Búsqueda de sitios web

Cómo instalar y configurar el firewall básico de OpnSense


En un artículo anterior, se analizó una solución de firewall conocida como PfSense. A principios de 2015, se tomó la decisión de bifurcar PfSense y se lanzó una nueva solución de firewall llamada OpnSense.

OpnSense comenzó su vida como una simple bifurcación de PfSense pero ha evolucionado hasta convertirse en una solución de firewall totalmente independiente. Este artículo cubrirá la instalación y configuración inicial básica de una nueva instalación de OpnSense.

Al igual que PfSense, OpnSense es una solución de firewall de código abierto basada en FreeBSD. La distribución se puede instalar de forma gratuita en el propio equipo o la empresa Decisio vende dispositivos de firewall preconfigurados.

OpnSense tiene un conjunto mínimo de requisitos y una típica torre doméstica antigua se puede configurar fácilmente para que funcione como un firewall OpnSense. Las especificaciones mínimas sugeridas son las siguientes:

Mínimos de hardware

  • CPU de 500 megaciclos
  • 1 GB de RAM
  • 4 GB de almacenamiento
  • 2 tarjetas de interfaz de red

Hardware sugerido

  • Procesador de 1GHz
  • 1 GB de RAM
  • 4 GB de almacenamiento
  • 2 o más tarjetas de interfaz de red PCI-e.

Si el lector desea utilizar algunas de las funciones más avanzadas de OpnSense (Suricata, ClamAV, servidor VPN, etc.), el sistema debería contar con un mejor hardware.

Cuantos más módulos desee habilitar el usuario, más espacio RAM/CPU/Drive deberá incluirse. Se sugiere que se cumplan los siguientes mínimos si hay planes para habilitar módulos avanzados en OpnSense.

  • CPU multinúcleo moderna que funciona al menos a 2,0 GHz
  • 4GB+ de RAM
  • Más de 10 GB de espacio HD
  • 2 o más tarjetas de interfaz de red Intel PCI-e

Instalación y configuración del firewall OpnSense

Independientemente del hardware elegido, instalar OpnSense es un proceso simple, pero requiere que el usuario preste mucha atención a qué puertos de interfaz de red se utilizarán y para qué propósito (LAN, WAN, inalámbrico, etc.).

Parte del proceso de instalación implicará solicitar al usuario que comience a configurar las interfaces LAN y WAN. El autor sugiere conectar solo la interfaz WAN hasta que se haya configurado OpnSense y luego proceder a finalizar la instalación conectando la interfaz LAN.

Descargando el cortafuegos OpnSense

El primer paso es obtener el software OpnSense y hay un par de opciones diferentes disponibles según el dispositivo y el método de instalación, pero esta guía utilizará 'OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2'.

La ISO se obtuvo usando el siguiente comando:

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Una vez descargado el archivo, es necesario descomprimirlo utilizando la herramienta bunzip de la siguiente manera:

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Una vez que el instalador se haya descargado y descomprimido, se puede grabar en un CD o se puede copiar en una unidad USB con la herramienta 'dd'< incluido en la mayoría de las distribuciones de Linux.

El siguiente proceso es escribir el ISO en una unidad USB para iniciar el instalador. Para lograr esto, use la herramienta 'dd' dentro de Linux.

Primero, el nombre del disco debe ubicarse en 'lsblk'.

lsblk

Con el nombre de la unidad USB determinado como '/dev/sdc', el OpnSense ISO se puede escribir en la unidad con el >herramienta 'dd'.

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Nota: El comando anterior requiere privilegios de root, así que utilice ‘sudo’ o inicie sesión como usuario root para ejecutar el comando. Además, este comando QUITARÁ TODO en la unidad USB. Asegúrese de hacer una copia de seguridad de los datos necesarios.

Instalación del cortafuegos OpnSense

Una vez que dd haya terminado de escribir en la unidad USB, coloque el medio en la computadora que se configurará como el firewall opnsense. Inicie esa computadora en ese medio y se presentará la siguiente pantalla.

Para continuar con el instalador, simplemente presione la tecla 'Entrar'. Esto iniciará OpnSense en el modo en vivo, pero existe un usuario especial para instalar OpnSense en los medios locales.

Cuando el sistema arranca con el mensaje de inicio de sesión, utilice el nombre de usuario de ‘installer’ con una contraseña de ‘opnsense’.

El medio de instalación iniciará sesión e iniciará el instalador de OpnSense real. PRECAUCIÓN: Si continúa con los siguientes pasos, se borrarán todos los datos del disco duro del sistema. Proceda con precaución o salga del instalador.

Al presionar la tecla 'Entrar' se iniciará el proceso de instalación. El primer paso es seleccionar el mapa de teclas. Es probable que el instalador detecte el mapa de teclas adecuado de forma predeterminada. Revise el mapa de teclas seleccionado y corríjalo según sea necesario.

La siguiente pantalla proporcionará algunas opciones para la instalación. Si el usuario desea realizar una partición avanzada o importar una configuración desde otro cuadro de OpnSense, esto se puede lograr en este paso. Esta guía asume una instalación nueva y seleccionará la opción "Instalación guiada".

La siguiente pantalla mostrará los dispositivos de almacenamiento reconocidos para la instalación.

Una vez seleccionado el dispositivo de almacenamiento, el usuario deberá decidir qué esquema de partición utilizará el instalador (MBR o GPT/EFI).

La mayoría de los sistemas modernos admitirán GPT/EFI, pero si el usuario está reutilizando una computadora más antigua, MBR puede ser la única opción compatible. Verifique en la configuración del BIOS del sistema para ver si es compatible con EFI/GPT.

Una vez elegido el esquema de partición, el instalador comenzará los pasos de instalación. El proceso no lleva mucho tiempo y solicitará al usuario información periódicamente, como la contraseña del usuario root.

Una vez que el usuario haya establecido la contraseña del usuario root, la instalación se completará y el sistema deberá reiniciarse para poder configurar la instalación. Cuando el sistema se reinicie, debería iniciarse automáticamente en la instalación de OpnSense (asegúrese de quitar el medio de instalación cuando se reinicie la máquina).

Cuando el sistema se reinicie, se detendrá en el mensaje de inicio de sesión de la consola y esperará a que el usuario inicie sesión.

Ahora bien, si el usuario estuvo prestando atención durante la instalación, es posible que haya notado que pudo haber preconfigurado las interfaces durante la instalación. Sin embargo, supongamos para este artículo que las interfaces no se asignaron durante la instalación.

Después de iniciar sesión con el usuario root y la contraseña configurados durante la instalación, se puede observar que OpnSense solo utilizó una de las tarjetas de interfaz de red (NIC) en esta máquina. En la imagen de abajo se llama “LAN (em0)”.

OpnSense utilizará de forma predeterminada la red estándar “192.168.1.1/24 ” para la LAN. Sin embargo, en la imagen de arriba, falta la interfaz WAN. Esto se corrige fácilmente escribiendo ‘1’ en el mensaje y presionando Enter.

Esto permitirá la reasignación de las NIC en el sistema. Observe en la siguiente imagen que hay dos interfaces disponibles: 'em0' y 'em1'.

El asistente de configuración también permitirá configuraciones muy complejas con VLAN, pero por ahora, esta guía asume una configuración básica de dos redes; (es decir, un lado WAN/ISP y un lado LAN).

Ingrese 'N' para no configurar ninguna VLAN en este momento. Para esta configuración en particular, la interfaz WAN es 'em0' y la interfaz LAN es 'em1' como se ve a continuación.

Confirme los cambios en las interfaces escribiendo 'Y' en el mensaje. Esto hará que OpnSense recargue muchos de sus servicios para reflejar los cambios en la asignación de la interfaz.

Una vez hecho esto, conecte una computadora con un navegador web a la interfaz del lado LAN. La interfaz LAN tiene un servidor DHCP que escucha en la interfaz a los clientes para que la computadora pueda obtener la información de dirección necesaria para conectarse a la página de configuración web de OpnSense.

Una vez que la computadora esté conectada a la interfaz LAN, abra un navegador web y navegue hasta la siguiente URL: http://192.168.1.1.

Para iniciar sesión en la consola web; utilice el nombre de usuario ‘root’ y la contraseña que se configuró durante el proceso de instalación. Una vez que haya iniciado sesión, se completará la parte final de la instalación.

El primer paso del instalador se utiliza simplemente para recopilar más información, como el nombre de host, el nombre de dominio y los servidores DNS. La mayoría de los usuarios pueden dejar seleccionada la opción "Anular DNS".

Esto permitirá que el firewall OpnSense obtenga información DNS del ISP a través de la interfaz WAN.

La siguiente pantalla le solicitará servidores NTP. Si el usuario no tiene sus propios sistemas NTP, OpnSense proporcionará un conjunto predeterminado de grupos de servidores NTP.

La siguiente pantalla es la configuración de la interfaz WAN. La mayoría de los ISP para usuarios domésticos utilizarán DHCP para proporcionar a sus clientes la información de configuración de red necesaria. Simplemente dejando el tipo seleccionado como 'DHCP' le indicará a OpnSense que intente recopilar su configuración del lado WAN del ISP.

Desplácese hasta la parte inferior de la pantalla de configuración de WAN para continuar. ***Nota*** en la parte inferior de esta pantalla hay dos reglas predeterminadas para bloquear rangos de red que generalmente no deberían verse ingresando a la interfaz WAN. Se recomienda dejarlos marcados a menos que exista una razón conocida para permitir estas redes a través de la interfaz WAN.

La siguiente pantalla es la pantalla de configuración de LAN. La mayoría de los usuarios pueden simplemente dejar los valores predeterminados. Tenga en cuenta que hay rangos de red especiales que se deben utilizar aquí, comúnmente conocidos como RFC 1918. ¡Asegúrese de dejar el valor predeterminado o elija un rango de red dentro del rango RFC1918 para evitar conflictos/problemas!

La pantalla final de la instalación le preguntará si el usuario desea actualizar la contraseña de root. Esto es opcional, pero si no se creó una contraseña segura durante la instalación, ¡ahora sería un buen momento para corregir el problema!

Una vez pasada la opción de cambio de contraseña, OpnSense le pedirá al usuario que vuelva a cargar los ajustes de configuración. Simplemente haga clic en el botón 'Recargar' y déle a OpnSense un segundo para actualizar la configuración y la página actual.

Cuando todo esté hecho, OpnSense dará la bienvenida al usuario. Para volver al panel principal, simplemente haga clic en "Panel de control" en la esquina superior izquierda de la ventana del navegador web.

En este punto, el usuario será llevado al panel principal y podrá continuar instalando/configurando cualquiera de los complementos o funcionalidades útiles de OpnSense. El autor recomienda verificar y actualizar el sistema si hay actualizaciones disponibles. Simplemente haga clic en el botón "Haga clic para buscar actualizaciones" en el panel principal.

Luego, en la siguiente pantalla, se puede usar "Buscar actualizaciones" para ver una lista de actualizaciones, o se puede usar "Actualizar ahora" para simplemente aplicar las actualizaciones disponibles.

En este punto, una instalación básica de OpnSense debería estar en funcionamiento y completamente actualizada. En artículos futuros, se cubrirá la agregación de enlaces y el enrutamiento entre VLAN para mostrar más capacidades avanzadas de OpnSense.