Informe sobre PFSENSE

PfSense pfSense es una Distribución gratuita y personalizada de FreeBSD para usarlo en

servicios de redes LAN y WAN como Firewall y Router; entre otras utilidades. Cuenta con un
núcleo de código abierto (libre) con grandes capacidades.
PfSense Cuenta con una interfaz web sencilla para su configuración y actualmente es
comercialmente sostenido por BSD Perimeter LLC.
Este proyecto se inició en Septiembre de 2004 por Chris Buechler y Ullrich Scott enfocado a
instalaciones para PC y Servidores. En los últimos años esta distribución ha tenido gran
acogida en todo el mundo siendo instalado exitosamente en varios ambientes como redes
domésticas, empresas, ministerios, autoridades públicas, universidades y otros tipos de
organizaciones. Pfsense incluye una gran lista de paquetes que permiten expandir
fácilmente sus funcionalidades sin comprometer la seguridad del sistema.
Existen 60 módulos disponibles para descargar e instalar al pfsense como son el proxy squid,
Snort, clamAV, entre otros. Pfsense puede ser instalado en cualquier ordenador PC o
servidor independientemente de la arquitectura que tenga con un mínimo de 2 tarjetas de
red.
Por ultimo Pfsense implementa el mismo sistema de inicio mediante PHP utilizado por
m0n0wall constituyéndolo como el segundo sistema UNIX en utilizar exclusivamente PHP
para su secuencia de inicio.

Características

La siguiente lista muestra algunas funcionalidades que se incluyen por defecto en el sistema.

 Firewall: Pfsense se puede configurar como un cortafuego permitiendo y denegando

determinado tráfico de redes tanto entrante como saliente a partir de una dirección ya sea
de red o de host de origen y de destino, también haciendo filtrado avanzado de paquetes
por protocolo y puerto.
 Servidor VPN: Pfsense se puede se puede configurar como un servidor VPN usando
protocolos de tunneling tales como IPSec, PPTP, entre otras.
 Servidor de Balanceo de Carga: Pfsense puede ser configurado como servidor de
balanceo de carga tanto entrante como saliente, esta característica es usada comúnmente
en servidores web, de correo, de DNS. También para proveer estabilidad y redundancia en
él envió de tráfico a través del enlace WAN evitando los cuellos de botella.
 Portal Cautivo: Este servicio consiste en forzar la autenticación de usuarios redirigiéndolos
a una página especial de autenticación y/o para aceptar los términos de uso, realizar un
pago etc. para poder tener acceso a la red. El portal cautivo es usado comúnmente para
control de accesos a la red en los puntos de accesos inalámbricos de los hoteles,
restaurantes, parques y kioscos.
 Tabla de estado: PFSense es un stateful firewall, el cual como característica principal
guardad el estado de las conexiones abiertas en una tabla. La mayoría de los firewall no
tienen la capacidad de controlar con precisión la tabla de estado. Pfsense tiene un enorme
número de características que permiten una granularidad muy fina para el manejo de la
tabla de estado.
  Servidor DNS y reenviador de cache DNS: Pfsense se puede configurar como un servidor
DNS primario y reenviador de consultas de DNS.
 Servidor DHCP: Tambien funciona como servidor de DHCP, se puede también
implementar VLAN desde Pfsense.
 Servidor PPPoE: Este servicio es usado por los ISP para la autenticación de usuarios que
puedan ingresar a internet, por una base local o via radius.
 Enrutamiento estatico: Pfsense funciona como un enrutador ya que entrega
direccionamiento IP y hace el nateo hacia afuera.
 Redundancia: Pfsense permite configurar dos o más cortafuegos a través del protocolo
CARP (Common Address Redundancy Protocol) por si uno de los cortafuegos se cae el
otro se declara como cortafuegos primario.
 Reportes Y Monitoreo: A través de los graficos RDD Pfsense muestra el estado de los
siguientes componentes:
· Utilización de CPU
· Rendimiento Total
· Estado del Firewall
· Rendimiento individual por cada interface
· Paquetes enviados y recibidos por cada interface
· Manejo de tráfico y ancho de banda.
 PfSense cuenta con un gestor de paquetes para ampliar sus funcionalidades, al elegir el
paquete deseado el sistema automáticamente lo descarga e instala. Existen alrededor de
setenta módulos disponibles, entre los que se encuentran el proxy Squid, IMSpector, Snort,
ClamAV, entre otros.

Funcionalidades del pfSense

Figura 2: funcionalidades del pfSense

PfSense es una aplicación que se instala como un sistema operativo ya que tiene varias
funcionalidades sobre todo a partir de la versión 2.0.
 Firewall: pfSense se puede configurar como un cortafuego permitiendo y denegando
determinado tráfico de redes tanto entrante como saliente a partir de una dirección ya sea
de red o de host de origen y de destino, capaz de limitar las conexiones simultaneas por
regla. También haciendo filtrado avanzado de paquetes por protocolo y puerto.

Figura 3: pfSense como cortafuegos

 Servidor VPN(red privada
virtual): VPN es una extensión de una red local que permite conectar dos o más puntos de
manera segura. pfSense se puede configurar como un servidor VPN usando protocolos de
tunneling tales como IPSec, PPTP, L2TP y openVPN.

Figura 4: Enlaces VPN

 Servidor de balanceo de carga: pfSense puede ser configurado como servidor de balanceo
de carga tanto entrante como saliente, característica usada comúnmente en servidores web,
de correo, de DNS. También para proveer estabilidad y redundancia en el envío de trafico
atraves del enlace WAN evitando los cuellos de botella; ya que pfSense soporta múltiples
conexiones WAN (multiwan)
 Figura 5: Balanceador de carga

 Portal cautivo: el portal cautivo permite la autenticación o redirección a una página

predeterminada para acceder a la red. Esto es frecuentemente utilizado en redes”hot spot”,
pero también es utilizado en redes corporativas a fin de añadir una capa de seguridad extra
en el acceso a redes inalámbricos o a internet.
Características:
 Cantidad máxima de conexiones concurrente: limita el número de
conexiones IP que un cliente puede efectuar al portal mismo.
 Tiempo de espera: desconecta a los clientes que han estado en espera durante
una cantidad de minutos predefinida.
 Desconexión forzada: desconecta a todos los clientes luego de una cantidad
de minutos predeterminada.
 Ventana de inicio de sesión: esta opción lanza una ventana con un botón de
desconexión.
 Redirección de URL: después de autenticarse o hacer clik en el portal cautivo,
los usuarios pueden ser forzosamente redirigidos a una URL predefinida.
 Filtrado MAC: predeterminadamente, pfsense filtra utilizando direcciones MAC. Si posee
una subred detrás de un router en una interface con portal cautivo habilitado, cada equipo
detrás de este será autorizado después que un usuario sea autorizado, el filtrado MAC puede
ser deshabilitado para estos escenarios.
Figura 6: Portal Cautivo “Arquitectura segura”

 Tabla de estado: PFSense es un stateful firewall, el cual como característica principal

guarda el estado de las conexiones abiertas en una tabla. La mayoría de los firewall no tiene
la capacidad de controlar con precisión la tabla de estado. PFSense tiene un enorme número
de características que permiten una granularidad muy fina para el manejo de la tabla de
estado.
 Servidor DNS y reenviador de cache DNS: PFSense se puede configurar como un servidor
DNS primario y reenviador de consultas de DNS.
Figura 7: Servidor DNS

 Servidor DHCP: Permite controlar múltiples subredes y asignar direcciones con

configuraciones especificas por cliente, configurar servidores de red independiente por
cliente. Se puede también implementar VLAN desde PFSense.

Figura 8: Servidor DHCP

 Servidor PPPoE: Este servicio es usado por los ISP para la autenticación de usuarios que
pueden ingresar a internet, por una base local o vía radius.
  Enrutamiento estático:
Figura 9: Servidor PPPoE “control de las conexiones de clientes”
PfSense funciona como un
enrutador ya que entrega direccionamiento IP y hace el nateo hacia afuera.
 Redundancia: PfSense permite configurar dos o más cortafuegos atraves del protocolo
CARP(common Address Redundancy Protocol) por si uno de los cortafuegos se cae el otro
se declara como cortafuegos primario.

 Reportes y Monitoreo: Atraves de los gráficos RDD pfSense muestra el estado de los
siguientes componentes:
 Utilización de CPU
 Rendimiento Total
 Estado de Firewall
 Rendimiento individual por cada interface
 Paquetes enviados y recibidos por cada interface.
 Manejo de tráfico y ancho de banda.
 Router LAN o WAN: la segunda implementación más frecuente de pfSense es como router
LAN o WAN.
  Punto de
Figura 10
Acceso
Inalámbrico (Wireless): pfSense puede ser implementado exclusivamente como punto de
acceso inalámbrico. Las capacidades inalámbricas también pueden ser agregadas en las
demás clases de implementaciones.
 Dispositivo de Voz sobre IP (VoIP): freeSWITCH es una plataforma de telefonía escalable,
de código abierto y multiplataforma diseñada para enrutar e interconectar protocolos de
comunicación populares utilizando audio, video texto o cualquier otro tipo de medios. Existe
u paquete o módulo de freeSWITCH disponible para pfSense.
Instalación
Requisitos.- De acuerdo con el sitio http://www.pfsense.org los requisitos mínimos para una
instalación normal en el disco duro son:
 · CPU - Pentium 100 MHz
 · RAM - 128 MB
 · CD-ROM para la instalación inicial
 · 1 GB de disco duro
Para este ejemplo utilizaremos la aplicación libre VMWare y de manera virtualizada haremos
funcionar el portal cautivo de pfSense.