Beruflich Dokumente
Kultur Dokumente
CONFIGURACIN DE PFSENSE
ELABORADO POR:
2
7. Desarrollo de la Practica #4 (Crear un Respaldo en Pfsense) ............................................. 34
7.1. Restaurar un Respaldo en Pfsense (Restore) .............................................................. 35
Referencias .................................................................................................................................. 36
3
Tabla 1: especificaciones de pfsense _______________________________________________________ 9
Tabla 2: especificaciones de mquina virtual Xp _____________________________________________ 9
Tabla 3:Detalle de la configuracin de interfaces en Pfsense __________________________________ 20
Tabla 4:Conexion de red en Windows Xp __________________________________________________ 20
Tabla 5: Descripcion de las caractersticas de la mquina virtual w_server _______________________ 22
Tabla 6: Detalle de configuracin del Servidor Web __________________________________________ 26
4
imagen 44: servidor web activo__________________________________________________________ 25
imagen 45: Pruebas de conexin _________________________________________________________ 25
imagen 46: Conexin con Servidor Web en el Browser _______________________________________ 26
imagen 47: Esquema de un Servidor Web _________________________________________________ 27
imagen 48: componentes de un servidor web ______________________________________________ 27
imagen 49:Ventana de cambio de contrasea de Pfsense mediante el Web Configurator. ___________ 28
imagen 50:Seleccin del Package Manager para instalar los paquetes necesarios. _________________ 28
imagen 51:- Instalacin de los paquetes "Squid" y "SquidGuard". ______________________________ 29
imagen 52: Men del Squid Proxy Server. __________________________________________________ 29
imagen 53: Asignacin de memoria cach para el Proxy. _____________________________________ 29
imagen 54: Asignacin de la subnet en el Proxy _____________________________________________ 30
imagen 55: Activacin del Squid Proxy.____________________________________________________ 30
imagen 56: Men del SquidGuard Proxy Filter ______________________________________________ 30
imagen 57: Creacin de la lista de pginas a bloquear _______________________________________ 31
imagen 58: Aplicacin de las reglas en el Proxy _____________________________________________ 31
imagen 59: Regla aplicada en el Proxy ____________________________________________________ 31
imagen 60: Servicio del Proxy detenido (Stopped) ___________________________________________ 32
imagen 61: Servicio del Proxy Iniciado (Started). ____________________________________________ 32
imagen 62: Asignacin de la direccin IP del Proxy en la Mquina Cliente (Ubuntu). _______________ 32
imagen 63: Ingreso al Buscador de Google para comprobar que hay conexin a Internet ___________ 33
imagen 64: Bloqueo de la pgina "Whatsapp Web" por parte del Proxy _________________________ 33
imagen 65: Creacin de Respaldo ________________________________________________________ 34
imagen 66: Asistente del men de respaldo ________________________________________________ 34
imagen 67: Restaurar un Respaldo _______________________________________________________ 35
5
1. Qu es Pfsense?
Pfsense es una distribucin personalizada de FreeBSD para usarlo en servicios de redes LAN y
WAN tales como firewall, enrutador, y servidor de balanceo de carga; el modelo de desarrollo
de pfsense es de cdigo abierto; Este proyecto naci el ao 2004 por Chris Buechler y Ullrich
Scott en instalaciones para PC y servidores independientemente de su arquitectura. [1] Pfsense
es una herramienta considerada una solucin muy completa y segura orientado a funcionar
como Firewall para ltrar el trco tcp/ip, proporciona adems control de ancho de banda y
priorizacin de paquetes. [2]
6
1.2. Funciones esenciales de Pfsense
Firewall: Pfsense se puede configurar como un cortafuego permitiendo y denegando el trfico
de redes tanto entrante como saliente haciendo filtrado avanzado de paquetes.
Servidor VPN: Pfsense se puede se puede configurar como un servidor VPN usando protocolos
de tunneling tales como IPSec1.
Portal Cautivo: Este servicio consiste en forzar la autenticacin de usuarios redirigindolos a una
pgina especial de autenticacin para aceptar los trminos de uso y as poder tener acceso a la
red. El portal cautivo es usado en accesos inalmbricos de los hoteles, restaurantes, parques.
Servidor DNS y reenviador de cache DNS: Pfsense se puede configurar como un servidor DNS
primario y reenviador de consultas de DNS.
Servidor DHCP: Tambin funciona como servidor de DHCP, se puede tambin implementar
VLAN desde Pfsense. [3]
1
es un conjunto de protocolos cuya funcin es asegurar las comunicaciones sobre el Protocolo de Internet
7
1.3. Iptables sobre Firewall
Un firewall es un dispositivo que filtra el trfico entre redes, como mnimo dos. El firewall puede
ser un dispositivo fsico o un software sobre un sistema operativo. Esa sera la definicin
genrica, hoy en da un firewall es un hardware especifico con un sistema operativo o una IOS
que filtra el trfico TCP/UDP/ICMP/IP y decide si un paquete pasa, se modifica, se convierte o
se descarta.
Dependiendo de las necesidades de cada red, puede ponerse uno o ms firewalls para
establecer distintos permetros de seguridad en torno a un sistema. Los firewalls se pueden usar
en cualquier red. Es habitual tenerlos como proteccin de internet en empresas, tambin suelen
tener una doble funcin: controlar los accesos externos hacia dentro y tambin los internos
hacia el exterior; esto ltimo se hace con el firewall o frecuentemente con un proxy. [4]
8
2. Requerimientos de Pfsense
Pfsense adems de ser un potente cortafuego, exible y una plataforma de enrutamiento
permite ms capacidad de expansin y puede ser instalado en cualquier computador ya sea que
su arquitectura sea de 32 bit o 64 bits
Especificaciones de Pfsense
Hardware Requerimiento Recomendable
Memoria RAM 64 Mb 256 Mb
Procesador (N) 1 2 o ms
Almacenamiento 10 GB 20 GB
Tarjetas de Red (WAN, LAN) (WAN,2 LAN)
Mquina Virtual Virtual Box VMware
Especificaciones de Windows Xp
Hardware Requerimiento Recomendable
Memoria RAM 64 Mb 128 Mb
Procesador (N) 1 2 o ms
Almacenamiento 1,5 GB 20 GB
Tarjetas de Red (WAN) WAN
Mquina Virtual Virtual Box VMware
9
3. Procedimientos de Instalacin
3.1. Preparacin de la mquina virtual Pfsense
Una vez instalado en emulador de Vmware 12 se procede a ejecutarlo dando como resultado
esta ventana que muestra su entorno de trabajo, para lo cual vamos a dar clic en la opcin
create a new virtual Machine
A continuacin, se puede observar una ventana emergente que indica el comienzo de la creacin
de nuestra mquina virtual; sealamos la configuracin tpica y damos clic en siguiente.
10
una vez seleccionada la configuracin vamos a escoger el medio de instalacin para lo cual se
debe tener descargada la ISO de Pfsense; escogemos la opcin Installer disc image file(ISO) Y
damos clic en Browse para cargar la imagen en la ruta que la hayamos guardado; una vez
terminado ese paso le damos clic en next
Se requiere asignar un nombre y ubicacin a la mquina virtual; para luego hacer clic en
siguiente
11
Posteriormente se asignar el tamao en GB que tendr el disco virtual para almacenar el
sistema Pfsense; para lo cual se utiliz el tamao recomendado y clic en siguiente
aqu se encuentra detallado la configuracin general de nuestra mquina virtual Pfsense; sin
embargo, vamos a realizar una configuracin adicional para agregar la otra tarjeta de red que
ser utilizada para la red local entonces le damos clic en Customize Hardware
aqu nos aparece una ventana en donde nos iremos al final y le damos clic en Add. Cuando el
administrador pregunte si queremos agregar un componente se debe dar clic en si
12
Sealamos la opcin Network Adapter y clic en siguiente.
Procedemos a configurar dndole a la VMnet1 que sea para HOST ONLY y clic en finish; luego
damos clic en close para cerrar la ventana de configuracin y finalmente clic en finish para
terminar la creacin de la mquina virtual
13
3.2. Materiales y Mtodos
En este trabajo se pretende hacer uso de una Solucion Open Source que puede ser aplicado a
empresas con la finalidad de Gestionar servicios y Levantar Seguridad a nivel de Informacin,
dando a conocer la flexibilidad de los Sistemas Operativos; para lo cual se ha implementado un
conjunto de configuraciones principales basadas en el modelo jerrquico de Cisco logrando
tener un alto ndice de conocimiento en el tema propuesto; dentro de lo materiales que usamos
tenemos:
Emulador Vmware 12
Mquina virtual (Pfsense)
Mquina virtual (Windows Xp - Administrador)
Mquina Virtual (Windows Server 2012 Servidores)
14
Una vez que inicia el booteo nos aparecern unas pequeas configuraciones, en la cual se van a
cargar archivos necesarios de la instalacin.
15
Una vez terminadas las configuraciones nos aparecer una serie de opciones para configurar el
entorno que usaremos en el servidor, en este caso aceptaremos las configuraciones por defecto,
seleccionaremos la opcin Accept these Settings.
Se nos advierte que se borrara todo el disco duro virtual. Presionamos Enter sobre OK
16
Comienza la instalacin
17
4.2. Configuracin de las Tarjetas de Red de Pfsense
Para esta prctica vamos a proceder a configurar la tarjeta de red eth0 que ser destinada para
la WAN y la eth1 para la red LAN; para lo cual en la consola vamos a seleccionar la opcin nmero
2.
a continuacin, vamos a configurar la tarjeta de red que pertenece a la LAN; asignndole una
direccione ip esttica la cual ser la 192.168.99.1/24; posterior a las siguientes lneas de
comandos presionamos Enter y cuando nos pregunte si queremos configurar la LAN por DHCP
escribimos n y volvemos a presionar Enter
insertamos la opcin 7 para hacer pruebas de ping para ver si tenemos acceso a internet; para
lo cual la tarjeta de red eth0 que es usada para la WAN estar configurada por DHCP; en esta
prueba se va a utilizar los DNS de Google 8.8.8.8
18
4.3. Configuracin de la maquina cliente en Windows Xp
En esta mquina virtual vamos a configurar la conexin de red para poder administrar el Pfsense
desde nuestro Browser; para cual vamos primero a Panel de Control y nos dirigimos a
conexiones de red; y sobre las propiedades vamos trabajar; ahora seleccionamos la opcin
protocolo TCP/IP dando doble clic. Y se observara una ventana emergente donde se proceder
a asignar una ip esttica que sea de la misma familia o pertenezca al segmento de red del
Firewall. Como se muestra en la imagen #32 y clic en aceptar
1 2
una vez terminado este proceso abrimos el navegador y colocamos la ip del Firewall que es la
http://192.168.99.1/ y tendremos la interfaz grfica del Pfsense.
19
4.4. Detalle de las configuraciones en el Firewall y en la maquina cliente
FIREWALL PFSENSE
Interfaz Direccin Ip
WAN(em0) 192.168.211.129
LAN(em1) 192.168.99.1
Tabla 3:Detalle de la configuracin de interfaces en Pfsense
WINDOWS XP
Descripcion Direccin Ip
IP 192168.99.5
MASK 255.255.255.0
PUERTA ENLACE 192.168.99.1
DNS 8.8.8.8
Tabla 4:Conexion de red en Windows Xp
internet
Eth0: 192.168.211.129/24
Eth1: 192.168.99.1/24
Ip: 192.168.99.5/24
Mask: 255.255.255.0
P. enlace: 192.168.99.1/24
En este escenario se pretende demostrar un diagrama de red que da a conocer la manera como
se comunican los equipos a travs del Firewall para lo cual podremos administrarlo en la
mquina virtual de Windows; utilizando las interfaces previamente configuradas en el Pfsense;
sin embargo, este diseo nos ensea cmo est distribuida la red en una empresa en el caso de
que esta sea aplicada como una solucion para Gestionar algunos servicios.
20
4.6. Marco terico
4.6.1. Qu es kernel?
El kernel es el corazn del sistema se encarga de arrancar el sistema y, una vez ste ya es
utilizable por las aplicaciones y los usuarios, gestiona los recursos de la mquina en forma de
gestin de la memoria, sistema de ficheros, entrada/ salida, procesos e intercomunicacin de
procesos. Su origen se remonta al ao 1991, cuando en agosto, un estudiante finlands llamado
Linus Torvalds anunci en una lista que haba creado su propio ncleo de sistema operativo que
funcionaba con un software del proyecto GNU; y lo ofreca a la comunidad de desarrolladores
para que sta lo probara y sugiriera mejoras para una mejor utilizacin.
La otra ventaja principal es que, al disponer de las fuentes, podemos recompilarlas para
adaptarlas mejor a nuestro sistema, y podemos, asimismo, configurar sus parmetros para dar
un mejor rendimiento al sistema. El ncleo o kernel es la parte bsica de cualquier sistema
operativo [7] y en l descansa el cdigo de los servicios fundamentales para controlar el sistema
entero. Bsicamente, su estructura se puede separar en una serie de componentes de gestin
orientados a:
4.6.2. Qu es DNS?
DNS es una abreviatura para Sistema de nombres de dominio (Domain Name System), un
sistema para asignar nombres a equipos y servicios de red que se organiza en una jerarqua de
dominios. La asignacin de nombres DNS se utiliza en las redes TCP/IP, como Internet, para
localizar equipos y servicios con nombres sencillos. Cuando un usuario escriba un nombre DNS
en una aplicacin, los servicios DNS podrn traducir el nombre a otra informacin asociada con
el mismo, como una direccin IP [8]
21
5. Desarrollo de la Practica #2 (Levantar Un Servidor Web)
5.1. Caractersticas de Windows Server 2012
En esta prctica se pretende levantar un servidor Web; que ser administrado para lo cual se
realiz la creacin de una mquina virtual Windows Server 2012 con las siguientes
caractersticas
22
Aceptamos el contrato de licencia; y damos clic en aceptar de esta manera nos aparecer una
ventana con dos opciones:
En nuestro caso, no contamos con un Windows instalado, razn por la cual vamos a elegir la
segunda opcin.
Elegimos el disco donde instalaremos el sistema. Contamos con un solo disco de 80 GB, el cual
no particionaremos y utilizaremos completamente
23
5.3. Levantar Servidor Web IIS en Windows Server 2012
Abrimos el Administrador del servidor y nos dirigimos a la pestaa Administrar damos clic y se
abrir un men desplegable; para lo cual se debe seleccionar la opcin Agregar Roles y
Caractersticas
Luego de ello es importante seleccionar el tipo de instalacin en una mquina virtual para esta
prctica utilizaremos la primera opcin: Instalacin basada en caractersticas o en roles;
posteriormente nos aparecer un cuadro con dos opciones; vamos a marcar seleccionar un
servidor del grupo del grupo de servidores y le damos clic en aceptar. El siguiente paso es
seleccionar el rol que deseamos levantar que ser en esta prctica el Servidor Web IIS.
24
5.4. Configurar Servidor Web IIS
Abrimos el Centro de Recursos compartidos de Red, y nos dirigimos a la opcin Propiedades;
luego de ello nos aparecer los tipos de conexin y vamos a seleccionar Protocolo de Internet
IPv4 (TCP/IP) y le vamos asignar un ip Esttica: 192.168.99.3 que va ser del mismo segmento de
red de nuestra maquina Windows Xp para poder adminstralo y le damos clic en Aceptar.
1 2 3
Desde nuestro Servidor le hacemos un ping de conexin al Firewall Pfsense y vemos que
responde correctamente
25
5.5. Escenario propuesto en la practica
internet
Eth0: 192.168.211.129/24
Eth1: 192.168.99.1/24
Ip: 192.168.99.3/24
Ip: 192.168.99.5/24
Mask: 255.255.255.0
Mask: 255.255.255.0
P. enlace: 192.168.99.1/24
P. enlace: 192.168.99.1/24
En este escenario se pretende Levantar un Servidor Web para poder administrarlo a travs de
nuestro Firewall para lo cual hemos montado nuestro Server en un Windows 2012 ya que
Pfsense no cuenta con este servicio Sin embargo podemos usar la interfaz que nos brinda; y que
se configuraron previamente; para Gestionar El servidor IIS.
26
5.6. Fundamentos tericos
5.6.1. Qu es Servidor Web?
Un servidor Web es un programa que utiliza el protocolo de transferencia de hiper texto, HTTP
(Hypertext Transfer Protocol), para servir los archivos que forman pginas Web a los usuarios,
en respuesta a sus solicitudes, y son reenviados por los clientes HTTP de sus computadoras. Las
computadoras y los dispositivos dedicados tambin pueden denominarse servidores Web. [10]
La principal funcin de un servidor Web es almacenar los archivos de un sitio y emitirlos por
Internet para poder ser visitado por los usuarios. Bsicamente, un servidor Web es una gran
computadora que guarda y transmite datos va Internet. Cuando un usuario entra en una pgina
de Internet su navegador se comunica con el servidor enviando y recibiendo datos que
determinan qu es lo que ve en la pantalla. Por eso decimos que los servidores Web estn para
almacenar y transmitir datos de un sitio segn lo que pida el navegador de un visitante. [11]
27
6. Desarrollo de la Practica #3 (Levantar Un Proxy)
6.1. Ingreso por primera al Pfsense va navegador web
Para empezar con la activacin del Proxy se ingresar al Pfsense desde el navegador web
mediante la direccin IP 192.168.1.1 que fue asignada anteriormente. Cuando se ingresa por
primera vez aparecer una ventana de bienvenida y las distintas ventanas de configuracin, las
cuales se dejarn con los valores que aparecen, ya que la red WAN y LAN estn ya configuradas.
Lo que se debe cambiar es la contrasea, la cual debe ser personalizada.
28
Luego se debe escoger la opcin de Avaladle Packages y aparecer una lista de paquetes
disponibles. Se necesita instalar el paquete squid y squidGuard. Se da clic en el botn de
instalar de los paquetes mencionados, luego en el de confirmar y empezar la descarga e
instalacin de los paquetes.
Figura
imagen 51:- Instalacin de los 3 "Squid" y "SquidGuard".
paquetes
Se debe ingresar primero a la opcin Local Cache para aumentar el tamao que tendr la
memoria cach en el disco duro, se le asigna el valor de 1000.
29
Con el valor asignado, hay que dirigirse a la parte inferior de la pgina y dar clic en el botn
save para guardar los cambios. Se prosigue a la opcin ACLs del men del proxy. Aqu, se
deben agregar las subnets que sern administradas por el proxy, para este caso se ingresar solo
la subnet 192.168.1.0/24 que pertenece a la red LAN.
Se procede a la parte inferior para guardar los cambios. Se continua a la opcin General del
men del proxy, donde se habilitar el proxy, para ello se marca la casilla Enable Squid Proxy.
30
Se da clic en la opcin Target categories, aqu se pueden crear listas o grupos de pginas a las
cuales se desea restringir el acceso. Para ello se da clic en el botn Add que aparece.
Como se ve en la imagen, en la opcin Name se coloca el nombre que tendr el grupo que se
est creando, este nombre no debe contener espacios en blanco. En la opcin Domain List se
debe ingresar las pginas que pertenecern a este grupo, cada direccin debe ir separada de un
espacio y se pueden ingresar las pginas con o sin el www. Se procede a la parte inferior de la
pgina para guardar los cambios. Con el grupo ya creado se debe ir a la opcin Common ACL
del SquidGuard Proxy Filter, aqu se asignan los permisos que tendrn los grupos existentes.
En la opcin Target Rules aparecen las reglas que estn aplicadas, como an no existe ninguna,
aparece en blanco esta opcin. En Target Rules List se da clic en el icono + y se mostrarn
ms opciones, ah es donde se decidir a que grupo se le permite (allow) o deniega (deny) el
acceso. Para est prctica se denegarn los sitios enmarcados en el grupo de Redes_Sociales
que se cre anteriormente. En la opcin Proxy Denied Error se permite ingresar un mensaje
el cual se mostrar al momento en el que el proxy deniegue el acceso a una pgina. En la parte
inferior de la pgina se necesita activar la opcin Log y luego se procede a guardar los cambios.
31
Luego de guardar la configuracin, se muestra la regla aplicada en la opcin de Target Rules
como se muestra en la imagen anterior. Por ltimo, se ingresa en la opcin General settings
del SquidGuard Proxy Filter donde se debe activar el SquidGuard, para ello se marca la casilla
Enable, se da clic en Apply para iniciar el servicio y para finalizar la configuracin se procede
a la parte inferior de la pgina, se da clic en Save para guardar los cambios.
32
Para ello desde el navegador web de la mquina cliente, se ingresar a la opcin de
configuracin avanzada, y en la opcin de conexiones, se procede a asignarle la direccin IP del
proxy, la cual es 192.168.1.1, que es la direccin del Pfsense donde se encuentra alojado el
proxy. Tambin se debe colocar el puerto por el cual trabaja el proxy, en esta prctica se usa el
puerto por defecto que es 3128, luego se da clic en OK para guardar los cambios. Para
verificar el correcto funcionamiento del proxy, se intentar ingresar a uno de los sitios colocados
en el grupo Redes_Sociales. El sitio para realizar la prueba con el proxy ser el de Whatsapp
web. Se verifica que haya conexin a internet.
imagen 63: Ingreso al Buscador de Google para comprobar que hay conexin a Internet
Se ingresa al sitio web antes mencionado y se mostrar un mensaje por parte del navegador
indicando que no se ha podido realizar la conexin, lo que indica que el servicio del proxy se est
ejecutando de manera satisfactoria.
imagen 64: Bloqueo de la pgina "Whatsapp Web" por parte del Proxy
33
7. Desarrollo de la Practica #4 (Crear un Respaldo en Pfsense)
Para una mayor facilidad al momento de reinstalar o de instalar el software en otra mquina y
mantener la misma configuracin sin la necesidad de tener que configurar todo nuevamente,
existen los respaldos, lo cual permite crear una copia de todo lo que se tenga configurado para
poder usarlo en el momento que se necesite. Para realizar un respaldo en Pfsense, se debe ir a
la opcin Diagnostics del men de Pfsense y luego elegir la opcin Backup & Restore.
En el men de Backup & Restore adems de crear respaldos se puede importalos en caso de
ya tener unos creados. Se debe completar las opciones del submen Backup Configuration.
Backup rea: para elegir el rea que se desea respaldar (proxy, Nat, Firewall Rules, etc.).
Skip packages: si se marca esta opcin, no se respaldar informacin sobre los paquetes
que se hayan instalado.
Skip RRD data: cuando esta opcin est marcada, no se har respaldo de las mediciones
que realiza Pfsense como las del uso de cpu, uso de memoria, etc.
Encryption: sirve para encriptar el respaldo que se crea, se pedir una contrasea para
poder crear el respaldo.
Password: contrasea que se debe ingresar.
Una vez se tenga seleccionados los campos deseados se debe dar clic en el botn Download
configuration as XML, se guardar un archivo con extensin .XML en la PC (carpeta de
descargas).
34
7.1. Restaurar un Respaldo en Pfsense (Restore)
Luego de completar las opciones anteriores se procede a dar clic en el botn Restore
Configuration y empezar la restauracin. Pfsense se reiniciar, por lo cual se cerrar
perder la conexin desde el configurador web y se tendr que acceder nuevamente al
mismo una vez termine la restauracin.
35
Referencias
[6] M. Cabrera, Instalando pfSense paso a paso, 23 7 2015. [En lnea]. Available:
http://drivemeca.blogspot.com/2016/03/instalando-pfsense-paso-paso-sin-morir.html.
[ltimo acceso: 4 8 2017].
[9] P. Ariel, Instalacin de Windows Server 2012, 28 7 2016. [En lnea]. Available:
https://www.tectimes.net/instalacion-windows-server-instalacion-de-windows-server-
2012/. [ltimo acceso: 7 8 2017].
[11] D. Reigi, por qu son necesarios los Servidores Web, 23 9 2013. [En lnea]. Available:
https://duplika.com/blog/que-son-los-servidores-web-y-por-que-son-necesarios/.
[ltimo acceso: 13 8 2017].
36