Búsqueda de sitios web

Instalación y configuración del enrutador firewall pfSense 2.4.4


Internet es un lugar aterrador hoy en día. Casi a diario, se produce una nueva violación de seguridad o ransomware de día cero, lo que hace que muchas personas se pregunten si es posible proteger sus sistemas.

Muchas organizaciones gastan cientos de miles, si no millones, de dólares intentando instalar las mejores y más recientes soluciones de seguridad para proteger su infraestructura y sus datos. Sin embargo, los usuarios domésticos se encuentran en desventaja monetaria. Invertir incluso cien dólares en un firewall dedicado suele estar fuera del alcance de la mayoría de las redes domésticas.

Afortunadamente, existen proyectos dedicados en la comunidad de código abierto que están logrando grandes avances en el ámbito de las soluciones de seguridad para usuarios domésticos. Proyectos como IPfire, Snort, Squid y pfSense brindan seguridad a nivel empresarial a precios de productos básicos.

PfSense es una solución de firewall de código abierto basada en FreeBSD. La distribución se puede instalar de forma gratuita en el propio equipo o la empresa detrás de pfSense, NetGate, vende dispositivos de firewall preconfigurados.

El hardware necesario para pfSense es mínimo y, por lo general, una torre doméstica más antigua se puede reutilizar fácilmente para convertirla en un firewall pfSense dedicado. Para aquellos que buscan construir o comprar un sistema más capaz para ejecutar más funciones avanzadas de pfSense, se sugieren algunos mínimos de hardware:

Mínimos de hardware

  • CPU de 500MHz
  • 1 GB de RAM
  • 4GB de almacenamiento
  • 2 tarjetas de interfaz de red

Hardware sugerido

  • Procesador de 1GHz
  • 1 GB de RAM
  • 4GB de almacenamiento
  • 2 o más tarjetas de interfaz de red PCI-e.

Sugerencias serias de hardware para usuarios domésticos (y empresas)

En el caso de que un usuario doméstico desee habilitar muchas de las características y funciones adicionales de pfSense, como Snort, escaneo antivirus, listas negras de DNS, filtrado de contenido web, etc., el hardware recomendado se vuelve un poco más complicado.

Para admitir paquetes de software adicionales en el firewall de pfSense, se recomienda proporcionar el siguiente hardware a pfSense:

  • CPU multinúcleo moderna que funciona al menos a 2,0 GHz
  • 4GB+ de RAM
  • Más de 10 GB de espacio HD
  • 2 o más tarjetas de interfaz de red Intel PCI-e

Instalación de pfSense 2.4.4

En esta sección veremos la instalación de pfSense 2.4.4 (última versión al momento de escribir este artículo).

La configuración del laboratorio

pfSense suele resultar frustrante para los usuarios nuevos en los firewalls. El comportamiento predeterminado de muchos cortafuegos es bloquear todo, bueno o malo. Esto es excelente desde el punto de vista de la seguridad, pero no desde el punto de vista de la usabilidad. Antes de comenzar con la instalación, es importante conceptualizar el objetivo final antes de comenzar las configuraciones.

Descargando pfSense

Independientemente del hardware elegido, instalar pfSense en el hardware es un proceso sencillo, pero requiere que el usuario preste mucha atención a qué puertos de interfaz de red se utilizarán para cada propósito (LAN, WAN, inalámbrico, etc.).

Parte del proceso de instalación implicará solicitar al usuario que comience a configurar las interfaces LAN y WAN. El autor sugiere conectar solo la interfaz WAN hasta que se haya configurado pfSense y luego proceder a finalizar la instalación conectando la interfaz LAN.

El primer paso es obtener el software pfSense en https://www.pfsense.org/download/. Hay un par de opciones diferentes disponibles según el dispositivo y el método de instalación, pero esta guía utilizará el "Instalador de CD (ISO) AMD64".

Usando el menú desplegable en el enlace proporcionado anteriormente, seleccione un espejo apropiado para descargar el archivo.

Una vez que se haya descargado el instalador, se puede grabar en un CD o copiarlo en una unidad USB con la herramienta "dd" incluida en la mayoría de las distribuciones de Linux.

El siguiente proceso es escribir el ISO en una unidad USB para iniciar el instalador. Para lograr esto, use la herramienta 'dd' dentro de Linux. Primero, el nombre del disco debe ubicarse en "lsblk".


lsblk

Con el nombre de la unidad USB determinado como "/dev/sdc", el pfSense ISO se puede escribir en la unidad con la herramienta "dd".


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Importante: El comando anterior requiere privilegios de root, así que utilice 'sudo' o inicie sesión como usuario root para ejecutar el comando. Además, este comando QUITARÁ TODO en la unidad USB. Asegúrese de hacer una copia de seguridad de los datos necesarios.

Instalación de pfSense

Una vez que 'dd' haya terminado de escribir en la unidad USB o se haya grabado el CD, coloque el medio en la computadora que se configurará como firewall pfSense. Inicie esa computadora en ese medio y se presentará la siguiente pantalla.

En esta pantalla, deje que se acabe el temporizador o seleccione 1 para continuar con el inicio en el entorno del instalador. Una vez que el instalador termine de iniciarse, el sistema solicitará cualquier cambio deseado en la distribución del teclado. Si todo se muestra en un idioma nativo, simplemente haga clic en "Aceptar estas configuraciones".

La siguiente pantalla proporcionará al usuario la opción de "Instalación rápida/fácil" u opciones de instalación más avanzadas. Para los fines de esta guía, se sugiere simplemente utilizar la opción "Instalación rápida/fácil".

La siguiente pantalla simplemente confirmará que el usuario desea utilizar el método "Instalación rápida/fácil", que no planteará tantas preguntas durante la instalación.

La primera pregunta que probablemente se presente será sobre qué kernel instalar. Nuevamente, se sugiere instalar el "Kernel estándar" para la mayoría de los usuarios.

Cuando el instalador haya finalizado esta etapa, solicitará un reinicio. Asegúrese de quitar también el medio de instalación para que la máquina no se reinicie con el instalador.

Configuración de pfSense

Después del reinicio y de la extracción del medio CD/USB, pfSense se reiniciará en el sistema operativo recién instalado. De forma predeterminada, pfSense elegirá una interfaz para configurar como interfaz WAN con DHCP y dejará la interfaz LAN sin configurar.

Si bien pfSense tiene un sistema de configuración gráfica basado en web, solo se ejecuta en el lado LAN del firewall, pero por el momento, el lado LAN estará desconfigurado. Lo primero que debe hacer sería configurar una dirección IP en la interfaz LAN.

Para hacer esto, siga estos pasos:

  • Escriba 'n' y presione la tecla 'Entrar' cuando se le pregunte acerca de las VLAN.
  • Escriba el nombre de la interfaz registrado en el paso uno cuando se le solicite la interfaz WAN o cambie a la interfaz adecuada ahora. Nuevamente en este ejemplo, 'em0' es la interfaz WAN, ya que será la interfaz frente a Internet.
  • El siguiente mensaje le pedirá la interfaz LAN, escriba nuevamente el nombre de la interfaz adecuada y presione la tecla 'Entrar'. En esta instalación, ‘em1’ es la interfaz LAN.
  • pfSense seguirá solicitando más interfaces si están disponibles, pero si se han asignado todas las interfaces, simplemente presione la tecla 'Entrar' nuevamente.
  • pfSense ahora le pedirá que se asegure de que las interfaces estén asignadas correctamente.

  • Si las interfaces son correctas, escriba 'y' y presione la tecla 'Enter'.

  • El siguiente paso será asignar a las interfaces la configuración IP adecuada. Después de que pfSense regrese a la pantalla principal, escriba '2' y presione la tecla 'Entrar'. (Asegúrese de realizar un seguimiento de los nombres de las interfaces asignadas a las interfaces WAN y LAN).

    *NOTA* Para esta instalación, la interfaz WAN puede usar DHCP sin ningún problema, pero puede haber casos en los que se requiera una dirección estática. El proceso para configurar una interfaz estática en la WAN sería el mismo que el de la interfaz LAN que está a punto de configurarse.

    Escriba '2' nuevamente cuando se le solicite en qué interfaz configurar la información de IP. Nuevamente 2 es la interfaz LAN en este tutorial.

    Cuando se le solicite, escriba la dirección IPv4 deseada para esta interfaz y presione la tecla 'Entrar'. Esta dirección no debe usarse en ningún otro lugar de la red y probablemente se convertirá en la puerta de enlace predeterminada para los hosts que se conectarán a esta interfaz.

    El siguiente mensaje le pedirá la máscara de subred en lo que se conoce como formato de máscara de prefijo. Para este ejemplo de red, se utilizará una simple /24 o 255.255.255.0. Pulsa la tecla "Entrar" cuando hayas terminado.

    La siguiente pregunta será sobre una “Puerta de enlace IPv4 ascendente”. Dado que la interfaz LAN ya está configurada, simplemente presione la tecla "Entrar".

    El siguiente mensaje le pedirá que configure IPv6 en la interfaz LAN. Esta guía simplemente utiliza IPv4, pero si el entorno requiere IPv6, se puede configurar ahora. De lo contrario, simplemente presionar la tecla "Enter" continuará.

    La siguiente pregunta será sobre cómo iniciar el servidor DHCP en la interfaz LAN. La mayoría de los usuarios domésticos deberán habilitar esta función. Nuevamente, es posible que sea necesario ajustar esto según el entorno.

    Esta guía supone que el usuario querrá que el firewall proporcione servicios DHCP y asignará 51 direcciones para que otras computadoras obtengan una dirección IP del dispositivo pfSense.

    La siguiente pregunta será revertir la herramienta web de pfSense al protocolo HTTP. Se recomienda NO hacer esto ya que el protocolo HTTPS proporcionará cierto nivel de seguridad para evitar la divulgación de la contraseña de administrador de la herramienta de configuración web.

    Una vez que el usuario presiona "Entrar", pfSense guardará los cambios de la interfaz e iniciará los servicios DHCP en la interfaz LAN.

    Tenga en cuenta que pfSense proporcionará la dirección web para acceder a la herramienta de configuración web a través de una computadora conectada en el lado LAN del dispositivo firewall. Con esto concluyen los pasos de configuración básicos para preparar el dispositivo firewall para más configuraciones y reglas.

    Se accede a la interfaz web a través de un navegador web navegando hasta la dirección IP de la interfaz LAN.

    La información predeterminada para pfSense al momento de escribir este artículo es la siguiente:

    
    Username: admin
    Password: pfsense
    

    Después de iniciar sesión exitosamente a través de la interfaz web por primera vez, pfSense ejecutará una configuración inicial para restablecer la contraseña de administrador.

    El primer mensaje es registrarse en la suscripción pfSense Gold, que tiene beneficios como copia de seguridad automática de la configuración, acceso a los materiales de capacitación de pfSense y reuniones virtuales periódicas con los desarrolladores de pfSense. No es necesario comprar una suscripción Gold y se puede omitir el paso si lo desea.

    El siguiente paso solicitará al usuario más información de configuración para el firewall, como el nombre de host, el nombre de dominio (si corresponde) y los servidores DNS.

    El siguiente mensaje será configurar el Protocolo de hora de red, NTP. Las opciones predeterminadas se pueden dejar a menos que se deseen servidores de hora diferentes.

    Después de configurar NTP, el asistente de instalación de pfSense le pedirá al usuario que configure la interfaz WAN. pfSense admite múltiples métodos para configurar la interfaz WAN.

    El valor predeterminado para la mayoría de los usuarios domésticos es utilizar DHCP. DHCP del proveedor de servicios de Internet del usuario es el método más común para obtener la configuración IP necesaria.

    El siguiente paso solicitará la configuración de la interfaz LAN. Si el usuario está conectado a la interfaz web, es probable que la interfaz LAN ya haya sido configurada.

    Sin embargo, si es necesario cambiar la interfaz LAN, este paso permitiría realizar cambios. Asegúrese de recordar cuál está configurada la dirección IP de la LAN, ya que así es como
    ¡El administrador accederá a la interfaz web!

    Como ocurre con todo lo relacionado con el mundo de la seguridad, las contraseñas predeterminadas representan un riesgo de seguridad extremo. La siguiente página le pedirá al administrador que cambie la contraseña predeterminada para el usuario "admin" en la interfaz web de pfSense.

    El último paso consiste en reiniciar pfSense con las nuevas configuraciones. Simplemente haga clic en el botón "Recargar".

    Después de que pfSense se recargue, presentará al usuario una pantalla final antes de iniciar sesión en la interfaz web completa. Simplemente haga clic en el segundo "Haga clic aquí" para iniciar sesión en la interfaz web completa.

    ¡Por fin pfSense está activo y listo para configurar las reglas!

    Ahora que pfSense está en funcionamiento, el administrador deberá revisar y crear reglas para permitir el tráfico adecuado a través del firewall. Cabe señalar que pfSense tiene una regla predeterminada para permitir todo. Por motivos de seguridad, esto debería cambiarse, pero nuevamente es una decisión del administrador.

    Leer también: Instalar y configurar pfBlockerNg para la lista negra de DNS en pfSense Firewall

    ¡Gracias por leer este artículo de TecMint sobre la instalación de pfSense! Estén atentos a futuros artículos sobre la configuración de algunas de las opciones más avanzadas disponibles en pfSense.