sistema de informacin.
Cada da ms y ms personas mal intencionadas intentan tener acceso a
los datos de nuestros ordenadores.
El acceso no autorizado a una red informtica o a los equipos que en ella se
encuentran puede ocasionar en la gran mayora de los casos graves
problemas.
Uno de las posibles consecuencias de una intrusin es la prdida de
datos. Es un hecho frecuente y ocasiona muchos trastornos, sobre todo si no
estamos al da de las copias de seguridad. Y aunque estemos al da, no
siempre es posible recuperar la totalidad de los datos.
Otro de los problemas ms dainos es el robo de informacin sensible y
confidencial. La divulgacin de la informacin que posee una empresa sobre
sus clientes puede acarrear demandas millonarias contra esta, o un ejemplo
ms cercano a usted es el de nuestras contraseas de las cuentas de correo
por las que intercambiamos informacin con otros.
Con la constante evolucin de las computadoras es fundamental saber
que recursos necesitar para obtener seguridad en los sistemas de informacin.
La seguridad informtica es la disciplina que se Ocupa de disear las
normas, procedimientos, mtodos y tcnicas, orientados a proveer condiciones
seguras y confiables, para el procesamiento de datos en sistemas informticos,
consiste en asegurar que los recursos del sistema de informacin (material
informtico o programas) de una organizacin sean utilizados de la manera que
se decidi y que el acceso a la informacin all contenida, as como su
modificacin, slo sea posible a las personas que se encuentren acreditadas y
dentro de los lmites de su autorizacin.
Para lograr sus objetivos la seguridad informtica se fundamenta en tres
principios, que debe cumplir todo sistema informtico:

Facultad de Ingeniera

11

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Confidencialidad
Se refiere a la privacidad de los elementos de informacin almacenados y
procesados en un sistema informtico, Basndose en este principio, las
herramientas de seguridad informtica deben proteger el sistema de invasiones
y accesos por parte de personas o programas no autorizados. Este principio es
particularmente importante en sistemas distribuidos, es decir, aquellos en los
que los usuarios, computadores y datos residen en localidades diferentes, pero
estn fsica y lgicamente interconectados.

Integridad
Se refiere a la validez y consistencia de los elementos de informacin
almacenados y procesador en un sistema informtico. Basndose en este
principio, las herramientas de seguridad informtica deben asegurar que los
procesos de actualizacin estn bien sincronizados y no se dupliquen, de forma
que todos los elementos del sistema manipulen adecuadamente los mismos
datos. Este principio es importante en sistemas descentralizados, es decir,
aquellos en los que diferentes usuarios, computadores y procesos comparten la
misma informacin.

Disponibilidad
Se refiere a la continuidad de acceso a los elementos de informacin
almacenados y procesados en un sistema informtico. Basndose en este
principio, las herramientas de seguridad informtica deber reforzar la
permanencia del sistema informtico, en condiciones de actividad adecuadas
para que los usuarios accedan a los datos con la frecuencia y dedicacin que
requieran, este principio es importante en sistemas informticos cuyos
compromiso con el usuario, es prestar servicio permanente.

Mecanismos de seguridad
Un mecanismo de seguridad informtica es una tcnica o herramienta que
se utiliza para fortalecer la confidencialidad, la integridad y/o la disponibilidad
de un sistema informtico.
Existen muchos y variados mecanismos de seguridad informtica. Su
seleccin depende del tipo de sistema, de su funcin y de los factores de riesgo
que lo amenazan.

Facultad de Ingeniera

12

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

CLASIFICACIN SEGN SU FUNCIN:


Preventivos:
Actan antes de que un hecho ocurra y su funcin es detener agentes no
deseados.

Detectivos:
Actan antes de que un hecho ocurra y su funcin es revelar la presencia
de agentes no deseados en algn componente del sistema. Se caracterizan por
enviar un aviso y registrar la incidencia.

Correctivos:
Actan luego de ocurrido el hecho y su funcin es corregir la
consecuencias.
Segn un informe del ao 1991 del Congressional Research Service, las
computadoras tienen dos caractersticas inherentes que las dejan abiertas a
ataques o errores operativos
1.-Una computadora hace exactamente lo que est programada para hacer,
incluyendo la revelacin de informacin importante. Un sistema puede ser
reprogramado por cualquier persona que tenga los conocimientos adecuados.
2.-Cualquier computadora puede hacer slo aquello para lo que est
programada, no puede protegerse a s misma contra un mal funcionamiento o
un ataque deliberado a menos que este tipo de eventos haya sido previsto de
antemano y se hayan puesto medidas necesarias para evitarlos.

Historia
La palabra 'Cortafuegos' existe desde muchsimo antes de que existiesen
las redes de ordenadores. Es bastante clara en su definicin y su uso era para
describir una barrera de defensa, la cual prevena el paso del fuego de una a
otra zona. Para los que nos dedicamos a las redes de ordenadores un
cortafuegos es una aplicacin (que puede estar instalado en un equipo normal
o en un dispositivo hardware preparado) que est capacitado para bloquear los
paquetes de red no deseados. Los servicios del cortafuegos, como una barrera,
previenen la circulacin de esos paquetes desde Internet u otra red hacia una
red local.

Facultad de Ingeniera

13

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

En el caso de los denominados cortafuegos personales la proteccin se


proporciona hacia el equipo local, especialmente cuando est conectado
directamente a Internet.
Al principio las redes eran sistemas cerrados donde slo los equipos de
un edificio o rea geogrfica pequea estaban interconectados. Sin embargo
pronto cambi la situacin y las redes se hicieron mayores y ms complejas,
con equipos en zonas distantes. El primer intento de una red extensa fue por
parte de ARPANET, una pequea comunidad de lite compuesta por
ordenadores entre gobierno y universidades. Esto se expandi y hoy lo
conocemos como Internet.
Uno de los primeros virus en Internet, el gusano Morris, golpe a un
nmero elevado de instituciones educativas en 1988. Esto hace a las empresas
y usuarios individuales ms conscientes de los peligros de la informacin que
entra en la red desde el exterior. La necesidad dio pronto a luz la invencin del
cortafuegos.
Los primeros cortafuegos eran enrutadores. Un enrutador conecta dos
redes, y es la ubicacin lgica para establecer un control de paso donde la
informacin puede ser comprobada y bloqueada o permitida, en su caso.
Fueron diseados ms para el propsito de vigilar la entrada que la salida. Los
enrutadores dividen las redes en segmentos denominados subredes. Hay
muchas ventajas en hacerlo as, una de ellas es que si un problema afecta a un
segmento no tiene por qu afectar al resto. Los enrutadores IP con
capacidades de filtrado diseados para mantener intrusos o usuarios no
autorizados fuera, fueron los siguientes. Muy rudimentarios segn los
estndares actuales. Slo podan bloquear o permitir paquetes segn la
direccin IP o puertos TCP/UDP, no tena forma de comprobar el contenido de
los datos porque trabajaban en la capa de red del modelo OSI.
Un host bastin es una puerta o entrada diseada especficamente para el
propsito de defensa de la red interna de los ataques externos. Uno de los
primeros cortafuegos comerciales de ste tipo, que usaba filtros y proxys, fue
hecho por DEC en los 90. Ya en 1993 aparece Firewall Toolkit de TIS, que
luego comercializ, basado en el mismo cdigo, Gauntlet.
Con el paso de los aos los atacantes son ms sofisticados y los
protocolos de red ms numerosos y complejos. Esto ha hecho que los
cortafuegos evolucionen de un simple filtrado de paquetes a dispositivos
dedicados de seguridad multinivel.

Facultad de Ingeniera

14

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Qu es un firewall?
Un firewall o cortafuegos es un dispositivo de hardware o un software que
nos permite gestionar y filtrar la totalidad de trafico entrante y saliente que hay
entre 2 redes u ordenadores de una misma red.
Si el trfico entrante o saliente cumple con una serie de Reglas que
nosotros podemos especificar, entonces el trfico podr acceder o salir de
nuestra red u ordenador sin restriccin alguna. En caso de no cumplir las reglas
el trfico entrante o saliente ser bloqueado.
Por lo tanto a partir de la definicin podemos asegurar que con un firewall
bien configurado podemos evitar intrusiones no deseadas en nuestra red y
ordenador as como tambin bloquear cierto tipo de trfico saliente de nuestro
ordenador o nuestra red.

Para qu sirve un firewall?


Bsicamente la funcin de un firewall es proteger los equipos individuales,
servidores o equipos conectados en red contra accesos no deseados de
intrusos que nos pueden robar datos confidenciales, hacer perder informacin
valiosa o incluso denegar servicios en nuestra red.
As por lo tanto queda claro que es altamente recomendable que todo el
mundo utilice un firewall por los siguientes motivos:

Preservar nuestra seguridad y privacidad.


Para proteger nuestra red domstica o empresarial.
Para tener a salvo la informacin almacenada en nuestra red, servidores u
ordenadores.
Para evitar intrusiones de usuarios usuarios no deseados en nuestra red y
ordenador. Los usuarios no deseados tanto pueden ser hackers como
usuarios pertenecientes a nuestra misma red.
Para evitar posibles ataques de denegacin de servicio.

As por lo tanto un firewall debidamente configurado nos podr proteger por


ejemplo contra ataques IP address Spoofing, Ataques Source Routing, etc.

Facultad de Ingeniera

15

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Cmo funciona un firewall?


El firewall normalmente se encuentra en el punto de unin entre 2 redes.
En el caso que podis ver en la captura de pantalla se halla en el punto de
unin de una red pblica (internet) y una red privada.
As mismo tambin vemos que cada una de las subredes dentro de
nuestra red puede tener otro firewall, y cada uno de los equipos a la vez puede
tener su propio firewall por software. De esta forma, en caso de ataques
podemos limitar las consecuencias ya que podremos evitar que los daos de
una subred se propaguen a la otra.
Lo primero que tenemos que saber para conocer el funcionamiento de un
firewall es que la totalidad de informacin y trfico que pasa por nuestro router
y que se transmite entre redes es analizada por cada uno de los firewall
presentes en nuestra red.
Si el trfico cumple con las reglas que se han configurado en los firewall el
trfico podr entrar o salir de nuestra red.
Si el trfico no cumple con las reglas que se han configurado en los
firewall entonces el trfico se bloquear no pudiendo llegar a su destino.

Tipos de reglas que se pueden implementar en un firewall


El tipo de reglas y funcionalidades que se pueden construir en un firewall
son las siguientes:
Administrar los accesos de los usuarios a los servicios privados de la red
como por ejemplo aplicaciones de un servidor.
Registrar todos los intentos de entrada y salida de una red. Los intentos
de entrada y salida se almacenan en logs.
Filtrar paquetes en funcin de su origen, destino, y nmero de puerto.
Esto se conoce como filtro de direcciones. As por lo tanto con el filtro de
direcciones podemos bloquear o aceptar el acceso a nuestro equipo de la IP
192.168.1.125 a travs del puerto 22. Recordar solo que el puerto 22
acostumbra a ser el puerto de un servidor SSH.
Filtrar determinados tipos de trfico en nuestra red u ordenador personal.
Esto tambin se conoce como filtrado de protocolo. El filtro de protocolo permite
aceptar o rechazar el trfico en funcin del protocolo utilizado. Distintos tipos de
protocolos que se pueden utilizar son http, https, Telnet, TCP, UDP, SSH, FTP,
etc.
Facultad de Ingeniera

16

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Controlar el nmero de conexiones que se estn produciendo desde un


mismo punto y bloquearlas en el caso que superen un determinado lmite. De
este modo es posible evitar algunos ataques de denegacin de servicio.
Controlar las aplicaciones que pueden acceder a Internet. As por lo tanto
podemos restringir el acceso a ciertas aplicaciones, como por ejemplo dropbox,
a un determinado grupo de usuarios.
Deteccin de puertos que estn en escucha y en principio no deberan
estarlo. As por lo tanto el firewall nos puede advertir que una aplicacin quiere
utilizar un puerto para esperar conexiones entrantes.

Limitaciones de los firewall


Lgicamente un Firewall dispone de una serie de limitaciones. Las
limitaciones principales de un firewall son las siguientes:
Un firewall en principio es probable que no nos pueda proteger contra
ciertas vulnerabilidades internas. Por ejemplo cualquier usuario puede borrar el
contenido de un ordenador sin que el firewall lo evite, introducir un USB en el
ordenador y robar informacin, etc.
Los firewall solo nos protegen frente a los ataques que atraviesen el
firewall. Por lo tanto no puede repeler la totalidad de ataques que puede recibir
nuestra red o servidor.
Un firewall da una sensacin de seguridad falsa. Siempre es bueno tener
sistemas de seguridad redundantes por si el firewall falla. Adems no sirve de
nada realizar una gran inversin en un firewall descuidando otros aspectos de
nuestra red ya que el atacante siempre intentar buscar el eslabn de
seguridad ms dbil para poder acceder a nuestra red. De nada sirve poner
una puerta blindada en nuestra casa si cuando nos marchamos dejamos la
ventana abierta.

Introduccin a PfSense.
PfSense es una distribucin basada en FreeBSD, derivada de monowall.
Su objetivo es tener un cortafuegos (firewall) fcilmente configurable a travs
de una interfaz web e instalable en cualquier PC, incluyendo los miniPC de una
sola tarjeta.
Se trata, por tanto, de una solucin muy completa, bajo licencia BSD y,
por tanto, de libre distribucin.

Facultad de Ingeniera

17

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

El cortafuego forma parte del Kernel del sistema. De hecho, se trata del
Packet Filter (PF) originario de OpenBSD, considerado com el sistema
operativo ms seguro del mundo.
Packet Filter (PF) est presente como estndar en FreeBSD desde
noviembre de 2004. Incluye funcionalidades como el regulador de caudal ALTQ,
que permite asignar prioridades por tipo de trfico.
Los desarrolladores de pfSense escogieron FreeBSD en lugar de
OpenBSD por su facilidad de instalacin en el mundo de lps PCs y porqu ya
exista BSD Installer, una versin muy, muy reducida de FreeBSD.
Todo ello da una gran flexibilidad a la solucin pfSense, ya que se puede
montar tanto en equipos miniPC (basados en una sola placa) que emplean
como disco una Compact Flash como en PC estndar con disco duro. En este
ltimo caso se pueden aadir paquetes como Snort, Squid, Radius, etc.

Reglas del cortafuego


Tenemos que entender el cortafuegos como una caja con una serie de
puertas de entrada. Se trata de dejar o no dejar entrar (paquetes de
informacin) por cada una de las puertas que tenemos.
Este concepto es muy importante, ya que si un paquete de informacin
puede entrar por una puerta querr decir que saldr (en principio) por cualquier
otra. Por tanto, en lo que se refiere a las salidas slo nos ocuparemos de
seleccionar cul queremos. Nada ms que esto.
Cada puerta tiene pues sus reglas, que se ejecutan segn el orden en que
estn puestas. De la primera hacia la ltima de la lista, porque cuando un
paquete de informacin cumple una de las reglas se hace la accin que dice la
regla y ya no se miran las siguientes.
Y qu pasa si se llega a la ltima regla y ninguna de ellas se ajusta a
nuestro paquete de informacin?
Pues que el paquete no pasa. Si no hay regla, el paquete es bloqueado.
Y qu acciones puede hacer una regla?
Pues tres: dejar pasar (pass), bloquear (block) y rechazar (reject). La
diferencia entre bloquear y rechazar es importante. Si se bloquea, simplemente
se ignora el paquete de informacin que se est recibiendo. Si se rechaza, se
comunica al emisor que no se quiere el paquete. Por tanto, normalmente se

Facultad de Ingeniera

18

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

bloquea. Por qu? Pues porqu bloquear es silencioso, es no hacer caso al


emisor y nada ms.
Tambin podemos desactivar reglas. Las reglas desactivadas se ven
"difuminadas" en la lista de reglas. Ello resulta especialmente interesante
cuando se precisa de reglas ocasionales. Por ejemplo, para tareas de
administracin de la red.
Todos los ordenadores cliente emplean como configuracin automtica de
proxy el archivo www.dominio.ejemplo/proxy.pac capaz de detectar si el proxy
est disponible o no. En caso de no estar disponible, la navegacin se hace de
forma directa.

Caractersticas:

Firewall

State Table

Network Address Translation (NAT)

VPN

Servidor DNS

Portal Cautivo

Servidor DHCP

PfSense cuenta con un gestor de paquetes para ampliar sus


funcionalidades, al elegir el paquete deseado el sistema automticamente lo
descarga e instala. Existen alrededor de setenta mdulos disponibles, entre los
que se encuentran el proxy Squid, IMSpector, Snort, ClamAV, entre otros.

Squid
Squid es un servidor proxy para web con cach. Es una de las
aplicaciones ms populares y de referencia para esta funcin, software libre
publicado bajo licencia GPL. Entre sus utilidades est la de mejorar el
rendimiento de las conexiones de empresas y particulares a Internet guardando
en cach peticiones recurrentes a servidores web y DNS, acelerar el acceso a
un servidor web determinado o aadir seguridad realizando filtrados de trfico.
Aunque orientado principalmente a HTTP y HTTPS soporta tambin otros
protocolos como FTP e incluso Gopher. Implementa cifradoSSL/TLS tanto en la
conexin al servidor web como a los navegadores y cualquier cliente web que
lo soporte.
Facultad de Ingeniera

19

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Squid es una aplicacin muy consolidada en Internet. En desarrollo desde


los aos 1990, se le considera muy completo y robusto y es el software de
referencia como servidor proxy-cach de web. Como muchas aplicaciones de
software libre est incluido en distribucionesGNU/Linux pero se puede ejecutar
tambin en entornos tipo Unix y hay algunas versiones para MS Windows.

Caractersticas
Proxy con cach de HTTP, FTP, y otros protocolos de Internet
Squid proporciona un servicio de proxy que soporta peticiones HTTP,
HTTPS y FTP a equipos que necesitan acceder a Internet y a su vez provee la
funcionalidad de cach especializado en el cual almacena de forma local las
pginas consultadas recientemente por los usuarios. De esta forma, incrementa
la rapidez de acceso a los servidores de informacin Web y FTP que se
encuentran fuera de la red interna.

Proxy para SSL


Squid tambin es compatible con SSL (Secure Socket Layer) con lo que
tambin acelera las transacciones cifradas, y es capaz de ser configurado con
amplios controles de acceso sobre las peticiones de usuarios.

Jerarquas de cach
Squid puede formar parte de una jerarqua de cachs. Diversos servidores
trabajan conjuntamente atendiendo las peticiones. Un navegador solicita
siempre las pginas a un solo proxy y si este no tiene la pgina en su cach
consulta a sus hermanos, que a su vez tambin podran consultar con sus
padres antes de finalmente ir al servidor web si fuera necesario. Estas
peticiones entre cachs se pueden hacer mediante dos protocolos: ICP y
HTCP.

Cach transparente
Squid se puede configurar para ser usado como proxy transparente
empleando un cortafuegos que intercepte y redirija las conexiones sin
configuracin por parte del cliente, e incluso sin que el propio usuario conozca
de su existencia.

Puerto 3128
De modo predefinido Squid utiliza el puerto 3128 para atender peticiones,
sin embargo se puede especificar que lo haga en cualquier otro puerto
disponible o bien que lo haga en varios puertos disponibles a la vez.

Facultad de Ingeniera

20

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

WCCP
A partir de la versin 2.3 Squid implementa WCCP (Web Cache Control
Protocol). Permite interceptar y redirigir el trfico que recibe un router hacia uno
o ms proxys cach, haciendo control de la conectividad de los mismos.
Adems permite que uno de los proxys cach designado pueda determinar
cmo distribuir el trfico redirigido a lo largo de todo el array de proxys cach.

Control de acceso
Ofrece la posibilidad de establecer reglas de control de acceso. Esto
permite establecer polticas de acceso en forma centralizada, simplificando la
administracin de una red.

Gestin de trfico
Permite categorizar el trfico y limitarlo de manera individual o agrupada
para conseguir un mejor aprovechamiento del ancho de banda disponible en la
conexin a Internet.

Aceleracin de servidores HTTP


Se puede asociar Squid a servidores HTTP determinados. Publicando la
direccin y puerto del cach, que en este caso puede ser el propio puerto 80,
desde el exterior Squid se percibe como si l fuera el propio servidor web y as
se reduce la carga soportada por el servidor web. Esto es especialmente
rentable cuando se trata de contenido generado de forma dinmica. Este modo
de funcionamiento se conoce tambin como proxy inverso. Este es el sistema
de acceso a los servidores de la fundacin Wikimedia.

SNMP
Squid permite activar el protocolo SNMP que proporciona un mtodo
simple de administracin de red permitiendo supervisar, analizar y comunicar
informacin de estado entre una gran variedad de mquinas; permite detectar
problemas y proporcionar mensajes de estado.

Cach de resolucin DNS


Squid incorpora el programa dnsserver, que se encarga de las bsquedas
de nombres de dominio. Cuando Squid se ejecuta, produce un nmero
configurable de procesos dnsserver, y cada uno de ellos realiza su propia
bsqueda en DNS. De este modo, se reduce la cantidad de tiempo que la
cach debe esperar a estas bsquedas DNS.
Facultad de Ingeniera

21

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Lista negra
Una lista negra "blacklists" en la computacin, es una lista de dominios,
URLso direcciones de IP que deben ser restringidas por contener
informaciones no adecuadas, en muchos casos por proveer Spam, Spyware,
Hacking, Porn, etc.

Portal Cautivo
Un portal cautivo es un programa o mquina de una red informtica que
vigila el trfico HTTP y fuerza a los usuarios a pasar por una pgina especial si
quieren navegar por Internet de forma normal.
El programa intercepta todo el trfico HTTP hasta que el usuario se
autentifica. El portal se encargar de hacer que esta sesin caduque al cabo de
un tiempo. Tambin puede empezar a controlar el ancho de banda usado por
cada cliente.
Se usan sobre todo en redes inalmbricas abiertas, donde interesa
mostrar un mensaje de bienvenida a los usuarios y para informar de las
condiciones del acceso (puertos permitidos, responsabilidad legal, etc.). Los
administradores suelen hacerlo para que sean los propios usuarios quienes se
responsabilicen de sus acciones, y as evitar problemas mayores. Se discute si
esta delegacin de responsabilidad es vlida legalmente.

Soporte y Desarrollo
Al poseer software de cdigo abierto, la comunidad de desarrolladores y
usuarios puede dar soporte y asistencia. BSD Perimeter ofrece soporte y
capacitacin a cambio de un costo. Cualquier persona es libre de modificar el
sistema a sus necesidades, e incluso vender sus derivaciones de pfSense (bajo
ciertas condiciones).

Facultad de Ingeniera

22

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Instalacin de PfSense
A continuacin vamos a demostrar en 17 pasos secuenciales la forma en
que se instala PfSense en nuestro ordenador, explicado detalladamente de
manera a comprender el proceso de Instalacin y poder aplicarlo fcilmente en
nuestro domicilio.

Instalacin de PfSense desde un pendrive o cd.


Paso 01

La primera pantalla que observamos cuando nuestro pendrive/cd arranca con la


instalacin y elegimos la opcin que necesitemos a continuacin.

Facultad de Ingeniera

23

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Paso 02

En este paso el sistema nos pregunta si queremos crear VLANS, lo cual


decimos que no (n).
Facultad de Ingeniera

24

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Paso 03

Interfaces, este es el paso donde el sistema identifica las interfaces LAN y


WAN.
Las cuales se pueden hacer automticas pero en nuestro caso las
seleccionamos como se muestran en la figura.
Facultad de Ingeniera

25

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Paso 04

Despus de haber seleccionado que tarjeta va hacer WAN y LAN.


Presionamos ENTER para continuar, despus de este paso este se puede
demorar unos cuantos segundos.

Facultad de Ingeniera

26

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Paso 05

En este men vamos a escoger la opcin 99. De este modo se iniciara el


asistente de instalacin.

Facultad de Ingeniera

27

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Paso 06

Lo primero que debemos de configurar es el video. Se aconseja dejarlo


por defecto ya que ser la configuracin predeterminada.

Facultad de Ingeniera

28

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Paso 07

En este paso si se comienza a dar la instalacin por completo, en este


punto se hace el formateo del disco y el particionado del mismo.

Facultad de Ingeniera

29

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Paso 08

Se comenzar el formateo del disco recordar que todos los datos que
tengamos grabados en esta unidad se perdern.

Facultad de Ingeniera

30

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Paso 09

Seleccionamos la geometra del disco.

Facultad de Ingeniera

31

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Paso 10

Damos inicio al formato del disco.

Facultad de Ingeniera

32

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Paso 11

Se nos pide particionar el disco. Esto es para poder instalar el sistema


operativo.

Facultad de Ingeniera

33

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Paso 12

Se puede instalar otros sistemas de archivos pero por defecto viene


seleccionado FreBSD.

Facultad de Ingeniera

34

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Paso 13

Nos pregunta en que particin vamos a instalar pero como en este caso solo
tenemos esta presionamos ENTER.

Facultad de Ingeniera

35

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Paso 14

En este paso nos dice que la particin es primaria y que todo se borrara sin
forma de recuperar. Que si estamos seguros presionemos enter.

Facultad de Ingeniera

36

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Paso 15

Nos muestra como quedo el particionado en nuestro disco.

Paso 16

En este momento se estn copiando todos los archivos al disco, despus de


que esto termine prcticamente tendremos instalado nuestro PfSense en
nuestro PfSense.

Facultad de Ingeniera

37

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Paso 17

Solo queda reiniciar nuestro computador para poder deleitarnos de todos los
servicios que trae nuestro PfSense.
Ingresamos a nuestro PfSense por medio de nuestro navegador copiamos la
direccin IP de la tarjeta LAN que por defecto es 192.168.1.1
Luego nos pedir autenticarnos lo que realizamos con:
User: admin
Password: pfSense

Facultad de Ingeniera

38

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

Despus de autenticarnos estamos dentro del entorno web en donde


cambiamos algunos parmetros que estn por defecto y configuramos lo que
necesitamos para nuestro trabajo.

Facultad de Ingeniera

39

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

CONCLUSIONES
El uso sistemas de seguridad alternativos, constituyen medidas que permiten
aliviar el uso de los sistemas convencionales, logrando con esto alcanzar una
cierta independencia, consiguiendo adems, aumentar el uso de softwares
libres.
Precisamente este trabajo va dirigido a los usuarios que necesiten de un control
tanto del acceso a sus datos, como el acceso a otros sitios siempre
resguardados de una barrera protectora que exilie a los usuarios
malintencionados.
No pretendemos dar por sentado que el uso de software libre relacionado con
el firewall sea la mejor opcin, como tampoco buscamos desmeritar a los
sistemas de proteccin de paga, lo que buscamos desde un principio fue
aportar informaciones y dar una conocer una herramienta que hasta el
momento ms de uno desconoca, quizs con el correr del tiempo vayamos
encontrando mejores opciones, o bien, vayamos actualizando las opciones con
las que ya contamos actualmente, pero estamos seguros que con la
informacin ofrecida vamos a ayudar a ms personas a comprender que
nuestros datos, siempre es importante mantenerlos seguros, debido a que
actualmente la manipulacin o el manejo inadecuado de nuestros datos nos
podra afectar bastante, siendo que vivimos en una era totalmente digital, en
camino hacia un futuro automatizado.

Facultad de Ingeniera

40

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

BIBLIOGRAFIA
http://www.openbsd.org/
http://www.cs.unm.edu/~treport/tr/02-12/firewall.pdf
http://www.openbsd.org/faq/pf/
http://www.benzedrine.ch/pf.html
http://www.freebsd.org/es/
http://www.freebsdsoftware.org/
http://web.archive.org/web/20110812224834/http://cronopios.net/Textos/freebsd
_un_secreto_bien_guardado.pdf
http://m0n0.ch/wall/index.php
http://sourceforge.net/projects/m0n0wall-cmi/
https://www.pfsense.org/
https://www.pfsense.org/get-support/
http://www.bellera.cat/josep/pfsense/installacio_cs.html
https://www.reddit.com/r/PFSENSE/

Facultad de Ingeniera

41

Implementacin de un Firewall utilizando una pc de escritorio


Con la solucin de software libre PfSense.
Semestre: Sexto

ANEXO

Facultad de Ingeniera

42

Potrebbero piacerti anche