Saludos amigos y no amigos, hoy después de tanto tiempo sin postear les traigo un info sobre Pfsense. Bueno, Pfsense es una distribución personalizada de FreeBSD, considerado el sistema operativo más seguro del mundo, adaptado para su uso como Firewall y Router. Es un proyecto open source, es decir no tiene costos de licencias, y puede ser instalado en una gran variedad de equipos. Se estima que una instalación básica de pfSense cuesta un 2% del costo de un equipo comercial con las mismas funcionalidades. En la actualidad lo tengo instalado como firewall en la empresa donde laboro, dandome buenos resultados, realmente goza de buena estabilidad y facil instalación y manejo ya que lo administras via web.
PfSense puede instalarse en cualquier ordenador o servidor que cuente con un mínimo de dos tarjetas de red, el proceso de instalación es similar a FreeBSD. Una vez copiados los archivos del sistema al disco duro, se procede a configurar las direcciones IP de las tarjetas de red. Una vez concluido lo anterior, se puede acceder al sistema desde un explorador web. El portal de administración está basado en PHP y teóricamente todas las configuraciones y administración se pueden realizar desde allí, por lo tanto no es indispensable contar con conocimientos avanzados sobre la línea de comandos UNIX para su manejo.
Como su rendimiento es muy elevado, pfSense es utilizado en muchísimas organizaciones como firewall perimetral, como terminador de VPNs, y como servidor interno multipropósito (dhcp, proxy, etc.).
En la actualidad la empresa comercializa difenrentes productos con su S.O, dentro de los que se destacan router/firewall dedicados.
https://www.pfsense.org/products/product-family.html
El filtrado de paquetes de pfSense se basa en reglas de pfctl; digamos, el "iptables" de freeBSD. El proyecto se inció en el año 2004, basándose en la distribución m0n0wall; pero si bien pfSense puede instalarse en algunos sistemas embebidos, apunta a instalaciones en computadoras personales de 32 y 64 bits.
NAT
Si necesita acceder a máquinas de su red interna desde Internet, entonces necesita realizar una traducción de direcciones de red, o NAT.
Funcionalidades Avanzadas
Escaneo de virus y spam a través de la pasarela de paso para tráfico http así como imap, pop y smtp. Filtrado y caché de contenidos/protocolos a través de proxy con Squid (y otros proxys más ligeros) y DNSguardian de una manera realmente bien amplia y con la funcionalidad de poder actualizar las reglas de forma automática y gratuita. Los productos convencionales requieren una licencia (en dólares) para realizar esta tarea. pfSense no tiene costos de licenciamiento.
Servicio de detección de intrusiones (IDS) son Snort, con la posibilidad de poder actualizar las reglas provistas de forma comunitaria de forma gratuita (si se quiere tener las reglas provistas directamente por Snort de forma automática hay que pagar la suscripción al servicio).
PfSense puede instalarse en cualquier ordenador o servidor que cuente con un mínimo de dos tarjetas de red, el proceso de instalación es similar a FreeBSD. Una vez copiados los archivos del sistema al disco duro, se procede a configurar las direcciones IP de las tarjetas de red. Una vez concluido lo anterior, se puede acceder al sistema desde un explorador web. El portal de administración está basado en PHP y teóricamente todas las configuraciones y administración se pueden realizar desde allí, por lo tanto no es indispensable contar con conocimientos avanzados sobre la línea de comandos UNIX para su manejo.
Como su rendimiento es muy elevado, pfSense es utilizado en muchísimas organizaciones como firewall perimetral, como terminador de VPNs, y como servidor interno multipropósito (dhcp, proxy, etc.).
En la actualidad la empresa comercializa difenrentes productos con su S.O, dentro de los que se destacan router/firewall dedicados.
https://www.pfsense.org/products/product-family.html
El filtrado de paquetes de pfSense se basa en reglas de pfctl; digamos, el "iptables" de freeBSD. El proyecto se inció en el año 2004, basándose en la distribución m0n0wall; pero si bien pfSense puede instalarse en algunos sistemas embebidos, apunta a instalaciones en computadoras personales de 32 y 64 bits.
Características Principales
- Filtrado por IP de fuente y destino, protocolo IP, puerto(s) de fuente y destino para tráfico TCP y UDP
- Filtrado por tipo de sistema operativo. ¿Quiere permitir el acceso a Internet a máquinas Windows, pero bloquear a máquinas Linux, tablets y smartphones? pfSense se encarga de eso.
- Políticas de ruteo altamente flexibles para balanceo de carga, failover, múltiples WAN, etc.
- Bloqueo en capa de aplicación con reglas predefinidas para bloquear por ejemplo tráfico P2P, VoIP, servicio VPN hacía el exterior, etc.
- Firewall transparente de capa 2 – puede puentear (hacer bridge) interfases y filtrar el tráfico entre ellas, permitiendo.
- Normalización de paquetes – re-ensambla paquetes fragmentados, protegiendo algunos sistemas operativos de algunas formas de ataque y bloquea aquellos paquetes TCP que tienen combinaciones de banderas (flags) inválidas.
NAT
Si necesita acceder a máquinas de su red interna desde Internet, entonces necesita realizar una traducción de direcciones de red, o NAT.
- Redirección de puertos, incluyendo rangos y el uso de múltiples IPs públicas.
- NAT 1:1 para IPs individuales o subredes enteras, de esta manera se pueden mapear direcciónes públicas a direcciones de LAN dando acceso externo a servicios.
- NAT Avanzado, el comportamiento por defecto del NAT es desactivado, y se habilita la creación de flexibles reglas de NAT (o de no NAT).
- Reflejado de NAT – en algunas configuraciones, el reflejado de NAT permite la posibilidad que algunos servicios puedan ser accedidos por la IP pública desde redes internas LAN.
Funcionalidades Avanzadas
Escaneo de virus y spam a través de la pasarela de paso para tráfico http así como imap, pop y smtp. Filtrado y caché de contenidos/protocolos a través de proxy con Squid (y otros proxys más ligeros) y DNSguardian de una manera realmente bien amplia y con la funcionalidad de poder actualizar las reglas de forma automática y gratuita. Los productos convencionales requieren una licencia (en dólares) para realizar esta tarea. pfSense no tiene costos de licenciamiento.
Servicio de detección de intrusiones (IDS) son Snort, con la posibilidad de poder actualizar las reglas provistas de forma comunitaria de forma gratuita (si se quiere tener las reglas provistas directamente por Snort de forma automática hay que pagar la suscripción al servicio).
- Servidor LDAP (OpenLDAP) con autenficación de SAMBA como PDT.
- Sistema de backup de configuración del servidor.
- Sistema de VPN (Virtual Private Network) con soporte IPSEC, OpenVPN y PPTP.
- Proxy inverso para balanceo de carga entre varios webservers de la red interna.
- Servicio DHCP y DNS en modo servidor o relay
- Servidor PPPoE
- Portal captivo, con esta funcionalidad los usuarios son forzados a autenticar en una web para poder tener acceso a navegación, este servicio es comúnmente visto en aeropuertos o en servicios de Internet por suscripción (pagos).