Comparativa Firewall: IPCop vs. pfSense

63
Xabier Amezaga Comparativa entre IPCop y pfSense

description

¿Cuál es el sistema open source de Firewall ganador? Es difícil decidirse... hay muchas buenas opciones. Por eso hemos elaborado esta guía comparativa sobre 2 de nuestros preferidos, IPCop y pfSense, en base a nuestra experiencia en muchos proyectos desde @irontec.

Transcript of Comparativa Firewall: IPCop vs. pfSense

Page 1: Comparativa Firewall: IPCop vs. pfSense

Xabier Amezaga

Comparativa entre IPCop y pfSense

Page 2: Comparativa Firewall: IPCop vs. pfSense

Versiones analizadas de IPCop y pfSense

• v2.1.3 (Mayo 2014)

– v2.1.4 (Abril 2014)

Page 3: Comparativa Firewall: IPCop vs. pfSense

Comparativa entre las soluciones de Firewall IPCop y pfSense

• VPN (Cliente Remoto)

• Reenvío de Puertos

• Control de Tráfico

• Filtro URL

• Otras consideraciones

Page 4: Comparativa Firewall: IPCop vs. pfSense

VPN (Cliente Remoto)

• Soporta IPsec, L2TC, OpenVPN y PPTP:

Page 5: Comparativa Firewall: IPCop vs. pfSense

VPN (Cliente Remoto)

• Permite conexiones Red-a-Red:

Page 6: Comparativa Firewall: IPCop vs. pfSense

VPN (Cliente Remoto)

• y conexiones Host-a-Red:

Page 7: Comparativa Firewall: IPCop vs. pfSense

VPN (Cliente Remoto)

• Posee un Wizard para realizar la configuración de manera asistida si no se quiere realizar manualmente:

Page 8: Comparativa Firewall: IPCop vs. pfSense

VPN (Cliente Remoto)

• OpenVPN Client Export Utility nos permite exportar el cliente de OpenVPN directamente listo para instalarse

• Es necesario instalarlo vía Package Manger (System Packages→ )

Page 9: Comparativa Firewall: IPCop vs. pfSense

VPN (Cliente Remoto)

• Configurado el servidor de OpenVPN y creados los certificados necesarios, podemos exportar el Cliente OpenVPN de forma muy sencilla:

VPN OpenVPN Client Export→ →

Page 10: Comparativa Firewall: IPCop vs. pfSense

VPN (Cliente Remoto)

• Permite ver el estado de las conexiones activas de los clientes:

Page 11: Comparativa Firewall: IPCop vs. pfSense

• Soporta IPsec y OpenVPN:

VPN (Cliente Remoto)

Page 12: Comparativa Firewall: IPCop vs. pfSense

• Solo permite conexiones Host-a-Red (RoadWarrior):

VPN (Cliente Remoto)

Page 13: Comparativa Firewall: IPCop vs. pfSense

• Permite exportar SOLO los certificados , tenemos que instalar el cliente OpenVPN y añadir los certificados manualmente:

VPNs OpenVPN→

VPN (Cliente Remoto)

Page 14: Comparativa Firewall: IPCop vs. pfSense

• Permite ver el estado de las conexiones y estadísticas de conexión:

VPN (Cliente Remoto)

Page 15: Comparativa Firewall: IPCop vs. pfSense

✔ Soporta IPsec, L2TC, OpenVPN y PPTP

✔ Conexiones Red-a-Red

✔ Conexiones Host-a-Red

✔ Wizard

✔ OpenVPN Client Export Utility

✔ OpenVPN Status

VPN (Cliente Remoto) - Resumen

✔ Soporta Ipsec y OpenVPN

✔ Conexiones Host-a-Red

✔ Exportar solo certificados

✔ OpenVPN Status

Page 16: Comparativa Firewall: IPCop vs. pfSense

Reenvío de Puertos (Port Forwarding)

• Permite el Reenvío de Puertos desde el menu:

Firewall NAT Port Forward→ →

• Destination Port Range: Aquí vemos dos campos, esto es porque podemos escoger un rango de puertos que serán redirigidos al puerto especificado en el campo Redirect Target IP

• Redirect Target IP: Dirección IP a la que se reenviará la petición, o lo que es lo mismo, la dirección del servidor que ofrece el servicio dentro de nuestra red.

• Redirect Target Port: Este es el puerto al que se redirigirán las peticiones.

Page 17: Comparativa Firewall: IPCop vs. pfSense

➔ En el siguiente ejemplo, las peticiones que entren dirigidas al puerto 9000 serán reenviadas al puerto 5555 del sistema con la ip 192.168.1.229

Page 18: Comparativa Firewall: IPCop vs. pfSense

Reenvío de Puertos (Port Forwarding)

• Permite escoger un rango de puertos que serán redirigidos al puerto especificado en el campo Redirect Target IP

➔ En el siguiente ejemplo, todas las peticiones entre el puerto 8000 y el 9000 se redirijan al puerto 222 de la máquina

Page 19: Comparativa Firewall: IPCop vs. pfSense

Reenvío de Puertos (Port Forwarding)

• Crea las reglas para el Firewall automáticamente, pero también permite crearlas de forma manual:

Firewall Rules→

Page 20: Comparativa Firewall: IPCop vs. pfSense

• No permite añadir un rango de puertos en el destino , solo uno

concreto por defecto o personalizado

Reenvío de Puertos (Port Forwarding)

Page 21: Comparativa Firewall: IPCop vs. pfSense

• Crea reglas para el Firewall automáticamente, pero también permite crearlas de forma manual

Reenvío de Puertos (Port Forwarding)

Page 22: Comparativa Firewall: IPCop vs. pfSense

• Si se necesita un puerto que no es por defecto hay que añadirlo

previamente:Cortafuegos Servicios→

Reenvío de Puertos (Port Forwarding)

Page 23: Comparativa Firewall: IPCop vs. pfSense

✔ Reenvío de Puertos

✔ Rango de puertos en el destino

✔ Reglas para el Firewall auto o manual

Reenvío de Puertos - Resumen

✔ Reenvío de Puertos

✔ No rango de puertos en el destino

✔ Reglas para el Firewall auto o manual

Page 24: Comparativa Firewall: IPCop vs. pfSense

• Es capaz de priorizar el trafico según las necesidades desde el menú:

Firewall Traffic Shaper→

Control del Tráfico (Traffic Shaper)

Page 25: Comparativa Firewall: IPCop vs. pfSense

• Un forma sencilla de limitar y controlar el ancho de banda es mediante la creación de Limitadores

• Desde el menú Firewall Traffic Shaper Limiter → → podremos crear tanto limitadores como necesitemos

Control del Tráfico (Traffic Shaper)

Page 26: Comparativa Firewall: IPCop vs. pfSense

➔ En el siguiente ejemplo vamos a crear un par de limitadores de subida y bajada para limitar el ancho de banda.

• Creamos dos limitadores, de subida y de bajada, limitados a 1 y 2 Mbit/s respectivamente

Control del Tráfico (Traffic Shaper)

Page 27: Comparativa Firewall: IPCop vs. pfSense

• Ahora tenemos que asociar estos limitadores a una regla de nuestro Firewall, en nuestro ejemplo vamos a limitar el ancho de nuestra Red Lan

Firewall Rules→

Control del Tráfico (Traffic Shaper)

Page 28: Comparativa Firewall: IPCop vs. pfSense

• Editamos la regla que permite el trafico en nuestra Red Lan y en el apartado Advanced Features editamos la opción IN/OUT añadiendo los limitadores que acabamos de crear.

Control del Tráfico (Traffic Shaper)

Page 29: Comparativa Firewall: IPCop vs. pfSense

• Con esto limitaríamos el ancho de banda de nuestra Red Lan, para comprobar que funciona podemos hacer un test de velocidad, dentro de nuestra Lan, antes y después de aplicar los limitadores.

✔ Antes:

✔ Después:

Control del Tráfico (Traffic Shaper)

Page 30: Comparativa Firewall: IPCop vs. pfSense

• A parte de poder limitar el el ancho de banda (U/D) de una red Lan, también podemos limitar una o varias IPs determinadas o incluso un puerto especifico

➔ Por ejemplo, vamos a limitar el ancho de banda del acceso por HTTPS, para ello crearemos dos nuevos limitadores (200 kbit/s) y una regla nueva en nuestro Firewall para activarlos.

Control del Tráfico (Traffic Shaper)

Page 31: Comparativa Firewall: IPCop vs. pfSense

• Una vez creados los limitadores creamos la nueva regla añadiendo en la opción Destination port range el puerto 443 (HTTPS) y añadimos los limitadores en las opciones avanzadas IN/OUT

Control del Tráfico (Traffic Shaper)

Page 32: Comparativa Firewall: IPCop vs. pfSense

• Una vez aplicada la nueva regla, solo nos quedaría probar que funciona correctamente, como se puede observar en la captura la descarga superior que es por HTTPS está limitada que la otra que va por HTTP esta sin limitar

Control del Tráfico (Traffic Shaper)

Page 33: Comparativa Firewall: IPCop vs. pfSense

➔ Otro ejemplo, si queremos limitar el ancho de banda de una IP determinada (por ejemplo 192.168.1.229), deberemos indicarlo en la regla del Firewall:

Source Type: Single host or alias→

Control del Tráfico (Traffic Shaper)

Page 34: Comparativa Firewall: IPCop vs. pfSense

• Posee también un Wizard para realizar la configuración del trafico, creando colas y reglas necesarias automáticamente

Firewall Traffic Shaper Wizards→ →

Control del Tráfico (Traffic Shaper)

Page 35: Comparativa Firewall: IPCop vs. pfSense

• El Wizard no creara las colas y configuración automáticamente pudiendo configurar las prioridades sobre VOIP, trafico P2P, Juegos y otros servicios

Control del Tráfico (Traffic Shaper)

Page 36: Comparativa Firewall: IPCop vs. pfSense

● Permite filtrado por Capa 7 (capa de aplicación), filtrando los protocolos que deseamos bloquear por el contenido de sus paquetes, no por el puerto de origen y destino

Control del Tráfico (Traffic Shaper)

Page 37: Comparativa Firewall: IPCop vs. pfSense

• Las opciones que ofrece IPCop son muy básicas

• Funciona a base de prioridades (alta/medio/baja) asignadas a cada puerto/servicio que queramos controlar, no es posible asignar un ancho de banda concreto (en Kb o Mb) solo una de las prioridades, las cuales gestiona el mismo IPCop

Control del Tráfico (Traffic Shaper)

Page 38: Comparativa Firewall: IPCop vs. pfSense

• Para activar el control de Trafico en IPCop, primero debemos introducir el ancho de banda total de nuestra red para que IPCop pueda gestionarlo

Control del Tráfico (Traffic Shaper)

Page 39: Comparativa Firewall: IPCop vs. pfSense

• Después solo tenemos que introducir el puerto/servicio que queramos controla y asignarle una prioridad (alta/medio/baja)

Control del Tráfico (Traffic Shaper)

Page 40: Comparativa Firewall: IPCop vs. pfSense

• No permite limitar únicamente el ancho de banda de una IP , si no que limita el trafico en toda nuestra red LAN (Green).

• No posee filtrado por Capa 7 (Layer 7)

Control del Tráfico (Traffic Shaper)

Page 41: Comparativa Firewall: IPCop vs. pfSense

✔ Capaz de priorizar el trafico

✔ Limita el ancho de banda de una red Lan

✔ Limita el ancho de banda por IP

✔ Limita el ancho de banda de Puertos

✔ Wizard

✔ Filtrado por Capa 7 (Layer 7)

Control del Tráfico - Resumen

✔ Funciona con prioridades (alta/medio/baja)

✔ No limita el ancho de banda por IP

✔ No limita el ancho de banda por Puerto

✔ No posee filtrado por Capa 7 (Layer 7)

Page 42: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

• No está integrado en pfSense, necesario instalar squid y squidguard vía Package Manager.

Page 43: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

• Permite usar blacklists de squidguard.org (MESD, Shalla...)

Page 44: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

● Permite crear listas blacklist y whitelist propias:Proxy filter SquidGuard Target categories→

Page 45: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

• Permite bloquear/permitir URLs por IP de usuarios o rangos de IPs

Page 46: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

• Personalización de la web de bloqueo editando el archivo /usr/local/www/sgerror.php• También permite utilizar una pagina web propia alojada en un servidor externo

Web por Defecto Web Personalizada

Page 47: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

• Logs de los sitios bloqueados (fecha, hora, filtro, etc)

Page 48: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

• Permite bloqueo del acceso en un horario o fechas determinadas

➔ Por ejemplo si queremos bloquear una IP (o una Subred o un rango de IPs) en un horario o fechas concretas tenemos que hacer lo siguiente:

✔ Imaginemos que queremos crear una regla para que semanalmente los Lunes y Miércoles de 12:00h a 14:00h no se pueda acceder a ciertas paginas webs desde la IP 192.168.1.229

Page 49: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

✔ Lo primero es crear la regla para ese horario, nos vamos al siguiente menú “Proxy filter SquidGuard Times”→ y creamos uno nuevo con los datos necesarios:

Page 50: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

✔ Después debemos crear un nuevo grupo (Groups ACL) o editar uno que ya tengamos creado y añadir la opción de tiempo que acabamos de crear y la IP para configurar las reglas de ese grupo con la nueva regla de tiempo

Page 51: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

✔ Por ultimo nos queda configurar que categoría (en el ejemplo la categoría “porn”) queremos denegar o permitir su acceso durante el periodo de tiempo.

✔ La columna de la izquierda aplica las reglas dentro del tiempo asignado y la columna de la derecha aplica las reglas para cuando se esta fuera del tiempo

Page 52: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

• Integrado en IPCop y basado en squidguard3

Page 53: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

• Permite instalar blacklist de squidguard.org (MESD, Shalla...) y la posibilidad de editarlas

Page 54: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

• Permite crear listas blacklist y whitelist personalizadas

Page 55: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

• También permite realizar filtros por expresiones, IPs y extensiones de archivos

Page 56: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

• Personalización de la web de bloqueo y posibilidad de añadir un enlace a una web externa

Page 57: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

• Así es como quedaría la web de bloqueo con las lineas de mensaje editadas

Page 58: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

• Logs de los sitios bloqueados ordenados por fecha y posibilidad de exportarlos a un archivo .log desde el WebPanel

Page 59: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

• Restricciones en función del tiempo , permite bloquear/permitir el acceso en un horario determinado a unas IPs en concreto o a toda una red.

➔ Dentro del menu Filtro de URL hacemos click en el botón “Habilitar las restricciones de tiempo”

Page 60: Comparativa Firewall: IPCop vs. pfSense

Filtro URL (SquidGuard)

➔ Ahora solo queda configurar la restricciones de tiempo , horarios, IPs de origen, etc

Page 61: Comparativa Firewall: IPCop vs. pfSense

✔ No integrado en pfSense

✔ Blacklists de squidguard.org

✔ Blacklist y whitelist propias

✔ Bloquear por IPs o rangos de Ips

✔ Personalización de la web de bloqueo

✔ Visualización de Logs

✔ Restricciones en función del horario

Filtro URL (SquidGuard) - Resumen

✔ Integrado en IPCop y basado en squidguard

✔ Blacklist de squidguard.org

✔ Blacklist y whitelist propias

✔ Personalización de la web de bloque

✔ Visualización de Logs

✔ Exportar Logs

✔ Restricciones en función del horario

Page 62: Comparativa Firewall: IPCop vs. pfSense

Otras Consideraciones

Idioma Castellano

Balanceo de Carga

Redundancia

Multi-WAN

Usuarios sin privilegios

Package Manager

Page 63: Comparativa Firewall: IPCop vs. pfSense

Gracias por vuestra atención