UTM Firewall pfSense

Toda red necesita para su funcionamiento uno o varios equipos que hagan las veces de Firewall y Router. Existen soluciones privativas para estas funciones, pero necesitan ser administradas por personal especializado, y sus costos de licenciamiento generalmente son muy altos. Además, sus funciones son limitadas y no cuentan con capacidades de ampliación.

pfSense es una distribución personalizada de FreeBSD, considerado el sistema operativo más seguro del mundo, adaptado para su uso como Firewall y Router. Es un proyecto open source, es decir no tiene costos de licencias, y puede ser instalado en una gran variedad de equipos.  Se estima que una instalación básica de pfSense cuesta un 2% del costo de un equipo comercial con las mismas funcionalidades.

Es bien conocido en el mundo de los firewalls el poder y rendimiento de BSD, de hecho muchos de los firewalls tipo appliance son basados en BSD, lo cual le da a pfSense una base robusta en la cual desempeñarse. pfSense viene a competir contra productos alternos tradicionales, sobre todo orientado al mismo segmento donde compite por ejemplo con Windows Small Business Server aunque bajo esquemas privativos de uso.

MultiWanOview1

Además de las funciones de servidor, pfSense incorpora facilidades muy interesantes para controlar el tráfico de la red, ya sea a nivel interno o externo. Incluye funciones de Firewall, y de Gateway que complementa a la perfección la labor del servidor de servicios de red. Por lo tanto se trata de una distribución robusta adecuada para un entorno de servidor, tal y como esperamos para un sistema que es crítico los servicios de red e información de toda organización.

Características Principales

  • Filtrado por IP de fuente y destino, protocolo IP, puerto(s) de fuente y destino para tráfico TCP y UDP
  • Filtrado por tipo de sistema operativo. ¿Quiere permitir el acceso a Internet a máquinas Windows, pero bloquear a máquinas Linux, tablets y smartphones? pfSense se encarga de eso.
  • Políticas de ruteo altamente flexibles para balanceo de carga, failover, múltiples WAN, etc.
  • Bloqueo en capa de aplicación con reglas predefinidas para bloquear por ejemplo tráfico P2P, VoIP, servicio VPN hacía el exterior, etc.
  • Firewall transparente de capa 2 – puede puentear (hacer bridge) interfases y filtrar el tráfico entre ellas, permitiendo.
  • Normalización de paquetes – re-ensambla paquetes fragmentados, protegiendo algunos sistemas operativos de algunas formas de ataque y bloquea aquellos paquetes TCP que tienen combinaciones de banderas (flags) inválidas.

NAT

Si necesita acceder a máquinas de su red interna desde Internet, entonces necesita realizar una traducción de direcciones de red, o NAT.

  • Redirección de puertos, incluyendo rangos y el uso de múltiples IPs públicas.
  • NAT 1:1 para IPs individuales o subredes enteras, de esta manera se pueden mapear direcciónes públicas a direcciones de LAN dando acceso externo a servicios.
  • NAT Avanzado, el comportamiento por defecto del NAT es desactivado, y se habilita la creación de flexibles reglas de NAT (o de no NAT).
  • Reflejado de NAT – en algunas configuraciones, el reflejado de NAT permite la posibilidad que algunos servicios puedan ser accedidos por la IP pública desde redes internas LAN.

Funcionalidades Avanzadas

  • Escaneo de virus y spam a través de la pasarela de paso para tráfico http así como imap, pop y smtp.
  • Filtrado y caché de contenidos/protocolos a través de proxy con Squid (y otros proxys más ligeros) y DNSguardian de una manera realmente bien amplia y con la funcionalidad de poder actualizar las reglas de forma automática y gratuita. Los productos convencionales requieren una licencia (en dólares) para realizar esta tarea. pfSense no tiene costos de licenciamiento.

diagram-pfsense

  • Servicio de detección de intrusiones (IDS) son Snort, con la posibilidad de poder actualizar las reglas provistas de forma comunitaria de forma gratuita (si se quiere tener las reglas provistas directamente por Snort de forma automática hay que pagar la suscripción al servicio).
  • Servidor LDAP (OpenLDAP) con autenficación de SAMBA como PDT.
  • Sistema de backup de configuración del servidor.
  • Sistema de VPN (Virtual Private Network) con soporte IPSEC, OpenVPN y PPTP.
  • Proxy inverso para balanceo de carga entre varios webservers de la red interna.
  • Servicio DHCP y DNS en modo servidor o relay
  • Servidor PPPoE
  • Portal captivo, con esta funcionalidad los usuarios son forzados a autenticar en una web para poder tener acceso a navegación, este servicio es comúnmente visto en aeropuertos o en servicios de Internet por suscripción (pagos).
  • Alta latencia – Útil para enlaces con alta latencia, como conexiones satélitales, expira conexiones idle (ociosas) después de lo normal.

Si necesita más información sobre pfSense y como podemos ayudarlo a reducir sus costos mientras mejoramos su red, no dude en contactarnos.