UNIVERSIDAD AUTONOMA GABRIEL RENE

MORENO
FACULTAD INTEGRAL DEL NORTE
UNIDAD DE POSTGRADO

INTRODUCCIN A LA SEGURIDAD INF

ELABORADO POR:

..

Contenido
1.
INTRODUCCION:
2.
CARACTERISTICAS DE LA HERRAMIENTA
2.1. FIREWALL:
2.2. SERVIDOR VPN:
2.3. SERVIDOR DE BALANCEO DE CARGA:
2.4. PORTAL CAUTIVO:
2.5. TABLA DE ESTADO:
2.6. SERVIDOR DNS Y REENVIADOR DE CACHE DNS:
2.7. SERVIDOR DHCP:
2.8. SERVIDOR PPPOE:
2.9. REDUNDANCIA:
2.10. REPORTES Y MONITOREO:
3.
BENEFICIOS QUE OFRECE:
4.
PROCESO DE INSTALACIN
5.
CARACTERISTICAS DE FUNCIONAMIENTO
6.
CONCLUSIONES
1
7.
RECOMENDACIONES
8.
REFERENCIAS BIBLIOGRAFICAS:

2
6
6
6
7
7
7
7
7
7
8
8
8
8
14
15
15
15

ADMINISTRACIN DE RED MEDIANTE

LA HERRAMIENTA PFSENSE
1. INTRODUCCION:
La Seguridad en redes tiene el objetivo de mantener el intercambio de
informacin libre de riesgo y proteger los recursos informticos de los
usuarios y las Organizaciones. Generalmente, se encuentra amenazada
por riesgos que van de la mano con el aumento del uso de Internet en las
Instituciones de todos los mbitos. De esta forma, la Seguridad en redes

es la clave para conseguir la confianza de los visitantes web y est

avalada por Autoridades de Confianza como Symantec.
El presente proyecto tiene como objetivo llevar adelante el monitoreo de
red, mediante la utilizacin de una herramienta que permita realizar la
captura de paquetes entrantes y salientes, como as tambin el control de
acceso a internet y el uso de la banda ancha. Para ello la herramienta
elegida es el PFSENSE.
Pfsense es una distribucin personalizada de FreeBSD para usarlo en
servicios de redes LAN y WAN tales como firewall, enrutador, servidor de
balanceo de carga, entre otras las cuales sern mencionadas ms
adelante. El proyecto es comercialmente sostenido por BSD perimeter
LLC. Este proyecto naci el ao 2004 por Chris Buechler y Ullrich Scott en
instalaciones para PC y servidores. El modelo de desarrollo de pfsense es
de cdigo abierto, la ltima versin estable es la versin 1 2 3, el ncleo
de pfsense es basado en el sistema operativo libre llamado BSD, el tipo de
nucleo de pfsense es de tipo monoltico. Pfsense cuenta con un gestor de
paquetes desde su interfaz grfica accedida remotamente para ampliar
sus funcionalidades, al elegir el paquete deseado el sistema lo descarga y
lo instala automticamente. Existen 60 modulos disponibles para
descargar al pfsense e instalarlos entre estos son el proxy squid
IMinspector, Snort, ClamAV entre otros. Para manejar pfsense no es
necesario tener conocimientos avanzados sobre lnea de comandos de
BSD. Pfsense puede ser instalado en cualquier ordenador PC o servidor
independientemente de su arquitectura que cuente con un mnimo de 2
tarjetas de red. Al poseer software de cdigo abierto, la comunidad de
desarrolladores pueden dar soporte y asistencia con costo por parte de
BSD Perimeter. Cada persona es libre de modificar y vender su propia
distribucin con ciertas condiciones.

2. CARACTERISTICAS DE LA HERRAMIENTA
Pfsense es una aplicacin que se instala como un sistema operativo ya
que tiene varias funcionalidades entre estos servicios de redes LAN y
WAN, con detalle estos servicios son los siguientes:

2.1. FIREWALL:
Pfsense se puede configurar como un cortafuego permitiendo y
denegando determinado trfico de redes tanto entrante como saliente a
partir de una direccin ya sea de red o de host de origen y de destino,
tambin haciendo filtrado avanzado de paquetes por protocolo y puerto.

2.2. SERVIDOR VPN:

Pfsense se puede se puede configurar como un servidor VPN usando
protocolos de tunneling tales como IPSec, PPTP, entre otras.

2.3. SERVIDOR DE BALANCEO DE CARGA:

Pfsense puede ser configurado como servidor de balanceo de carga tanto
entrante como saliente, esta caracterstica es usada comnmente en
servidores web, de correo, de DNS. Tambin para proveer estabilidad y
redundancia en l envi de trfico a travs del enlace WAN evitando los
cuellos de botella.

2.4. PORTAL CAUTIVO:

Este servicio consiste en forzar la autenticacin de usuarios
redirigindolos a una pgina especial de autenticacin y/o para aceptar
los trminos de uso, realizar un pago etc. para poder tener acceso a la
red. El portal cautivo es usado comnmente para control de accesos a la
red en los puntos de accesos inalmbricos de los hoteles, restaurantes,
parques y kioscos.

2.5. TABLA DE ESTADO:

PFSense es un stateful firewall, el cual como caracterstica principal
guardad el estado de las conexiones abiertas en una tabla. La mayora de
los firewall no tienen la capacidad de controlar con precisin la tabla de
estado. Pfsense tiene un enorme nmero de caractersticas que permiten
una granularidad muy fina para el manejo de la tabla de estado.
2.6. SERVIDOR DNS Y REENVIADOR DE CACHE DNS:
Pfsense se puede configurar como un servidor DNS primario y reenviador
de consultas de DNS.
2.7. SERVIDOR DHCP:
Tambin funciona como servidor de DHCP, se puede tambin implementar
VLAN desde Pfsense.
2.8. SERVIDOR PPPOE:
Este servicio es usado por los ISP para la autenticacin de usuarios que
puedan ingresar a internet, por una base local o via radius.

Enrutamiento estatico: Pfsense funciona como un enrutador ya que

entrega direccionamiento IP y hace el nateo hacia afuera.
2.9. REDUNDANCIA:
Pfsense permite configurar dos o ms cortafuegos a travs del protocolo
CARP (Common Address Redundancy Protocol) por si uno de los
cortafuegos se cae el otro se declara como cortafuegos primario.
2.10. REPORTES Y MONITOREO:
A travs de los graficos RDD Pfsense muestra el estado de los siguientes
componentes:
Utilizacin de CPU
Rendimiento Total
Estado del Firewall
Rendimiento individual por cada interface
Paquetes enviados y recibidos por cada interface
Manejo de trfico y ancho de banda.

3. BENEFICIOS QUE OFRECE:

El presente proyecto pretende resolver los siguientes punto:
El Aislar fsica y lgicamente las redes dedicadas a servidores, profesorado,
alumnos i sin hilos (wireless). Seguridad de dentro a dentro.
Regular las comunicaciones entre las distintas redes locales y de las redes
locales a Internet. Seguridad de dentro a dentro y de dentro a afuera.
Aprovechar el caudal de las tres ADSL de que se dispone, a poder ser de forma
automtica. Balanceo de carga.
Aumentar la seguridad en los servicios que tenemos en Internet. Seguridad de
afuera a dentro.
Poder tener una red sin hilos (wireless) abierta.
Utilizar una solucin abierta, de cdigo libre.
Utilizar un hardware de tamao reducido, integrable en el armario de
comunicaciones.
Utilizar un hardware no basado en disco duro, que no requiera proteccin con un
SAI de apagado y puesta en marcha automticos.
Poder configurar todos los dispositivos de la red (ordenadores, impresoras,
puntos de acceso, ...) mediante DHCP esttico, es decir, asignndoles una
direccin IP en funcin de su direccin MAC.
Control del uso de aplicaciones P2P.
Estandarizar y automatizar la configuracin de los navegadores en lo que se
refiere al uso de servidores intermediarios (proxy) y la configuracin de red de
todas las mquinas.

4. PROCESO DE INSTALACIN
El proceso de instalacin en el proyecto es de la siguiente manera:
4.1. Las siguientes imgenes representan la secuencia de Booteo del CD.

El proceso de implementacin del pfsense, en primera instancia se

configuran las interfaces de red que se van a utilizar.

Para procesos de instalacin se selecciona la opcin 99 para guardar la

configuracin en el disco duro de la mquina que se est instalando.

Para propsitos generales aceptamos la primera opcin, la cual

seleccionara automticamente el disco duro presente lo particionar,
formateara y configurara, como se muestra a continuacin:

En el siguiente paso seleccionamos el kernel para el procesador que

estemos utilizando, en la mayora de casos uniprocessor kenel la otras
opciones se reservan para otros usos como programadores, o dispositivos
que se manejan va cable Serial.

Para finalizar la instalacin presionamos el botn OK y tenemos instalado el sistema

PFSENSE.

Ahora se presentaran algunas pantallas ms, atencin con el nombre de usuario y

la contrasea

Una vez instalados los paquetes ingresamos al navegador web mediante

la interfaz configurada en este caso http://10.10.10.1

Figura: ingreso al sistema

Portada del programa principal

5. CARACTERISTICAS DE FUNCIONAMIENTO
Para la instalacin de pfsense sobre arquitectura i386 los requerimientos
de hardware son los siguientes.
1. Procesador Intel Pentium III, hasta un Intel Xeon, nada de AMD.
2. Memoria RAM desde 256 Mb hasta 3 Gb.
3. Disco Duro de 2 Gb hasta 80 Gb, IDE, SCSI, SATA Y SAS-SATA.
4. Tarjetas de red cableadas Intel y Realtek (la red inalambrica solamente
funcionan las tarjetas de red marca Atheros).
5. Debido a que este software ser instalado sobre un servidor o PC
dedicado nica y exclusivamente, este PC o servidor no necesitara un
mouse, solo un teclado y monitor ya que este servidor ser administrado
remotamente.
La Herramienta utilizada para el presente proyecto es PFSENSE. Es una
distribucin basada en FreeBSD, derivada de m0n0wall. Su objetivo es
tener un cortafuegos (firewall) fcilmente configurable a travs de una
interface web e instalable en cualquier PC, incluyendo los miniPC de una
sola tarjeta. Se trata, por tanto, de una solucin muy completa, bajo
licencia BSD y, por tanto, de libre distribucin.
El cortafuegos forma parte del Kernel del sistema. De hecho, se trata del
Packet Filter (PF) originario de OpenBSD, considerado com el sistema
operativo ms seguro del mundo.
Packet Filter (PF) est presente como estndar en FreeBSD desde
noviembre de 2004. Incluye funcionalidades como el regulador de caudal
ALTQ, que permite asignar prioridades por tipo de trfico.

Los desarrolladores de pfSense escogieron FreeBSD en lugar de OpenBSD

por su facilidad de instalacin en el mundo de lps PCs y porqu ya exista
BSD Installer, una versin muy, muy reducida de FreeBSD.
Todo ello da una gran flexibilidad a la solucin pfSense, ya que se puede
montar tanto en equipos miniPC (basados en una sola placa) que emplean
como disco una Compact Flash como en PC estndar con disco duro. En
este ltimo caso se pueden aadir paquetes como Snort, Squid, Radius,
etc.
En esta web se explica cmo se ha configurado un pfSense 1.0.1
(octubre/noviembre 2006) que est en produccin. En ningn caso es una
web donde se tratan todas las posibilidades de este cortafuego de cdigo
libre.

6. CONCLUSIONES
Pfsense una distribucin OpenSource, de libre distribucin basada en
FreeBSD. Su versatilidad de emplearlo va live CD lo hace una
herramienta portable y bastante til. Y fcil de implementar en
cualquier red. Su configuracin va web facilita en gran medida el
trabajo de un administrador de red y por sobre todo, el respaldo de
una gran comunidad que brinda soporte por medio de sus foros, faqs,
wikis y HOWtos.
Pfsense es una solucin de seguridad de cdigo abierto es decir que
cualquier desarrollador puede aadir mejoras al S.O bajo ciertas
condiciones legales.
Generalmente, un portal cautivo no es lo nico que traen los
proyectos que hemos mencionado en el trabajo, como hemos visto, la
distribucin seleccionada por nosotros para presentar en este informe;
proyecto Pfsense, ofrece una potente herramienta para la
administracin de una red. Posee una gran variedad de servicios,
como son: DHCP Server, tecnologa VPN, balanceo de carga, PPPoE,
firewall, entre otros.
Pfsense es una distribucin de BSD el cual se deriva de Unix que
funciona como Firewall, Portal Cautivo, servidor VPN, DDNS, DHCP,
entre otras. Cuya principal aplicacin se evidencia en los WISP ya que
tambin maneja servidor de autenticacin PPPoE, existen ms de 1
milln de implementaciones de Pfsense a nivel mundial que han
mostrado resultados exitosos.
Pfsense est soportado comercialmente por BSD Perimeter INC. El cual
ofrece soporte comercial especializado para esta solucin de

seguridad para redes LAN y WAN No se requiere conocimientos

avanzados en lnea de comandos de BSD para poder manejar el
sistema operativo.

7. RECOMENDACIONES
Para llevar adelante la implementacin del presente software de
administracin de red utilizando el PFSENSE, se recomienda los siguientes
puntos:
El control de paquetes entrantes y salientes dentro de una red deben
estar definidas por reglas, lo que nos permitir administrar los
recursos de los usuarios conectados y los accesos no autorizados.
Los accesos no autorizados son bloqueados por la configuracin del
firewall lo cual deben estar bien definidas por el administrador de
red, el mismo debe definir el consumo de ancho de banda para las
conexiones a internet.
Los paquetes que posean posibles infecciones se recomienda crear
una reglas de accesos para bloquearlas para futuras infecciones,
esta deteccin de estos posibles sniffer de red las realiza el paquete
de instalacin SNORT que trae el PFSENSE.
Tener conocimientos de los comandos mas usados para el trabajo en
BSD.

8. REFERENCIAS BIBLIOGRAFICAS:
o
o
o
o

Proyecto pfSense, http://www.pfsense.com

Mon0wall PDF, http://www.ansat.es/soporte/docs/wifi/m0n0wall.pdf
Tutorial de instalacin pfSense, http://www.youtube.com/watch?
v=V3Dw2QK2VMg
BSD PERIMETER LLC, B P (2004). Documentacin oficial PFSENSE. Feb, 11,
2011, http://doc.pfsense.org/ Armgasa123, A (2010). Video pfsense parte 1.
May, 05, 2010, http://www.youtube.com/watch?v=EdRJ035hoq8 Armgasa123,
A (2010). Video pfsense parte 2. May, 22, 2010.
http://www.youtube.com/watch?v=mFwWfq-i6JE&feature=related
Johnporras120, J (2009) Video configuracin de firewall en pfsense. Abr, 04,
2009. http://www.youtube.com/watch?v=u0xo1bf0yRY&feature=related
Wbolivar, W (2007) Pfsense + Bridge y no morir en el intento. Abr. 04, 2007.
http://ricondefreebsd.blogspot.com/2007/04/pfsensebridge-y-no-morir-en-elintento.html Josep Pujadas i Jubany JPIJ (2007) Reglas de cortafuegos. No tiene
mes ni dia (2007) http://www.bellera.cat/josep/pfsense/regles_cs.html
Guillermogalvanb. G (2010) Instalacion de Pfsense. Dic, 12 2010
http://www.taringa.net/posts/linux/6555753/Tutorial-PfSense_--Instalacion.html
Wikipedia W. (2011) Pfsense. Ene, 19, 2011 http://es.wikipedia.org/wiki/PfSense