UNIVERSIAD FRANCISCO DE PAULA SANTANDER FACULTAD DE INGENIERIA INGENIERIA DE SISTEMAS SAN JOSE DE CCUTA 2013
2
DEFINICIN PFSENSE
Pfsense es una distribucin personalizada de FreeBSD para usarlo en servicios de redes LAN y WAN tales como firewall, enrutador, servidor de balanceo de carga, entre otras las cuales sern mencionadas ms adelante. El proyecto es comercialmente sostenido por BSD perimeter LLC. Este proyecto naci el ao2004 por Chris Buechler y Ullrich Scott en instalaciones para PC y servidores. El modelo de desarrollo de pfsense es de cdigo abierto, la ltima versin estable es la versin 1 2 3, el ncleo de pfsense es basado en el sistema operativo libre llamado BSD, el tipo de nucleo de pfsense es de tipo monoltico. De acuerdo alportal oficial de pfsense para el 2010 pfsense ha tenido ms de un milln de descargas donde ha sido instalado con xito en ambientes desde redes domsticas hasta grandes corporaciones. Pfsense cuenta con un gestor de paquetes desde su interfaz grfica accedida remotamente para ampliar sus funcionalidades, al elegir el paquete deseado el sistema lo descarga y lo instala automticamente. Existen 60 mdulos disponibles para descargar al pfsense e instalarlos entre estos son el proxy squid IMinspector, Snort, ClamAV entre otros. Para manejar pfsense no es necesario tener conocimientos avanzados sobre lnea de comandos de BSD. Pfsense puede ser instalado en cualquier ordenador PC o servidor independientemente de su arquitectura que cuente con un mnimo de 2tarjetas de red. Al poseer software de cdigo abierto, la comunidad de desarrolladores pueden dar soporte y asistencia con costo por parte de BSD Perimeter. Cada persona es libre de modificar y vender su propia distribucin conciertas condiciones.
REQUERIMIENTOS DE HARDWARE
Para la instalacin de pfsense sobre arquitectura i386 los requerimientos de hardware son los siguientes.1. Procesador Intel Pentium III, hasta un Intel Xeon, nada de AMD.2. Memoria RAM desde 256 Mb hasta 3 Gb.3. Disco Duro de 2 Gb hasta 80 Gb, IDE, SCSI, SATA Y SAS-SATA.4. Tarjetas de red cableadas Intel y Realtek (la red inalmbrica solamente funcionan las tarjetas de red marca Atheros).5. Debido a que este software ser instalado sobre un servidor o PC dedicado nica y exclusivamente, este PC o servidor no necesitara un mouse, solo un teclado y monitor ya que este servidor ser administrado remotamente
3
FUNCIONES
Pfsense es una aplicacin que se instala como un sistema operativo ya que tiene varias funcionalidades entre estos servicios de redes LAN y WAN, con detalle estos servicios son los siguientes:
Firewall: Pfsense se puede configurar como un cortafuego permitiendo y denegando determinado trfico de redes tanto entrante como saliente a partir de una direccin ya sea de red o de host de origen y de destino, tambin haciendo filtrado avanzado de paquetes por protocolo y puerto.
Servidor VPN: Pfsense se puede se puede configurar como un servidor VPN usando protocolos de tunneling tales como IPSec, PPTP, entre otras.
Servidor de Balanceo de Carga: Pfsense puede ser configurado como servidor de balanceo de carga tanto entrante como saliente, esta caracterstica es usada comnmente en servidores web, de correo, de DNS. Tambin para proveer estabilidad y redundancia en l envi de trfico a travs del enlace WAN evitando los cuellos de botella.
Portal Cautivo: Este servicio consiste en forzar la autenticacin de usuarios redirigindolos a una pgina especial de autenticacin y/o para aceptar los trminos de uso, realizar un pago etc. para poder tener acceso a la red. El portal cautivo es usado comnmente para control de accesos a la red en los puntos de accesos inalmbricos de los hoteles, restaurantes, parques y kioscos.
Tabla de estado: PFSense es un stateful firewall, el cual como caracterstica principal guardad el estado de las conexiones abiertas en una tabla. La mayora de los firewall no tienen la capacidad de controlar con precisin la Tabla de estado. Pfsense tiene un enorme nmero de caractersticas que permiten una granularidad muy fina para el manejo de la tabla de estado.
4
Servidor DNS y reenviador de cache DNS: Pfsense se puede configurar como un servidor DNS primario y reenviador de consultas de DNS.
Servidor DHCP: Tambin funciona como servidor de DHCP, se puede tambin implementar VLAN desde Pfsense.
Servidor PPPoE: Este servicio es usado por los ISP para la autenticacin de usuarios que puedan ingresar a internet, por una base local o va radius.
Enrutamiento esttico: Pfsense funciona como un enrutador ya que entrega direccionamiento IP y hace el nateo hacia afuera.
Redundancia: Pfsense permite configurar dos o ms cortafuegos a travs del protocolo CARP (Common Address Redundancy Protocol) por si uno de los cortafuegos se cae el otro se declara como cortafuegos primario.
Reportes Y Monitoreo: A travs de los grficos RDD Pfsense muestra el estado de los siguientes componentes: Utilizacin de CPURendimiento TotalEstado del FirewallRendimiento individual por cada interfacePaquetes enviados y recibidos por cada interfaceManejo de trfico y ancho de banda.
5
INSTALACIN Y CONFIGURACIN
1. Se arranca el PC o el servidor desde la unidad de CD verificando arranque tal y como se muestra en esta pantalla.
6
2. Se visualizara luego la siguiente pantalla mostrando el men de arranque del pfsense como tal donde seleccionamos la opcin 1
7
3. saldr un pantallazo tal cual como se muestra a continuacin indicndonos que identificador le daremos a las tarjetas de red que se encuentran instaladas y reconocidas por el pfsense, las cuales se identifican por el fabricante de la tarjeta de red y pregunta que si queremos configurar vlan para la red LAN en este caso le decimos que no.4. Enseguida le damos el identificador de las tarjetas de red para diferenciar cual ser LAN y WAN respectivamente as. Los identificadores pueden varias dependiendo del fabricante de las tarjetas de red
8
4. Enseguida le damos el identificador de las tarjetas de red para diferenciar cual ser LAN y WAN respectivamente as. Los identificadores pueden varias dependiendo del fabricante de las tarjetas de red.
9
5. Luego de configurar el identificador de las tarjetas de red se procede a cargar los cambios
6. Se entra al men principal
10
7. Esta configuracin se realiza en dos campos, la direccin IP de la interfaz lan se cambin a 10.0.0.1 con su respectiva mscara.
8. El siguiente paso ser digitar el nmero 99 para dar inicio a la instalacin del pfsense en el disco duro donde saldr la siguiente pantalla. En esta pantalla seleccionaremos la opcin Accept these settings. Aqu el sistema empezara a formatear el disco duro y copiar los archivos del sistema.
11
9. Luego nos saldr la siguiente pantalla en donde nos preguntara que tipo de instalacin queremos aplicar a nuestro servidor, o si queremos recuperar el archivo de config.xml. Seleccionamos la opcin Quick/Easy install.
12
13
10. Arrancamos el servidor dedicado desde el disco duro y comprobamos el acceso a internet del pfsense a travs de un ping a una pgina web ejemplo www.google.com esto se hace con la opcin 7 u o por cmd.
11. En el navegador web se digita la direccin IP del servidor y se introducen los siguientes datos de inicio de sesin. Usuario: admin Contrasea: pfsense
14
12. Despus de ingresar las credenciales de ingreso nos saldr una serie de pantallazos con los siguientes parmetros de configuracin: Servidores DNS ya sean de otro servidor en la topologa, o los entregados por el ISP o los propios del sistema operativo. Nombre del host como todo equipo en una red. Nombre del dominio si existe en la topologa. Configuracin de zona horaria.
15
16
12. Por ltimo saldr la pantalla de inicio del Firewall listo para configurar las reglas de filtrado.
17
18
CONFIGURACIN Y REGLAS DEL FIREWALL Despus de haber instalado el Pfsense en el disco duro y haber configurado los parmetros iniciales, procederemos a configurar las reglas de firewall las cuales se aplican a las interfaces configuradas previamente. Antes de empezar a configurar las reglas de firewall es necesario tener clara la topologa de la red donde est participando el Pfsense y de qu forma, ejemplo: La red LAN se refiere a la red interna de la organizacin la cual est conectada a la interfaz LAN la cual debe estar protegida de ataques desde internet.
La red DMZ que significa zona desmilitarizada es donde se ubican los servidores los cuales se puede tener acceso desde internet como servidores web y de correo con ciertos parmetros. La red WAN que es bsicamente internet est conectada a la interfaz WAN del Pfsense el cual tambin deniega trfico desde la red la haca internet y viceversa. En PFSense las reglas de firewall se configuran de la siguiente manera:
19
1. Nos ubicamos en la pestaa Firewall y en la opcin NAT en la barra de men ubicado en la parte superior de la pantalla del browser de internet:
Antes de hacer configuraciones es ptimo bajar los paquetes que se adecuen a las necesidades como los paquetes de squid
20
Presiona el botn para agregar una nueva regla, en la pgina ingresa estos datos:
-Action: Block -Protocol: TCP/UDP -Source: any (si quieres bloquear slo ciertos host selecciona LAN Address o Network, o slo desbloquear tu equipo marcando el checkbox Not e ingresando tu IP. -Destination: selecciona Network como type y en Address cada rango.
21
22
SERVIDOR PROXY
En la opcin Servicios/Proxy Server se puede configurar las caractersticas de un proxy transparente, como son la interface, proxy transparente, el puerto, un hostname, etc.
Para bloquear sitios web, lo podemos realizar por la configuracin del servidor Porxy, habiendo instalado previamente el paquete correspondiente, y dirigindonos a la configuracin de este en la pestaa ACL:
23
Para comenzar, una vez instalado nuestro PFSense, debemos descargar el paquete Open VPN Client Export Utility. Entonces vamos a SystemPackages
24
Agregamos la utilidad de exportacin pulsando en el smbolo (+):
Nos muestra el progreso de la instalacin y debemos verificar que termine correctamente:
25
Ahora crearemos en nuestro servidor la Autoridad certificadora. System Cert Manager
Pulsando el botn (+) agregaremos una nueva autoridad:
26
Completamos los campos con los datos de nuestra empresa seleccionando en la opcin Method Create an internal Certificate Authority:
Guardando los cambios con Save podemos verificar en la pantalla anterior que ya se ha creado la autoridad certificadora:
27
Ahora crearemos un usuario al cual le generaremos un certificado para poder conectarse a la VPN. Para ello vamos a System User Manager
En la pestaa Users pulsamos en el botn (+) para agregar un usuario:
En nuestro caso crearemos el usuario vpnuser y le asignaremos un password.
28
Debemos tildar la opcin Click to crate a user certificate para que al momento de crear el usuario, tambin nos genere el certificado. Debemos seleccionar la Autoridad de Certificacin creada anteriormente y podemos definir un tiempo de vida para el certificado:
29
Luego guardando los cambios con Save y volviendo a ingresar a los datos del usuario veremos el certificado creado:
30
Nuestro prximo paso ser crear el servidor. Para esto vamos al men VPNOpenVPN:
Utilizaremos un Wizard llendo a la pestaa del mismo nombre y pulsadon el botn (+):
En Type of Server, seleccionaremos Local User Access, ya que nuestros usuarios se crearn desde el firewall:
Pulsamos Next, y seleccionamos la autoridad de certificacin creada:
31
Pulsando Next, generaremos nuestro certificado de Servidor, pulsando el botn Add new Certificate
En esta pantalla generaremos el certificado que estar en nuestro server. Completamos con los datos de nuestra empresa y pulsamos en Create New Certificate
32
Luego configuraremos los siguientes campos: Inteface: Ser la placa que estar escuchando las conexiones entrantes de la VPN. Por lo general es nuestra WAN. Protocol: Seleccionaremos UPD en este ejemplo. Local Port: por defecto OpenVPN utiliza el 1194. Y lo dejaremos as. Aunque si se cambia no hay problemas. Tildar la opcin TLS Autentication y Generate TLS Key.
33
Seleccionamos un algoritmo de encriptacin. Ej: AES-128:
En la misma pantalla tambien configuraremos la red que se utilizar en nuestro tunel: Tunnel Network: de acuerdo al ejemplo del primer grfico ingresamos la red: 192.168.1.0/24
34
En Local Network debemos configurar la red de nuestra LAN Interna, en este caso:10.0.0.0/8
Tambin habilitamos la compresin del tunel. Tildamos la opcin Dynamic IP y Adddress Pool:
35
El resto de las configuraciones por ahora no las modificaremos, y pulsamos Next:
36
En este paso seleccionamos las opciones Firewall Rule y OpenVPN rule para que el asistente nos genere las reglas para permitir la conexin con la VPN en el firewall:
Pulsando NEXT, finaliza la configuracin:
37
Ahora verificamos en Firewall Rules que se hayan creados las reglas correspondientes en las interfaces WAN y OpenVPN:
38
El siguiente paso consiste en exportar desde nuestro firewall el paquete de instalacin de OpenVPN y la configuracin para nuestro cliente. Bsicamente el paquete instalado en el primer paso nos permitir obtener el instalador del Cliente VPN y su configuracin para cada usuario generado en el sistema. En el ejemplo es nuestro usrvpn creado anteriormente. Para hacer esto vamos al men VPNOpenVPNClient Export
Seleccionamos nuestro servidor y hacemos un clic en el link Windows Installer:
39
Guardamos el paquete generado para nuestro usuario y luego lo instalaremos en la PC que se conectar remotamente a nuestra red.