Router, Firewall, DNS

Transcripción

Router, Firewall, DNS,
DHCP, Proxy, RADIUS, VPN (IPsec,
PPTP), Portal Cautivo, Cliente DynDNS, Agente
SNMP, Ponderación de tráfico, Graficación de tráfico SVG, Cliente
Wake On Lan (WOL), Respaldo y restauración de configuración, Aliases de
redes/equipos/puertos, IDS, VLANs 802.1Q, etcétera, etcétera…
Introducción al Problema
La vasta mayoría de las empresas, sin importar su tamaño, utilizan sistemas informáticos
en todos los aspectos de su modelo de negocio.
Es por ello que, la disponibilidad y acceso a la información es esencial para la operación
de la empresa.
Esta necesidad converge en la implementación de soluciones de acceso que, no
cumplen o cumplen parcialmente con los requerimientos del cliente, y en consecuencia,
es el cliente quien debe adaptarse a las características que el sistema ofrece y adquirir e
implementar otras soluciones complementarias.
Paralelamente, estos sistemas no poseen o no ofrecen, al menos en sus versiones base,
mecanismos de respaldo y tolerancia a fallas de alta confiabilidad o, si los poseen y
ofrecen, incrementan su costo final enormemente.
La administración de este tipo de sistemas requiere de personal especializado con
conocimientos del lenguaje de programación de estos equipos.
Puntos Críticos del Problema
Los equipos de routing y/o firewall “Empresariales” implican una
inversión inicial muy alta en función del presupuesto IT del que
disponen la mayoría de las PYMES.
Tanto los equipos como sus subcomponentes de hardware son
propietarios, de alto costo y difícil adquisición.
Las características o servicios que ofrecen se limitan a la función
básica de equipo; un router solo enrutará tráfico y un firewall solo
filtrará tráfico.
Al tratarse de sistemas propietarios, su administración y/o
mantenimiento dependen exclusivamente del proveedor.
Lineamiento de la Solución
La vasta mayoría de las empresas, sin importar su tamaño, utilizan sistemas informáticos
en todos los aspectos de su modelo de negocio.
Es por ello que, la disponibilidad y acceso a la información es esencial para la operación
de la empresa.
Esta necesidad converge en la implementación de soluciones de acceso que, no
cumplen o cumplen parcialmente con los requerimientos del cliente, y en consecuencia,
es el cliente quien debe adaptarse a las características que el sistema ofrece y adquirir e
implementar otras soluciones complementarias.
Paralelamente, estos sistemas no poseen o no ofrecen, al menos en sus versiones base,
mecanismos de respaldo y tolerancia a fallas de alta confiabilidad o, si los poseen y
ofrecen, incrementan su costo final enormemente.
La administración de este tipo de sistemas requiere de personal especializado con
conocimientos del lenguaje de programación de estos equipos.
Lineamiento de la Solución
Implementar un sistema que permita:
√ Tolerancia a fallos y alta disponibilidad.
√ Bajo costo de hardware, software y mantenimiento.
√ Simplicidad de administración y operación.
√ Conexión y servicio a múltiples plataformas cliente.
√ Escalabilidad en función de la necesidad de la empresa.
Solución Propuesta
Análisis, diseño e implementación de
cómo sistema de enrutamiento, firewall y proveedor de
servicios de red.
¿Que es
?

pfSense es una distribución personalizada de FreeBSD, de código abierto y gratuita diseñada para
utilizarse como firewall y router.

Además de ser una plataforma poderosa plataforma de firewall y router, incluye una extensa lista de
características relacionadas y un sistema de paquetes que permite futuras expansiones sin afectar su
desempeño o introducir vulnerabilidades de seguridad a la distribución base.

pfSense es un proyecto popular con más de 1 millón de descargas desde su introducción, y probado en
incontables implementaciones que abarcan desde la protección de pequeñas redes hogareñas de un
solo equipo hasta grandes corporaciones, universidades y otras organizaciones con miles de equipos en
red.

El proyecto comenzó en 2004 como variante del proyecto m0n0wall, pero orientado hacia instalaciones
en equipos de tipo PC en lugar de hardware embebido al cual se orienta m0n0wall. De todas maneras,
pfSense ofrece una imagen para hardware embebido e instalaciones basadas en Compact Flash.

pfSense se ha desarrollado y convertido en uno de los firewalls más ampliamente utilizados en el
mundo, excediendo 167.000 instalaciones productivas a Abril de 2013.

Implementa el mismo sistema de inicio mediante PHP utilizado por m0n0wall constituyendo a pfSense
como el segundo sistema Unix en utilizar exclusivamente PHP para su secuencia de inicio.

Mantiene el mismo sistema de configuración en un único archivo XML.
¿Quiénes son
?
constituye una comunidad de:
•
•
•
•
•
•
•
•
•
•
Más de 44.300 usuarios del foro registrados.
Más de 400 miembros en la lista de correo de soporte.
51.672.087 consultas al foro Web (2013).
359.574 posts en 62.225 temas.
82+ usuarios nuevos por día (promedio).
Proporción de Hombres y Mujeres: 21:1
Alrededor de 80 miembros en el canal de IRC (##pfsense en FreeNode).
16 “committers” de código.
CVS Server con soporte CVSWeb.
Soporte de CVSTrac con línea de tiempo
y servicios basados en tickets.
Plataformas Disponibles
 Live CD o USB (con Instalador)
Esta versión puede ejecutarse directamente desde un CD sin ser instalada en
un disco rígido o tarjeta flash.
La configuración puede salvarse en un diskette o pendrive USB. Algunas
características de pfSense no son compatibles con esta versión.
Esta versión debería utilizarse exclusivamente para la evaluación del software y
su hardware particular.
 Embebida (NanoBSD)
Esta versión se adapta específicamente a cualquier hardware que utilice una
tarjeta Compact Flash en lugar de un disco rígido.
Dado que este tipo de medio solo admite una cantidad limitada de escrituras,
esta versión se ejecuta en modo de solo lectura, y con sistemas de archivos en
modo lectura/escritura en como discos de RAM.
Esta versión posee dos particiones para el SO -una de inicio y otra para
actualizaciones- y una para la configuración.
Existen dos variantes de esta versión: La versión predeterminada utiliza una
consola serie, y la otra que soporta una consola VGA. Cada una de ellas es
provista según el la capacidad de las tarjetas CF.
 Instalación en Disco Rígido (HDD)
La versión Live CD incluye la opción de instalar pfSense en un disco rígido en su
equipo. Este es la forma ideal para ejecutar pfSense. El disco rígido deberá ser
reescrito completamente y no es posible bootear otros sistemas operativos.
Implementaciones Frecuentes
pfSense es utilizado en toda tipo y tamaño de ambiente de redes
imaginable, y seguramente es apto para la suya contenga ella una
o miles de computadoras.
Las clases de implementaciones más frecuentes de pfSense son:

Firewall Perimetral
La implementación más frecuente de pfSense es como firewall perimetral, con una conexión a Internet en su lado WAN y la red interna del lado
LAN. Soporta múltiples conexiones a Internet así como múltiples interfases internas.
pfSense se adecua a redes de mayor complejidad como múltiples conexiones a Internet, múltiples redes LAN y DMZs, etc. A diferencia de muchas
soluciones, pueden implementarse sistemas con docenas de interfases si es necesario. Algunos usuarios añaden capacidades BGP para proveer
redundancia de conexión y balanceo de carga.

Router LAN o WAN
La segunda implementación más frecuente de pfSense es como router LAN o WAN. Este es un rol separado del firewall perimetral en redes de
tamaño mediano a grande, y puede ser integrado en el firewall perimetral en ambientes de menor tamaño.

Router LAN
En grandes redes con múltiples segmentos internos, pfSense es una solución probada para la conexión de estos segmentos internos. Esto es
frecuentemente implementado mediante la utilización de VLANs con trunking 802.1Q. En algunos ambientes también se utilizan múltiples
interfases Ethernet.
Nota:
En ambientes que requieren más de 3 Gbps o 1 millón de paquetes por segundo de rendimiento sostenido, ningún router basado en
hardware común ofrece la performance adecuada. En tales ambientes se deben instalar switches de capa 3 -enrutamiento efectuado en el
hardware por el switch- o routers ASIC de alto desempeño.

Router WAN
Para servicios WAN que proveen al cliente con un puerto Ethernet, pfSense es una gran solución de router WAN privado ya que ofrece toda la
funcionalidad requerida por la mayoría de las redes a un costo mucho menor que las soluciones comerciales de renombre.

Punto de Acceso Inalámbrico (Wireless)
pfSense puede ser implementado exclusivamente como punto de acceso inalámbrico. Las capacidades inalámbricas también pueden ser agregadas
en las demás clases de implementaciones.
Implementaciones Frecuentes
Como Dispositivos de Propósito Específico

Dispositivo de VPN
Algunos usuarios utilizan pfSense como dispositivo de VPN detrás de un firewall existente, a fin de añadir servicio de VPN sin provocar
trastornos en la infraestructura de firewall existente. La mayoría de las implementaciones de VPN con pfSense también actúan como firewall
perimetral, aunque ello se adapta mejor en ciertas circunstancias.

Dispositivo de Sniffer
Un usuario buscaba un dispositivo de sniffer para implementar en cierta cantidad de sucursales. Si bien existen dispositivos sniffer comerciales
muy llamativos, su costo es significativamente elevado, especialmente si se multiplica por la cantidad de sucursales donde se deberían instalar.
pfSense ofrece una interfaz Web para tcpdump que permite descargar el archivo pcap resultante al finalizar la captura. Ello permite a la
compañía capturar paquetes en la red de una sucursal, descargar el archivo resultante de la captura y abrirlo con Wireshark para su análisis.
pfSense no se parece a los fantásticos dispositivos sniffer comerciales, pero ofrece un grado de funcionalidad adecuado para muchos propósitos
a un 2% del costo total.

Dispositivo Servidor DHCP
Un usuario instala pfSense en un equipo con una única interfaz de red para utilizar como servidor DHCP. En la mayoría de los ambientes esto no
tiene mucho sentido. Pero en este caso, el personal técnico del usuario ya estaba familiarizado y a gusto con pfSense, lo cual permitió efectuar
implementaciones adicionales sin ningún entrenamiento o capacitación adicional para los administradores, lo cual era un aspecto clave a
considerar para tal implementación.

Dispositivo Servidor DNS
Hay disponible un dispositivo servidor DNS preinstalado, pfDNS. Esta es una versión especializada de pfSense con una interfaz Web simplificada,
que proporciona únicamente las funcionalidades deseadas en un sistema que funcionará exclusivamente como servidor DNS. Existe un paquete
o módulo llamado tinydns disponible para pfSense que permite añadir esta funcionalidad a una instalación base de pfSense.

Dispositivo de Voz sobre IP (VoIP)
FreeSWITCH es una plataforma de telefonía escalable, de código abierto y multiplataforma diseñada para enrutar e interconectar protocolos de
comunicación populares utilizando audio, video, texto o cualquier otro tipo de medios. Existe un paquete o módulo de FreeSWITCH disponible
para pfSense.
=
Funcionalidades Incorporadas
Web Interface (HTTP/HTTPS).
Multiple WAN support.
Rebootless changes of
settings.
PPPoE Server.
Outgoing load balancing pool.
Serial console interface for
recovery
Set LAN IP address.
Reset password.
Restore factory
defaults.
Reboot system.
Wireless support (access point
with PRISM-II/2.5/3 cards,
BSS/IBSS with other cards
including Cisco).
Captive portal.
VLANs 802.1Q support.
Stateful packet filtering
Block/pass rules.
Requerimientos Mínimos
Logging.
NAT/PAT (including 1:1).
DHCP client, PPPoE, PPP y Telstra
BigPond Cable support on the WAN
interface.
PPTP VPN (with RADIUS server
support).
IPsec VPN Tunnels (IKE; with support
for hardware cryptocards and mobile
clients).
Static routes
DHCP Server
Caching DNS Forwarder.
DynDNS client.
SNMP agent.
Traffic shaper.
SVG-based traffic grapher.
Firmware through the web browser.
Wake On Lan client.
Configuration backup/restore.
Host/network/port aliases.
+
Funcionalidades Modulares
BandwithD: Monitoreo de graficación de ancho de banda.
Ifdepd:
Utilizado para crear dependencia entre interfaces.
Ifstated:
Verificación de estado de conexiones.
Pfflowd:
Conversión de mensajes PF en Cisco Netflow.
PFStatd:
Añade funcionalidades de graficación.
Ntop:
Registra datos de red ampliados e históricos.
Stunnel:
Encapsula puertos estándar con SSL.
Pure-FTPd: Servidor de archivos FTP.
Squid:
Servidor proxy multipropósito con cache.
Arpwatch:
Informa pares de direcciones Ethernet e IP.
Assp:
Servidor proxy anti-spam multipropósito.
FreeRADIUS: Servidor de autenticación RADIUS.
Mtr:
Función traceroute enriquecida.
Nmap:
Scanner de puertos para auditoría de seguridad.
Siproxd:
Servidor proxy con enmascaramiento para SIP.
Spamd:
Servidor SMTP falso eliminar spam.
Iperf:
Capacidad adicional de medición de ancho de
banda.
Nut:
Añade monitoreo de UPSs.
Snort:
Añade capacidades de detección de intrusiones.
……………..y 70 más…
Requerimientos Según Rendimiento
•10-20 Mbps
266 MHz CPU
•21-50 Mbps
500 MHz CPU
•1GB HDD or 512MB Flashcard
•51-200 Mbps
1.0 GHz CPU
•128MB RAM Memory
•201-500 Mbps
2.0 GHz CPU + P CI-X o PCI-e NICs
•501+ Mbps
3.0 GHz CPU + PCI-X o PCI-e NICs
•100MHz Pentium CPU
NAT
State Table
Firewall

Filtrado según IP de origen y destino, protocolo IP, puerto de origen y destino para tráfico TCP y UDP.

Posibilidad de limitar conexiones simultaneas en base a reglas.

pfSense utiliza p0f, un avanzada y pasiva utilidad de identificación de SO/red que permite filtrar conexiones según
el SO que la inició. ¿Desea permitir el acceso a Internet a equipos FreeBSD y Linux, pero bloquear equipos
Windows?, pfSense, - entre muchas otras posibilidades-, puede hacerlo detectando pasivamente el SO en uso.

Opción de registrar o no el tráfico concordante con cada regla.

Política de enrutamiento altamente flexible por selección de gateway en base a reglas – para balanceo de carga,
tolerancia a fallas, múltiples WAN, etc. –

Los “Alias” permiten agrupar y nombrar IPs, redes y puertos. Ello ayuda a conservar la colección de reglas clara y
fácil de entender, especialmente en ambientes con múltiples IPs públicas y numerosos servidores.

Capacidad de firewall de capa 2 transparente – puede crear puentes entre interfaces y filtrar tráfico entre ellas,
permitiendo aún un firewall sin IP (aunque seguramente deseará un IP para propósitos de administración)–.

Normalización de paquetes – descripción de la documentación de pf scrub: “…Scrubbing” es la normalización de
paquetes para eliminar ambigüedades en la interpretación por el último destino del paquete. La directiva de
“scrub” también reensambla paquetes fragmentados, protegiendo algunos sistemas operativos de algunas clases
de ataques, y deshecha paquetes TCP que poseen combinaciones de banderas inválidas….”
 Habilitado en pfSense de forma predeterminada
 Puede deshabilitarse si es necesario. Esta opción causa problemas en algunas implementaciones de NFS, pero
es normalmente segura y debería quedar habilitada en la mayoría de las instalaciones.

Inhabilitación de filtro – el filtro de firewall puede deshabilitarse completamente si se desea convertir a pfSense en
un router puro.
State Table (tabla de estados)



State Table
La tabla de estados del firewall mantiene la información sobre las conexiones de red abiertas. pfSense es un firewall de estados, todas las reglas
contemplan estados predeterminadamente.
A diferencia de otros, pfSense posee numerosas y granulares capacidades de control de la tabla de estados, gracias a las características de pf de
OpenBSD.
Tamaño ajustable de tabla de estados – existen múltiples instalaciones de pfSense en producción que utilizan varios cientos de miles de estados.
El tamaño predeterminado de la tabla de estados varia según la cantidad de RAM instalada en el sistema, pero puede ser incrementada a la
capacidad requerida en el momento. Cada estado consume aproximadamente 1KB de RAM, por lo tanto debe considerarse la utilización de
memoria cuando sea necesario modificar su tamaño.

En base a reglas es posible:
 Limitar la cantidad de conexiones cliente simultaneas.
 Limitar estados por cliente.
 Limitar la cantidad de conexiones nuevas por segundo.
 Definir el tiempo de vida - timeout - de cada estado.
 Definir el tipo de estado.

Tipos de estado – pfSense ofrece múltiples opciones para la administración de estados.
 Mantener el estado – Funciona con todos los protocolos. Predeterminado para todas las reglas.
 Estado modular – Funciona solo con TCP. pfSense generará sólidos números de inicio de secuencia – ISNs – en nombre del anfitrión.
 Estado Synproxy – Oficia de Proxy de las conexiones TCP entrantes ayudando a proteger servidores de saturación de conexiones TCP SYN
falsas. Esta opción incluye la funcionalidades de “Mantener el estado” y “Modular el estado” combinadas.
 Ninguna – No mantener ninguna entrada de estado para determinado tráfico. Esto es raramente necesario, pero se encuentra disponible
debido a que podría ser necesario en algunas limitadas circunstancias.

Opciones de optimización de la tabla de estados - pf ofrece 4 opciones de optimización:
 Normal – el algoritmo predeterminado.
 Alta latencia - Útil para vínculos con alta latencia, tales como conexiones satelitales. Expira conexiones ociosas posteriormente al tiempo
normal.
 Agresivo – Expira conexiones ociosas rápidamente. Utilización más eficiente de los recursos de hardware, pero podría eliminar conexiones
legítimas.
 Conservador – Intenta evitar eliminar conexiones legítimas a expensas de un incremento en la utilización de la memoria y CPU.
Network Address Translation (Nat)
NAT
 El reenvío de puertos - port forwarding - incluye rangos y la
utilización de múltiples IPs públicas.
 1:1 NAT para IPs individuales o subredes competas.
 NAT Saliente - Outbound NAT • La configuración predeterminada envía todo el tráfico saliente
hacia la IP de la WAN. En escenarios de múltiples WAN, la
configuración predeterminada es enviar el tráfico saliente a la
IP de la interfase WAN que se esta utilizando.
• El NAT Saliente Avanzado permite deshabilitar el
comportamiento predeterminado, y habilita la creación de
reglas de NAT (o sin NAT) muy flexibles.
 Reflexión NAT – en algunas configuraciones, la reflexión NAT es
posible a fin de habilitar el acceso a servicios por IP pública
desde redes internas.
Redundancia
 CARP de OpenBSD permite la conmutación por falla de
hardware.
 Dos o más firewalls pueden ser configurados como un grupo de
conmutación por falla. Si falla una interfase del equipo primario o éste
quedase completamente fuera de línea, el secundario se activa.
 pfSense incluye también la capacidad de sincronización de configuración,
ello permite efectuar cambios en la configuración del equipo primario y
ellas son automáticamente sincronizadas en el equipo secundario.
 pfsync asegura que la tabla de estados del firewall sea replicada
en todos los firewalls configurados en el grupo de conmutación
por falla.
 En consecuencia de ello, las conexiones existentes se conservaran en caso
de falla, lo cual es importante para prevenir interrupciones de tráfico en
la red.
Load Balancing (Balanceo de Carga)
 Balanceo de Carga Saliente
El balanceo de carga saliente es utilizado con múltiples
conexiones WAN para proveer balanceo de carga y tolerancia
a fallas. El tráfico es dirigido al gateway deseado o al conjunto
de balanceo según una regla de firewall.
 Balanceo de Carga Entrante
El balanceo de carga entrante es utilizado para distribuir la
carga entre múltiples servidores. Esto es frecuentemente
utilizado con servidores de correo, Web y otros. Los
servidores que no responden a ping o conexiones a puertos
TCP son removidos del conjunto de balanceo.
Acceso Remoto (VPN)
 IPSEC
IPsec permite la conectividad con cualquier dispositivo que soporte el estándar IPsec. Esto es
frecuentemente utilizado para conexiones sitio a sitio con otras instalaciones de pfSense, otros
firewalls de código abierto (m0n0wall, etc.), y la mayoría de las soluciones de firewall comerciales
(Cisco, Juniper, etc.). También puede utilizarse para la conectividad de clientes móviles.
 OpenVPN
OpenVPN es una solución VPN bajo SSL flexible y poderosa, que soporta una amplia gama de
sistemas operativos cliente. En el sitio de OpenVPN se detallan las características y capacidades de
este sistema
 PPTP Server
 PPTP es una solución de VPN popular debido a la vasta mayoría de los SOs poseen un cliente PPTP
incorporado; incluyendo todas las versiones de Windows desde Windows 95 OSR2.
 El servidor PPTP de pfSense puede utilizar una base de datos local, o un servidor RADIUS para la
autenticación y contabilidad. Las reglas de firewall en la interfase PPTP controlan el trafico iniciado por los
clientes PPTP.
 PPPoE Server
 pfSense ofrece un servidor PPPoE. Puede utilizar una base de datos de usuarios local para autenticación o
autenticación RADIUS con contabilidad opcional.
Reporte y Monitoreo
 Gráficos RRD
Los gráficos RRD en pfSense mantienen información histórica sobre:
 Utilización de CPU.
 Rendimiento Total.
 Estados del Firewall.
 Rendimiento individual de cada una de sus interfases.
 Tasas de paquetes por segundo de cada una de sus interfases.
 Tiempos de respuesta de ping en las interfases gateway WAN.
 Colas de priorización de tráfico en sistemas con esta característica habilitada.
 Información en Tiempo Real
La información histórica es importante, pero en algunas ocasiones es más importante ver la
información en tiempo real.
Por ello, pfSense incorpora gráficos SVG que muestran el rendimiento de cada interfase en
tiempo real.
Para las instalaciones con priorización de tráfico, la pantalla de Status -> Colas provee una vista
en tiempo real de la utilización de la cola utilizando indicadores actualizados con AJAX.
La página de inicio incluye indicadores en tiempo real AJAX que muestran la utilización de CPU,
memoria, capacidad de swap y disco rígdo y el tamaño de la tabla de estados.
DNS Dinámico
pfSense incorpora un cliente de DNS dinámico que permite registrar
su IP pública en varios proveedores de servicio de DNS dinámico como:













DynDNS
DHS
DNSexit
DyNS
easyDNS
freeDNS
HE.net
Loopia
Namecheap
No-IP
ODS.org
OpenDNS
ZoneEdit
 Dispone también de un cliente para actualizaciones de DNS dinámico de tipo RFC 2136,
para utilizar con servidores que soporten este mecanismo de actualización como por
ejemplo BIND.
Servidor y Relé DHCP
 pfSense provee un servidor con funcionalidad DHCP y relé DHCP
con características configurables como:









Mapeo estático de clientes DHCP.
Tiempo de otorgamiento de IP mínimo y máximo.
Servidores DNS y Gateway alternativos.
Nombre de dominio.
Registro de clientes en servidores DNS dinámicos.
Servidores NTP
LDAP URI
Servidores TFTP
Booteo vía Red (BOOTP).
 El relay DHCP reenviara las solicitudes DHCP efectuadas en un dominio de
broadcast hacia otro distinto o hacia la interfase WAN.
Portal Cautivo (captive portal)
El portal cautivo permite forzar la autenticación o redirección a una página predeterminada para acceder a
la red. Esto es frecuentemente utilizado en redes “hot spot”, pero también es utilizado en redes corporativas
a fin de añadir una capa de seguridad extra en el acceso a redes inalámbricas o a Internet. La siguiente es
una lista de características del portal cautivo de pfSense:






Cantidad máxima de conexiones concurrentes:
Limita el numero de conexiones IP que un cliente puede efectual al portal mismo. Esta
característica previene denegaciones de servicio desde un equipo cliente que envía tráfico de red
repetidamente sin autenticarse o haciendo click en la página de inicio del portal.
Tiempo en espera:
Desconecta a los clientes que han estado en espera durante una cantidad de minutos
predefinida.
Desconexión Forzada:
Desconecta a todos los clientes luego de una cantidad de minutos predefinida.
Ventana de inicio de sesión
Esta opción lanza una ventana con un botón de desconexión.
Redirección de URL:
Después de autenticarse o hacer click en el portal cautivo, los usuarios pueden ser forzosamente
redirigidos a una URL predefinida.
Filtrado MAC:
Predeterminadamente, pfSense filtra utilizando direcciones MAC. Si posee una subred detrás de
un router en una interface con portal cautivo habilitado, cada equipo detrás de éste será autorizado
después que un usuario sea autorizado. El filtrado MAC puede ser deshabilitado para estos
escenarios.
=
Web Interface (HTTP/HTTPS).
Multiple WAN support.
Rebootless changes of
settings.
PPPoE Server.
Outgoing load balancing pool.
Serial console interface for
recovery
Set LAN IP address.
Reset password.
Restore factory
defaults.
Reboot system.
Wireless support (access point
with PRISM-II/2.5/3 cards,
BSS/IBSS with other cards
including Cisco).
Captive portal.
VLANs 802.1Q support.
Stateful packet filtering
Block/pass rules.
Requerimientos Mínimos
Logging.
NAT/PAT (including 1:1).
DHCP client, PPPoE, PPP y Telstra
BigPond Cable support on the WAN
interface.
PPTP VPN (with RADIUS server
support).
IPsec VPN Tunnels (IKE; with support
for hardware cryptocards and mobile
clients).
Static routes
DHCP Server
Caching DNS Forwarder.
DynDNS client.
SNMP agent.
Traffic shaper.
SVG-based traffic grapher.
Firmware through the web browser.
Wake On Lan client.
Configuration backup/restore.
Host/network/port aliases.
+
BandwithD: Monitoreo de graficación de ancho de banda.
Ifdepd:
Utilizado para crear dependencia entre interfaces.
Ifstated:
Verificación de estado de conexiones.
Pfflowd:
Conversión de mensajes PF en Cisco Netflow.
PFStatd:
Añade funcionalidades de graficación.
Ntop:
Registra datos de red ampliados e históricos.
Stunnel:
Encapsula puertos estándar con SSL.
Pure-FTPd: Servidor de archivos FTP.
Squid:
Servidor proxy multipropósito con cache.
Arpwatch:
Informa pares de direcciones Ethernet e IP.
Assp:
Servidor proxy anti-spam multipropósito.
FreeRADIUS: Servidor de autenticación RADIUS.
Mtr:
Función traceroute enriquecida.
Nmap:
Scanner de puertos para auditoría de seguridad.
Siproxd:
Servidor proxy con enmascaramiento para SIP.
Spamd:
Servidor SMTP falso eliminar spam.
Iperf:
Capacidad adicional de medición de ancho de
banda.
Nut:
Añade monitoreo de UPSs.
Snort:
Añade capacidades de detección de intrusiones.
……………..y 70 más…
Requerimientos Según Rendimiento
•10-20 Mbps
266 MHz CPU
•21-50 Mbps
500 MHz CPU
•1GB HDD or 512MB Flashcard
•51-200 Mbps
1.0 GHz CPU
•128MB RAM Memory
•201-500 Mbps
2.0 GHz CPU + P CI-X o PCI-e NICs
•501+ Mbps
3.0 GHz CPU + PCI-X o PCI-e NICs
•100MHz Pentium CPU
NAT
State Table
Funcionalidades Modulares (7/89)
Paquete
Tipo
Descripción
Servicios
Asterisk es un entorno de trabajo de código abierto para construir aplicaciones de comunicación.
Asterisk convierte una computadora común en un servidor de comunicaciones.
Diagnóstico
Shell interactivo Ajax – ¿Alguna vez necesitó acceso SSH o Telnet a su sistema desde Internet,
desde detrás de un firewall estricto, desde un cibercafé o aún desde un teléfono móvil ?.
Anyterm es una combinación de página Web y un proceso que se ejecuta en su servidor Web y
provee este acceso. ADVERTENCIA! Sugerimos utilizar Stunnel en combinación con este
paquete!
Apache with
mod_security-dev
Administración
de Red
ModSecurity es una aplicación Web de firewall que puede funcionar tanto embebida como
reverse proxy. Provee protección de una cantidad ataques a aplicaciones Web y permite el
monitoreo, registro y análisis en tiempo real de tráfico HTTP. Adicionalmente este paquete
permite el reenvío de URLs que puede ser útil para alojar múltiples sitios Web detrás de pfSense
utilizando una dirección IP.
arping
Servicios
Transmite un paquete ARP de tipo “quien-tiene” en la red e imprime las respuestas.
arpwatch
Seguridad
Arpwatch monitorea los pares dirección_Ethernet / dirección_IP. También registra ciertos
cambios en syslog.
AutoConfigBackup
Servicios
Efectúa una copia de seguridad automática de la configuración de su pfSense. Todos los
contenidos son encriptados en el servidor. Requiere de una suscripción premium en el portal de
soporte de pfSense https://portal.pfsense.org
Avahi
Administración
de Red
Avahi es un sistema que facilita el descubrimiento de servicios en una red local. Esto significa
que Ud. Puede conectar su laptop en la red e instantáneamente poder ver a otras personas con
las que puede chatear, encontrar impresoras o archivos compartidos. Esta conveniente
tecnología ya se encuentra en MacOS de Apple (algunas veces llamada Bonjour o Zeroconf).
Avahi se basa en flexmdns mDNS de Linux, la cual ha sido discontinuada en favor de Avahi.
Backup
Sistema
Herramienta para realizar respaldo y restauración de archivos y directorios.
Asterisk
anyterm
Paquete
Tipo
Descripción
Servicios
Bacula es un conjunto de programas de código abierto que permiten administrar copias de
seguridad, recuperación y verificación de datos de computadoras a través de una red de
computadoras de diferentes tipos.
bandwidthd
Sistema
BandwidthD registra la utilización de subredes TCP/IP y genera archivos HTML con gráficos
para mostrar su utilización. Los gráficos son construidos en base a direcciones IP individuales y,
predeterminadamente, se muestra la utilización en períodos de 2, 8 40 y 400 días. Además, la
utilización de cada dirección IP puede ser registrada a intervalos de 3,3 y 10 minutos, 1 o 12
horas en formato cdf, o a un servidor de bases de datos de backend, El tráfico HTTP, TCP, UDP,
ICMP, VPN, y P2P, es codificado por colores.
blinkled
Sistema
Permite la utilización de LEDs para mostrar la actividad de la red en plataformas que los
soporten (ALIX, WRAP, Soekris, etc.)
Check_mk agent
Servicios
El objetivo básico de check_mk es extraer “toda” la información sobre un equipo objetivo de una
sola vez. Para monitorear cada equipo check_mk es llamado por Nagios un sola vez por periodo
de tiempo.
Country Block
Firewall
Bloquea países – Esto ha sido reemplazado por pfblocker. Esta es una aplicación heredada.
Cron
Servicios
La utilidad Cron se utiliza para administrar y ejecutar comandos según un cronograma
establecido.
Dansguardian
Servicios
DansGuardian es un reconocido filtro de contenido Web de código abierto. Filtra el contenido de
las paginas basado en varios métodos incluyendo equivalencias de frases. Filtrado de PICS y
URL. No filtra basándose exclusivamente en una lista de sitios prohibidos como muchos filtros
comerciales. Es gratuito para usuarios no comerciales.
darkstat
Administración
de Red
Darkstat es un recolector de estadísticas de red. Es un sniffer de paquetes que se ejecuta como
un proceso de fondo en un router de cable/DSL, recolecta todo tipo de estadísticas sobre la
utilización de la red y las sirve sobre HTTP.
bacula-client
Paquete
Tipo
Descripción
Dashboard Widget:
Antivirus Status
Sistema
Aplicación de informe de estado de HAVP para el tablero de instrumentos de pfsense
Dashboard Widget:
HAVP
Sistema
Aplicación de informe de alertas de HAVP para el tablero de instrumentos de pfsense
Dashboard Widget:
Snort
Sistema
Aplicación de informe de estado de Snort para el tablero de instrumentos de pfsense
diag_new_states
Administración
de Red
La versión de Paul Taylor de Diagnóstico de estado que utiliza pftop.
dns-server
Servicios
Versión de pfSense de TinyDNS que soporta tolerancia a fallas a otro equipo de respaldo.
File Manager
Diagnóstico
Administrador de archivos PHP.
Filer
Administración
de Archivos
Permite crear y sobrescribir archivos desde la GUI.
Freeradius
Sistema
Una implementación libre del protocolo RADIUS.
freeradius2
Sistema
Una implementación libre del protocolo RADIUS. Soporta: MySQL, PostgreSQL, LDAP,
Kerberos. Las configuraciones de FreeRADIUS y FreeRADIUS2 no son compatibles y no deben
ser utilizadas o intentar actualizarlas juntas. En los docs de pfSense existe un “how-to” que
podría ayudar a portar los usuarios.
jail_template
Sistema
Plantilla básica para jail, probablemente requiera de pfJailctl para ser útil. Incluye las
distribuciones ‘base’ y ‘manpages’.
FreeSWITCH Dev
Servicios
Versión de desarrollo del paquete FreeSWITCH.
Paquete
Tipo
Descripción
gwled
Sistema
Permite la utilización de LEDs para mostrar la actividad del gateway en plataformas que los
soporten (ALIX, WRAP, Soekris, etc.)
haproxy
Servicios
El confiable y altamente performante TCP/HTTP balanceador de carga. Este paquete
implementa las características de balanceo TCP y HTTP de Haproxy. Soporta ACL’s para
reemplazo inteligente de backends.
haproxy-full
Servicios
El confiable y altamente performante TCP/HTTP balanceador de carga. Este paquete
implementa las características de balanceo TCP y HTTP de Haproxy. (versión legacy)
HAVP antivirus
Administración
de Red
Antivirus: HAVP (HTTP Antivirus Proxy) es un proxy con el scanner de anti-virus ClamAV. Los
objetivos principales son descargas continuas y sin bloqueos, y la exploración fluida de tráfico
HTTP protegido con contraseña. El proxy antivirus HAVP posee un modo de proxy transparente
padre. Puede utilizarse con Squid o independiente. También posee un explorador para archivos
locales.
imspector
Administración
de Red
IMSpector es un proxy transparente de mensajero instantáneo con capacidad de registro.
Actualmente soporta MSN, AIM, ICQ, Yahoo e IRC a diferentes grados.
imspector-dev
Administración
de Red
IMSpector es un proxy transparente de mensajero instantáneo con capacidad de registro.
Actualmente soporta MSN, AIM, ICQ, Yahoo e IRC a diferentes grados.
Iperf
Administración
de Red
Iperf es una herramienta para evaluar el rendimiento, pérdida y jitter de la red.
Ipguard-dev
Seguridad
Ipguard escucha paquetes ARP de la red. Todos los pares MAC-IP permitidos y listados en los
archivos de configuración. Si recibe uno con un par MAC-IP inexistente el archivo ‘ethers’,
enviará una respuesta ARP con una dirección configurada falsa. Esto prevendrá que equipos no
permitidos en el segmento Ethernet local trabajen apropiadamente.
LCDproc
Utilidad
Driver de pantalla LCD.
Paquete
Tipo
Descripción
LCDproc-dev
Utilidad
Versión de desarrollo del driver de pantalla LCD.
Lightsquid
Reporte de Red
Reporte para proxy Web de alta performance (LightSquid). Estadística de Proxy en tiempo
real (SQStat). Requiere Squid HTTP proxy.
mailreport
Administración
de Red
Permite configurar reportes periódicos por e-mail que contengan salidas de comandos,
contenidos de archivos de registro y gráficos RRD.
mail scanner
Servicios
MailScanner es un paquete de seguridad de e-mail y anti-spam sistemas de gateway de email. Esta es una herramienta de inspección de correo de nivel 3 de alta carga de CPU.
mtr-nox11
Administración
de Red
Reemplazo ampliado de traceroute.
netio
Administración
de Red
Es una herramienta de prueba de red para DOS, OS/2 2.x, Windows NT/2000 y Unix. Mide
el rendimiento neto de una mediante los protocolos NetBIOS y/o TCP/IP (Unix y DOS solo
soportan TCP/IP) utilizando distintos tamaños de paquetes.
nmap
Seguridad
NMap es una utilidad de exploración o auditoría de redes. Soporta barridos ping (para
determinar equipos conectados), diversas técnicas de barrido de puertos (para determinar
que servicios ofrecen los equipos), detección de versión (para determinar que aplicación o
servicio se está ejecutando en un puerto), y huella TCP/IP (para determinar el SO del equipo
o dispositivo remoto). Ofrece un mecanismo flexible de especificación de objetivo y puerto,
barridos señuelo/silencioso, SunRPC y más.
Notes
Status
Seguimiento de cosas que desee anotar sobre el sistema.
NRPE v2
Servicios
NRPE es un agregado para Nagios que permite ejecutar plugins en equipos Linux/Unix
remotos. Esto es útil si se necesita monitorear recursos/atributos locales como utilización de
disco, memoria, carga de CPUT, etc. en equipos remotos.
Paquete
Tipo
Descripción
ntop
Administración
de Red
Ntop es una sonda de red que muestra la utilización de la red de forma similar como “top” lo
hace con los procesos. En modo interactivo, muestra el estado de la red en la terminal del
usuario. En modo Web actúa como un servidor Web, creando un volcado del estado de la red en
HTML. Soporta emisor/colector NetFlow / sFlow, una interfaz cliente basada en HTTP para crear
aplicaciones de monitoreo centradas en Ntop, y RRD para almacenar persistentemente las
estadísticas de tráfico.
nut
Administración
de Red
Network UPS Tools
OpenBGPD
Red
OpenBGPD es una implementación gratuita del protocolo de gateway de borde (BGP), versión 4.
Permite utilizar equipos comunes como enrutadores que intercambian rutas con otros sistemas
que utilicen en protocolo BGP. – ADVERTENCIA! Instala archivos en la misma ubicación que
Quagga OSPF. Instalar ambos generará conflictos (broken state). Elimine este paquete antes de
instalar Quagga OSPF.
OpenOSPFD
Enrutamiento
Este paquete se considera obsoleto. Por favor utilice Quagga OSPF en lugar de éste. -ADVERTENCIA! Instala archivos en la misma ubicación que Quagga OSPF. Instalar ambos
generará conflictos (broken state). Elimine este paquete antes de instalar Quagga OSPF.
Open-VM-Tools
Servicios
Herramientas VMware
OpenVPN Client Export
Utility
Seguridad
Permite exportar directamente desde pfSense, el conjunto de datos de configuración para
clientes OpenVPN de Windows o Mac OSX Viscosity.
OpenVPN tap Bridging
Fix
Sistema
Parche para reparar tap bridging de OpenVPN en 2.0.x. ADVERTENCIA! No puede ser
desinstalado.
pfBlocker
Firewall
Introduce una tabla de alias mejorada en pfSense. Asigne un alias a varias listas con IPs y URLs
desde sitios como I-blocklists y luego seleccione la regla de acción a ejecutar. Este paquete
también bloquea países y rangos IP. pfBlocker reemplaza a Countryblock e IPblocklist.
Paquete
Tipo
Descripción
pfflowd
Administración
de Red
pfflowd convierte mensajes de estado OpenBSD PF (enviados por la interfase pfsync) en
datagramas NetFlow de Cisco. Estos datagramas pueden ser enviados (vía UDP) a un
equipo seleccionado a discreción. Utilizando la infraestructura de filtro de estados de
paquetes de OpenBSD implica que el rastreo de flujos es muy rápido y exacto.
pfJailctl
Sistema
Wrapper de pfSense para jailctl - una herramienta de administración de jail. Permite ejecutar
2 “jails” en pfSense.
PHPService
Servicios
PHP ejecutándose como un servicio puede hacer todo lo que hace PHP, incluyendo pero no
limitado al monitoreo de archivos, CPU, RAM y envío de alertas al syslog.
Sistema
PHPSysInfo es un script de PHP personalizable que analiza la información de /proc, y le da
un formato agradable. Mostrará información sobre datos del sistema como tiempo de
servicio, CPU, Memoria, dispositivos PCI, SCSI, IDE, interfases de red, utilización de disco y
más.
Servicios
El reenviador de correo Postfix actúa como servidor relé para su dominio. Puede combatir el
spam en primera y segunda línea antes de enviar el correo entrante a los servidores de
correo locales. Postfix también puede detectar zombies, verificar RBLS, SPF, buscar
destinatarios válidos en LDAP y utilizar motores antispam de terceros como policyd y
mailscanner para generar una mejor solución antispam.
Proxy Server with
mod_security
Administración
de Red
permite el reenvío de URLs que puede ser útil para alojar múltiples sitios Web detrás de
pfSense utilizando una dirección IP.
RRD Summary
Sistema
Página de resumen RRD, que informa la cantidad total de trafico enviado entrante/saliente
durante el mes actual y previo.
phpSysInfo
Postfix Forwarder
Paquete
Tipo
Descripción
pfflowd
Administración
de Red
pfflowd convierte mensajes de estado OpenBSD PF (enviados por la interfase pfsync) en
datagramas NetFlow de Cisco. Estos datagramas pueden ser enviados (vía UDP) a un
equipo seleccionado a discreción. Utilizando la infraestructura de filtro de estados de
paquetes de OpenBSD implica que el rastreo de flujos es muy rápido y exacto.
pfJailctl
Sistema
Wrapper de pfSense para jailctl - una herramienta de administración de jail. Permite ejecutar
2 “jails” en pfSense.
PHPService
Servicios
PHP ejecutándose como un servicio puede hacer todo lo que hace PHP, incluyendo pero no
limitado al monitoreo de archivos, CPU, RAM y envío de alertas al syslog.
phpSysInfo
Sistema
PHPSysInfo es un script de PHP personalizable que analiza la información de /proc, y le da
un formato agradable. Mostrará información sobre datos del sistema como tiempo de servicio,
CPU, Memoria, dispositivos PCI, SCSI, IDE, interfases de red, utilización de disco y más.
Servicios
El reenviador de correo Postfix actúa como servidor relé para su dominio. Puede combatir el
spam en primera y segunda línea antes de enviar el correo entrante a los servidores de
correo locales. Postfix también puede detectar zombies, verificar RBLS, SPF, buscar
destinatarios válidos en LDAP y utilizar motores antispam de terceros como policyd y
mailscanner para generar una mejor solución antispam.
Proxy Server with
mod_security
Administración
de Red
permite el reenvío de URLs que puede ser útil para alojar múltiples sitios Web detrás de
pfSense utilizando una dirección IP.
RRD Summary
Sistema
Página de resumen RRD, que informa la cantidad total de trafico enviado entrante/saliente
durante el mes actual y previo.
Postfix Forwarder
Paquete
Tipo
Descripción
squidGuard
Administración
de Red
Filtro de URLs para proxy Web de alta performance. Requiere del paquete proxy Squid 2.x.
SSHDCond
Mejoras
Permite definir anulaciones SSH para usuarios, grupos, equipos y direcciones utilizando igualdades
convenientemente. Este paquete actúa como frontend de la lista de acceso para conexiones SSH
Strikeback
Servicios
Detecta barridos de puertos con iplog y strikeback
Stunnel
Administración
de Red
Un Wrapper de encriptación SSL entre el cliente remoto y servidores locales o remotos.
Sudo
Seguridad
sudo permite la delegación de privilegios a usuarios en la consola a fin de ejecutar comandos como
otros usuarios, tales como root.
System Patches
Sistema
Un paquete para aplicar y mantener parches personalizados del sistema.
TFTP
Servicios
Trivial File Transport Protocol es un protocolo muy simple de transferencia de archivos.
Frecuentemente utilizado con enrutadores, teléfonos VoIP y más.
Unbound
Servicios
Unbound es un resolver DNS con validación, recursividad y cache. Este paquete es un reemplazo
para el servicio DNS Forwarder y también soporta extensiones DNSSEC. Una vez instalado por favor
configure el servicio Unbound en accediendo a Services: Ubound DNS.
Varnish
Servicios
Varnish es un excelente acelerador HTTP de alta performance. Utiliza las avanzadas características
de FreeBSD 6/7/8 para lograr su elevada performance.
Varnish3
Servicios
Varnish es un excelente acelerador HTTP de alta performance. Utiliza las avanzadas características
de FreeBSD 6/7/8 para lograr su elevada performance. La versión 3.0.2 incluye soporte para
streaming.
vnstat2
Administración de
Red
Vnstat es un monitor de tráfico de consola. El frontend PHP de vnstat y vnstati proporciona una forma
más amigable al usuario para mostrar la utilización de tráfico.
Paquete
widentd
Tipo
Descripción
Servicios
Demonio RFC1413 auth/identd con respuesta fija y falsa.
widescreen
Mejoras
Este paquete hace que pfSense se adapte al ancho actual del navegador. Es
particularmente conveniente para la página de Status -> Dashboard que utiliza columnas
para los widgets según el ancho actual del navegador. ATENCION!: Este paquete
modifica profundamente el tema pfsense_ng y afecta la apariencia de otros temas.
Refresque su navegador después de instalar o desinstalar este paquete.
Zabbix Agent
Servicios
Agente de monitoreo.
Zabbix Proxy
Servicios
Proxy de agente de monitoreo.
Zabbix-2 Agent
Servicios
Agente de monitoreo.
Zabbix-2 Proxy
Servicios
Proxy de agente de monitoreo.
Zebedee
Servicios
Zebedee es un simple programa para establecer, encriptar y comprimir un “túnel”
transferencia de datos TCP/IP o UDP entre dos sistemas. Esto permite proteger trafico
como telnet, ftp y X de espionaje así como, potencialmente, ganar performance en redes
de poco ancho de banda gracias a la compresión.
Quagga OSPF
Enrutamiento
Protocolo de enrutamiento OSPF utilizando Quagga. – ADVERTENCIA! Instala archivos
en la misma ubicación que OpenOSPFD y OpenBGPD. Instalar ambos romperá las
cosas.
vHosts
Servicios
Es un servidor Web que puede alojar HTML, Javascript, CSS, y PHP. Utiliza el servidor
Web lighttpd ya instalado. Utiliza PHP5 en modo FastCGI y tiene acceso a objetos de
datos PHP y PDO SQLite.
Interfaz de Usuario Web (dashboard)
Binnaris IT Consulting S.A.
Binnaris IT Consulting S.A.
(+54-11) 4571.0605
(+54-11) 4571.0605
Aizpurúa 2630 1º P
Aizpurúa 2630 1º P
Buenos Aires, Argentina
Buenos Aires, Argentina
[email protected]
[email protected]
www.binnaris.com

Router, Firewall, DNS

Transcripción

Documentos relacionados

Partimos de la instalación del pfSense 2.1.4 con dos interfaces de

fin de semana fin de semana de golf

Ubicaciones de red Dominio