Your SlideShare is downloading. ×
pfSense Platform Binnaris 2014
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

pfSense Platform Binnaris 2014

1,836
views

Published on

This presentation describes the pfSense platform common application, uses and capabilities (spanish).

This presentation describes the pfSense platform common application, uses and capabilities (spanish).

Published in: Technology

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,836
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
124
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Router, Firewall, DNS, DHCP,Proxy,RADIUS,VPN (IPsec, PPTP), Portal Cautivo, Cliente DynDNS, Agente SNMP, Ponderación de tráfico, Graficación de tráfico SVG, Cliente Wake On Lan (WOL), Respaldo y restauración de configuración, Aliases de redes/equipos/puertos, IDS, VLANs 802.1Q, etcétera, etcétera…
  • 2. Introducción al Problema La vasta mayoría de las empresas, sin importar su tamaño, utilizan sistemas informáticos en todos los aspectos de su modelo de negocio. Es por ello que, la disponibilidad y acceso a la información es esencial para la operación de la empresa. Esta necesidad converge en la implementación de soluciones de acceso que, no cumplen o cumplen parcialmente con los requerimientos del cliente, y en consecuencia, es el cliente quien debe adaptarse a las características que el sistema ofrece y adquirir e implementar otras soluciones complementarias. Paralelamente, estos sistemas no poseen o no ofrecen, al menos en sus versiones base, mecanismos de respaldo y tolerancia a fallas de alta confiabilidad o, si los poseen y ofrecen, incrementan su costo final enormemente. La administración de este tipo de sistemas requiere de personal especializado con conocimientos del lenguaje de programación de estos equipos.
  • 3. Puntos Críticos del Problema Los equipos de routing y/o firewall “Empresariales” implican una inversión inicial muy alta en función del presupuesto IT del que disponen la mayoría de las PYMES. Tanto los equipos como sus subcomponentes de hardware son propietarios, de alto costo y difícil adquisición. Las características o servicios que ofrecen se limitan a la función básica de equipo; un router solo enrutará tráfico y un firewall solo filtrará tráfico. Al tratarse de sistemas propietarios, su administración y/o mantenimiento dependen exclusivamente del proveedor.
  • 4. Lineamiento de la Solución La vasta mayoría de las empresas, sin importar su tamaño, utilizan sistemas informáticos en todos los aspectos de su modelo de negocio. Es por ello que, la disponibilidad y acceso a la información es esencial para la operación de la empresa. Esta necesidad converge en la implementación de soluciones de acceso que, no cumplen o cumplen parcialmente con los requerimientos del cliente, y en consecuencia, es el cliente quien debe adaptarse a las características que el sistema ofrece y adquirir e implementar otras soluciones complementarias. Paralelamente, estos sistemas no poseen o no ofrecen, al menos en sus versiones base, mecanismos de respaldo y tolerancia a fallas de alta confiabilidad o, si los poseen y ofrecen, incrementan su costo final enormemente. La administración de este tipo de sistemas requiere de personal especializado con conocimientos del lenguaje de programación de estos equipos.
  • 5. Implementar un sistema que permita: √ Tolerancia a fallos y alta disponibilidad. √ Bajo costo de hardware, software y mantenimiento. √ Simplicidad de administración y operación. √ Conexión y servicio a múltiples plataformas cliente. √ Escalabilidad en función de la necesidad de la empresa. Lineamiento de la Solución
  • 6. Análisis, diseño e implementación de cómo sistema de enrutamiento, firewall y proveedor de servicios de red. Solución Propuesta
  • 7. ¿Que es ?  pfSense es una distribución personalizada de FreeBSD, de código abierto y gratuita diseñada para utilizarse como firewall y router.  Además de ser una plataforma poderosa plataforma de firewall y router, incluye una extensa lista de características relacionadas y un sistema de paquetes que permite futuras expansiones sin afectar su desempeño o introducir vulnerabilidades de seguridad a la distribución base.  pfSense es un proyecto popular con más de 1 millón de descargas desde su introducción, y probado en incontables implementaciones que abarcan desde la protección de pequeñas redes hogareñas de un solo equipo hasta grandes corporaciones, universidades y otras organizaciones con miles de equipos en red.  El proyecto comenzó en 2004 como variante del proyecto m0n0wall, pero orientado hacia instalaciones en equipos de tipo PC en lugar de hardware embebido al cual se orienta m0n0wall. De todas maneras, pfSense ofrece una imagen para hardware embebido e instalaciones basadas en Compact Flash.  pfSense se ha desarrollado y convertido en uno de los firewalls más ampliamente utilizados en el mundo, excediendo 167.000 instalaciones productivas a Abril de 2013.  Implementa el mismo sistema de inicio mediante PHP utilizado por m0n0wall constituyendo a pfSense como el segundo sistema Unix en utilizar exclusivamente PHP para su secuencia de inicio.  Mantiene el mismo sistema de configuración en un único archivo XML.
  • 8. ¿Quiénes son ? constituye una comunidad de: • Más de 44.300 usuarios del foro registrados. • Más de 400 miembros en la lista de correo de soporte. • 51.672.087 consultas al foro Web (2013). • 359.574 posts en 62.225 temas. • 82+ usuarios nuevos por día (promedio). • Proporción de Hombres y Mujeres: 21:1 • Alrededor de 80 miembros en el canal de IRC (##pfsense en FreeNode). • 16 “committers” de código. • CVS Server con soporte CVSWeb. • Soporte de CVSTrac con línea de tiempo y servicios basados en tickets.
  • 9. Plataformas Disponibles  Live CD o USB (con Instalador) Esta versión puede ejecutarse directamente desde un CD sin ser instalada en un disco rígido o tarjeta flash. La configuración puede salvarse en un diskette o pendrive USB. Algunas características de pfSense no son compatibles con esta versión. Esta versión debería utilizarse exclusivamente para la evaluación del software y su hardware particular.  Embebida (NanoBSD) Esta versión se adapta específicamente a cualquier hardware que utilice una tarjeta Compact Flash en lugar de un disco rígido. Dado que este tipo de medio solo admite una cantidad limitada de escrituras, esta versión se ejecuta en modo de solo lectura, y con sistemas de archivos en modo lectura/escritura en como discos de RAM. Esta versión posee dos particiones para el SO -una de inicio y otra para actualizaciones- y una para la configuración. Existen dos variantes de esta versión: La versión predeterminada utiliza una consola serie, y la otra que soporta una consola VGA. Cada una de ellas es provista según el la capacidad de las tarjetas CF.  Instalación en Disco Rígido (HDD) La versión Live CD incluye la opción de instalar pfSense en un disco rígido en su equipo. Este es la forma ideal para ejecutar pfSense. El disco rígido deberá ser reescrito completamente y no es posible bootear otros sistemas operativos.
  • 10. Implementaciones Frecuentes pfSense es utilizado en toda tipo y tamaño de ambiente de redes imaginable, y seguramente es apto para la suya contenga ella una o miles de computadoras. Las clases de implementaciones más frecuentes de pfSense son:  Firewall Perimetral La implementación más frecuente de pfSense es como firewall perimetral, con una conexión a Internet en su lado WAN y la red interna del lado LAN. Soporta múltiples conexiones a Internet así como múltiples interfases internas. pfSense se adecua a redes de mayor complejidad como múltiples conexiones a Internet, múltiples redes LAN y DMZs, etc. A diferencia de muchas soluciones, pueden implementarse sistemas con docenas de interfases si es necesario. Algunos usuarios añaden capacidades BGP para proveer redundancia de conexión y balanceo de carga.  Router LAN o WAN La segunda implementación más frecuente de pfSense es como router LAN o WAN. Este es un rol separado del firewall perimetral en redes de tamaño mediano a grande, y puede ser integrado en el firewall perimetral en ambientes de menor tamaño.  Router LAN En grandes redes con múltiples segmentos internos, pfSense es una solución probada para la conexión de estos segmentos internos. Esto es frecuentemente implementado mediante la utilización de VLANs con trunking 802.1Q. En algunos ambientes también se utilizan múltiples interfases Ethernet. Nota: En ambientes que requieren más de 3 Gbps o 1 millón de paquetes por segundo de rendimiento sostenido, ningún router basado en hardware común ofrece la performance adecuada. En tales ambientes se deben instalar switches de capa 3 -enrutamiento efectuado en el hardware por el switch- o routers ASIC de alto desempeño.  Router WAN Para servicios WAN que proveen al cliente con un puerto Ethernet, pfSense es una gran solución de router WAN privado ya que ofrece toda la funcionalidad requerida por la mayoría de las redes a un costo mucho menor que las soluciones comerciales de renombre.  Punto de Acceso Inalámbrico (Wireless) pfSense puede ser implementado exclusivamente como punto de acceso inalámbrico. Las capacidades inalámbricas también pueden ser agregadas en las demás clases de implementaciones.
  • 11. Implementaciones Frecuentes Como Dispositivos de Propósito Específico  Dispositivo de VPN Algunos usuarios utilizan pfSense como dispositivo de VPN detrás de un firewall existente, a fin de añadir servicio de VPN sin provocar trastornos en la infraestructura de firewall existente. La mayoría de las implementaciones de VPN con pfSense también actúan como firewall perimetral, aunque ello se adapta mejor en ciertas circunstancias.  Dispositivo de Sniffer Un usuario buscaba un dispositivo de sniffer para implementar en cierta cantidad de sucursales. Si bien existen dispositivos sniffer comerciales muy llamativos, su costo es significativamente elevado, especialmente si se multiplica por la cantidad de sucursales donde se deberían instalar. pfSense ofrece una interfaz Web para tcpdump que permite descargar el archivo pcap resultante al finalizar la captura. Ello permite a la compañía capturar paquetes en la red de una sucursal, descargar el archivo resultante de la captura y abrirlo con Wireshark para su análisis. pfSense no se parece a los fantásticos dispositivos sniffer comerciales, pero ofrece un grado de funcionalidad adecuado para muchos propósitos a un 2% del costo total.  Dispositivo Servidor DHCP Un usuario instala pfSense en un equipo con una única interfaz de red para utilizar como servidor DHCP. En la mayoría de los ambientes esto no tiene mucho sentido. Pero en este caso, el personal técnico del usuario ya estaba familiarizado y a gusto con pfSense, lo cual permitió efectuar implementaciones adicionales sin ningún entrenamiento o capacitación adicional para los administradores, lo cual era un aspecto clave a considerar para tal implementación.  Dispositivo Servidor DNS Hay disponible un dispositivo servidor DNS preinstalado, pfDNS. Esta es una versión especializada de pfSense con una interfaz Web simplificada, que proporciona únicamente las funcionalidades deseadas en un sistema que funcionará exclusivamente como servidor DNS. Existe un paquete o módulo llamado tinydns disponible para pfSense que permite añadir esta funcionalidad a una instalación base de pfSense.  Dispositivo de Voz sobre IP (VoIP) FreeSWITCH es una plataforma de telefonía escalable, de código abierto y multiplataforma diseñada para enrutar e interconectar protocolos de comunicación populares utilizando audio, video, texto o cualquier otro tipo de medios. Existe un paquete o módulo de FreeSWITCH disponible para pfSense.
  • 12. =Funcionalidades Incorporadas Funcionalidades Modulares Web Interface (HTTP/HTTPS). Multiple WAN support. Rebootless changes of settings. PPPoE Server. Outgoing load balancing pool. Serial console interface for recovery Set LAN IP address. Reset password. Restore factory defaults. Reboot system. Wireless support (access point with PRISM-II/2.5/3 cards, BSS/IBSS with other cards including Cisco). Captive portal. VLANs 802.1Q support. Stateful packet filtering Block/pass rules. Logging. NAT/PAT (including 1:1). DHCP client, PPPoE, PPP y Telstra BigPond Cable support on the WAN interface. PPTP VPN (with RADIUS server support). IPsec VPN Tunnels (IKE; with support for hardware cryptocards and mobile clients). Static routes DHCP Server Caching DNS Forwarder. DynDNS client. SNMP agent. Traffic shaper. SVG-based traffic grapher. Firmware through the web browser. Wake On Lan client. Configuration backup/restore. Host/network/port aliases. BandwithD: Monitoreo de graficación de ancho de banda. Ifdepd: Utilizado para crear dependencia entre interfaces. Ifstated: Verificación de estado de conexiones. Pfflowd: Conversión de mensajes PF en Cisco Netflow. PFStatd: Añade funcionalidades de graficación. Ntop: Registra datos de red ampliados e históricos. Stunnel: Encapsula puertos estándar con SSL. Pure-FTPd: Servidor de archivos FTP. Squid: Servidor proxy multipropósito con cache. Arpwatch: Informa pares de direcciones Ethernet e IP. Assp: Servidor proxy anti-spam multipropósito. FreeRADIUS: Servidor de autenticación RADIUS. Mtr: Función traceroute enriquecida. Nmap: Scanner de puertos para auditoría de seguridad. Siproxd: Servidor proxy con enmascaramiento para SIP. Spamd: Servidor SMTP falso eliminar spam. Iperf: Capacidad adicional de medición de ancho de banda. Nut: Añade monitoreo de UPSs. Snort: Añade capacidades de detección de intrusiones. ……………..y 70 más… + Requerimientos Mínimos •100MHz Pentium CPU •1GB HDD or 512MB Flashcard •128MB RAM Memory Requerimientos Según Rendimiento •10-20 Mbps 266 MHz CPU •21-50 Mbps 500 MHz CPU •51-200 Mbps 1.0 GHz CPU •201-500 Mbps 2.0 GHz CPU + P CI-X o PCI-e NICs •501+ Mbps 3.0 GHz CPU + PCI-X o PCI-e NICs
  • 13. Funcionalidades Incorporadas State TableNAT
  • 14. Firewall  Filtrado según IP de origen y destino, protocolo IP, puerto de origen y destino para tráfico TCP y UDP.  Posibilidad de limitar conexiones simultaneas en base a reglas.  pfSense utiliza p0f, un avanzada y pasiva utilidad de identificación de SO/red que permite filtrar conexiones según el SO que la inició. ¿Desea permitir el acceso a Internet a equipos FreeBSD y Linux, pero bloquear equipos Windows?, pfSense, - entre muchas otras posibilidades-, puede hacerlo detectando pasivamente el SO en uso.  Opción de registrar o no el tráfico concordante con cada regla.  Política de enrutamiento altamente flexible por selección de gateway en base a reglas – para balanceo de carga, tolerancia a fallas, múltiples WAN, etc. –  Los “Alias” permiten agrupar y nombrar IPs, redes y puertos. Ello ayuda a conservar la colección de reglas clara y fácil de entender, especialmente en ambientes con múltiples IPs públicas y numerosos servidores.  Capacidad de firewall de capa 2 transparente – puede crear puentes entre interfaces y filtrar tráfico entre ellas, permitiendo aún un firewall sin IP (aunque seguramente deseará un IP para propósitos de administración)–.  Normalización de paquetes – descripción de la documentación de pf scrub: “…Scrubbing” es la normalización de paquetes para eliminar ambigüedades en la interpretación por el último destino del paquete. La directiva de “scrub” también reensambla paquetes fragmentados, protegiendo algunos sistemas operativos de algunas clases de ataques, y deshecha paquetes TCP que poseen combinaciones de banderas inválidas….”  Habilitado en pfSense de forma predeterminada  Puede deshabilitarse si es necesario. Esta opción causa problemas en algunas implementaciones de NFS, pero es normalmente segura y debería quedar habilitada en la mayoría de las instalaciones.  Inhabilitación de filtro – el filtro de firewall puede deshabilitarse completamente si se desea convertir a pfSense en un router puro.
  • 15. State Table (tabla de estados) State Table  La tabla de estados del firewall mantiene la información sobre las conexiones de red abiertas. pfSense es un firewall de estados, todas las reglas contemplan estados predeterminadamente.  A diferencia de otros, pfSense posee numerosas y granulares capacidades de control de la tabla de estados, gracias a las características de pf de OpenBSD.  Tamaño ajustable de tabla de estados – existen múltiples instalaciones de pfSense en producción que utilizan varios cientos de miles de estados. El tamaño predeterminado de la tabla de estados varia según la cantidad de RAM instalada en el sistema, pero puede ser incrementada a la capacidad requerida en el momento. Cada estado consume aproximadamente 1KB de RAM, por lo tanto debe considerarse la utilización de memoria cuando sea necesario modificar su tamaño.  En base a reglas es posible:  Limitar la cantidad de conexiones cliente simultaneas.  Limitar estados por cliente.  Limitar la cantidad de conexiones nuevas por segundo.  Definir el tiempo de vida - timeout - de cada estado.  Definir el tipo de estado.  Tipos de estado – pfSense ofrece múltiples opciones para la administración de estados.  Mantener el estado – Funciona con todos los protocolos. Predeterminado para todas las reglas.  Estado modular – Funciona solo con TCP. pfSense generará sólidos números de inicio de secuencia – ISNs – en nombre del anfitrión.  Estado Synproxy – Oficia de Proxy de las conexiones TCP entrantes ayudando a proteger servidores de saturación de conexiones TCP SYN falsas. Esta opción incluye la funcionalidades de “Mantener el estado” y “Modular el estado” combinadas.  Ninguna – No mantener ninguna entrada de estado para determinado tráfico. Esto es raramente necesario, pero se encuentra disponible debido a que podría ser necesario en algunas limitadas circunstancias.  Opciones de optimización de la tabla de estados - pf ofrece 4 opciones de optimización:  Normal – el algoritmo predeterminado.  Alta latencia - Útil para vínculos con alta latencia, tales como conexiones satelitales. Expira conexiones ociosas posteriormente al tiempo normal.  Agresivo – Expira conexiones ociosas rápidamente. Utilización más eficiente de los recursos de hardware, pero podría eliminar conexiones legítimas.  Conservador – Intenta evitar eliminar conexiones legítimas a expensas de un incremento en la utilización de la memoria y CPU.
  • 16. Network Address Translation (Nat) NAT  El reenvío de puertos - port forwarding - incluye rangos y la utilización de múltiples IPs públicas.  1:1 NAT para IPs individuales o subredes competas.  NAT Saliente - Outbound NAT - • La configuración predeterminada envía todo el tráfico saliente hacia la IP de la WAN. En escenarios de múltiples WAN, la configuración predeterminada es enviar el tráfico saliente a la IP de la interfase WAN que se esta utilizando. • El NAT Saliente Avanzado permite deshabilitar el comportamiento predeterminado, y habilita la creación de reglas de NAT (o sin NAT) muy flexibles.  Reflexión NAT – en algunas configuraciones, la reflexión NAT es posible a fin de habilitar el acceso a servicios por IP pública desde redes internas.
  • 17. Redundancia  CARP de OpenBSD permite la conmutación por falla de hardware.  Dos o más firewalls pueden ser configurados como un grupo de conmutación por falla. Si falla una interfase del equipo primario o éste quedase completamente fuera de línea, el secundario se activa.  pfSense incluye también la capacidad de sincronización de configuración, ello permite efectuar cambios en la configuración del equipo primario y ellas son automáticamente sincronizadas en el equipo secundario.  pfsync asegura que la tabla de estados del firewall sea replicada en todos los firewalls configurados en el grupo de conmutación por falla.  En consecuencia de ello, las conexiones existentes se conservaran en caso de falla, lo cual es importante para prevenir interrupciones de tráfico en la red.
  • 18. Load Balancing (Balanceo de Carga)  Balanceo de Carga Saliente El balanceo de carga saliente es utilizado con múltiples conexiones WAN para proveer balanceo de carga y tolerancia a fallas. El tráfico es dirigido al gateway deseado o al conjunto de balanceo según una regla de firewall.  Balanceo de Carga Entrante El balanceo de carga entrante es utilizado para distribuir la carga entre múltiples servidores. Esto es frecuentemente utilizado con servidores de correo, Web y otros. Los servidores que no responden a ping o conexiones a puertos TCP son removidos del conjunto de balanceo.
  • 19. Acceso Remoto (VPN)  IPSEC IPsec permite la conectividad con cualquier dispositivo que soporte el estándar IPsec. Esto es frecuentemente utilizado para conexiones sitio a sitio con otras instalaciones de pfSense, otros firewalls de código abierto (m0n0wall, etc.), y la mayoría de las soluciones de firewall comerciales (Cisco, Juniper, etc.). También puede utilizarse para la conectividad de clientes móviles.  OpenVPN OpenVPN es una solución VPN bajo SSL flexible y poderosa, que soporta una amplia gama de sistemas operativos cliente. En el sitio de OpenVPN se detallan las características y capacidades de este sistema  PPTP Server  PPTP es una solución de VPN popular debido a la vasta mayoría de los SOs poseen un cliente PPTP incorporado; incluyendo todas las versiones de Windows desde Windows 95 OSR2.  El servidor PPTP de pfSense puede utilizar una base de datos local, o un servidor RADIUS para la autenticación y contabilidad. Las reglas de firewall en la interfase PPTP controlan el trafico iniciado por los clientes PPTP.  PPPoE Server  pfSense ofrece un servidor PPPoE. Puede utilizar una base de datos de usuarios local para autenticación o autenticación RADIUS con contabilidad opcional.
  • 20. Reporte y Monitoreo  Gráficos RRD Los gráficos RRD en pfSense mantienen información histórica sobre:  Utilización de CPU.  Rendimiento Total.  Estados del Firewall.  Rendimiento individual de cada una de sus interfases.  Tasas de paquetes por segundo de cada una de sus interfases.  Tiempos de respuesta de ping en las interfases gateway WAN.  Colas de priorización de tráfico en sistemas con esta característica habilitada.  Información en Tiempo Real La información histórica es importante, pero en algunas ocasiones es más importante ver la información en tiempo real. Por ello, pfSense incorpora gráficos SVG que muestran el rendimiento de cada interfase en tiempo real. Para las instalaciones con priorización de tráfico, la pantalla de Status -> Colas provee una vista en tiempo real de la utilización de la cola utilizando indicadores actualizados con AJAX. La página de inicio incluye indicadores en tiempo real AJAX que muestran la utilización de CPU, memoria, capacidad de swap y disco rígdo y el tamaño de la tabla de estados.
  • 21. DNS Dinámico pfSense incorpora un cliente de DNS dinámico que permite registrar su IP pública en varios proveedores de servicio de DNS dinámico como:  DynDNS  DHS  DNSexit  DyNS  easyDNS  freeDNS  HE.net  Loopia  Namecheap  No-IP  ODS.org  OpenDNS  ZoneEdit  Dispone también de un cliente para actualizaciones de DNS dinámico de tipo RFC 2136, para utilizar con servidores que soporten este mecanismo de actualización como por ejemplo BIND.
  • 22. Servidor y Relé DHCP  pfSense provee un servidor con funcionalidad DHCP y relé DHCP con características configurables como:  Mapeo estático de clientes DHCP.  Tiempo de otorgamiento de IP mínimo y máximo.  Servidores DNS y Gateway alternativos.  Nombre de dominio.  Registro de clientes en servidores DNS dinámicos.  Servidores NTP  LDAP URI  Servidores TFTP  Booteo vía Red (BOOTP).  El relay DHCP reenviara las solicitudes DHCP efectuadas en un dominio de broadcast hacia otro distinto o hacia la interfase WAN.
  • 23. Portal Cautivo (captive portal) El portal cautivo permite forzar la autenticación o redirección a una página predeterminada para acceder a la red. Esto es frecuentemente utilizado en redes “hot spot”, pero también es utilizado en redes corporativas a fin de añadir una capa de seguridad extra en el acceso a redes inalámbricas o a Internet. La siguiente es una lista de características del portal cautivo de pfSense:  Cantidad máxima de conexiones concurrentes: Limita el numero de conexiones IP que un cliente puede efectual al portal mismo. Esta característica previene denegaciones de servicio desde un equipo cliente que envía tráfico de red repetidamente sin autenticarse o haciendo click en la página de inicio del portal.  Tiempo en espera: Desconecta a los clientes que han estado en espera durante una cantidad de minutos predefinida.  Desconexión Forzada: Desconecta a todos los clientes luego de una cantidad de minutos predefinida.  Ventana de inicio de sesión Esta opción lanza una ventana con un botón de desconexión.  Redirección de URL: Después de autenticarse o hacer click en el portal cautivo, los usuarios pueden ser forzosamente redirigidos a una URL predefinida.  Filtrado MAC: Predeterminadamente, pfSense filtra utilizando direcciones MAC. Si posee una subred detrás de un router en una interface con portal cautivo habilitado, cada equipo detrás de éste será autorizado después que un usuario sea autorizado. El filtrado MAC puede ser deshabilitado para estos escenarios.
  • 24. =Funcionalidades Incorporadas Funcionalidades Modulares Web Interface (HTTP/HTTPS). Multiple WAN support. Rebootless changes of settings. PPPoE Server. Outgoing load balancing pool. Serial console interface for recovery Set LAN IP address. Reset password. Restore factory defaults. Reboot system. Wireless support (access point with PRISM-II/2.5/3 cards, BSS/IBSS with other cards including Cisco). Captive portal. VLANs 802.1Q support. Stateful packet filtering Block/pass rules. Logging. NAT/PAT (including 1:1). DHCP client, PPPoE, PPP y Telstra BigPond Cable support on the WAN interface. PPTP VPN (with RADIUS server support). IPsec VPN Tunnels (IKE; with support for hardware cryptocards and mobile clients). Static routes DHCP Server Caching DNS Forwarder. DynDNS client. SNMP agent. Traffic shaper. SVG-based traffic grapher. Firmware through the web browser. Wake On Lan client. Configuration backup/restore. Host/network/port aliases. BandwithD: Monitoreo de graficación de ancho de banda. Ifdepd: Utilizado para crear dependencia entre interfaces. Ifstated: Verificación de estado de conexiones. Pfflowd: Conversión de mensajes PF en Cisco Netflow. PFStatd: Añade funcionalidades de graficación. Ntop: Registra datos de red ampliados e históricos. Stunnel: Encapsula puertos estándar con SSL. Pure-FTPd: Servidor de archivos FTP. Squid: Servidor proxy multipropósito con cache. Arpwatch: Informa pares de direcciones Ethernet e IP. Assp: Servidor proxy anti-spam multipropósito. FreeRADIUS: Servidor de autenticación RADIUS. Mtr: Función traceroute enriquecida. Nmap: Scanner de puertos para auditoría de seguridad. Siproxd: Servidor proxy con enmascaramiento para SIP. Spamd: Servidor SMTP falso eliminar spam. Iperf: Capacidad adicional de medición de ancho de banda. Nut: Añade monitoreo de UPSs. Snort: Añade capacidades de detección de intrusiones. ……………..y 70 más… + Requerimientos Mínimos •100MHz Pentium CPU •1GB HDD or 512MB Flashcard •128MB RAM Memory Requerimientos Según Rendimiento •10-20 Mbps 266 MHz CPU •21-50 Mbps 500 MHz CPU •51-200 Mbps 1.0 GHz CPU •201-500 Mbps 2.0 GHz CPU + P CI-X o PCI-e NICs •501+ Mbps 3.0 GHz CPU + PCI-X o PCI-e NICs
  • 25. Funcionalidades Modulares NAT State Table
  • 26. Funcionalidades Modulares (7/89) Paquete Tipo Descripción Asterisk Servicios Asterisk es un entorno de trabajo de código abierto para construir aplicaciones de comunicación. Asterisk convierte una computadora común en un servidor de comunicaciones. anyterm Diagnóstico Shell interactivo Ajax – ¿Alguna vez necesitó acceso SSH o Telnet a su sistema desde Internet, desde detrás de un firewall estricto, desde un cibercafé o aún desde un teléfono móvil ?. Anyterm es una combinación de página Web y un proceso que se ejecuta en su servidor Web y provee este acceso. ADVERTENCIA! Sugerimos utilizar Stunnel en combinación con este paquete! Apache with mod_security-dev Administración de Red ModSecurity es una aplicación Web de firewall que puede funcionar tanto embebida como reverse proxy. Provee protección de una cantidad ataques a aplicaciones Web y permite el monitoreo, registro y análisis en tiempo real de tráfico HTTP. Adicionalmente este paquete permite el reenvío de URLs que puede ser útil para alojar múltiples sitios Web detrás de pfSense utilizando una dirección IP. arping Servicios Transmite un paquete ARP de tipo “quien-tiene” en la red e imprime las respuestas. arpwatch Seguridad Arpwatch monitorea los pares dirección_Ethernet / dirección_IP. También registra ciertos cambios en syslog. AutoConfigBackup Servicios Efectúa una copia de seguridad automática de la configuración de su pfSense. Todos los contenidos son encriptados en el servidor. Requiere de una suscripción premium en el portal de soporte de pfSense https://portal.pfsense.org Avahi Administración de Red Avahi es un sistema que facilita el descubrimiento de servicios en una red local. Esto significa que Ud. Puede conectar su laptop en la red e instantáneamente poder ver a otras personas con las que puede chatear, encontrar impresoras o archivos compartidos. Esta conveniente tecnología ya se encuentra en MacOS de Apple (algunas veces llamada Bonjour o Zeroconf). Avahi se basa en flexmdns mDNS de Linux, la cual ha sido discontinuada en favor de Avahi. Backup Sistema Herramienta para realizar respaldo y restauración de archivos y directorios.
  • 27. Funcionalidades Modulares (15/89) Paquete Tipo Descripción bacula-client Servicios Bacula es un conjunto de programas de código abierto que permiten administrar copias de seguridad, recuperación y verificación de datos de computadoras a través de una red de computadoras de diferentes tipos. bandwidthd Sistema BandwidthD registra la utilización de subredes TCP/IP y genera archivos HTML con gráficos para mostrar su utilización. Los gráficos son construidos en base a direcciones IP individuales y, predeterminadamente, se muestra la utilización en períodos de 2, 8 40 y 400 días. Además, la utilización de cada dirección IP puede ser registrada a intervalos de 3,3 y 10 minutos, 1 o 12 horas en formato cdf, o a un servidor de bases de datos de backend, El tráfico HTTP, TCP, UDP, ICMP, VPN, y P2P, es codificado por colores. blinkled Sistema Permite la utilización de LEDs para mostrar la actividad de la red en plataformas que los soporten (ALIX, WRAP, Soekris, etc.) Check_mk agent Servicios El objetivo básico de check_mk es extraer “toda” la información sobre un equipo objetivo de una sola vez. Para monitorear cada equipo check_mk es llamado por Nagios un sola vez por periodo de tiempo. Country Block Firewall Bloquea países – Esto ha sido reemplazado por pfblocker. Esta es una aplicación heredada. Cron Servicios La utilidad Cron se utiliza para administrar y ejecutar comandos según un cronograma establecido. Dansguardian Servicios DansGuardian es un reconocido filtro de contenido Web de código abierto. Filtra el contenido de las paginas basado en varios métodos incluyendo equivalencias de frases. Filtrado de PICS y URL. No filtra basándose exclusivamente en una lista de sitios prohibidos como muchos filtros comerciales. Es gratuito para usuarios no comerciales. darkstat Administración de Red Darkstat es un recolector de estadísticas de red. Es un sniffer de paquetes que se ejecuta como un proceso de fondo en un router de cable/DSL, recolecta todo tipo de estadísticas sobre la utilización de la red y las sirve sobre HTTP.
  • 28. Funcionalidades Modulares (26/89) Paquete Tipo Descripción Dashboard Widget: Antivirus Status Sistema Aplicación de informe de estado de HAVP para el tablero de instrumentos de pfsense Dashboard Widget: HAVP Sistema Aplicación de informe de alertas de HAVP para el tablero de instrumentos de pfsense Dashboard Widget: Snort Sistema Aplicación de informe de estado de Snort para el tablero de instrumentos de pfsense diag_new_states Administración de Red La versión de Paul Taylor de Diagnóstico de estado que utiliza pftop. dns-server Servicios Versión de pfSense de TinyDNS que soporta tolerancia a fallas a otro equipo de respaldo. File Manager Diagnóstico Administrador de archivos PHP. Filer Administración de Archivos Permite crear y sobrescribir archivos desde la GUI. Freeradius Sistema Una implementación libre del protocolo RADIUS. freeradius2 Sistema Una implementación libre del protocolo RADIUS. Soporta: MySQL, PostgreSQL, LDAP, Kerberos. Las configuraciones de FreeRADIUS y FreeRADIUS2 no son compatibles y no deben ser utilizadas o intentar actualizarlas juntas. En los docs de pfSense existe un “how-to” que podría ayudar a portar los usuarios. jail_template Sistema Plantilla básica para jail, probablemente requiera de pfJailctl para ser útil. Incluye las distribuciones ‘base’ y ‘manpages’. FreeSWITCH Dev Servicios Versión de desarrollo del paquete FreeSWITCH.
  • 29. Funcionalidades Modulares (35/89) Paquete Tipo Descripción gwled Sistema Permite la utilización de LEDs para mostrar la actividad del gateway en plataformas que los soporten (ALIX, WRAP, Soekris, etc.) haproxy Servicios El confiable y altamente performante TCP/HTTP balanceador de carga. Este paquete implementa las características de balanceo TCP y HTTP de Haproxy. Soporta ACL’s para reemplazo inteligente de backends. haproxy-full Servicios El confiable y altamente performante TCP/HTTP balanceador de carga. Este paquete implementa las características de balanceo TCP y HTTP de Haproxy. (versión legacy) HAVP antivirus Administración de Red Antivirus: HAVP (HTTP Antivirus Proxy) es un proxy con el scanner de anti-virus ClamAV. Los objetivos principales son descargas continuas y sin bloqueos, y la exploración fluida de tráfico HTTP protegido con contraseña. El proxy antivirus HAVP posee un modo de proxy transparente padre. Puede utilizarse con Squid o independiente. También posee un explorador para archivos locales. imspector Administración de Red IMSpector es un proxy transparente de mensajero instantáneo con capacidad de registro. Actualmente soporta MSN, AIM, ICQ, Yahoo e IRC a diferentes grados. imspector-dev Administración de Red IMSpector es un proxy transparente de mensajero instantáneo con capacidad de registro. Actualmente soporta MSN, AIM, ICQ, Yahoo e IRC a diferentes grados. Iperf Administración de Red Iperf es una herramienta para evaluar el rendimiento, pérdida y jitter de la red. Ipguard-dev Seguridad Ipguard escucha paquetes ARP de la red. Todos los pares MAC-IP permitidos y listados en los archivos de configuración. Si recibe uno con un par MAC-IP inexistente el archivo ‘ethers’, enviará una respuesta ARP con una dirección configurada falsa. Esto prevendrá que equipos no permitidos en el segmento Ethernet local trabajen apropiadamente. LCDproc Utilidad Driver de pantalla LCD.
  • 30. Funcionalidades Modulares (44/89) Paquete Tipo Descripción LCDproc-dev Utilidad Versión de desarrollo del driver de pantalla LCD. Lightsquid Reporte de Red Reporte para proxy Web de alta performance (LightSquid). Estadística de Proxy en tiempo real (SQStat). Requiere Squid HTTP proxy. mailreport Administración de Red Permite configurar reportes periódicos por e-mail que contengan salidas de comandos, contenidos de archivos de registro y gráficos RRD. mail scanner Servicios MailScanner es un paquete de seguridad de e-mail y anti-spam sistemas de gateway de e- mail. Esta es una herramienta de inspección de correo de nivel 3 de alta carga de CPU. mtr-nox11 Administración de Red Reemplazo ampliado de traceroute. netio Administración de Red Es una herramienta de prueba de red para DOS, OS/2 2.x, Windows NT/2000 y Unix. Mide el rendimiento neto de una mediante los protocolos NetBIOS y/o TCP/IP (Unix y DOS solo soportan TCP/IP) utilizando distintos tamaños de paquetes. nmap Seguridad NMap es una utilidad de exploración o auditoría de redes. Soporta barridos ping (para determinar equipos conectados), diversas técnicas de barrido de puertos (para determinar que servicios ofrecen los equipos), detección de versión (para determinar que aplicación o servicio se está ejecutando en un puerto), y huella TCP/IP (para determinar el SO del equipo o dispositivo remoto). Ofrece un mecanismo flexible de especificación de objetivo y puerto, barridos señuelo/silencioso, SunRPC y más. Notes Status Seguimiento de cosas que desee anotar sobre el sistema. NRPE v2 Servicios NRPE es un agregado para Nagios que permite ejecutar plugins en equipos Linux/Unix remotos. Esto es útil si se necesita monitorear recursos/atributos locales como utilización de disco, memoria, carga de CPUT, etc. en equipos remotos.
  • 31. Funcionalidades Modulares (52/89) Paquete Tipo Descripción ntop Administración de Red Ntop es una sonda de red que muestra la utilización de la red de forma similar como “top” lo hace con los procesos. En modo interactivo, muestra el estado de la red en la terminal del usuario. En modo Web actúa como un servidor Web, creando un volcado del estado de la red en HTML. Soporta emisor/colector NetFlow / sFlow, una interfaz cliente basada en HTTP para crear aplicaciones de monitoreo centradas en Ntop, y RRD para almacenar persistentemente las estadísticas de tráfico. nut Administración de Red Network UPS Tools OpenBGPD Red OpenBGPD es una implementación gratuita del protocolo de gateway de borde (BGP), versión 4. Permite utilizar equipos comunes como enrutadores que intercambian rutas con otros sistemas que utilicen en protocolo BGP. – ADVERTENCIA! Instala archivos en la misma ubicación que Quagga OSPF. Instalar ambos generará conflictos (broken state). Elimine este paquete antes de instalar Quagga OSPF. OpenOSPFD Enrutamiento Este paquete se considera obsoleto. Por favor utilice Quagga OSPF en lugar de éste. -- ADVERTENCIA! Instala archivos en la misma ubicación que Quagga OSPF. Instalar ambos generará conflictos (broken state). Elimine este paquete antes de instalar Quagga OSPF. Open-VM-Tools Servicios Herramientas VMware OpenVPN Client Export Utility Seguridad Permite exportar directamente desde pfSense, el conjunto de datos de configuración para clientes OpenVPN de Windows o Mac OSX Viscosity. OpenVPN tap Bridging Fix Sistema Parche para reparar tap bridging de OpenVPN en 2.0.x. ADVERTENCIA! No puede ser desinstalado. pfBlocker Firewall Introduce una tabla de alias mejorada en pfSense. Asigne un alias a varias listas con IPs y URLs desde sitios como I-blocklists y luego seleccione la regla de acción a ejecutar. Este paquete también bloquea países y rangos IP. pfBlocker reemplaza a Countryblock e IPblocklist.
  • 32. Funcionalidades Modulares (59/89) Paquete Tipo Descripción pfflowd Administración de Red pfflowd convierte mensajes de estado OpenBSD PF (enviados por la interfase pfsync) en datagramas NetFlow de Cisco. Estos datagramas pueden ser enviados (vía UDP) a un equipo seleccionado a discreción. Utilizando la infraestructura de filtro de estados de paquetes de OpenBSD implica que el rastreo de flujos es muy rápido y exacto. pfJailctl Sistema Wrapper de pfSense para jailctl - una herramienta de administración de jail. Permite ejecutar 2 “jails” en pfSense. PHPService Servicios PHP ejecutándose como un servicio puede hacer todo lo que hace PHP, incluyendo pero no limitado al monitoreo de archivos, CPU, RAM y envío de alertas al syslog. phpSysInfo Sistema PHPSysInfo es un script de PHP personalizable que analiza la información de /proc, y le da un formato agradable. Mostrará información sobre datos del sistema como tiempo de servicio, CPU, Memoria, dispositivos PCI, SCSI, IDE, interfases de red, utilización de disco y más. Postfix Forwarder Servicios El reenviador de correo Postfix actúa como servidor relé para su dominio. Puede combatir el spam en primera y segunda línea antes de enviar el correo entrante a los servidores de correo locales. Postfix también puede detectar zombies, verificar RBLS, SPF, buscar destinatarios válidos en LDAP y utilizar motores antispam de terceros como policyd y mailscanner para generar una mejor solución antispam. Proxy Server with mod_security Administración de Red ModSecurity es una aplicación Web de firewall que puede funcionar tanto embebida como reverse proxy. Provee protección de una cantidad ataques a aplicaciones Web y permite el monitoreo, registro y análisis en tiempo real de tráfico HTTP. Adicionalmente este paquete permite el reenvío de URLs que puede ser útil para alojar múltiples sitios Web detrás de pfSense utilizando una dirección IP. RRD Summary Sistema Página de resumen RRD, que informa la cantidad total de trafico enviado entrante/saliente durante el mes actual y previo.
  • 33. Funcionalidades Modulares (68/89) Paquete Tipo Descripción pfflowd Administración de Red pfflowd convierte mensajes de estado OpenBSD PF (enviados por la interfase pfsync) en datagramas NetFlow de Cisco. Estos datagramas pueden ser enviados (vía UDP) a un equipo seleccionado a discreción. Utilizando la infraestructura de filtro de estados de paquetes de OpenBSD implica que el rastreo de flujos es muy rápido y exacto. pfJailctl Sistema Wrapper de pfSense para jailctl - una herramienta de administración de jail. Permite ejecutar 2 “jails” en pfSense. PHPService Servicios PHP ejecutándose como un servicio puede hacer todo lo que hace PHP, incluyendo pero no limitado al monitoreo de archivos, CPU, RAM y envío de alertas al syslog. phpSysInfo Sistema PHPSysInfo es un script de PHP personalizable que analiza la información de /proc, y le da un formato agradable. Mostrará información sobre datos del sistema como tiempo de servicio, CPU, Memoria, dispositivos PCI, SCSI, IDE, interfases de red, utilización de disco y más. Postfix Forwarder Servicios El reenviador de correo Postfix actúa como servidor relé para su dominio. Puede combatir el spam en primera y segunda línea antes de enviar el correo entrante a los servidores de correo locales. Postfix también puede detectar zombies, verificar RBLS, SPF, buscar destinatarios válidos en LDAP y utilizar motores antispam de terceros como policyd y mailscanner para generar una mejor solución antispam. Proxy Server with mod_security Administración de Red ModSecurity es una aplicación Web de firewall que puede funcionar tanto embebida como reverse proxy. Provee protección de una cantidad ataques a aplicaciones Web y permite el monitoreo, registro y análisis en tiempo real de tráfico HTTP. Adicionalmente este paquete permite el reenvío de URLs que puede ser útil para alojar múltiples sitios Web detrás de pfSense utilizando una dirección IP. RRD Summary Sistema Página de resumen RRD, que informa la cantidad total de trafico enviado entrante/saliente durante el mes actual y previo.
  • 34. Funcionalidades Modulares (78/89) Paquete Tipo Descripción squidGuard Administración de Red Filtro de URLs para proxy Web de alta performance. Requiere del paquete proxy Squid 2.x. SSHDCond Mejoras Permite definir anulaciones SSH para usuarios, grupos, equipos y direcciones utilizando igualdades convenientemente. Este paquete actúa como frontend de la lista de acceso para conexiones SSH Strikeback Servicios Detecta barridos de puertos con iplog y strikeback Stunnel Administración de Red Un Wrapper de encriptación SSL entre el cliente remoto y servidores locales o remotos. Sudo Seguridad sudo permite la delegación de privilegios a usuarios en la consola a fin de ejecutar comandos como otros usuarios, tales como root. System Patches Sistema Un paquete para aplicar y mantener parches personalizados del sistema. TFTP Servicios Trivial File Transport Protocol es un protocolo muy simple de transferencia de archivos. Frecuentemente utilizado con enrutadores, teléfonos VoIP y más. Unbound Servicios Unbound es un resolver DNS con validación, recursividad y cache. Este paquete es un reemplazo para el servicio DNS Forwarder y también soporta extensiones DNSSEC. Una vez instalado por favor configure el servicio Unbound en accediendo a Services: Ubound DNS. Varnish Servicios Varnish es un excelente acelerador HTTP de alta performance. Utiliza las avanzadas características de FreeBSD 6/7/8 para lograr su elevada performance. Varnish3 Servicios Varnish es un excelente acelerador HTTP de alta performance. Utiliza las avanzadas características de FreeBSD 6/7/8 para lograr su elevada performance. La versión 3.0.2 incluye soporte para streaming. vnstat2 Administración de Red Vnstat es un monitor de tráfico de consola. El frontend PHP de vnstat y vnstati proporciona una forma más amigable al usuario para mostrar la utilización de tráfico.
  • 35. Funcionalidades Modulares (88/89) Paquete Tipo Descripción widentd Servicios Demonio RFC1413 auth/identd con respuesta fija y falsa. widescreen Mejoras Este paquete hace que pfSense se adapte al ancho actual del navegador. Es particularmente conveniente para la página de Status -> Dashboard que utiliza columnas para los widgets según el ancho actual del navegador. ATENCION!: Este paquete modifica profundamente el tema pfsense_ng y afecta la apariencia de otros temas. Refresque su navegador después de instalar o desinstalar este paquete. Zabbix Agent Servicios Agente de monitoreo. Zabbix Proxy Servicios Proxy de agente de monitoreo. Zabbix-2 Agent Servicios Agente de monitoreo. Zabbix-2 Proxy Servicios Proxy de agente de monitoreo. Zebedee Servicios Zebedee es un simple programa para establecer, encriptar y comprimir un “túnel” transferencia de datos TCP/IP o UDP entre dos sistemas. Esto permite proteger trafico como telnet, ftp y X de espionaje así como, potencialmente, ganar performance en redes de poco ancho de banda gracias a la compresión. Quagga OSPF Enrutamiento Protocolo de enrutamiento OSPF utilizando Quagga. – ADVERTENCIA! Instala archivos en la misma ubicación que OpenOSPFD y OpenBGPD. Instalar ambos romperá las cosas. vHosts Servicios Es un servidor Web que puede alojar HTML, Javascript, CSS, y PHP. Utiliza el servidor Web lighttpd ya instalado. Utiliza PHP5 en modo FastCGI y tiene acceso a objetos de datos PHP y PDO SQLite.
  • 36. Interfaz de Usuario Web (dashboard)
  • 37. Binnaris IT Consulting S.A. (+54-11) 4571.0605 Aizpurúa 2630 1º P Buenos Aires, Argentina info@binnaris.com www.binnaris.com Binnaris IT Consulting S.A. (+54-11) 4571.0605 Aizpurúa 2630 1º P Buenos Aires, Argentina info@binnaris.com