Introducción
pfSense es un firewall, basado en software libre, que tiene una gran cantidad de usuarios por todo el mundo. Utilizado como firewall en pequeñas y medianas empresas. Protegerá tus equipos de las amenazas y ataques cibernéticos. En este articulo te mostramos sus características técnicas y algunas funcionalidades que tiene este potente software
¿Qué es pfsense?
PfSense es un sistema operativo especializado de software libre, diseñado para montar servicios de cortafuegos y seguridad del más alto nivel para tu empresa basado en FreeBSD.
Su portal de administración está basado en lenguaje PHP y en las últimas versiones cuenta con una interfaz amigable hecha en bootstrap, desde este mismo panel se puede acceder a todas las configuraciones administrativas del sistema, con lo que le facilita a tu empresa la administración de todos los permisos.
Que es un firewall o cortafuegos?
Un firewall es una herramienta de seguridad informática diseñada para proteger una red de computadoras al monitorear y controlar el tráfico de datos que entra y sale de la red. Funciona estableciendo reglas y filtros que determinan qué tipo de comunicación se permite y cuál se bloquea, con el objetivo de prevenir accesos no autorizados, ataques maliciosos o la propagación de malware. Los firewalls pueden operar a nivel de hardware o software y se utilizan comúnmente en entornos empresariales y domésticos para salvaguardar la integridad y la confidencialidad de la información almacenada en los sistemas conectados a la red. Además de actuar como una barrera defensiva, los firewalls también pueden generar registros detallados de actividad que ayudan a los administradores de red a supervisar posibles amenazas y mejorar continuamente la seguridad.
¿Por qué pfSense es un firewall tan popular?
- Facilidad de uso: Lo que vuelve tan popular esta herramienta de seguridad empresarial es su facilidad de uso y configuración, destacando el hecho de que no es imprescindible los conocimientos avanzados en línea de comandos UNIX, para su manejo.
- Software Libre: Esta grandiosa herramienta es desarrollada en software libre, por lo que cuenta con una gran comunidad y actualizaciones frecuentes de seguridad, lo que pone a tu negocio en buenas manos.
- Mayor rendimiento de hardware: En sus últimas versiones se destacó por mucho sobre otros softwares en rendimiento del hardware, permitiéndole posicionarse como uno de los servicios de firewall más seguros y de mayor velocidad de procesamiento en el mercado.
- Funciones de reporte y monitoreo: Brinda reportes y es monitoreable en tiempo real, lo cual es una gran ventaja a la hora de tener control sobre los accesos a nuestra Red Privada, también a la hora de implementar cambios en las políticas de accesos y demás.
Todo esto vuelve al pfSense una de las herramientas más recomendadas por las grandes empresas para administrar la seguridad de sus sitios, además de ofrecerte una plusvalía sobre los demás Servicios Firewall en el mercado.
Índice rápido
Como abrir y cerrar puertos en Pfsense, click aquí
Como Bloquear una dirección IP en Pfsense, click aquí
Como crear y eliminar un usuario de conexión VPN en Pfsense, click aquí
Como instalar la configuración VPN de Pfsense en Windows, click aquí
Como usar PfSense para configurar un servidor de DNS y DHCP, click aquí
Como reservar la dirección IP de un usuario específico con DHCP, click aquí
Como bloquear un sitio web con DNS resolver en Pfsense, click aquí
Como realizar un NAT en Pfsense, click aquí
Como Agregar una página en la lista blanca de PFBLOCKER, click aquí
Como gestionar el ancho de banda en Pfsense, click aquí
Como verificar el consumo de ancho de banda en Pfsense, click aquí
Uso de NTOPNG para monitorear el Tráfico en tiempo real, click aquí
Como redireccionar el tráfico entre diferentes proveedores de internet ISP, click aquí
Como cambiar de proveedor de internet ISP en Pfsense, click aquí
Como abrir y cerrar puertos en el Pfsense
Si quieres mejorar la seguridad de red de tu Firewall, Pfsense cuentan una herramienta que se llama Reglas, que te permite habilitar solo los puertos que usas y bloquear los puertos que no necesitas:
Habilitar puertos en Pfsense
Para realizar la actividad debes tener en cuentas que puertos se van a habilitar, más adelante si vas a requerir habilitar nuevos puertos se puede agregar en el Alias.
Paso 1:
En el panel de Pfsense nos vamos al menú Firewall y escogemos la opción Aliases.
Paso 2:
En menú de aliases nos vamos a la pestaña de Puertos y para crear uno nuevo seleccionamos en el botón de Agregar.
Paso 3:
Ahora le ponemos un nombre y una descripción, en tipo los dejamos por defecto en Puertos, mas abajo podemos agregar los numero de puertos, si quieres poner mas, seleccionas la opción de Agregar puerto, por ultimo seleccionamos en Guardar.
Paso 4:
Una vez creado el Alias seleccionamos en el botón Aplicar cambios para que se aplique en el pfsense.
Paso 5:
Una vez creado el Alias, ahora nos toca crear la Regla para eso en pfsense nos vamos al menú firewall y seleccionamos la opción de Reglas.
Paso 6:
Luego nos ubicamos en la pastala de LAN y para crear la regla seleccionamos el botón de Agregar.
Paso 7:
Ahora Definamos el tipo de regla, en acción escogemos la opción de Pass ya que vamos a permitir el acceso, la interface por defecto es LAN, y en protocolo TCP/UDP.
Paso 8:
En Source los dejamos por defecto los ajustes, en Destino ponemos en Any, en rango de puerto, escogemos para ambos casos en otros y agregamos el Alias que hemos creado anteriormente, en opciones extras habilitamos el log para poder hacerle seguimiento, por ultimo seleccionamos en Guardar.
Paso 9:
Una vez creada la regla nos va a pedir aplicar los cambios para que se guarde en el Pfsense.
Bloquear puertos en Pfsense
Realizar el bloqueo de algunos puertos en Pfsense es caso similar a la apertura de puerto, se va a crear una regla bloqueo con un Alias.
Paso 1:
Primero creamos un alias para el bloqueo de puertos y en el mismo agregamos los puertos a bloquear.
Paso 2:
Podemos crear una nueva regla, o duplicar una regla existente, seleccionar el icono de Copiar.
Paso 3:
Como es una regla de bloqueo, en el campo de acción seleccionamos la opción de Block, la interfaz LAN y el protocolo TCP/UDP.
Paso 4:
En Source dejamos por defecto y en Destino seleccionamos en Otros para ambos casos y agregamos también el alias que se creo anteriormente, por ultimo seleccionamos en guardar.
Paso 5:
La regla de Bloqueo aparece con icono de X ya que es una restricción, aplicamos los cambios para que se guarde en el Pfsense.
Como Bloquear una dirección IP en el Pfsense
Si quieres bloquear algunas IP especificas en tu red, la herramienta pfsense te permite realizar el boqueo de 1 o varias IP a través de una regla.
Paso 1:
Primero creamos el alias y dentro del mismo agregamos las direcciones IP que se quiere bloquear, en este caso el campo Tipo escogemos la opción de Hosts.
Paso 2:
Una vez creado el alias aplicamos el cambio para que se guarde en el pfsense.
Paso 3:
Ahora creamos la Regla para el bloqueo, en el campo Action podemos poner Reject o Block, la interface es LAN y el protocolo es TCP.
Paso 4:
En source ponemos que viene desde la LAN, en destino agregamos el Alias creado y el puerto ponemos en any para que bloquee los puertos de esas IP.
Paso 5:
Una vez creada la regla, nos va a aparecer con un icono de una mano, aplicamos los cambios para que se guarde en el pfsense
Como crear y eliminar un usuario de conexión VPN en el Pfsense
Si estas usando una conexión VPN en tu equipo Pfsense para tus usuarios. Te vamos a enseñar como crear nuevos accesos VPN como también desactivarlo o eliminar el acceso.
Como crear un usuario de conexión VPN
Antes de realizar la creación del VPN, ya debes tener configurado el servicio VPN en tu Pfsense y haber realizado la configuración de conexión al servidor.
Paso 1:
En el Pfsense nos vamos al Menu Sistema, escogemos la opción de User Manager, luego nos vamos a la pestaña de Users y seleccionamos el botón de agregar.
Paso 2:
Al crear el nuevo acceso le asignamos un nombre de usuario y una contraseña, también le ponemos una descripción o un nombre de acceso, hacer click en la opción de Certifícate para que te genere el instalador.
Paso 3:
Al habilitar el Certificado, nos va a aparecer mas opciones, le ponemos el mismo nombre del usuario, en la opción de certificado si manejas varias conexión VPN debes seleccionar uno en específico, luego selección el botón guardar para que se cree el acceso.
Paso 4:
Ahora para descargar el instalador del VPN nos vamos al menú VPN y seleccionar la opción de OpenVPN.
Paso 5:
Ahora buscamos el nombre del usuario que hemos creado y descargamos el instalador en este caso el Windows de 64 bits.
Como Eliminar o desactivar un usuario de conexión VPN
Si quieres eliminar o desactivar una conexión VPN de un usuario, la herramienta pfsense te permite aplicar este cambio desde su panel User manager.
Paso 1:
Si solo quieres desactivar de forma temporal el acceso VPN de un usuario, primero seleccionas el usuario a Editar y activas en el Campo de Disabled, al realizar este cambio el Pfsense va a rechazar el acceso VPN del usuario configurado en su Equipo.
Paso 2:
Si quieres Eliminar el acceso VPN de un usuario, al Editar el mismo primero debes eliminar el Certificado para que se elimine el instalador, luego guardas los cambios.
Paso 3:
Luego en el panel de Users seleccionas el usuario y haces click en el icono de Eliminar, al aplicar este cambio se va a borrar toda la configuración VPN del usuario.
Como instalar la configuración VPN de Pfsense en Windows
Una vez creado el Acceso VPN en el Pfsense ahora toca instalar el cliente vpn en el equipo del Usuario, para eso debes tener el usuario y contraseña de la conexión VPN y el instalador generado.
Paso 1:
Lo primero a realizar es ejecutar el instalar el Windows, ahora va a iniciar el asistente de instalación Openvpn, ahora seleccionas el botón de Instalar ahora.
Paso 2:
Va a comenzar con el proceso de instalación, una vez finalizado te va a aparecer el mensaje de instalación finalizada, seleccionamos en el botón de cerrar.
Paso 3:
Ahora te va a mostrar un asistente para instalar los archivos de configuración, el cual seleccionamos el botón de instalar.
Paso 4:
Esperamos unos minutos que instale los archivo hasta que aparezca el mensaje de Completed, ahora seleccionamos en el botón de cerrar.
Paso 5:
Al iniciar la VPN nos va a pedir las credenciales de acceso (Usuario y Contraseña) luego seleccionamos en el botón de OK para que inicie la conexión.
Paso 6:
Si has realizado los pasos correctamente al ver el estado del VPN nos va a aparecer con Estatus Conectado y ahora vamos a poder acceder a nuestro servidor de forma segura.
Como usar PfSense para configurar un servidor de DNS y DHCP
Si quieres aplicar DHCP a los equipos de los usuarios, la Herramienta Pfsense cuenta con esta característica, también te permite configurar los DNS para que puedan conectarse a un servidor o dispositivos de red.
Antes de configurar el DHCP debes tener conectado la salida del dispositivo Pfsense a un swicht y este repartir a los usuarios, también puedes conectar a un dispositivo Wifi de modo Brigde y en las interfaces del Pfsense seleccionar cual va a ser tu LAN por defecto.
Paso 1:
En el panel Pfsense nos vamos al menú de Servicio y seleccionamos la opción de DHCP Server.
Paso 2:
La interfaz por defecto va a estar con el nombre de LAN, si tienes mas interfaces de salida estos deben ser declarados en el Pfsense para que se muestre en el Panel DHCP, En el panel General primero habilitamos el DHCP en la opción de Enable, mas abajo nos va a indicar la subred y el rango disponible de IPs, podemos personalizar el rango y dejar unos libre para IPs Fijas.
Paso 3:
En el campo de Server podemos agregar los DNS que pueden ser hasta 4, los cuales nos va a permitir conectarnos con otros servicios, por último seleccionamos en Guardar.
Paso 4:
Una vez que el Servicio DHCP este activado conectamos los equipos y vamos a ver que automáticamente va a tomas el rango de IPs configurados y también los DNS, para verificar esto nos vamos al menú de Estatus y seleccionamos la opción de DHCP Leases.
Paso 5:
En el panel de DHCP Leases vas a poder visualizar los Equipo con sus direcciones IP y dirección MAC, los cuales vas a poder administrarlo.
Como reservar la dirección IP de un usuario específico con DHCP
Si quieres reservar unos equipos con una dirección IP estática, la herramienta DHCP del Pfsense te permite aplicar esta configuración, pero para poder realizar debes tener primero la dirección MAC del equipo.
Paso 1:
En el panel de configuración debe tener un pool de IP libres que no esté dentro del rango del DHCP.
Paso 2:
En la parte final del panel de configuración DHCP vamos a tener un campo donde van a estar las direcciones IPS estáticas, seleccionamos en el botón de Agregar.
Paso 3:
Ahora agregamos la dirección MAC del equipo, la dirección IP que le queremos poner y una descripción para identificar el Equipo, seleccionamos en botón guardar para aplicar los cambios.
Paso 4:
Una vez creado el DHCP estático, reiniciamos el equipo para que se aplique el cambio.
Paso 5:
Para ver si se ha aplicado el cambio nos vamos al DHCP Leases y vemos que el equipo tomo la dirección IP configurada y que esta con DHCP estático.
Como bloquear un sitio web con DNS resolver en Pfsense
Si quieres bloquear algunas paginas web especificas a tus usuarios la herramienta Pfsense cuenta con un módulo DNS Resolver que te permite administrar el bloqueo de las páginas.
Paso 1:
Primero nos Vamos al menú de Servicios y escogemos la opción de DNS Resolver.
Paso 2:
En la Configuración General debe estar habilitado el DNS Resolver, también de activar el servicio SSL/TLS.
Paso 3:
Puedes también personalizar donde se va a aplicar el bloqueo (LAN, WAN, etc), pero por defecto le ponemos en Todos.
Paso 4:
Ahora en la opción de Custom Options podemos personalizar el Bloqueo de las paginas y poner las siguientes opciones
Primero Declaramos el control de acceso con el pool de IPs y le ponemos un nombre que se llama bloqueo.
server:
access-control-view: 192.168.1.0/24 bloqueoLuego declaramos el acceso con el nombre de bloqueo y dentro de ello agregamos las paginas que queremos bloquear.
view:
name: "bloqueo"
view-first: yes
local-zone: "youtube.com" inform_deny
local-zone: "facebook.com" inform_denyPara el caso del PFblocker también puedes declararlo esto para hacer una exclusión.
view:
name: "dnsbl"
view-first: yes
include: /var/unbound/pfb_dnsbl.*confAl terminar la configuración, seleccionamos en el botón de Guardar para aplicar los cambios.
Paso 5:
Por para validar el bloqueo de páginas probamos en uno de los equipos de los usuarios y vemos que la página web ya no se muestra.
Como realizar un NAT en Pfsense
Un servicio NAT sirve para habilitar los servicios externos que vienen de internet y especificar con que IP y Puerto se van a conectar los usuarios internos, esto te permitirá administrar tus conexiones externas, como también seguridad en su red interna, la Herramienta Pfsense cuenta con un modulo de NAT en donde puedes realizar esta configuración.
Paso 1: Puedes aplicar el NAT ya sea con una IP Fija o con un Alias, en este caso vamos a crear un Alias en donde se va a incluir el Host externo.
Paso 2:
Una Vez creado el Alias nos vamos al menú Firewall y escogemos la opción de NAT.
Paso 3:
En el panel de NAT vamos a poder ver nuestras reglas aplicadas para conexiones Externas, para crear uno nuevo seleccionamos el botón de Agregar.
Paso 4:
La interface por Defecto es WAN al que la IP, el protocolo escogemos el tipo como en nuestro caso es una web, seleccionamos en TCP, Ahora en Source agregamos el Alias creado, el puerto lo dejamos en Any.
Paso 5:
En Destino decimos que viene por la WAN, agregamos el puerto específico, en la redirección ponemos la IP del localhost para que vengan del mismo host y el puerto por donde va a conectarse, por último le ponemos una Descripción y guardamos el NAT.
Paso 6:
Una vez creada el NAT aplicamos el Cambio para que se guarde en el Pfsense, ahora al realizar la consulta del Host con el puerto definido vamos a poder conectarnos al servicio.
Como Agregar una página en la lista blanca del PFBLOCKER
PfBlocker es un complemento que se puede integrar en el Pfsens, esta herramienta te permite analizar y bloquear paginas no seguras para los usuarios. En el caso que una pagina que usas haya sido bloqueda, el PfBlocker tiene un campo con nombre WhiteList donde puedes agregar las paginas que no quieres que se bloquee.
Paso 1:
En este caso al consultar una pagina o servicio de Adobe nos muestra el sitio ha sido bloqueado por el Pfblocker.
Paso 2:
Copiamos la dirección URL de la página bloqueada y nos vamos al menú de Firewall y en la opción de PfBlockerNG.
Paso 3:
Al ingresar al Panel de PfBlocker vemos varias funciones, para la Whitelist nos vamos a la pestaña de DNSBL.
Paso 4:
Ahora en la parte inferior hay un campo con nombre DNSBL Whitelist, es ahí donde vamos a agregar la URL de la página Bloqueada, ahora seleccionamos en el botón de Guardar.
Paso 5:
Luego de ello nos va a pedir actualizar los cambios para eso nos vamos la pestaña de Update, hacemos Check en la opción de Reload y escogemos en All, ahora esperamos unos minutos para que actualice los cambios.
Una vez finalizado al volver a cargar la página vemos que ya se puede mostrar.
Como gestionar el ancho de banda en el Pfsense
Si cuentas con un servidor de archivos en donde consultan los usuarios, El modulo Traffic Shaper te permite limitar el ancho de banda de descarga y subida esto para que tu servido no se sature con las constantes peticiones.
Paso 1:
En el Pfsense nos vamos al Menu de Firewall y escogemos la opción de Traffic Shaper.
Paso 2:
En el panel de Traffic shaper nos ubicamos en la pestaña de Limiters y ahí es donde vamos a crear la regla para la subida y descarga del ancho de banda, seleccionamos en el Boton de New Limiter.
Paso 3:
Le ponemos un nombre en este caso DMZ Descargas, luego le asignamos el limite máximo ancho de banda que es 40 Mb, Definimos que es un Source Addresses y la máscara que es 32, le ponemos una descripción y guardamos los cambios.
Paso 4:
Aplicamos la misma configuración ahora para la subida, en este caso le asignamos un ancho de banda de 20 Mb, le ponemos una descripción y guardamos los cambios.
Paso 5:
Ahora Creamos la Regla en donde se va a aplicar el límite de ancho de Banda, la interface es la LAN, en protocolo le damos en Any, ahora en source ponemos la dirección IP del servidor.
Paso 6:
Desglosamos las opciones avanzadas y en el campo In/Out pipe asignamos los límites que se han creado, ahora seleccionamos en el botón de Guardar.
Paso 7:
Una vez que este la regla creada guardamos los cambios para que se aplique el límite de ancho de banda.
Ahora cuando vas a consultar a tu servidor de archivos vas a ver que el límite máximo de descarga es de 40 Mb y de subida 20 Mb.
Como verificar el consumo de ancho de banda en el Pfsense
Si quieres verificar el consumo del ancho de banda ya sea de la WAN o la LAN, la Herramienta Monitoring del Pfsense te permite visualizar el consumo de Red en tiempo Real
Paso 1:
En el Panel Pfsense nos vamos al menú de Status y seleccionamos la opción de Monitoring.
Paso 2:
Al ingresar al panel nos va a mostrar un resumen del consumo de red, pero si quieres ver más detalles seleccionamos en el icono de la tuerca que se encuentra en la parte superior derecha.
Paso 3:
Ahora vas a poder personalizar con mas detalles, en categoría escogemos la opción de Traffic y en Graph poner la interfaz que se quiere visualizar que puede ser la LAN, la WAN etc, luego en opciones puedes poner el intervalo de tiempo que puede ser 1 hora, 1 día etc, también poner el tipo de gráfico o si se quiere invertir el mismo, por último seleccionamos en el Boton Update Graphs.
Paso 4:
Según lo que hayamos configurado en las opciones del Filtro vamos a visualizar el Gráfico del consumo de Ancho de Banda.
Uso de NTOPNG para monitorear el Tráfico en tiempo real
Si quieres monitorear en tiempo Real el consumo del ancho de banda de los usuarios y que servicio o páginas web están peticionando, la Herramienta Ntopng te permite realizar seguimiento.
Paso 1:
Para acceder nos vamos al Menú de Diagnóstico y escogemos la opción de Ntopng.
Paso 2:
Al ingresar al portal de Ntopng te va a pedir que ingrese con tus credenciales de acceso.
Paso 3:
Al ingresar nos va a mostrar un Dashboard con el consumo total de la red LAN, para ver el seguimiento de los usuarios nos vamos el menú Flows y la opción de Live.
Paso 4:
En el panel de Flows vas a poder revisar todas la peticiones de los usuario y que servicios web están ingresando, también se puede ver el consumo del ancho de banda, si quieres ver más detalles del servicio a que están consultando debes darle click al nombre de la aplicación, si quieres ver más detalles del usuario deber darle click en el nombre del equipo.
Paso 5:
Al ingresar al nombre de la aplicación vas a poder ver más detalles de sitio web o servicio y también saber que usuario están consultando al mismo.
Paso 6:
Si ingresas al Detalle del equipo vas a poder visualizar toda la información del usuario, el consumo del ancho de banda del equipo entre otras cosas.
Como redireccionar el tráfico entre diferentes proveedores de internet ISP
Si tienes 2 proveedores de internet y quieres optimizar el consumo de ancho de banda de tu Red, la herramienta Pfsense te permite redireccionar el tráfico de algunas páginas web o servicios por tu proveedor secundario de internet de manera que puedas liberar el consumo de tu proveedor principal.
Paso 1:
Primero creamos una Alias en donde vamos a agregar las páginas que van a salir por el segundo proveedor.
Paso 2:
Luego en el panel de Pfsense nos vamos al Menú de System y escogemos la opción de Routing.
Paso 3:
En la pestaña de Gateway vas a poder ver las 2 interfaces WAN de los 2 proveedores de internet, puedes seleccionar uno de ellos para que sea tu Gateway por Defecto, ahora nos vamos a la pestaña de Static Routes para crear las rutas y seleccionamos en el botón de Agregar.
Paso 4:
Ahora agregamos el nombre del Alias creado anteriormente donde están la paginas web, el Gateway selecciona la Wan del segundo proveedor, también agregamos una descripción, por ultimo seleccionamos en el botón Save.
Paso 5:
Una vez creado la ruta estática seleccionas en Aplicar los cambios para que se guarde en el Pfsense, ahora al consultar las página vas a poder ver que internamente sale por el segundo proveedor, de igual manera puedes crear más rutas estáticas que pueden ir a la WAN principal o a la WAN secundaria.
Como cambiar de proveedor de internet ISP en el Pfsense
Si vas a realizar el cambio en uno de tus proveedores de internet, para no afectar a tus usuarios puedes configurar para que el todo trafico de red valla para una sola Wan.
Paso 1:
En el panel de GateWay si la Red que vas a cambiar es la Wan principal puedes realizar el cambio de Default Gateway para que tu segunda Wan sea ahora el principal, para ellos en el camop Default GateWay Ipv4 seleccionamos la Wan a cambiar luego hacemos click en el botón de Save.
Paso 2:
Al aplicar el cambio vemos que la segunda Wan ahora es el Default Gateway, ahora la Wan ya está listo para hacer el cambio de proveedor, también puedes desactivarlo de forma temporal.
Paso 3:
Si tienes Ruta estáticas a la Wan que vas a hacer el cambio de proveedor se sugiere desactivarlo los mismo para en el panel de Static routes seleccionamos en el icono respectivo, ahora la regla va a estar de forma transparente y las paginas se van a redirigir al Wan que se haya declarado como Default Gateway.
Deja una respuesta