Instalación y configuración de pfSense 2.4.4 Firewall Router


El Internet es un lugar de miedo en estos días. Casi a diario, se produce un nuevo día cero, una brecha de seguridad o un ransomware, lo que hace que muchas personas se pregunten si es posible proteger sus sistemas.

Muchas organizaciones gastan cientos de miles, si no millones, de dólares tratando de instalar las últimas y mejores soluciones de seguridad para proteger su infraestructura y datos. Sin embargo, los usuarios domésticos están en desventaja monetaria. Invertir incluso cien dólares en un firewall dedicado a menudo está fuera del alcance de la mayoría de las redes domésticas.

Afortunadamente, hay proyectos dedicados en la comunidad de código abierto que están haciendo grandes avances en el ámbito de las soluciones de seguridad para usuarios domésticos. ¡Todos los proyectos como IPfire, Snort, Squid y pfSense brindan seguridad a nivel empresarial a precios de productos básicos!

PfSense es una solución de firewall de código abierto basada en FreeBSD. La distribución es gratuita para instalar en el propio equipo o la compañía detrás de pfSense, NetGate, vende dispositivos de firewall preconfigurados.

El hardware requerido para pfSense es mínimo y, por lo general, una torre doméstica más antigua se puede volver a utilizar fácilmente en un Firewall pfSense dedicado. Para aquellos que buscan construir o comprar un sistema más capaz para ejecutar más funciones avanzadas de pfSense, hay algunos mínimos de hardware sugeridos:

  • 500 mhz CPU
  • 1 GB of RAM
  • 4GB of storage
  • 2 network interface cards
  • 1GHz CPU
  • 1 GB of RAM
  • 4GB of storage
  • 2 or more PCI-e network interface cards.

En el caso de que un usuario doméstico desee activar muchas de las funciones y funciones adicionales de pfSense, como Snort , Anti-Virus , listas negras de DNS, filtrado de contenido web, etc el hardware recomendado se vuelve un poco más complicado.

Para admitir los paquetes de software adicionales en el firewall pfSense, se recomienda que se proporcione el siguiente hardware a pfSense:

  • Modern multi-core CPU running at least 2.0 GHz
  • 4GB+ of RAM
  • 10GB+ of HD space
  • 2 or more Intel PCI-e network interface cards

Instalación de pfSense 2.4.4

En esta sección, veremos la instalación de pfSense 2.4.4 (última versión en el momento de escribir este artículo).

pfSense es a menudo frustrante para los usuarios nuevos a los cortafuegos. El comportamiento predeterminado para muchos cortafuegos es bloquear todo, bueno o malo. Esto es excelente desde un punto de vista de seguridad pero no desde un punto de vista de usabilidad. Antes de comenzar con la instalación, es importante conceptualizar el objetivo final antes de comenzar las configuraciones.

Independientemente del hardware elegido, la instalación de pfSense en el hardware es un proceso sencillo, pero requiere que el usuario preste mucha atención a los puertos de interfaz de red que se utilizarán para cada propósito (LAN, WAN, Wireless, etc.).

Parte del proceso de instalación incluirá pedir al usuario que comience a configurar las interfaces LAN y WAN. El autor sugiere solo conectar la interfaz WAN hasta que pfSense se haya configurado y luego proceder a finalizar la instalación conectando la interfaz LAN.

noreferrer href = https: //www.pfsense.org/download/ target = _blank> https://www.pfsense.org/download/. Hay un par de opciones diferentes disponibles según el dispositivo y el método de instalación, pero esta guía utilizará el " Instalador de CD (ISO) AMD64 ".

Usando los menús desplegables en el enlace proporcionado anteriormente, seleccione un espejo apropiado para descargar el archivo.

Una vez que se ha descargado el instalador, se puede grabar en un CD o se puede copiar en una unidad USB con la herramienta ‘ dd ’ incluida en la mayoría de las distribuciones de Linux.

El siguiente proceso es escribir el ISO en una unidad USB para iniciar el instalador. Para lograr esto, use la herramienta ‘ dd ’ dentro de Linux. Primero, el nombre del disco debe ubicarse con 'lsblk' sin embargo.

$ lsblk

Con el nombre de la unidad USB determinado como ‘/dev/sdc ’, pfSense ISO se puede escribir en la unidad con la herramienta ‘ dd ’.

$ gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
$ dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Una vez que ‘ dd ’ haya terminado de escribir en la unidad USB o se haya grabado el CD, coloque los medios en la computadora que se configurará como el firewall pfSense. Arranque esa computadora en ese medio y aparecerá la siguiente pantalla.

En esta pantalla, deje que el temporizador se agote o seleccione 1 para continuar con el arranque en el entorno del instalador. Una vez que el instalador termina de iniciarse, el sistema solicitará los cambios deseados en la distribución del teclado. Si todo se muestra en un idioma nativo, simplemente haga clic en " Aceptar estas configuraciones ".

La siguiente pantalla le brindará al usuario la opción de ‘ Instalación rápida/fácil 'o más opciones avanzadas de instalación. Para los fines de esta guía, se sugiere simplemente usar la opción ‘ Instalación rápida/fácil ’.

La siguiente pantalla simplemente confirmará que el usuario desea utilizar el método ‘ Instalación rápida/fácil ’ que no hará tantas preguntas durante la instalación.

La primera pregunta que probablemente se presentará preguntará qué kernel instalar. De nuevo, se sugiere que se instale el ‘ Kernel estándar ’ para la mayoría de los usuarios.

Cuando el instalador haya finalizado esta etapa, solicitará un reinicio. Asegúrese de quitar el medio de instalación también para que la máquina no vuelva a iniciarse en el instalador.

Configuración de pfSense

Después del reinicio , y la extracción del CD/dispositivo USB, pfSense se reiniciará en el sistema operativo recién instalado. De forma predeterminada, pfSense elegirá una interfaz para configurarla como la interfaz WAN con DHCP y dejará la interfaz LAN sin configurar.

Si bien pfSense tiene un sistema de configuración gráfica basado en web, solo se ejecuta en el lado LAN del firewall, pero en este momento, el lado LAN no estará configurado. Lo primero que debe hacer es configurar una dirección IP en la interfaz LAN.

Para hacer esto, siga estos pasos:

  • Take note of which interface name is the WAN interface (em0 above).
  • Enter ‘1’ and press the ‘Enter’ key.
  • Type ‘n’ and press the ‘Enter’ key when asked about VLANs.
  • Type in the interface name recorded in step one when prompted for the WAN interface or change to the proper interface now. Again this example, ‘em0’ is the WAN interface as it will be the interface facing the Internet.
  • The next prompt will ask for the LAN interface, again type the proper interface name and hit the ‘Enter’ key. In this install, ‘em1’ is the LAN interface.
  • pfSense will continue to ask for more interfaces if they are available but if all interfaces have been assigned, simply hit the ‘Enter’ key again.
  • pfSense will now prompt to ensure that the interfaces are assigned properly.

El siguiente paso será asignar a las interfaces la configuración IP adecuada. Después de que pfSense regrese a la pantalla principal, escriba ‘2’ y presione la tecla ‘Enter’ . (Asegúrese de mantener un registro de los nombres de interfaz asignados a las interfaces WAN y LAN).

Escriba ‘2’ nuevamente cuando se le solicite qué interfaz establece la información de IP. De nuevo 2 es la interfaz LAN en este recorrido.

Cuando se le solicite, escriba la dirección IPv4 deseada para esta interfaz y presione la tecla "Entrar" . Esta dirección no debe usarse en ningún otro lugar de la red y probablemente se convertirá en la puerta de enlace predeterminada para los hosts que se conectarán a esta interfaz.

El siguiente indicador solicitará la máscara de subred en lo que se conoce como formato de máscara de prefijo. Para este ejemplo de red, se utilizará un simple /24 o 255.255.255.0 . Presiona la tecla ‘ Enter ’ cuando hayas terminado.

La siguiente pregunta le preguntará acerca de una ‘ Puerta de enlace IPv4 ascendente ’. Dado que la interfaz LAN está actualmente configurada, simplemente presione la tecla ‘ Ingresar ’.

El siguiente indicador le pedirá que configure IPv6 en la interfaz LAN. Esta guía simplemente utiliza IPv4, pero si el entorno requiere IPv6, se puede configurar ahora. De lo contrario, simplemente presionando la tecla ‘ Entrar ’ continuará.

La siguiente pregunta le preguntará acerca de cómo iniciar el servidor DHCP en la interfaz LAN. La mayoría de los usuarios domésticos deberán habilitar esta función. De nuevo, esto puede necesitar ser ajustado dependiendo del ambiente.

Esta guía supone que el usuario querrá que el firewall brinde servicios DHCP y asignará 51 direcciones para que otras computadoras obtengan una dirección IP del dispositivo pfSense.

La siguiente pregunta pedirá revertir la herramienta web de pfSense al protocolo HTTP. Se recomienda encarecidamente NO hacer esto, ya que el protocolo HTTPS proporcionará cierto nivel de seguridad para evitar la divulgación de la contraseña de administrador para la herramienta de configuración web.

Una vez que el usuario pulsa " Intro ", pfSense guardará los cambios de la interfaz e iniciará los servicios DHCP en la interfaz LAN.

Tenga en cuenta que pfSense proporcionará la dirección web para acceder a la herramienta de configuración web a través de una computadora conectada al lado LAN del dispositivo de firewall. Esto concluye los pasos básicos de configuración para que el dispositivo de firewall esté listo para más configuraciones y reglas.

Se accede a la interfaz web a través de un navegador web navegando a la dirección IP de la interfaz LAN.

La información predeterminada para pfSense en el momento de esta escritura es la siguiente:

Username: admin
Password: pfsense

Después de un inicio de sesión exitoso a través de la interfaz web por primera vez, pfSense ejecutará una configuración inicial para restablecer la contraseña de administrador.

El primer mensaje es para un registro en la Suscripción pfSense Gold que tiene beneficios como la copia de seguridad de configuración automática, el acceso a los materiales de capacitación de pfSense y las reuniones virtuales periódicas con los desarrolladores de pfSense. No se requiere la compra de una suscripción Gold y, si lo desea, puede omitir el paso.

El siguiente paso solicitará al usuario más información de configuración para el firewall, como el nombre de host, el nombre de dominio (si corresponde) y los servidores DNS.

El siguiente aviso será configurar Protocolo de tiempo de red , NTP . Las opciones predeterminadas se pueden dejar a menos que se deseen diferentes servidores de tiempo.

Después de configurar NTP, el asistente de instalación pfSense solicitará al usuario que configure la interfaz WAN. pfSense soporta múltiples métodos para configurar la interfaz WAN.

El valor predeterminado para la mayoría de los usuarios domésticos es utilizar DHCP. El DHCP del proveedor de servicios de Internet del usuario es el método más común para obtener la configuración IP necesaria.

El siguiente paso solicitará la configuración de la interfaz LAN. Si el usuario está conectado a la interfaz web, es probable que la interfaz LAN ya haya sido configurada.

administrador tendrá acceso a la interfaz web!

Al igual que con todas las cosas en el mundo de la seguridad, las contraseñas predeterminadas representan un riesgo de seguridad extremo. La siguiente página le pedirá al administrador que cambie la contraseña predeterminada del usuario " admin " a la interfaz web de pfSense.

El último paso consiste en reiniciar pfSense con las nuevas configuraciones. Simplemente haga clic en el botón ‘ Recargar ’.

Después de que pfSense se vuelva a cargar, presentará al usuario una pantalla final antes de iniciar sesión en la interfaz web completa. Simplemente haga clic en el segundo ‘ Haga clic aquí ’ para iniciar sesión en la interfaz web completa.

¡Por fin pfSense está listo y listo para tener reglas configuradas!

Ahora que pfSense está en funcionamiento, el administrador deberá seguir y crear reglas para permitir el tráfico adecuado a través del firewall. Se debe tener en cuenta que pfSense tiene una regla predeterminada de permitir todo. Por motivos de seguridad, esto debe cambiarse, pero nuevamente es una decisión del administrador.

¡Gracias por leer este artículo TecMint sobre la instalación de pfSense! Manténgase atento a futuros artículos sobre la configuración de algunas de las opciones más avanzadas disponibles en pfSense.