pfSense Platform Binnaris 2014

Router, Firewall, DNS,

DHCP, Proxy, RADIUS, VPN (IPsec, PPTP), Portal Cautivo, Cliente DynDNS, Agente

SNMP, Ponderación de tráfico, Graficación de tráfico SVG, Cliente

Wake On Lan (WOL), Respaldo y restauración de configuración, Aliases de redes/equipos/puertos, IDS, VLANs 802.1Q, etcétera, etcétera…

Introducción al Problema

La vasta mayoría de las empresas, sin importar su tamaño, utilizan sistemas informáticos en todos los aspectos de su modelo de negocio. Es por ello que, la disponibilidad y acceso a la información es esencial para la operación de la empresa. Esta necesidad converge en la implementación de soluciones de acceso que, no cumplen o cumplen parcialmente con los requerimientos del cliente, y en consecuencia, es el cliente quien debe adaptarse a las características que el sistema ofrece y adquirir e implementar otras soluciones complementarias. Paralelamente, estos sistemas no poseen o no ofrecen, al menos en sus versiones base, mecanismos de respaldo y tolerancia a fallas de alta confiabilidad o, si los poseen y ofrecen, incrementan su costo final enormemente. La administración de este tipo de sistemas requiere de personal especializado con conocimientos del lenguaje de programación de estos equipos.

Puntos Críticos del Problema

Los equipos de routing y/o firewall “Empresariales” implican una inversión inicial muy alta en función del presupuesto IT del que disponen la mayoría de las PYMES. Tanto los equipos como sus subcomponentes de hardware son propietarios, de alto costo y difícil adquisición. Las características o servicios que ofrecen se limitan a la función básica de equipo; un router solo enrutará tráfico y un firewall solo filtrará tráfico. Al tratarse de sistemas propietarios, su administración y/o mantenimiento dependen exclusivamente del proveedor.

Lineamiento de la Solución

La vasta mayoría de las empresas, sin importar su tamaño, utilizan sistemas informáticos en todos los aspectos de su modelo de negocio. Es por ello que, la disponibilidad y acceso a la información es esencial para la operación de la empresa. Esta necesidad converge en la implementación de soluciones de acceso que, no cumplen o cumplen parcialmente con los requerimientos del cliente, y en consecuencia, es el cliente quien debe adaptarse a las características que el sistema ofrece y adquirir e implementar otras soluciones complementarias. Paralelamente, estos sistemas no poseen o no ofrecen, al menos en sus versiones base, mecanismos de respaldo y tolerancia a fallas de alta confiabilidad o, si los poseen y ofrecen, incrementan su costo final enormemente. La administración de este tipo de sistemas requiere de personal especializado con conocimientos del lenguaje de programación de estos equipos.

Implementar un sistema que permita:

√ Tolerancia a fallos y alta disponibilidad.

√ Bajo costo de hardware, software y mantenimiento.

√ Simplicidad de administración y operación.

√ Conexión y servicio a múltiples plataformas cliente.

√ Escalabilidad en función de la necesidad de la empresa.

Lineamiento de la Solución

Análisis, diseño e implementación de

cómo sistema de enrutamiento, firewall y proveedor de servicios de red.

Solución Propuesta

¿Que es ?

pfSense es una distribución personalizada de FreeBSD, de código abierto y gratuita diseñada para utilizarse como firewall y router.

Además de ser una plataforma poderosa plataforma de firewall y router, incluye una extensa lista de características relacionadas y un sistema de paquetes que permite futuras expansiones sin afectar su desempeño o introducir vulnerabilidades de seguridad a la distribución base.

pfSense es un proyecto popular con más de 1 millón de descargas desde su introducción, y probado en incontables implementaciones que abarcan desde la protección de pequeñas redes hogareñas de un solo equipo hasta grandes corporaciones, universidades y otras organizaciones con miles de equipos en red.

El proyecto comenzó en 2004 como variante del proyecto m0n0wall, pero orientado hacia instalaciones en equipos de tipo PC en lugar de hardware embebido al cual se orienta m0n0wall. De todas maneras, pfSense ofrece una imagen para hardware embebido e instalaciones basadas en Compact Flash.

pfSense se ha desarrollado y convertido en uno de los firewalls más ampliamente utilizados en el mundo, excediendo 167.000 instalaciones productivas a Abril de 2013.

Implementa el mismo sistema de inicio mediante PHP utilizado por m0n0wall constituyendo a pfSense como el segundo sistema Unix en utilizar exclusivamente PHP para su secuencia de inicio.

Mantiene el mismo sistema de configuración en un único archivo XML.

¿Quiénes son ?

constituye una comunidad de:

• Más de 44.300 usuarios del foro registrados.

• Más de 400 miembros en la lista de correo de soporte.

• 51.672.087 consultas al foro Web (2013).

• 359.574 posts en 62.225 temas.

• 82+ usuarios nuevos por día (promedio).

• Proporción de Hombres y Mujeres: 21:1

• Alrededor de 80 miembros en el canal de IRC (##pfsense en FreeNode).

• 16 “committers” de código.

• CVS Server con soporte CVSWeb.

• Soporte de CVSTrac con línea de tiempo y servicios basados en tickets.

Plataformas Disponibles

Live CD o USB (con Instalador) Esta versión puede ejecutarse directamente desde un CD sin ser instalada en

un disco rígido o tarjeta flash. La configuración puede salvarse en un diskette o pendrive USB. Algunas

características de pfSense no son compatibles con esta versión. Esta versión debería utilizarse exclusivamente para la evaluación del software y

su hardware particular.

Embebida (NanoBSD) Esta versión se adapta específicamente a cualquier hardware que utilice una

tarjeta Compact Flash en lugar de un disco rígido. Dado que este tipo de medio solo admite una cantidad limitada de escrituras,

esta versión se ejecuta en modo de solo lectura, y con sistemas de archivos en modo lectura/escritura en como discos de RAM.

Esta versión posee dos particiones para el SO -una de inicio y otra para actualizaciones- y una para la configuración.

Existen dos variantes de esta versión: La versión predeterminada utiliza una consola serie, y la otra que soporta una consola VGA. Cada una de ellas es provista según el la capacidad de las tarjetas CF.

Instalación en Disco Rígido (HDD) La versión Live CD incluye la opción de instalar pfSense en un disco rígido en su

equipo. Este es la forma ideal para ejecutar pfSense. El disco rígido deberá ser reescrito completamente y no es posible bootear otros sistemas operativos.

Implementaciones Frecuentes pfSense es utilizado en toda tipo y tamaño de ambiente de redes imaginable, y seguramente es apto para la suya contenga ella una o miles de computadoras. Las clases de implementaciones más frecuentes de pfSense son:

Firewall Perimetral La implementación más frecuente de pfSense es como firewall perimetral, con una conexión a Internet en su lado WAN y la red interna del lado

LAN. Soporta múltiples conexiones a Internet así como múltiples interfases internas. pfSense se adecua a redes de mayor complejidad como múltiples conexiones a Internet, múltiples redes LAN y DMZs, etc. A diferencia de muchas

soluciones, pueden implementarse sistemas con docenas de interfases si es necesario. Algunos usuarios añaden capacidades BGP para proveer redundancia de conexión y balanceo de carga.

Router LAN o WAN La segunda implementación más frecuente de pfSense es como router LAN o WAN. Este es un rol separado del firewall perimetral en redes de

tamaño mediano a grande, y puede ser integrado en el firewall perimetral en ambientes de menor tamaño.

Router LAN En grandes redes con múltiples segmentos internos, pfSense es una solución probada para la conexión de estos segmentos internos. Esto es

frecuentemente implementado mediante la utilización de VLANs con trunking 802.1Q. En algunos ambientes también se utilizan múltiples interfases Ethernet.

Nota: En ambientes que requieren más de 3 Gbps o 1 millón de paquetes por segundo de rendimiento sostenido, ningún router basado en hardware común ofrece la performance adecuada. En tales ambientes se deben instalar switches de capa 3 -enrutamiento efectuado en el hardware por el switch- o routers ASIC de alto desempeño.

Router WAN Para servicios WAN que proveen al cliente con un puerto Ethernet, pfSense es una gran solución de router WAN privado ya que ofrece toda la

funcionalidad requerida por la mayoría de las redes a un costo mucho menor que las soluciones comerciales de renombre. Punto de Acceso Inalámbrico (Wireless) pfSense puede ser implementado exclusivamente como punto de acceso inalámbrico. Las capacidades inalámbricas también pueden ser agregadas

en las demás clases de implementaciones.

Implementaciones Frecuentes Como Dispositivos de Propósito Específico

Dispositivo de VPN Algunos usuarios utilizan pfSense como dispositivo de VPN detrás de un firewall existente, a fin de añadir servicio de VPN sin provocar

trastornos en la infraestructura de firewall existente. La mayoría de las implementaciones de VPN con pfSense también actúan como firewall perimetral, aunque ello se adapta mejor en ciertas circunstancias.

Dispositivo de Sniffer Un usuario buscaba un dispositivo de sniffer para implementar en cierta cantidad de sucursales. Si bien existen dispositivos sniffer comerciales

muy llamativos, su costo es significativamente elevado, especialmente si se multiplica por la cantidad de sucursales donde se deberían instalar. pfSense ofrece una interfaz Web para tcpdump que permite descargar el archivo pcap resultante al finalizar la captura. Ello permite a la

compañía capturar paquetes en la red de una sucursal, descargar el archivo resultante de la captura y abrirlo con Wireshark para su análisis. pfSense no se parece a los fantásticos dispositivos sniffer comerciales, pero ofrece un grado de funcionalidad adecuado para muchos propósitos a un 2% del costo total.

Dispositivo Servidor DHCP Un usuario instala pfSense en un equipo con una única interfaz de red para utilizar como servidor DHCP. En la mayoría de los ambientes esto no

tiene mucho sentido. Pero en este caso, el personal técnico del usuario ya estaba familiarizado y a gusto con pfSense, lo cual permitió efectuar implementaciones adicionales sin ningún entrenamiento o capacitación adicional para los administradores, lo cual era un aspecto clave a considerar para tal implementación.

Dispositivo Servidor DNS Hay disponible un dispositivo servidor DNS preinstalado, pfDNS. Esta es una versión especializada de pfSense con una interfaz Web simplificada,

que proporciona únicamente las funcionalidades deseadas en un sistema que funcionará exclusivamente como servidor DNS. Existe un paquete o módulo llamado tinydns disponible para pfSense que permite añadir esta funcionalidad a una instalación base de pfSense.

Dispositivo de Voz sobre IP (VoIP) FreeSWITCH es una plataforma de telefonía escalable, de código abierto y multiplataforma diseñada para enrutar e interconectar protocolos de

comunicación populares utilizando audio, video, texto o cualquier otro tipo de medios. Existe un paquete o módulo de FreeSWITCH disponible para pfSense.

= Funcionalidades Incorporadas Funcionalidades Modulares

Web Interface (HTTP/HTTPS). Multiple WAN support.

Rebootless changes of

settings.

PPPoE Server. Outgoing load balancing pool.

Serial console interface for

recovery

Set LAN IP address.

Reset password.

Restore factory

defaults.

Reboot system. Wireless support (access point

with PRISM-II/2.5/3 cards,

BSS/IBSS with other cards

including Cisco).

Captive portal.

VLANs 802.1Q support.

Stateful packet filtering

Block/pass rules.

Logging.

NAT/PAT (including 1:1).

DHCP client, PPPoE, PPP y Telstra

BigPond Cable support on the WAN

interface.

PPTP VPN (with RADIUS server

support).

IPsec VPN Tunnels (IKE; with support

for hardware cryptocards and mobile

clients).

Static routes

DHCP Server

Caching DNS Forwarder.

DynDNS client.

SNMP agent.

Traffic shaper.

SVG-based traffic grapher.

Firmware through the web browser.

Wake On Lan client.

Configuration backup/restore.

Host/network/port aliases.

BandwithD: Monitoreo de graficación de ancho de banda.

Ifdepd: Utilizado para crear dependencia entre interfaces.

Ifstated: Verificación de estado de conexiones.

Pfflowd: Conversión de mensajes PF en Cisco Netflow.

PFStatd: Añade funcionalidades de graficación.

Ntop: Registra datos de red ampliados e históricos.

Stunnel: Encapsula puertos estándar con SSL.

Pure-FTPd: Servidor de archivos FTP.

Squid: Servidor proxy multipropósito con cache.

Arpwatch: Informa pares de direcciones Ethernet e IP.

Assp: Servidor proxy anti-spam multipropósito.

FreeRADIUS: Servidor de autenticación RADIUS.

Mtr: Función traceroute enriquecida.

Nmap: Scanner de puertos para auditoría de seguridad.

Siproxd: Servidor proxy con enmascaramiento para SIP.

Spamd: Servidor SMTP falso eliminar spam.

Iperf: Capacidad adicional de medición de ancho de

banda.

Nut: Añade monitoreo de UPSs.

Snort: Añade capacidades de detección de intrusiones.

……………..y 70 más…

+

Requerimientos Mínimos

•100MHz Pentium CPU

•1GB HDD or 512MB Flashcard

•128MB RAM Memory

Requerimientos Según Rendimiento

•10-20 Mbps 266 MHz CPU


•51-200 Mbps 1.0 GHz CPU

•201-500 Mbps 2.0 GHz CPU + P CI-X o PCI-e NICs

•501+ Mbps 3.0 GHz CPU + PCI-X o PCI-e NICs

Funcionalidades Incorporadas

State Table NAT

Firewall

Filtrado según IP de origen y destino, protocolo IP, puerto de origen y destino para tráfico TCP y UDP.

Posibilidad de limitar conexiones simultaneas en base a reglas.

pfSense utiliza p0f, un avanzada y pasiva utilidad de identificación de SO/red que permite filtrar conexiones según el SO que la inició. ¿Desea permitir el acceso a Internet a equipos FreeBSD y Linux, pero bloquear equipos Windows?, pfSense, - entre muchas otras posibilidades-, puede hacerlo detectando pasivamente el SO en uso.

Opción de registrar o no el tráfico concordante con cada regla.

Política de enrutamiento altamente flexible por selección de gateway en base a reglas – para balanceo de carga, tolerancia a fallas, múltiples WAN, etc. –

Los “Alias” permiten agrupar y nombrar IPs, redes y puertos. Ello ayuda a conservar la colección de reglas clara y fácil de entender, especialmente en ambientes con múltiples IPs públicas y numerosos servidores.

Capacidad de firewall de capa 2 transparente – puede crear puentes entre interfaces y filtrar tráfico entre ellas, permitiendo aún un firewall sin IP (aunque seguramente deseará un IP para propósitos de administración)–.

Normalización de paquetes – descripción de la documentación de pf scrub: “…Scrubbing” es la normalización de paquetes para eliminar ambigüedades en la interpretación por el último destino del paquete. La directiva de “scrub” también reensambla paquetes fragmentados, protegiendo algunos sistemas operativos de algunas clases de ataques, y deshecha paquetes TCP que poseen combinaciones de banderas inválidas….”

Habilitado en pfSense de forma predeterminada

Puede deshabilitarse si es necesario. Esta opción causa problemas en algunas implementaciones de NFS, pero es normalmente segura y debería quedar habilitada en la mayoría de las instalaciones.

Inhabilitación de filtro – el filtro de firewall puede deshabilitarse completamente si se desea convertir a pfSense en un router puro.

State Table (tabla de estados) State Table

La tabla de estados del firewall mantiene la información sobre las conexiones de red abiertas. pfSense es un firewall de estados, todas las reglas contemplan estados predeterminadamente.

A diferencia de otros, pfSense posee numerosas y granulares capacidades de control de la tabla de estados, gracias a las características de pf de OpenBSD.

Tamaño ajustable de tabla de estados – existen múltiples instalaciones de pfSense en producción que utilizan varios cientos de miles de estados. El tamaño predeterminado de la tabla de estados varia según la cantidad de RAM instalada en el sistema, pero puede ser incrementada a la capacidad requerida en el momento. Cada estado consume aproximadamente 1KB de RAM, por lo tanto debe considerarse la utilización de memoria cuando sea necesario modificar su tamaño.

En base a reglas es posible: Limitar la cantidad de conexiones cliente simultaneas. Limitar estados por cliente. Limitar la cantidad de conexiones nuevas por segundo. Definir el tiempo de vida - timeout - de cada estado. Definir el tipo de estado.

Tipos de estado – pfSense ofrece múltiples opciones para la administración de estados.

Mantener el estado – Funciona con todos los protocolos. Predeterminado para todas las reglas. Estado modular – Funciona solo con TCP. pfSense generará sólidos números de inicio de secuencia – ISNs – en nombre del anfitrión. Estado Synproxy – Oficia de Proxy de las conexiones TCP entrantes ayudando a proteger servidores de saturación de conexiones TCP SYN

falsas. Esta opción incluye la funcionalidades de “Mantener el estado” y “Modular el estado” combinadas. Ninguna – No mantener ninguna entrada de estado para determinado tráfico. Esto es raramente necesario, pero se encuentra disponible

debido a que podría ser necesario en algunas limitadas circunstancias.

Opciones de optimización de la tabla de estados - pf ofrece 4 opciones de optimización: Normal – el algoritmo predeterminado. Alta latencia - Útil para vínculos con alta latencia, tales como conexiones satelitales. Expira conexiones ociosas posteriormente al tiempo

normal. Agresivo – Expira conexiones ociosas rápidamente. Utilización más eficiente de los recursos de hardware, pero podría eliminar conexiones

legítimas. Conservador – Intenta evitar eliminar conexiones legítimas a expensas de un incremento en la utilización de la memoria y CPU.

Network Address Translation (Nat) NAT

El reenvío de puertos - port forwarding - incluye rangos y la utilización de múltiples IPs públicas.

1:1 NAT para IPs individuales o subredes competas.

NAT Saliente - Outbound NAT -

• La configuración predeterminada envía todo el tráfico saliente hacia la IP de la WAN. En escenarios de múltiples WAN, la configuración predeterminada es enviar el tráfico saliente a la IP de la interfase WAN que se esta utilizando.

• El NAT Saliente Avanzado permite deshabilitar el comportamiento predeterminado, y habilita la creación de reglas de NAT (o sin NAT) muy flexibles.

Reflexión NAT – en algunas configuraciones, la reflexión NAT es posible a fin de habilitar el acceso a servicios por IP pública desde redes internas.

Redundancia

CARP de OpenBSD permite la conmutación por falla de hardware. Dos o más firewalls pueden ser configurados como un grupo de

conmutación por falla. Si falla una interfase del equipo primario o éste quedase completamente fuera de línea, el secundario se activa.

pfSense incluye también la capacidad de sincronización de configuración, ello permite efectuar cambios en la configuración del equipo primario y ellas son automáticamente sincronizadas en el equipo secundario.

pfsync asegura que la tabla de estados del firewall sea replicada

en todos los firewalls configurados en el grupo de conmutación por falla. En consecuencia de ello, las conexiones existentes se conservaran en caso

de falla, lo cual es importante para prevenir interrupciones de tráfico en la red.

http://www.openbsd.org/faq/pf/carp.html

Load Balancing (Balanceo de Carga)

Balanceo de Carga Saliente El balanceo de carga saliente es utilizado con múltiples

conexiones WAN para proveer balanceo de carga y tolerancia a fallas. El tráfico es dirigido al gateway deseado o al conjunto de balanceo según una regla de firewall.

Balanceo de Carga Entrante El balanceo de carga entrante es utilizado para distribuir la

carga entre múltiples servidores. Esto es frecuentemente utilizado con servidores de correo, Web y otros. Los servidores que no responden a ping o conexiones a puertos TCP son removidos del conjunto de balanceo.

Acceso Remoto (VPN)

IPSEC IPsec permite la conectividad con cualquier dispositivo que soporte el estándar IPsec. Esto es

frecuentemente utilizado para conexiones sitio a sitio con otras instalaciones de pfSense, otros firewalls de código abierto (m0n0wall, etc.), y la mayoría de las soluciones de firewall comerciales (Cisco, Juniper, etc.). También puede utilizarse para la conectividad de clientes móviles.

OpenVPN OpenVPN es una solución VPN bajo SSL flexible y poderosa, que soporta una amplia gama de

sistemas operativos cliente. En el sitio de OpenVPN se detallan las características y capacidades de este sistema

PPTP Server PPTP es una solución de VPN popular debido a la vasta mayoría de los SOs poseen un cliente PPTP

incorporado; incluyendo todas las versiones de Windows desde Windows 95 OSR2. El servidor PPTP de pfSense puede utilizar una base de datos local, o un servidor RADIUS para la

autenticación y contabilidad. Las reglas de firewall en la interfase PPTP controlan el trafico iniciado por los clientes PPTP.

PPPoE Server pfSense ofrece un servidor PPPoE. Puede utilizar una base de datos de usuarios local para autenticación o

autenticación RADIUS con contabilidad opcional.

Reporte y Monitoreo

Gráficos RRD Los gráficos RRD en pfSense mantienen información histórica sobre:

Utilización de CPU. Rendimiento Total. Estados del Firewall. Rendimiento individual de cada una de sus interfases. Tasas de paquetes por segundo de cada una de sus interfases. Tiempos de respuesta de ping en las interfases gateway WAN. Colas de priorización de tráfico en sistemas con esta característica habilitada.

Información en Tiempo Real La información histórica es importante, pero en algunas ocasiones es más importante ver la

información en tiempo real. Por ello, pfSense incorpora gráficos SVG que muestran el rendimiento de cada interfase en

tiempo real. Para las instalaciones con priorización de tráfico, la pantalla de Status -> Colas provee una vista

en tiempo real de la utilización de la cola utilizando indicadores actualizados con AJAX. La página de inicio incluye indicadores en tiempo real AJAX que muestran la utilización de CPU,

memoria, capacidad de swap y disco rígdo y el tamaño de la tabla de estados.

DNS Dinámico

pfSense incorpora un cliente de DNS dinámico que permite registrar su IP pública en varios proveedores de servicio de DNS dinámico como:

DynDNS DHS DNSexit DyNS easyDNS freeDNS HE.net Loopia Namecheap No-IP ODS.org OpenDNS ZoneEdit

Dispone también de un cliente para actualizaciones de DNS dinámico de tipo RFC 2136, para utilizar con servidores que soporten este mecanismo de actualización como por ejemplo BIND.

Servidor y Relé DHCP

pfSense provee un servidor con funcionalidad DHCP y relé DHCP con características configurables como:

Mapeo estático de clientes DHCP. Tiempo de otorgamiento de IP mínimo y máximo. Servidores DNS y Gateway alternativos. Nombre de dominio. Registro de clientes en servidores DNS dinámicos. Servidores NTP LDAP URI Servidores TFTP Booteo vía Red (BOOTP).

El relay DHCP reenviara las solicitudes DHCP efectuadas en un dominio de

broadcast hacia otro distinto o hacia la interfase WAN.

Portal Cautivo (captive portal)

El portal cautivo permite forzar la autenticación o redirección a una página predeterminada para acceder a la red. Esto es frecuentemente utilizado en redes “hot spot”, pero también es utilizado en redes corporativas a fin de añadir una capa de seguridad extra en el acceso a redes inalámbricas o a Internet. La siguiente es una lista de características del portal cautivo de pfSense:

Cantidad máxima de conexiones concurrentes: Limita el numero de conexiones IP que un cliente puede efectual al portal mismo. Esta

característica previene denegaciones de servicio desde un equipo cliente que envía tráfico de red repetidamente sin autenticarse o haciendo click en la página de inicio del portal.

Tiempo en espera: Desconecta a los clientes que han estado en espera durante una cantidad de minutos

predefinida. Desconexión Forzada: Desconecta a todos los clientes luego de una cantidad de minutos predefinida. Ventana de inicio de sesión Esta opción lanza una ventana con un botón de desconexión. Redirección de URL: Después de autenticarse o hacer click en el portal cautivo, los usuarios pueden ser forzosamente

redirigidos a una URL predefinida. Filtrado MAC: Predeterminadamente, pfSense filtra utilizando direcciones MAC. Si posee una subred detrás de

un router en una interface con portal cautivo habilitado, cada equipo detrás de éste será autorizado después que un usuario sea autorizado. El filtrado MAC puede ser deshabilitado para estos escenarios.

= Funcionalidades Incorporadas Funcionalidades Modulares

Web Interface (HTTP/HTTPS). Multiple WAN support.

Rebootless changes of

settings.

PPPoE Server. Outgoing load balancing pool.

Serial console interface for

recovery

Set LAN IP address.

Reset password.

Restore factory

defaults.

Reboot system. Wireless support (access point

with PRISM-II/2.5/3 cards,

BSS/IBSS with other cards

including Cisco).

Captive portal.

VLANs 802.1Q support.

Stateful packet filtering

Block/pass rules.

Logging.

NAT/PAT (including 1:1).

DHCP client, PPPoE, PPP y Telstra

BigPond Cable support on the WAN

interface.

PPTP VPN (with RADIUS server

support).

IPsec VPN Tunnels (IKE; with support

for hardware cryptocards and mobile

clients).

Static routes

DHCP Server

Caching DNS Forwarder.

DynDNS client.

SNMP agent.

Traffic shaper.

SVG-based traffic grapher.

Firmware through the web browser.

Wake On Lan client.

Configuration backup/restore.

Host/network/port aliases.

BandwithD: Monitoreo de graficación de ancho de banda.

Ifdepd: Utilizado para crear dependencia entre interfaces.

Ifstated: Verificación de estado de conexiones.

Pfflowd: Conversión de mensajes PF en Cisco Netflow.

PFStatd: Añade funcionalidades de graficación.

Ntop: Registra datos de red ampliados e históricos.

Stunnel: Encapsula puertos estándar con SSL.

Pure-FTPd: Servidor de archivos FTP.

Squid: Servidor proxy multipropósito con cache.

Arpwatch: Informa pares de direcciones Ethernet e IP.

Assp: Servidor proxy anti-spam multipropósito.

FreeRADIUS: Servidor de autenticación RADIUS.

Mtr: Función traceroute enriquecida.

Nmap: Scanner de puertos para auditoría de seguridad.

Siproxd: Servidor proxy con enmascaramiento para SIP.

Spamd: Servidor SMTP falso eliminar spam.

Iperf: Capacidad adicional de medición de ancho de

banda.

Nut: Añade monitoreo de UPSs.

Snort: Añade capacidades de detección de intrusiones.

……………..y 70 más…

+

Requerimientos Mínimos

•100MHz Pentium CPU

•1GB HDD or 512MB Flashcard

•128MB RAM Memory

Requerimientos Según Rendimiento



•51-200 Mbps 1.0 GHz CPU

•201-500 Mbps 2.0 GHz CPU + P CI-X o PCI-e NICs

•501+ Mbps 3.0 GHz CPU + PCI-X o PCI-e NICs

Funcionalidades Modulares

NAT State Table

Funcionalidades Modulares (7/89) Paquete Tipo Descripción

Asterisk Servicios Asterisk es un entorno de trabajo de código abierto para construir aplicaciones de comunicación.

Asterisk convierte una computadora común en un servidor de comunicaciones.

anyterm Diagnóstico

Shell interactivo Ajax – ¿Alguna vez necesitó acceso SSH o Telnet a su sistema desde Internet,

desde detrás de un firewall estricto, desde un cibercafé o aún desde un teléfono móvil ?.

Anyterm es una combinación de página Web y un proceso que se ejecuta en su servidor Web y

provee este acceso. ADVERTENCIA! Sugerimos utilizar Stunnel en combinación con este

paquete!

Apache with

mod_security-dev

Administración

de Red

ModSecurity es una aplicación Web de firewall que puede funcionar tanto embebida como

reverse proxy. Provee protección de una cantidad ataques a aplicaciones Web y permite el

monitoreo, registro y análisis en tiempo real de tráfico HTTP. Adicionalmente este paquete

permite el reenvío de URLs que puede ser útil para alojar múltiples sitios Web detrás de pfSense

utilizando una dirección IP.

arping Servicios Transmite un paquete ARP de tipo “quien-tiene” en la red e imprime las respuestas.

arpwatch Seguridad Arpwatch monitorea los pares dirección_Ethernet / dirección_IP. También registra ciertos

cambios en syslog.

AutoConfigBackup Servicios

Efectúa una copia de seguridad automática de la configuración de su pfSense. Todos los

contenidos son encriptados en el servidor. Requiere de una suscripción premium en el portal de

soporte de pfSense https://portal.pfsense.org

Avahi Administración

de Red

Avahi es un sistema que facilita el descubrimiento de servicios en una red local. Esto significa

que Ud. Puede conectar su laptop en la red e instantáneamente poder ver a otras personas con

las que puede chatear, encontrar impresoras o archivos compartidos. Esta conveniente

tecnología ya se encuentra en MacOS de Apple (algunas veces llamada Bonjour o Zeroconf).

Avahi se basa en flexmdns mDNS de Linux, la cual ha sido discontinuada en favor de Avahi.

Backup Sistema Herramienta para realizar respaldo y restauración de archivos y directorios.

https://portal.pfsense.org/

Funcionalidades Modulares (15/89)

Paquete Tipo Descripción

bacula-client Servicios

Bacula es un conjunto de programas de código abierto que permiten administrar copias de

seguridad, recuperación y verificación de datos de computadoras a través de una red de

computadoras de diferentes tipos.

bandwidthd Sistema

BandwidthD registra la utilización de subredes TCP/IP y genera archivos HTML con gráficos

para mostrar su utilización. Los gráficos son construidos en base a direcciones IP individuales y,

predeterminadamente, se muestra la utilización en períodos de 2, 8 40 y 400 días. Además, la

utilización de cada dirección IP puede ser registrada a intervalos de 3,3 y 10 minutos, 1 o 12

horas en formato cdf, o a un servidor de bases de datos de backend, El tráfico HTTP, TCP, UDP,

ICMP, VPN, y P2P, es codificado por colores.

blinkled Sistema Permite la utilización de LEDs para mostrar la actividad de la red en plataformas que los

soporten (ALIX, WRAP, Soekris, etc.)

Check_mk agent Servicios

El objetivo básico de check_mk es extraer “toda” la información sobre un equipo objetivo de una

sola vez. Para monitorear cada equipo check_mk es llamado por Nagios un sola vez por periodo

de tiempo.

Country Block Firewall Bloquea países – Esto ha sido reemplazado por pfblocker. Esta es una aplicación heredada.

Cron Servicios La utilidad Cron se utiliza para administrar y ejecutar comandos según un cronograma

establecido.

Dansguardian Servicios

DansGuardian es un reconocido filtro de contenido Web de código abierto. Filtra el contenido de

las paginas basado en varios métodos incluyendo equivalencias de frases. Filtrado de PICS y

URL. No filtra basándose exclusivamente en una lista de sitios prohibidos como muchos filtros

comerciales. Es gratuito para usuarios no comerciales.

darkstat Administración

de Red

Darkstat es un recolector de estadísticas de red. Es un sniffer de paquetes que se ejecuta como

un proceso de fondo en un router de cable/DSL, recolecta todo tipo de estadísticas sobre la

utilización de la red y las sirve sobre HTTP.



Dashboard Widget:

Antivirus Status Sistema Aplicación de informe de estado de HAVP para el tablero de instrumentos de pfsense

Dashboard Widget:

HAVP Sistema Aplicación de informe de alertas de HAVP para el tablero de instrumentos de pfsense

Dashboard Widget:

Snort Sistema Aplicación de informe de estado de Snort para el tablero de instrumentos de pfsense

diag_new_states Administración

de Red La versión de Paul Taylor de Diagnóstico de estado que utiliza pftop.

dns-server Servicios Versión de pfSense de TinyDNS que soporta tolerancia a fallas a otro equipo de respaldo.

File Manager Diagnóstico Administrador de archivos PHP.

Filer Administración

de Archivos Permite crear y sobrescribir archivos desde la GUI.

Freeradius Sistema Una implementación libre del protocolo RADIUS.

freeradius2 Sistema

Una implementación libre del protocolo RADIUS. Soporta: MySQL, PostgreSQL, LDAP,

Kerberos. Las configuraciones de FreeRADIUS y FreeRADIUS2 no son compatibles y no deben

ser utilizadas o intentar actualizarlas juntas. En los docs de pfSense existe un “how-to” que

podría ayudar a portar los usuarios.

jail_template Sistema Plantilla básica para jail, probablemente requiera de pfJailctl para ser útil. Incluye las

distribuciones ‘base’ y ‘manpages’.

FreeSWITCH Dev Servicios Versión de desarrollo del paquete FreeSWITCH.



gwled Sistema Permite la utilización de LEDs para mostrar la actividad del gateway en plataformas que los

soporten (ALIX, WRAP, Soekris, etc.)

haproxy Servicios

El confiable y altamente performante TCP/HTTP balanceador de carga. Este paquete

implementa las características de balanceo TCP y HTTP de Haproxy. Soporta ACL’s para

reemplazo inteligente de backends.

haproxy-full Servicios El confiable y altamente performante TCP/HTTP balanceador de carga. Este paquete

implementa las características de balanceo TCP y HTTP de Haproxy. (versión legacy)

HAVP antivirus Administración

de Red

Antivirus: HAVP (HTTP Antivirus Proxy) es un proxy con el scanner de anti-virus ClamAV. Los

objetivos principales son descargas continuas y sin bloqueos, y la exploración fluida de tráfico

HTTP protegido con contraseña. El proxy antivirus HAVP posee un modo de proxy transparente

padre. Puede utilizarse con Squid o independiente. También posee un explorador para archivos

locales.

imspector Administración

de Red

IMSpector es un proxy transparente de mensajero instantáneo con capacidad de registro.

Actualmente soporta MSN, AIM, ICQ, Yahoo e IRC a diferentes grados.

imspector-dev Administración

de Red

IMSpector es un proxy transparente de mensajero instantáneo con capacidad de registro.

Actualmente soporta MSN, AIM, ICQ, Yahoo e IRC a diferentes grados.

Iperf Administración

de Red Iperf es una herramienta para evaluar el rendimiento, pérdida y jitter de la red.

Ipguard-dev Seguridad

Ipguard escucha paquetes ARP de la red. Todos los pares MAC-IP permitidos y listados en los

archivos de configuración. Si recibe uno con un par MAC-IP inexistente el archivo ‘ethers’,

enviará una respuesta ARP con una dirección configurada falsa. Esto prevendrá que equipos no

permitidos en el segmento Ethernet local trabajen apropiadamente.

LCDproc Utilidad Driver de pantalla LCD.



LCDproc-dev Utilidad Versión de desarrollo del driver de pantalla LCD.

Lightsquid Reporte de Red Reporte para proxy Web de alta performance (LightSquid). Estadística de Proxy en tiempo

real (SQStat). Requiere Squid HTTP proxy.

mailreport Administración

de Red

Permite configurar reportes periódicos por e-mail que contengan salidas de comandos,

contenidos de archivos de registro y gráficos RRD.

mail scanner Servicios MailScanner es un paquete de seguridad de e-mail y anti-spam sistemas de gateway de e-

mail. Esta es una herramienta de inspección de correo de nivel 3 de alta carga de CPU.

mtr-nox11 Administración

de Red Reemplazo ampliado de traceroute.

netio Administración

de Red

Es una herramienta de prueba de red para DOS, OS/2 2.x, Windows NT/2000 y Unix. Mide

el rendimiento neto de una mediante los protocolos NetBIOS y/o TCP/IP (Unix y DOS solo

soportan TCP/IP) utilizando distintos tamaños de paquetes.

nmap Seguridad

NMap es una utilidad de exploración o auditoría de redes. Soporta barridos ping (para

determinar equipos conectados), diversas técnicas de barrido de puertos (para determinar

que servicios ofrecen los equipos), detección de versión (para determinar que aplicación o

servicio se está ejecutando en un puerto), y huella TCP/IP (para determinar el SO del equipo

o dispositivo remoto). Ofrece un mecanismo flexible de especificación de objetivo y puerto,

barridos señuelo/silencioso, SunRPC y más.

Notes Status Seguimiento de cosas que desee anotar sobre el sistema.

NRPE v2 Servicios

NRPE es un agregado para Nagios que permite ejecutar plugins en equipos Linux/Unix

remotos. Esto es útil si se necesita monitorear recursos/atributos locales como utilización de

disco, memoria, carga de CPUT, etc. en equipos remotos.



ntop Administración

de Red

Ntop es una sonda de red que muestra la utilización de la red de forma similar como “top” lo

hace con los procesos. En modo interactivo, muestra el estado de la red en la terminal del

usuario. En modo Web actúa como un servidor Web, creando un volcado del estado de la red en

HTML. Soporta emisor/colector NetFlow / sFlow, una interfaz cliente basada en HTTP para crear

aplicaciones de monitoreo centradas en Ntop, y RRD para almacenar persistentemente las

estadísticas de tráfico.

nut Administración

de Red Network UPS Tools

OpenBGPD Red

OpenBGPD es una implementación gratuita del protocolo de gateway de borde (BGP), versión 4.

Permite utilizar equipos comunes como enrutadores que intercambian rutas con otros sistemas

que utilicen en protocolo BGP. – ADVERTENCIA! Instala archivos en la misma ubicación que

Quagga OSPF. Instalar ambos generará conflictos (broken state). Elimine este paquete antes de

instalar Quagga OSPF.

OpenOSPFD Enrutamiento

Este paquete se considera obsoleto. Por favor utilice Quagga OSPF en lugar de éste. --

ADVERTENCIA! Instala archivos en la misma ubicación que Quagga OSPF. Instalar ambos

generará conflictos (broken state). Elimine este paquete antes de instalar Quagga OSPF.

Open-VM-Tools Servicios Herramientas VMware

OpenVPN Client Export

Utility Seguridad

Permite exportar directamente desde pfSense, el conjunto de datos de configuración para

clientes OpenVPN de Windows o Mac OSX Viscosity.

OpenVPN tap Bridging

Fix Sistema

Parche para reparar tap bridging de OpenVPN en 2.0.x. ADVERTENCIA! No puede ser

desinstalado.

pfBlocker Firewall

Introduce una tabla de alias mejorada en pfSense. Asigne un alias a varias listas con IPs y URLs

desde sitios como I-blocklists y luego seleccione la regla de acción a ejecutar. Este paquete

también bloquea países y rangos IP. pfBlocker reemplaza a Countryblock e IPblocklist.



pfflowd Administración

de Red

pfflowd convierte mensajes de estado OpenBSD PF (enviados por la interfase pfsync) en

datagramas NetFlow de Cisco. Estos datagramas pueden ser enviados (vía UDP) a un

equipo seleccionado a discreción. Utilizando la infraestructura de filtro de estados de

paquetes de OpenBSD implica que el rastreo de flujos es muy rápido y exacto.

pfJailctl Sistema Wrapper de pfSense para jailctl - una herramienta de administración de jail. Permite ejecutar

2 “jails” en pfSense.

PHPService Servicios PHP ejecutándose como un servicio puede hacer todo lo que hace PHP, incluyendo pero no

limitado al monitoreo de archivos, CPU, RAM y envío de alertas al syslog.

phpSysInfo Sistema

PHPSysInfo es un script de PHP personalizable que analiza la información de /proc, y le da

un formato agradable. Mostrará información sobre datos del sistema como tiempo de

servicio, CPU, Memoria, dispositivos PCI, SCSI, IDE, interfases de red, utilización de disco y

más.

Postfix Forwarder Servicios

El reenviador de correo Postfix actúa como servidor relé para su dominio. Puede combatir el

spam en primera y segunda línea antes de enviar el correo entrante a los servidores de

correo locales. Postfix también puede detectar zombies, verificar RBLS, SPF, buscar

destinatarios válidos en LDAP y utilizar motores antispam de terceros como policyd y

mailscanner para generar una mejor solución antispam.

Proxy Server with

mod_security

Administración

de Red




permite el reenvío de URLs que puede ser útil para alojar múltiples sitios Web detrás de

pfSense utilizando una dirección IP.

RRD Summary Sistema Página de resumen RRD, que informa la cantidad total de trafico enviado entrante/saliente

durante el mes actual y previo.



pfflowd Administración

de Red

pfflowd convierte mensajes de estado OpenBSD PF (enviados por la interfase pfsync) en

datagramas NetFlow de Cisco. Estos datagramas pueden ser enviados (vía UDP) a un

equipo seleccionado a discreción. Utilizando la infraestructura de filtro de estados de

paquetes de OpenBSD implica que el rastreo de flujos es muy rápido y exacto.

pfJailctl Sistema Wrapper de pfSense para jailctl - una herramienta de administración de jail. Permite ejecutar

2 “jails” en pfSense.

PHPService Servicios PHP ejecutándose como un servicio puede hacer todo lo que hace PHP, incluyendo pero no

limitado al monitoreo de archivos, CPU, RAM y envío de alertas al syslog.

phpSysInfo Sistema

PHPSysInfo es un script de PHP personalizable que analiza la información de /proc, y le da

un formato agradable. Mostrará información sobre datos del sistema como tiempo de servicio,

CPU, Memoria, dispositivos PCI, SCSI, IDE, interfases de red, utilización de disco y más.

Postfix Forwarder Servicios

El reenviador de correo Postfix actúa como servidor relé para su dominio. Puede combatir el

spam en primera y segunda línea antes de enviar el correo entrante a los servidores de

correo locales. Postfix también puede detectar zombies, verificar RBLS, SPF, buscar

destinatarios válidos en LDAP y utilizar motores antispam de terceros como policyd y

mailscanner para generar una mejor solución antispam.

Proxy Server with

mod_security

Administración

de Red




permite el reenvío de URLs que puede ser útil para alojar múltiples sitios Web detrás de

pfSense utilizando una dirección IP.

RRD Summary Sistema Página de resumen RRD, que informa la cantidad total de trafico enviado entrante/saliente

durante el mes actual y previo.



squidGuard Administración

de Red Filtro de URLs para proxy Web de alta performance. Requiere del paquete proxy Squid 2.x.

SSHDCond Mejoras Permite definir anulaciones SSH para usuarios, grupos, equipos y direcciones utilizando igualdades

convenientemente. Este paquete actúa como frontend de la lista de acceso para conexiones SSH

Strikeback Servicios Detecta barridos de puertos con iplog y strikeback

Stunnel Administración

de Red Un Wrapper de encriptación SSL entre el cliente remoto y servidores locales o remotos.

Sudo Seguridad sudo permite la delegación de privilegios a usuarios en la consola a fin de ejecutar comandos como

otros usuarios, tales como root.

System Patches Sistema Un paquete para aplicar y mantener parches personalizados del sistema.

TFTP Servicios Trivial File Transport Protocol es un protocolo muy simple de transferencia de archivos.

Frecuentemente utilizado con enrutadores, teléfonos VoIP y más.

Unbound Servicios

Unbound es un resolver DNS con validación, recursividad y cache. Este paquete es un reemplazo

para el servicio DNS Forwarder y también soporta extensiones DNSSEC. Una vez instalado por favor

configure el servicio Unbound en accediendo a Services: Ubound DNS.

Varnish Servicios Varnish es un excelente acelerador HTTP de alta performance. Utiliza las avanzadas características

de FreeBSD 6/7/8 para lograr su elevada performance.

Varnish3 Servicios

Varnish es un excelente acelerador HTTP de alta performance. Utiliza las avanzadas características

de FreeBSD 6/7/8 para lograr su elevada performance. La versión 3.0.2 incluye soporte para

streaming.

vnstat2 Administración de

Red

Vnstat es un monitor de tráfico de consola. El frontend PHP de vnstat y vnstati proporciona una forma

más amigable al usuario para mostrar la utilización de tráfico.



widentd Servicios Demonio RFC1413 auth/identd con respuesta fija y falsa.

widescreen Mejoras

Este paquete hace que pfSense se adapte al ancho actual del navegador. Es

particularmente conveniente para la página de Status -> Dashboard que utiliza columnas

para los widgets según el ancho actual del navegador. ATENCION!: Este paquete

modifica profundamente el tema pfsense_ng y afecta la apariencia de otros temas.

Refresque su navegador después de instalar o desinstalar este paquete.

Zabbix Agent Servicios Agente de monitoreo.

Zabbix Proxy Servicios Proxy de agente de monitoreo.

Zabbix-2 Agent Servicios Agente de monitoreo.

Zabbix-2 Proxy Servicios Proxy de agente de monitoreo.

Zebedee Servicios

Zebedee es un simple programa para establecer, encriptar y comprimir un “túnel”

transferencia de datos TCP/IP o UDP entre dos sistemas. Esto permite proteger trafico

como telnet, ftp y X de espionaje así como, potencialmente, ganar performance en redes

de poco ancho de banda gracias a la compresión.

Quagga OSPF Enrutamiento

Protocolo de enrutamiento OSPF utilizando Quagga. – ADVERTENCIA! Instala archivos

en la misma ubicación que OpenOSPFD y OpenBGPD. Instalar ambos romperá las

cosas.

vHosts Servicios

Es un servidor Web que puede alojar HTML, Javascript, CSS, y PHP. Utiliza el servidor

Web lighttpd ya instalado. Utiliza PHP5 en modo FastCGI y tiene acceso a objetos de

datos PHP y PDO SQLite.

Interfaz de Usuario Web (dashboard)

Binnaris IT Consulting S.A.

(+54-11) 4571.0605 Aizpurúa 2630 1º P

Buenos Aires, Argentina [email protected]

www.binnaris.com

Binnaris IT Consulting S.A.

(+54-11) 4571.0605 Aizpurúa 2630 1º P

Buenos Aires, Argentina [email protected]

pfSense Platform Binnaris 2014

Technology

Transcript of pfSense Platform Binnaris 2014