Instalación y Configuración de Firewall bajo
Linux BSD – Monografias.com
Instalación y
Configuración de Firewall bajo Linux BSD
En este capitulo veremos como instalar y
realizar configuraciones básicas de un firewall con ruteo,
y la opción de poder filtrar puertos, tanto entrantes como
saliente.
Pfsense, es una distribución basada
en Linux BSD que esta destinada a cumplir la función de
router/firewall, con la capacidad de instalar otro tipos de
paquetes, como por ejemplo Squid/Squid3 .
La instalación de esta
distribución es muy sencilla, por lo que no vamos a
profundizar en esto. En primer lugar debemos descargar la Imagen
ISO del sistema operativo ( http://www.pfsense.org ), arrancar
nuestro pc, y ya entramos en la consola de administración.
Solo hay que decirle que aceptamos los parámetros por
defecto y que utilice todo el disco.
Como requisito fundamentar es que cuando
arranquemos el equipo, nos va a pedir como mínimo 2 placas
de red, una WAN y otra LAN, en la configuración podemos
setear los parámetros de nuestro servidor DHCP
LAN.
Luego de configurar estas cuestiones vamos
a poder entrar a la administración WEB, por defecto es
http://192.168.1.1 con el usuario "admin", y contraseña
"pfsense".
No nos apuremos ya que veremos como ir
aumentando nuestra seguridad.
Paso 1 :
Accesso
pfsense_1_1 (imagen
1)
Aquí tenemos la interfaz web de
administración junto a una consola de
administración, en lo que vamos a ver en el servidor, en
este caso me conecte vía SSH habilitado con la
opción 14.
Desde el servidor Web escrito php vamos a
iniciar la configuración de Pfsense, observando en
Firewall ( Rules , que viene todo habilitado por defecto, es
decir conexiones entrantes y salientes
Paso 2 : Reglas
Salientes
pfsense_2_1 (imagen
2)
En este paso vamos a filtrar todos los
puertos salientes de cada host o pc a la Interface WAN. Es decir
toda nuestra red, en este caso, va a poder solamente navegar por
paginas http/https haciendo con consuldas DNS por UDP.
Primero deshabilitar la regla por defecto
(click en el icono verde de play) o simplemente tildar e ir a la
cruz del lado derecho de nuestra pantalla.
Luego, ir al icono [+], aquí
seleccionamos:
1) Interface : LAN
3) Source : Lan Subnet
4) Destination Port : 80 (en este
caso, se pueden elegir desde el submenú)5) Description : Algo que
identifique la regla a modo comentario
El resto de las cosas van por defaulto,
observar que se puede aplicar la regla según el Sistema
Operativo Host.
Paso 3 : Reglas
Entrantes
pfsense_3_1 (imagen
3)
Aquí la misma metodología que
el PASO 2, Firewall ( NAT:
1) Interface : WAN
2) Destingatio por Range : Puerto
por el cual queremos ingresar3) Redirect target IP : IP del
Host que deseamos acceder4) Redirect target Port : Puerto
que esta a la escucha ese host
Una vez configurado el NAT, nos creara la
regla en la Interface WAN, aquí una buena practica, es
cambiar el puerto de acceso, es decir, si queremos acceder a un
Servidor de Ftp, ingresar desde la WAN, mediando un puerto alto
(ej. 22021) y el Pfsense se encargara de llevarnos a puerto 21
del host.
Aquí vemos otras reglas creadas para
el acceso remoto a la Web de Pfsense.
Paso 4 : Acceso
Seguro
pfsense_4_1 (imagen
4)
Para configurar un acceso seguro al
servidor, System ( Advance, aquí elegimos el Protocolo
HTTPS junto a un puerto alto, asi los escaneos de red
demorarían es dar con este servicio. Luego podemos
habilitar el acceso remoto por SSH con la misma seguridad. Por
ultimo, una opción que utilizamos mucho, es en "Console
Opcion", tildar la única opción, para que solo los
usuario permitidos puedan ingresar a este Firewall.
Paso 5 : Seguridad
DHCP
pfsense_5_1 (imagen
5)
Aquí podemos fijar las IP de
nuestros host, para luego poder adoptar una política de
filtros, y demás. Solo debemos ir a Status ( DHCP Leases y
veremos las maquinas activas o un histórico de
validación, en el icono [+], no llevara a realizar este
paso, ingresando la IP deseada, y una descripción. Luego
vamos a las configuración en Sevices ( DHCP Server, y
veremos los hosts agregados. Una opción Segura el Tildar
"Deny Unknown Clients", es decir, cualquier host no ingresado en
esta lista, no se le asignara IP, por ende no accederá a
ningún recurso.
Paso 6 : Rutinas de
Acceso
pfsense_6_1 (imagen
6)
Para configurar un esquema de accesos
debemos ir a Firewall ( Schedules [+]
Donde le pondremos nombre y
descripción. Luego marcarmos días (para seleccionar
ej, todos los lunes, hacer click en Mon), para finalizar el
horario y "add time" para ver el equema debajo. Luego podemos
hacer uso del mismo al configurar una Regla en Paso 2 o 3 , para
por ejemplo acceder a los NAT en el horario seleccionado, y luego
se cierren los puestos. En este caso solo se permitirán el
uso, todos los días de 8am a 18pm.
Paso 7 : Instalacion de
Paquetes
pfsense_7_1 (imagen
7)
Por ultimo, explicaremos como hacer uso de
paquetes disponibles para instalar en nuestro servidor.
Dirigirnos a System ( Package Manager, y solo resta click en [+].
Luego para la configuración del mismo dependerá si
es herrmienta de diagnostico, servicio, etc. Cabe mencionar que
aquí encontraremos la herramienta Squid para configurar
nuestro proxy.
Paso 8 : Advertencia y
Recomedacion
pfsense_8_1 (imagen
8)
Verificar intensamente logs del servidor y
el estado del mismo, mediante las herramientas de monitoreo y
grafico de conexiones.
Se recomienda instalar y hacer uso del
paquete NMAP, desde los repositorios para realizar escaneos de
red a fin de obtener, los puertos accesibles de cada host, o
inclusivo chequear el estado de otras IP Publicas. Es una
herramienta que nos brinda información precisa, muy
útil para resolver problemas de conexiones
En estos ocho pasos, logramos tener un
Firewall de Red configurado en forma segura, si a este lo
comparamos con un router convencional .
En cuanto a Hardware, requiere de minimas
caracteristicas, como procesadores Intel Pentium III en adelante,
y un minimo de 256 de Ram con un minimo de 8 Gigabytes de espacio
en disco.
En mi experiencia me ha dado muy bueno
resultados montandolos sobre servidores con alta reduncia pero
con hardware un poco obsoleto, como ser Dual Pentium III , en
Raid 1 y la posibilidad de fuentes redundantes.
En cuanto a configuracion es totalmente
customizable a nuestras necesidades, por la capacidad de tener
multiples capas de red, y hacer uno reduncancias de conecciones
WAN, mediante Failover o Balance de las mismas, como asi tambien
multiples Interfaces LAN, para aislar Brodcasts entre maquinas
clientes y servidores en produccion por ejemplo.
En cuanto a la configuracion de Vlans, es
factible verificar el modelo de las placas de red en la pagina de
Pfsense, para ver si la proxima a configurar es aceptada para
este proposito.
Esta herramienta cuenta con soporte
mediante un foro un extenso en la cual hay muchisima informacion,
y las consultas son respondidas a la brevedad.
Para finalizar cabe mencionar, que Pfsense
esta basado en la distribucion Linux BSD.
Autor
Gustavo Martin Moglie