1

DISEO E IMPLEMENTACION DE UN SISTEMA DE SEGURIDAD PERIMETRAL

PARA UNA EMPRESA USANDO LA HERRAMIENTA PFSENSE





Presentador por:

CONSTANTINO CELIS PEARANDA 1150307
CLEIVER ANDRADE FOSSI - 1150059


Presentado a:

Ing. JEAN POLO CEQUEDA OLAGO


Asignatura:
Seguridad Informtica





UNIVERSIAD FRANCISCO DE PAULA SANTANDER
FACULTAD DE INGENIERIA
INGENIERIA DE SISTEMAS
SAN JOSE DE CCUTA
2013

2

DEFINICIN PFSENSE

Pfsense es una distribucin personalizada de FreeBSD para usarlo en servicios de redes
LAN y WAN tales como firewall, enrutador, servidor de balanceo de carga, entre otras las
cuales sern mencionadas ms adelante. El proyecto es comercialmente sostenido por
BSD perimeter LLC. Este proyecto naci el ao2004 por Chris Buechler y Ullrich Scott en
instalaciones para PC y servidores. El modelo de desarrollo de pfsense es de cdigo
abierto, la ltima versin estable es la versin 1 2 3, el ncleo de pfsense es basado en el
sistema operativo libre llamado BSD, el tipo de nucleo de pfsense es de tipo monoltico.
De acuerdo alportal oficial de pfsense para el 2010 pfsense ha tenido ms de un milln de
descargas donde ha sido instalado con xito en ambientes desde redes domsticas hasta
grandes corporaciones. Pfsense cuenta con un gestor de paquetes desde su interfaz
grfica accedida remotamente para ampliar sus funcionalidades, al elegir el paquete
deseado el sistema lo descarga y lo instala automticamente. Existen 60 mdulos
disponibles para descargar al pfsense e instalarlos entre estos son el proxy squid
IMinspector, Snort, ClamAV entre otros. Para manejar pfsense no es necesario tener
conocimientos avanzados sobre lnea de comandos de BSD. Pfsense puede ser instalado
en cualquier ordenador PC o servidor independientemente de su arquitectura que cuente
con un mnimo de 2tarjetas de red. Al poseer software de cdigo abierto, la comunidad de
desarrolladores pueden dar soporte y asistencia con costo por parte de BSD Perimeter.
Cada persona es libre de modificar y vender su propia distribucin conciertas condiciones.

REQUERIMIENTOS DE HARDWARE

Para la instalacin de pfsense sobre arquitectura i386 los requerimientos de hardware son
los siguientes.1. Procesador Intel Pentium III, hasta un Intel Xeon, nada de AMD.2.
Memoria RAM desde 256 Mb hasta 3 Gb.3. Disco Duro de 2 Gb hasta 80 Gb, IDE, SCSI,
SATA Y SAS-SATA.4. Tarjetas de red cableadas Intel y Realtek (la red inalmbrica
solamente funcionan las tarjetas de red marca Atheros).5. Debido a que este software
ser instalado sobre un servidor o PC dedicado nica y exclusivamente, este PC o
servidor no necesitara un mouse, solo un teclado y monitor ya que este servidor ser
administrado remotamente



3

FUNCIONES

Pfsense es una aplicacin que se instala como un sistema operativo ya que tiene varias
funcionalidades entre estos servicios de redes LAN y WAN, con detalle estos servicios
son los siguientes:

Firewall: Pfsense se puede configurar como un cortafuego permitiendo y
denegando determinado trfico de redes tanto entrante como saliente a partir de
una direccin ya sea de red o de host de origen y de destino, tambin haciendo
filtrado avanzado de paquetes por protocolo y puerto.

Servidor VPN: Pfsense se puede se puede configurar como un servidor VPN
usando protocolos de tunneling tales como IPSec, PPTP, entre otras.

Servidor de Balanceo de Carga: Pfsense puede ser configurado como servidor
de balanceo de carga tanto entrante como saliente, esta caracterstica es usada
comnmente en servidores web, de correo, de DNS. Tambin para proveer
estabilidad y redundancia en l envi de trfico a travs del enlace WAN evitando
los cuellos de botella.

Portal Cautivo: Este servicio consiste en forzar la autenticacin de usuarios
redirigindolos a una pgina especial de autenticacin y/o para aceptar los
trminos de uso, realizar un pago etc. para poder tener acceso a la red. El portal
cautivo es usado comnmente para control de accesos a la red en los puntos de
accesos inalmbricos de los hoteles, restaurantes, parques y kioscos.

Tabla de estado: PFSense es un stateful firewall, el cual como caracterstica
principal guardad el estado de las conexiones abiertas en una tabla. La mayora de
los firewall no tienen la capacidad de controlar con precisin la Tabla de estado.
Pfsense tiene un enorme nmero de caractersticas que permiten una granularidad
muy fina para el manejo de la tabla de estado.





4

Servidor DNS y reenviador de cache DNS: Pfsense se puede configurar como
un servidor DNS primario y reenviador de consultas de DNS.

Servidor DHCP: Tambin funciona como servidor de DHCP, se puede tambin
implementar VLAN desde Pfsense.

Servidor PPPoE: Este servicio es usado por los ISP para la autenticacin de
usuarios que puedan ingresar a internet, por una base local o va radius.

Enrutamiento esttico: Pfsense funciona como un enrutador ya que entrega
direccionamiento IP y hace el nateo hacia afuera.

Redundancia: Pfsense permite configurar dos o ms cortafuegos a travs del
protocolo CARP (Common Address Redundancy Protocol) por si uno de los
cortafuegos se cae el otro se declara como cortafuegos primario.

Reportes Y Monitoreo: A travs de los grficos RDD Pfsense muestra el estado
de los siguientes componentes: Utilizacin de CPURendimiento TotalEstado del
FirewallRendimiento individual por cada interfacePaquetes enviados y recibidos
por cada interfaceManejo de trfico y ancho de banda.













5

INSTALACIN Y CONFIGURACIN

1. Se arranca el PC o el servidor desde la unidad de CD verificando arranque tal y
como se muestra en esta pantalla.











6

2. Se visualizara luego la siguiente pantalla mostrando el men de arranque del pfsense
como tal donde seleccionamos la opcin 1













7

3. saldr un pantallazo tal cual como se muestra a continuacin indicndonos que
identificador le daremos a las tarjetas de red que se encuentran instaladas y reconocidas
por el pfsense, las cuales se identifican por el fabricante de la tarjeta de red y pregunta
que si queremos configurar vlan para la red LAN en este caso le decimos que no.4.
Enseguida le damos el identificador de las tarjetas de red para diferenciar cual ser LAN y
WAN respectivamente as. Los identificadores pueden varias dependiendo del fabricante
de las tarjetas de red









8

4. Enseguida le damos el identificador de las tarjetas de red para diferenciar cual ser LAN y
WAN respectivamente as. Los identificadores pueden varias dependiendo del fabricante
de las tarjetas de red.












9

5. Luego de configurar el identificador de las tarjetas de red se procede a cargar los cambios


6. Se entra al men principal



10

7. Esta configuracin se realiza en dos campos, la direccin IP de la interfaz lan se cambin
a 10.0.0.1 con su respectiva mscara.


8. El siguiente paso ser digitar el nmero 99 para dar inicio a la instalacin del
pfsense en el disco duro donde saldr la siguiente pantalla. En esta pantalla
seleccionaremos la opcin Accept these settings. Aqu el sistema empezara a formatear
el disco duro y copiar los archivos del sistema.



11



9. Luego nos saldr la siguiente pantalla en donde nos preguntara que tipo de instalacin
queremos aplicar a nuestro servidor, o si queremos recuperar el archivo de config.xml.
Seleccionamos la opcin Quick/Easy install.



12






13




10. Arrancamos el servidor dedicado desde el disco duro y comprobamos el acceso a internet
del pfsense a travs de un ping a una pgina web ejemplo www.google.com esto se hace
con la opcin 7 u o por cmd.

11. En el navegador web se digita la direccin IP del servidor y se introducen los siguientes
datos de inicio de sesin.
Usuario: admin
Contrasea: pfsense


14





12. Despus de ingresar las credenciales de ingreso nos saldr una serie de pantallazos con
los siguientes parmetros de configuracin: Servidores DNS ya sean de otro servidor en
la topologa, o los entregados por el ISP o los propios del sistema operativo. Nombre del
host como todo equipo en una red. Nombre del dominio si existe en la topologa.
Configuracin de zona horaria.






15






16


12. Por ltimo saldr la pantalla de inicio del Firewall listo para configurar las reglas de
filtrado.

17













18

CONFIGURACIN Y REGLAS DEL FIREWALL
Despus de haber instalado el Pfsense en el disco duro y haber configurado los
parmetros iniciales, procederemos a configurar las reglas de firewall las cuales se
aplican a las interfaces configuradas previamente. Antes de empezar a configurar las
reglas de firewall es necesario tener clara la topologa de la red donde est participando el
Pfsense y de qu forma, ejemplo: La red LAN se refiere a la red interna de la organizacin
la cual est conectada a la interfaz LAN la cual debe estar protegida de ataques desde
internet.

La red DMZ que significa zona desmilitarizada es donde se ubican los servidores los
cuales se puede tener acceso desde internet como servidores web y de correo con ciertos
parmetros. La red WAN que es bsicamente internet est conectada a la interfaz WAN
del Pfsense el cual tambin deniega trfico desde la red la haca internet y viceversa. En
PFSense las reglas de firewall se configuran de la siguiente manera:


19

1. Nos ubicamos en la pestaa Firewall y en la opcin NAT en la barra de men ubicado
en la parte superior de la pantalla del browser de internet:


Antes de hacer configuraciones es ptimo bajar los paquetes que se adecuen a las
necesidades como los paquetes de squid

20



Presiona el botn para agregar una nueva regla, en la pgina ingresa estos datos:

-Action: Block
-Protocol: TCP/UDP
-Source: any (si quieres bloquear slo ciertos host selecciona LAN Address o
Network, o slo desbloquear tu equipo marcando el checkbox Not e ingresando
tu IP.
-Destination: selecciona Network como type y en Address cada rango.




21















22

SERVIDOR PROXY

En la opcin Servicios/Proxy Server se puede configurar las caractersticas de un proxy
transparente, como son la interface, proxy transparente, el puerto, un hostname, etc.

Para bloquear sitios web, lo podemos realizar por la configuracin del servidor Porxy,
habiendo instalado previamente el paquete correspondiente, y dirigindonos a la
configuracin de este en la pestaa ACL:



23




Para comenzar, una vez instalado nuestro PFSense, debemos descargar el
paquete Open VPN Client Export Utility.
Entonces vamos a SystemPackages

24


Agregamos la utilidad de exportacin pulsando en el smbolo (+):


Nos muestra el progreso de la instalacin y debemos verificar que termine correctamente:

25



Ahora crearemos en nuestro servidor la Autoridad certificadora.
System Cert Manager

Pulsando el botn (+) agregaremos una nueva autoridad:

26



Completamos los campos con los datos de nuestra empresa seleccionando en la opcin
Method Create an internal Certificate Authority:

Guardando los cambios con Save podemos verificar en la pantalla anterior que ya se ha
creado la autoridad certificadora:

27


Ahora crearemos un usuario al cual le generaremos un certificado para poder conectarse
a la VPN.
Para ello vamos a System User Manager

En la pestaa Users pulsamos en el botn (+) para agregar un usuario:


En nuestro caso crearemos el usuario vpnuser y le asignaremos un password.

28


Debemos tildar la opcin Click to crate a user certificate para que al momento de
crear el usuario, tambin nos genere el certificado.
Debemos seleccionar la Autoridad de Certificacin creada anteriormente y podemos
definir un tiempo de vida para el certificado:


29


Luego guardando los cambios con Save y volviendo a ingresar a los datos del usuario
veremos el certificado creado:



30

Nuestro prximo paso ser crear el servidor.
Para esto vamos al men VPNOpenVPN:


Utilizaremos un Wizard llendo a la pestaa del mismo nombre y pulsadon el botn (+):


En Type of Server, seleccionaremos Local User Access, ya que nuestros usuarios se
crearn desde el firewall:



Pulsamos Next, y seleccionamos la autoridad de certificacin creada:

31



Pulsando Next, generaremos nuestro certificado de Servidor, pulsando el botn Add new
Certificate


En esta pantalla generaremos el certificado que estar en nuestro server. Completamos
con los datos de nuestra empresa y pulsamos en Create New Certificate

32



Luego configuraremos los siguientes campos:
Inteface: Ser la placa que estar escuchando las conexiones entrantes de la VPN. Por lo
general es nuestra WAN.
Protocol: Seleccionaremos UPD en este ejemplo.
Local Port: por defecto OpenVPN utiliza el 1194. Y lo dejaremos as. Aunque si se
cambia no hay problemas.
Tildar la opcin TLS Autentication y Generate TLS Key.

33


Seleccionamos un algoritmo de encriptacin. Ej: AES-128:


En la misma pantalla tambien configuraremos la red que se utilizar en nuestro tunel:
Tunnel Network: de acuerdo al ejemplo del primer grfico ingresamos la
red: 192.168.1.0/24

34

En Local Network debemos configurar la red de nuestra LAN Interna, en este
caso:10.0.0.0/8


Tambin habilitamos la compresin del tunel.
Tildamos la opcin Dynamic IP y Adddress Pool:

35



El resto de las configuraciones por ahora no las modificaremos, y pulsamos Next:

36



En este paso seleccionamos las opciones Firewall Rule y OpenVPN rule para que el
asistente nos genere las reglas para permitir la conexin con la VPN en el firewall:

Pulsando NEXT, finaliza la configuracin:


37


Ahora verificamos en Firewall Rules que se hayan creados las reglas correspondientes
en las interfaces WAN y OpenVPN:




38



El siguiente paso consiste en exportar desde nuestro firewall el paquete de instalacin de
OpenVPN y la configuracin para nuestro cliente. Bsicamente el paquete instalado en el
primer paso nos permitir obtener el instalador del Cliente VPN y su configuracin para
cada usuario generado en el sistema. En el ejemplo es nuestro usrvpn creado
anteriormente.
Para hacer esto vamos al men VPNOpenVPNClient Export

Seleccionamos nuestro servidor y hacemos un clic en el link Windows Installer:

39


Guardamos el paquete generado para nuestro usuario y luego lo instalaremos en la PC
que se conectar remotamente a nuestra red.