Firewall pfSense

“Acceso seguro desde cualquier lugar, desde cualquier dispositivo y en todo momento, sin comprometer la seguridad ni el aumento de la complejidad”

 Los servicios que se ofrecen para Pfsense son:

  • Planeación del diseño y análisis de redes.
  • Implementación de Pfsense.
  • Administración y monitoreo remota de Firewall.

¿ Qué es el firewall Pfsense ?

Los firewalls son equipos protegen su información y activos informáticos de amenazas internas y externas.

Pfsense es un firewall “stateful firewall” robusto y flexible basado en Software libre y en el sistema operativo FreeBSD. Tiene todas las características de los firewalls comerciales de gran renombre.

Ventajas:

  • Por que es software libre, no tiene la restricción de depender de una única empresa para soporte.
  • No existe “versiones”. Pfsense incluye todas las funcionalidades de una versión “empresarial”.
  • Una gran confiabilidad y tolerancia a fallas. Soporta clustering.
  • Gran flexibilidad: Se implementa usando en hardware común, incluso en una PC o en una maquina virtual.
  • Administración simple: No se necesita aprender comandos propios, la administración esta basada en un entorno Web, por lo que reduce el costo de mantenimiento.
  • Escalabilidad: existen cientos de plugins libres que existen para expandir las funcionalidades.

 Características Técnicas

Multi-Wan

Permite usar y combinar múltiples enlaces de internet, para balanceo de carga, lograr mayor disponibilidad, y mejor uso de ancho de banda.

Balanceo de Carga de Servidores

Distribución de carga para diferentes servidores y lograr mayor escalabilidad del servicio,  mayor redundancia, logrando la  reducción  del tiempo de espera para los usuario.

 Redes privadas virtuales (VPN)

Existe tres opciones para implementación de VPNs:

Ipsec:

Es el estándar de factor usado por mas del 98% de implementaciones de VPNs a nivel mundial. La configuración puede ser site-site o acceso remoto.

Site to site: interconecta redes, Acceso remoto “Road warrior” permite el acceso a toda persona fuera de la empresa el acceso de los recursos internos (Correo, archivos compartidos, intranet )como si estuviera físicamente dentro de la oficina.

OpenVPN

Permite hacer VPN usando SSL.
PPTP Server y PpoE Server
Soluciones antiguas para implementación de VPNs.

Firewall:

  • Filtrado de paquetes por IP puerto
  • Limitar el numero de conexiones por ACL
  • Reglas basadas a sistemas operativos. Por ejemplo limitar los equipos de Windows acceso a sitios de descarga de software ilegal.
  • Selección de router dependiendo de reglas
  • Filtrado de capa 2
  • Hacer log y no log de las reglas
  • Deshabilitar el modulo de firewall funcionando solo como Router.

Características de tabla de sesiones (stateful)

  • Tamaño de tabla ajustable
  • Limitar el numero de conexiones por cliente, por host
  • Limitar el numero de nuevas conexiones por segundo
  • Definir el tiempo de vida de las conexiones “timeout”

NAT:

  • Por forwarding
  • Nat 1 a 1
  • Nat saliente
  • Nat Reflection

Alta disponibilidad:

Esta característica permite definir router virtuales, usando las IP flotantes de dos o mas firewalls configurado dentro del grupo.

CARP

Usa la tecnología de CARP de OpenBSD . Permite que dos o mas firewalls se configuren en un grupo o cluster. Si el firewall primario falla, otro firewall dentro del grupo se vuelve activo.

PFSYNC

Asegura la sincronización de la tabla de sesiones, lo que significa que todas las conexiones se mantienen en caso de falla, el cual es importante para mantener la disponibilidad de la red.

Portal Cautivo

Esta característica permite que el usuario debe de autenticarse dentro de un portal web antes de poder acceder y usar la red. Esta característica es usado en los hoteles o en los sitios de WIFI públicos en donde los proveedores de internet ofrecen conectividad a sus usuarios independientemente de donde se encuentren físicamente.

Otras caracteristicas incorporadas

  • Traffic shaper. Controlar el uso de la red basado en políticas de calidad y de servicio (QoS)
  • Interfaz Web  (HTTP/HTTPS)
  • Consola serial, para mantenimiento
  • Soporte de Wireless (access point )
  • Soporte VLANs 802.1Q. (Una interfaz puede conectarse muchas redes usando Vlans)
  • Rutas estáticas
  • Servidor de DHCP
  • Servidor DNS
  • Cliente de DNS dinámico ( como DynDNS)
  • SNMP
  • Gráficas SVG uso de recursos de servidor (CPU, memoria, disco) así como recursos de red como NATs, conexiones, estado de tablas de sesiones, uso de anchos de banda, etc.
  • Actualización de Firmware a través de interfaz web
    Wake On Lan client.
  • Respaldo y restauración de configuraciones
  • Soporte de alias y grupos para simplificar la configuración

Funcionalidades Incorporadas y Modulares

  • BandwithD: Monitoreo de graficación de ancho de banda.
  • Ifdepd: Utilizado para crear dependencia entre interfaces.
  • Ifstated: Verificación de estado de conexiones.
  • Pfflowd: Conversión de mensajes PF en Cisco Netflow.
  • PFStatd: Añade funcionalidades de graficación.
  • Ntop: Registra datos de red ampliados e históricos.
  • Stunnel: Encapsula puertos estándar con SSL.
  • Pure-FTPd: Servidor de archivos FTP.
  • Squid: Servidor proxy multipropósito con cache.
  • Arpwatch: Informa pares de direcciones Ethernet e IP.
  • Assp: Servidor proxy anti-spam multipropósito.
  • FreeRADIUS: Servidor de autenticación RADIUS.
  • Mtr: Función traceroute enriquecida.
  • Nmap: Scanner de puertos para auditoría de seguridad.
  • Siproxd: Servidor proxy con enmascaramiento para SIP.
  • Spamd: Servidor SMTP falso eliminar spam.
  • Iperf: Capacidad adicional de medición de ancho de banda.
  • Nut: Añade monitoreo de UPSs.
  • Snort: Añade capacidades de detección de intrusiones.
    …………….. y más…