PFSENSE Informe Ultimo

SISTEMA OPERATIVO: OPERATIVO: PFSENSE(FIREWALL)

“Año de la consolidación del Mar de Grau”

Universidad Universida d Nacional de San Agustín Facultad de Ingeniería Producción y Servicios

Escuela Profesional de Ingeniería de Telecomunicaciones

Sistemas Operativos Ciclo verano 20!

Tema"

Valdivia #ocente" Ing. Renzo Bolívar Valdivia

$lumnos" 1. 2. . '.

Arapa Arapa Ramos Ramos Wal Walter ter Albert Albert Jara Jara Álv Álvare arezz Norm Norma a Nancí Nancí !"pe !"pezz #$al #$alpa pa %ie %ierre rre &id &idel el (otoma) (otoma)or or *a)a *a)ani ni Jos+ *arlos *arlos

0% de &ar'o de 20!

(ndice Universidad Nacional de San Agustín - EPIT

p)g* Página 1

SISTEMA OPERATIVO: OPERATIVO: PFSENSE(FIREWALL)

1. Res$men,,, Res$men,,,,,,,,,, ,,,,,,,,,,,,, ,,,,,,,,,,,, ,,,,,,,,,,.. ,,,,...... ........ ....' ' 2. -beti -betivos vos ,,,,,, ,,,,,,,,, ,,,,,,, ,,,,,,, ,,,,,, ,,,,,, ,,,,,, ,,,,,, ,,,..' ..' 2.1 -betivo -betivo /eneral /eneral 2.2 -betivos -betivos 0specíicos 0specíicos . Introd$ Introd$cci cci"n "n ,,,,,, ,,,,,,,,, ,,,,,, ,,,,,,, ,,,,,,, ,,,,,, ,,,,,, ,,,,,. ,,.  '. 3einicion 3einiciones,,, es,,,,,,,,,, ,,,,,,,,,,,,, ,,,,,,,,,,,,, ,,,,,,,,,,,.. ,,,,..4 4 '.1 B(3,,,,,,,,, B(3,,,,,,,,,,,,,,, ,,,,,,,,,,,, ,,,,,,,,,,,,, ,,,,,,,,..4 ,..4 '.2 56$+ es $n ire7all ire7all ) c"mo $nciona8 $nciona8 ,,,,,,,,,,,,,,.4 . *aracterís *aracterísticas ticas,,,,,, ,,,,,,,,,,,, ,,,,,,,,,,,,, ,,,,,,,,,,,,, ,,,,,,,..9 ,..9 4. &$ncionalida &$ncionalidades,, des,,,,,,,,, ,,,,,,,,,,,,, ,,,,,,,,,,,,, ,,,,,,,,,,.. ,,,...: .: 4.1. &ire7all,,,,,,,,,,,,,,,,,,,,,,,,,,,...; 4.2. (ervidor V%N 4.'. %ortal ca$tivo,,,,,,,,,,,,,,,,,,,,,,,,..11 4.. ?abla ?abla de estado,,,,,,,,,,,,,,,,,,,,,,,..12 4.4. (ervidor 3N( ) reenviador de cac@e 3N( ,,,,,,,,,,,...12 4.9. (ervidor 3#*%,,,,,,,,,,,,,,,,,,,,,,,...1 4.:. (ervidor %%%o0,,,,,,,,,,,,,,,,,,,,,,,..1 4.;. 0nr$tamiento esttico,,,,,,,,,,,,,,,,,,,,,1' 4.1>. Red$ndancia,,,,,,,,,,,,,,,,,,,,,,,,.1' 4.11. 4.11. Reportes ) onitoreo ,,,,,,,,,,,,,,,,,,,,.1' 4.12. Ro$ter !AN o WAN,,,,,,,,,,,,,,,,,,,,,..1' 4.1. %$nto de Acceso Inalmbrico . Bibliograía,,,,,,,,,,,,,,,,,,,,,,,,,,,...1:

Cndice de &ig$ras &ig$ra1D p(ense como ire7all,,,,,,,,,,,,,,,,,,,,,, ire7all,,,,,,,,,,,,,,,,,,,,,, 9 &ig$ra2D $ncionalidades de p(ense,,,,,,,,,,,,,,,,,,.......: p(ense,,,,,,,,,,,,,,,,,,.......: &ig$raD p(ense como corta$egos,,,,,,,,, cor ta$egos,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,.; .; Universidad Nacional de San Agustín - EPIT

Página 2

SISTEMA OPERATIVO: PFSENSE(FIREWALL)

&ig$ra'D enlace V%N,,,,,,,,,,,,,,,,,,,,,,,,,,,; &ig$raD Balanceador de carga,,,,,,,,,,,,,,,,,,,,,...1> &ig$ra4D %ortal ca$tivo EArF$itect$ra seg$raG,,,,,,,,,,,,,,,,11 &ig$ra9D (ervidor 3N(,,,,,,,,,,,,,,,,,,,,,,,,,..12 &ig$ra:D (ervidor 3#*%,,,,,,,,,,,,,,,,,,,,,,,,...1 &ig$ra;D (ervidor %%%o0 Econtrol de las coneHiones de clientesG,,,,,,....1 &ig$ra1>D Ro$ter !ANWAN,,,,,,,,,,,,,,,,,,,,,,,.1' &ig$ra11D %gina principal de p(ense ire7allG,,,,,,,,,,,,,,...1 &ig$ra12D comprobando $ncionamiento de portal ca$tivo,,,,,,,,,....14

* +ES,&E0n el presente inorme se describe conceptos características instalaci"n ) conig$raci"n del (- p(ense en $na mF$ina virt$al
Página 3

SISTEMA OPERATIVO: PFSENSE(FIREWALL)


Pala.ras Clave" PfSense, Firewall, Router, Portal Cautivo, Sistema Operativo, FreeBSD.

2* O/ETI1OS 2.1-BJ0?IV- /0N0RA! Instalaci"n ) conig$raci"n de la distrib$ci"n p(ense. 2.2-BJ0?IV-( 0(%0*C&I*-(D

•

conocer las principales características ) aplicaciones de psense Instalar psense en virt$al boH. *onig$rar p(ense mediante internet.  Analizar e implementar p(ense como sistema de enr$tamiento

•

ire7all ) proveedor de portal ca$tivo. 3escribir el desarrollo de la conig$raci"n en 7eb de psense

•

como portal ca$tivo. Reconocer las ventaas del p(ense
• • •

los eF$ipos de ro$ting )Mo ire7all propietarios.

* I-T+O#,CCI3-" p(ense es $na 3istrib$ci"n grat$ita ) personalizada de &reeB(3 para $sarlo en servicios de redes !AN ) WAN como &ire7all ) Ro$ter entre otras $tilidades. *$enta con $n nLcleo de c"digo abierto >' por *@ris B$ec@ler ) Kllric@ (cott enocado a instalaciones para %* ) (ervidores. 0n los Lltimos aOos Universidad Nacional de San Agustín - EPIT

Página 4

SISTEMA OPERATIVO: PFSENSE(FIREWALL)

esta distrib$ci"n @a tenido gran acogida en todo el m$ndo siendo instalado eHitosamente en varios ambientes como redes dom+sticas empresas ministerios a$toridades pLblicas $niversidades ) otros tipos de organizaciones. %sense incl$)e $na gran lista de paF$etes F$e permiten eHpandir cilmente s$s $ncionalidades sin comprometer la seg$ridad del sistema. 0Histen 4> m"d$los disponibles para descargar e instalar al psense como son el proH) sF$id (nort clamAV entre otros. %sense p$ede ser instalado en c$alF$ier ordenador %* o servidor independientemente de la arF$itect$ra F$e tenga con $n mínimo de 2 taretas de red. %or $ltimo %sense implementa el mismo sistema de inicio mediante %#% $tilizado por m>n>7all constit$)+ndolo como el seg$ndo sistema KNIP en $tilizar eHcl$sivamente %#% para s$ sec$encia de inicio.

4* #EFI-ICIO-ES Universidad Nacional de San Agustín - EPIT

Página 5

SISTEMA OPERATIVO: PFSENSE(FIREWALL)

4* /S# (igniica 3istrib$ci"n de sot7are BerQele) en ingles EBerQele) (ot7are 3istrib$tionG F$e es $n sistema operativo derivado de $niH nacido atraves de $n pro)ecto de la $niversidad de caliornia en BerQele). 0n $n principio los laboratorios bell a$torizaron trabaar el c"digo $ente de $niH ) adaptarlo a s$s necesidades pero l$ego A?? retiro el permiso. (in embargo la $niversidad con ines acad+micos creo $na distrib$ci"n de sistema operativo llamado B(3 0ntre los sistemas operativos F$e desarrollaron $eronD 

($n-(



NetB(3



-penB(3



&reeB(3



%*B(3



ac-(.

Universidad Nacional de San Agustín - EPIT

Página 

0n general @a contrib$ido en el desarrollo de los (- en c$anto a



implementaciones de ?*% maneo de memoria virt$al paginada por  demanda control de trabaos ) sistema de arc@ivos &&(. 

4*2 56u7 es un fire8all y cómo funciona9  

!lamado tambi+n corta$egos es $n sistema F$e permite proteger a

$na comp$tadora o $na red de comp$tadoras de las intr$siones F$e provienen de $na tercera red
?iene la $nci"n de bloF$ear el acceso no a$torizado ) al mismo

tiempo permitir las com$nicaciones a$torizadas a trav+s de $nas determinadas reglas.   

0n concl$si"n ire7all es como el consere de la $niversidad. Sl es

responsable del acceso al mismo ) debe denegar o permitir el acceso a las personas segLn tengan o no a$torizaci"n para entrar.  

Figura 1: pfSense coo !re"a##

     



:* Características  

:**  %sense es $na @erramienta m$) Ltil F$e permite mLltiples

 

beneicios comoD 

?olerancia a allos ) alta disponibilidad.



Bao costo de @ard7are sot7are ) mantenimiento.



(implicidad de administraci"n ) operaci"n.



*oneHi"n ) servicio a mLltiples plataormas cliente.



0scalabilidad en $nci"n de la necesidad de la empresa. 



:*2* ($ $so como ire7all es m$) leHible )a F$e p$ede trabaar con

 A!IA( los c$ales acilitan m$c@o el trabao con gr$pos de direcciones I% )

dominios. p(ense incl$)e todas las características de $n ire7all comercial caro ) m$c@os ms en alg$nos de los casos.

:** (e p$ede eHpandir por medio de m"d$los o paF$etes servidorD



 

Pro;y reverso para conectar servidores en $n mismo p$erto


$steris<= para $ncionar como central I%.



$ntivirus a nivel de /ate7a).



Filtro $ntiSP$&=  para proteger los servidores de correo.



(ervidor RA3IK( ) agregar tambi+n m$c@as otras $nciones. 



!* Funcionalidades del pfSense 

Figura $: funciona#i%a%es %e# pfSense

              

%(ense es $na aplicaci"n F$e se instala como $n sistema operativo )a F$e tiene varias $ncionalidades sobre todo a partir de la versi"n 2.>.

 

!** Fire8all" p(ense se p$ede conig$rar como $n corta$ego permitiendo ) denegando determinado trico de redes tanto entrante como saliente a partir  de $na direcci"n )a sea de red o de @ost de origen ) de destino capaz de

limitar las coneHiones sim$ltaneas por regla. ?ambi+n @aciendo iltrado avanzado de paF$etes por protocolo ) p$erto.        

Figura &: pfSense coo cor'afuegos

  

!*2* Servidor 1P->red privada virtual?" V%N es $na eHtensi"n de $na red

local F$e permite conectar dos o ms p$ntos de manera seg$ra. p(ense se p$ede conig$rar como $n servidor V%N $sando protocolos de t$nneling tales como I%(ec %%?% !2?% ) openV%N. 

      Figura : En#aces VPN









!** Servidor de .alanceo de carga" p(ense p$ede ser conig$rado como

servidor de balanceo de carga tanto entrante como saliente característica $sada comLnmente en servidores 7eb de correo de 3N(. ?ambi+n para proveer estabilidad ) red$ndancia en el envío de traico atraves del enlace WAN evitando los c$ellos de botella )a F$e p(ense soporta mLltiples coneHiones WAN
  

!*4* Portal cautivo"  el portal ca$tivo permite la a$tenticaci"n o redirecci"n a

$na pgina predeterminada para acceder a la red. 0sto es rec$entemente $tilizado en redesG@ot spotG pero tambi+n es $tilizado en redes corporativas a in de aOadir $na capa de seg$ridad eHtra en el acceso a redes inalmbricos o a internet.

!*4* Características" •

Cantidad m);ima de cone;iones concurrente"  limita el nLmero de coneHiones I% F$e $n cliente p$ede eect$ar al portal mismo.

•

Tiempo de espera" desconecta a los clientes F$e @an estado en espera d$rante $na cantidad de min$tos predeinida.

•

#escone;ión for'ada"  desconecta a todos los clientes l$ego de $na cantidad de min$tos predeterminada.

•

1entana de inicio de sesión"  esta opci"n lanza $na ventana con $n bot"n de desconeHi"n.

•

+edirección de ,+@" desp$+s de a$tenticarse o @acer cliQ en el portal ca$tivo los $s$arios p$eden ser orzosamente redirigidos a $na KR! predeinida.

•

Filtrado

&$C"

predeterminadamente

psense

iltra

$tilizando

direcciones A*. (i posee $na s$bred detrs de $n ro$ter en $na interace con portal ca$tivo @abilitado cada eF$ipo detrs de este ser a$torizado desp$+s F$e $n $s$ario sea a$torizado el iltrado A* p$ede ser des@abilitado para estos escenarios. 

Figura +: Por'a# ,au'i-o .Ar/ui'ec'ura segura0

  

 

!*:* Ta.la de estado" %&(ense es $n state$l ire7all el c$al como

característica principal g$arda el estado de las coneHiones abiertas en $na tabla. !a ma)oría de los ire7all no tiene la capacidad de controlar con precisi"n la tabla de estado. %&(ense tiene $n enorme nLmero de características F$e permiten $na gran$laridad m$) ina para el maneo de la tabla de estado.  

!*!* Servidor #-S y reenviador de cacAe #-S"   %&(ense se p$ede

conig$rar como $n servidor 3N( primario ) reenviador de cons$ltas de 3N(.           Figura : Ser-i%or 2NS



   

!*B* Servidor #CP" %ermite controlar mLltiples s$bredes ) asignar 

direcciones con conig$raciones especiicas por cliente conig$rar servidores de red independiente por cliente. (e p$ede tambi+n implementar V!AN desde %&(ense.  



!*D* Servidor PPPoE" 0ste servicio es $sado por los I(% para la

a$tenticaci"n de $s$arios F$e p$eden ingresar a internet por $na base local o vía radi$s.             

Figura 5: Ser-i%or PPPoE .con'ro# %e #as cone6iones %e c#ien'es0

  

!*%* Enrutamiento est)tico" %(ense $nciona como $n enr$tador )a F$e

entrega direccionamiento I% ) @ace el nateo @acia a$era.

!*0* +edundancia" %(ense permite conig$rar dos o ms corta$egos



atraves del protocolo *AR%
!** +eportes y &onitoreo" Atraves de los gricos R33 p(ense m$estra



el estado de los sig$ientes componentesD •

Ktilizaci"n de *%K

•

Rendimiento ?otal

•

0stado de &ire7all

•

Rendimiento individ$al por cada interace

•

%aF$etes enviados ) recibidos por cada interace.

•

aneo de trico ) anc@o de banda. 



!*2* +outer @$- o $-" la seg$nda implementaci"n ms rec$ente de

p(ense es como ro$ter !AN o WAN.             Figura 17

 

 

!** Punto de $cceso Inal)m.rico >ireless?" p(ense p$ede ser 

implementado eHcl$sivamente como p$nto de acceso inalmbrico. !as capacidades inalmbricas tambi+n p$eden ser agregadas en las dems clases de implementaciones.  

!*4* #ispositivo de 1o' so.re IP >1oIP?" ree(WI?*# es $na plataorma

de teleonía escalable de c"digo abierto ) m$ltiplataorma diseOada para enr$tar e interconectar protocolos de com$nicaci"n pop$lares $tilizando a$dio video teHto o c$alF$ier otro tipo de medios. 0Histe $ paF$ete o m"d$lo de ree(WI?*# disponible para p(ense. 

B* Instalación del psSense 

 0ec$taremos la sim$laci"n en $na mF$ina virt$al F$e es casi ig$al para

$na maF$ina real 

B** +euisitos" •

Kn ordenador ísica<0l anitriona=

•

Virt$al BoH Instalado<2 a ms mF$inas virt$ales=

•

I(- %(ense

B*2* Procedimiento 

%aso1D instalaci"n del psense en $na mF$ina virt$al



%aso2D conig$raci"n del psense en dic@a maF$ina

Paso " Creación de Portal Cautivo en pfSense  

 

Figura 11: P8gina principa# %e pfSense(Fire"a##)

        



 

Paso 4" Compro.ando funcionamiento de la distri.ución

Figura 1$

 

D* Conclusiones •

Reconocimos ) comprobamos F$e todas las conig$raciones en p(ense son posibles desde la interaz 7eb sin necesidad de acceder a la línea de comandos.

•

(e logr" $na "ptima instalaci"n conig$raci"n demostrando el $ncionamiento del %ortal *a$tivo en p(ense.

    

%* +ecomendaciones

•

%sense es verstil ) practico porF$e p$ede ser eec$tado directamente desde $n pendrive o $n *3 aparte de orecer $na versi"n para mF$inas virt$ales.

•

*omo psense c$enta con $na interace 7eb sencilla para s$ conig$raci"n ) desde l$ego este bien conig$rado transorma $n eF$ipo comLn en $n poderoso ire7all o en $n enr$tador  m$) eicaz ) seg$ro.

      

1>.

Bibliograía

• 

  https://aula128.wordpress.com/2014/09/19/instalacion-y-

• 

confguracion-de-psense/    http://www.jsitech.com/noticias/psense-una-distriucionadaptada-para-frewall/ 

• 

• 



  http://es.slideshare.net/!atricio"hirardi/psense-innaris-2014# $id%4a0&8ea-849-4'1-9e229'2214c184()%(%(rom*search%+   http://www.frewallhardware.es/psense.html

      