Cómo montarte un firewall profesional barato en tu casa o pequeño negocio

Cómo montarte un firewall profesional barato en tu casa o pequeño negocio

Oscar Espinosa

Si estás buscando instalarte en tu hogar o pequeño negocio, un avanzado cortafuegos con múltiples opciones de configuración, con posibilidad de configurar sistemas de detección y prevención de intrusiones, redes privadas virtuales para conectarte en modo acceso remoto o realizar un Site-to-Site, hoy en RedesZone os vamos a enseñar cómo elegir el sistema operativo ideal, y un hardware acorde a tus necesidades.

Hoy en día muchos usuarios deciden querer montarse un sistema de seguridad para su red doméstica y se encuentran con muy poca información al respecto. Por eso en RedesZone os queremos hablar de cómo podéis tener un firewall profesional en vuestro hogar o pequeño negocio, a un precio realmente muy reducido, ya que tan solo tendrás que pagar por el hardware.

Sistemas operativos para firewall que podemos usar

Lo primero que tenemos que decidir a la hora de montarnos un completo firewall, es qué sistema operativo vamos a instalarle. Existen sistemas operativos que están orientados específicamente a cortafuegos, por lo que no deberemos configurar nada a través de la línea de comandos, ya que disponen de una completa interfaz gráfica de configuración.

Dos de los sistemas operativos para cortafuegos más populares y utilizados son pfSense y OPNsense. pfSense está basado en el popular sistema operativo FreeBSD, y OPNsense está basado en HardenedBSD (este sistema operativo es un fork de FreeBSD pero orientado específicamente a proporcionar siempre la máxima seguridad posible). Por tanto, podríamos decir que ambos sistemas operativos tienen como base el popular sistema operativo FreeBSD. El rendimiento de estos dos sistemas operativos es realmente bueno, pero es que además, incorpora una grandísima cantidad de opciones de configuración y monitorización de todas las partes del firewall.

OPNsense

OPNsense es una plataforma de enrutamiento y firewall basada en HardenedBSD, incluye la mayoría de las funciones disponibles en firewalls profesionales, e incluso muchas más.

Sus características principales son:

  • Traffic Shaper: esta característica nos permitirá limitar el ancho de banda de la conexión de los diferentes clientes que se conecten al firewall.
  • Autenticación de dos factores: esto nos garantiza una autenticación reforzada, haciendo uso de códigos temporales de un solo uso para poder acceder a la administración del sistema operativo.
  • Portal cautivo: esta funcionalidad nos permitirá mostrar un portal de inicio de sesión a los usuarios, generalmente se suele utilizar cuando creamos redes WiFi para entornos de restaurantes, hoteles y más.
  • Proxy de almacenamiento: podrá almacenar en caché las imágenes y contenido estático de las webs que visitemos, con el objetivo de servir a los clientes la información mucho más rápido, sin consumir ancho de banda de Internet.
  • VPN OpenVPN y IPsec: podremos crear redes privadas virtuales haciendo uso de estos dos protocolos de VPN, de esta forma, podremos establecer túneles con VPN de acceso remoto y también túneles VPN Site-to-Site.
  • Conmutación por error de hardware: nos permitirá disponer de varios firewalls hardware para estar funcionando simultáneamente, de esta forma, si uno falla automáticamente el tráfico irá por el otro.
  • Detección y prevención de intrusiones (IDS/IPS): podremos habilitar esta función para protegernos de atacantes externos, de posibles escaneos de puertos y actividad maliciosa. También podríamos activar el IDS o IPS en la red local.
  • Monitoreo de flujo de red: podremos ver en tiempo real el tráfico de la red local e Internet.
  • Soporte para complementos: OPNsense nos permite instalar software adicional que no viene de manera predeterminada, de esta forma, aumentaremos aún más las funcionalidades del firewall.
  • Servidor DNS y DNS Relay: tenemos la posibilidad de configurar un servidor DNS en el propio firewall, o reenviar las peticiones a un servidor DNS de la red local.
  • Servidor DHCP: tenemos el protocolo DHCP para proporcionar direcciones IP privadas a los diferentes clientes cableados o inalámbricos, además, podremos crear un servidor DHCP por cada VLAN que hayamos configurado previamente.
  • DNS Dinámico: nos permitirá utilizar un DDNS para utilizar un dominio y acceder remotamente a nuestro firewall, sin necesidad de saber siempre nuestra dirección IP pública.
  • Firewall de inspección: los firewalls SPI nos permiten controlar las conexiones que están activas, relacionando estas conexiones con diferentes procesos en los equipos finales para permitir o no la comunicación.
  • Soporte 802.1Q VLAN: esto nos permitirá crear diferentes VLANs para segmentar la red, deberás usar un switch gestionable compatible con VLANs para poder gestionarlas adecuadamente fuera del firewall.

pfSense

pfSense es una distribución de firewall de red gratuita, basada en el sistema operativo FreeBSD, pero con un núcleo personalizado. Además, tenemos la posibilidad de incluir paquetes de software gratuitos de terceros para añadir características adicional. pfSense incluye casi todas las funcionalidades de firewalls comerciales y en muchos casos incluye muchas más.

Sus características principales son:

  • Filtrado de origen a destino de IP: podremos bloquear o permitir el acceso a las diferentes direcciones IP o grupo de IP (aliases).
  • Límites para conexiones simultáneas con reglas de base: podremos establecer un límite de conexiones concurrentes de manera global, aunque también podríamos especificar a qué clientes cableados o inalámbricos podríamos limitarles.
  • Políticas de enrutamiento: tendremos la posibilidad de configurar enrutamiento estático y dinámico, esto último necesita instalar software adicional para poder utilizar protocolos como OSPF o BGP entre otros.
  • Posibilidad de creación de alias de grupos de IP y nombres de IP: podremos crear un grupo de direcciones IP para posteriormente usarlo en la sección de reglas, de esta forma, nos será más fácil crear múltiples reglas porque estarán más organizadas. Si tenemos que crear una misma regla para varias IP, podemos crear solamente una regla con un alias de esas IP.
  • Límites de conexiones simultáneas de clientes: podremos configurar un límite de conexiones concurrentes en los clientes que nosotros queramos.
  • Límites de estado: podremos establecer en las reglas del firewall diferentes límites de estado, por ejemplo, podríamos prohibir las nuevas conexiones pero permitir las ya establecidas.
  • Límites de nuevas conexiones: esto nos permite limitar las nuevas conexiones a un determinado número, y a partir de ahí denegar todas las nuevas conexiones.
  • Configuraciones avanzadas de NAT: pfSense nos permite configurar el NAT de forma avanzada, tanto a nivel global de red como de reglas específicas para VPN, clientes cableados etc.
  • Redundancia con HA: podremos tener dos firewall pfSense comunicados entre ellos, si el maestro se cae, automáticamente entrará en funcionamiento el segundo de ellos.
  • VPN de tipo OpenVPN, IPsec, tanto de acceso remoto como Site-to-Site, en las últimas versiones también se ha añadido soporte para WireGuard.
  • Autenticación MAC Radius: podremos instalar un servidor FreeRADIUS de autenticación, de esta forma, podremos autenticar diferentes clientes VPN, clientes inalámbricos e incluso cableados con 802.1X contra el servidor RADIUS del firewall.
  • Gestor de archivos incorporado: si necesitamos modificar internamente los ficheros de pfSense, podremos hacerlo sin necesidad de entrar vía SSH.
  • DHCP Server y Relay: disponemos de varios servidores DHCP, uno por cada VLAN que configuremos en el firewall, además, también nos permite reenviar las solicitudes DHCP a otro.

Hardware que podemos utilizar

Una vez que hayamos elegido el sistema operativo a utilizar, deberemos elegir qué hardware se ajusta más a nuestras necesidades. Dependiendo de si has elegido pfSense o OPNsense, es recomendable comprar directamente un hardware que está más que probado con estos sistemas operativos.

El hardware oficial con OPNsense incorporado

En la web oficial de Deciso, tenemos la posibilidad de comprar hardware que está específicamente diseñado para que el funcionamiento con OPNsense sea óptimo. Dependiendo de nuestras necesidades, y del presupuesto que tengamos, podemos comprar un hardware que parte desde los 399 euros hasta los 999€ para empresas medianas, aunque también tenemos hardware con precio superior que está orientado a grandes empresas, o empresas donde necesitan un mayor rendimiento y son necesarios procesadores Intel Xeon y una gran cantidad de memoria RAM.

Algunos modelos muy recomendables para entornos domésticos y de pequeñas empresas, son los siguientes:

  • OPNsense A10 Dual Core Desktop Gen2: este firewall tiene un procesador de doble núcleo AMD GX-210UA a 1GHz de velocidad, 4GB de memoria RAM y 16GB de almacenamiento interno, dispone de un total de 3 puertos Gigabit Ethernet, los cuales se pueden configurar como LAN o WAN de Internet. El precio de este firewall es de 399€. Este firewall está orientado a un uso muy básico, no podrás utilizar muchas reglas en el firewall porque tendrás un rendimiento de cara a Internet muy bajo, además, tampoco sería ideal para instalar un IDS/IPS porque este tipo de software consume una gran cantidad de recursos, recursos que no tiene este firewall debido a su procesador principal.
  • OPNsense A10 Dual Core SSD Desktop Gen2: es exactamente el mismo firewall de antes, pero en lugar de tener 16GB de almacenamiento interno en FLASH, dispone de un SSD de 128GB de capacidad. El precio de este modelo es de 499€. Este equipo tiene exactamente las mismas limitaciones que el anterior, pero podremos instalar software adicional que no consuma demasiados recursos de CPU y RAM. Este modelo cremos que no tiene demasiada acogida debido a las limitaciones de CPU y RAM, de nada sirve tener un SSD de mucha capacidad si luego no puedes exprimirlo al máximo, el único uso que se le podría dar es el de almacenar muchos logs de información, tanto del propio firewall como del resto de dispositivos de la red local profesional como servidores NAS.

Aunque estos modelos tienen un hardware de gama baja, en entornos domésticos puede ser más que suficiente, aunque siempre deberemos comprar un switch gestionable o no gestionable adicional, debido a que únicamente tenemos 3 puertos Gigabit Ethernet, los cuales se pueden configurar como WAN o LAN en el propio sistema operativo.

Si queremos modelos algo más avanzados y con más puertos Gigabit Ethernet disponibles, tenemos los siguientes:

  • OPNsense A10 QUAD Core Desktop Gen2: Este firewall tiene un procesador de cuatro núcleos AMD GX-416RA a 1.6GHz de velocidad, 4GB de memoria RAM y 16GB de almacenamiento interno, dispone de un total de 4 puertos Gigabit Ethernet, los cuales se pueden configurar como LAN o WAN de Internet. El precio de este firewall es de 549€. Este modelo es muy interesante, será capaz de proporcionarnos velocidades de Internet de 600Mbps o superiores, dependiendo de los servicios que tengas funcionando en el firewall. Debemos recordar que algunos de los servicios que más recursos consumen son los IDS/IPS como Snort o Suricata, además, programas como ntopng para ver todo el tráfico de red también consume muchísimo recursos, lo que hará tener un rendimiento de cara a Internet menor.
  • OPNsense A10 QUAD Core Desktop Gen2: es exactamente el mismo firewall de antes, pero en lugar de tener 16GB de almacenamiento interno en FLASH, dispone de un SSD de 128GB de capacidad. El precio de este modelo es de 649€. En este caso sí podría ser interesante comprar la versión con SSD, porque disponemos de una CPU superior que será capaz de mover más procesos de forma simultánea, ideal para almacenar una gran cantidad de registros de todo lo que está ocurriendo en la red local profesional.

Todos estos firewall son de sobremesa, es decir, no son enrackables. También tenemos disponibles algunos firewall que están orientados a pequeñas y medianas empresas que sí son enrackables y tienen unas características bastante mejores que los anteriores, como por ejemplo, este:

  • OPNsense A10 Quad SSD SSD Rack Gen2+: Este firewall tiene un procesador de cuatro núcleos AMD GX-420MC a 2GHz de velocidad, 8GB de memoria RAM y 128GB de almacenamiento interno SSD, dispone de un total de 4 puertos Gigabit Ethernet, los cuales se pueden configurar como LAN o WAN de Internet. El precio de este firewall es de 899€. Este modelo es el más potente, y el más recomendable si vas a utilizar un IDS/IPS, es el más potente de todos y con 8GB de memoria RAM para no tener ningún problema a la hora de usar este tipo de servicios, además, podrás establecer varios túneles VPN con IPsec o OpenVPN con un muy buen rendimiento. La posibilidad de tener 128GB nos permitirá almacenar todos los registros que queramos en el propio firewall.

El hardware oficial con pfSense incorporado

En la web oficial de Netgate, tenemos la posibilidad de comprar hardware que está específicamente diseñado para que el funcionamiento con pfSense sea óptimo. Dependiendo de nuestras necesidades, y del presupuesto que tengamos, podemos comprar un hardware que parte desde los 179 dólares hasta los 899€ para empresas medianas, aunque también tenemos hardware con precio superior que está orientado a grandes empresas, o empresas donde necesitan un mayor rendimiento y son necesarios procesadores Intel Xeon y una gran cantidad de memoria RAM.

Algunos modelos muy recomendables para entornos domésticos y de pequeñas empresas, son los siguientes:

  • Netgate SG-1100: este firewall tiene un procesador Marvell Armada 3720LP de doble núcleo a 1.2GHz de velocidad, cuenta con 1GB de RAM, 8GB de almacenamiento interno, y un total de 3 puertos Gigabit Ethernet para LAN/WAN. Tiene un precio de 179 dólares, y está orientado a pequeños proyectos y entornos domésticos muy básicos donde tengamos pocos servicios de pfSense funcionando. Este modelo solo lo recomendaríamos para alguien que quiera iniciarse con pfSense, y quiera un firewall para aprender.
  • Netgate SG-3100: este firewall tiene un procesador ARM de doble núcleo a 1.6GHz de velocidad, 2GB de memoria RAM y 8GB de almacenamiento interno, aunque se puede pedir una versión con 32GB de almacenamiento interno, además de poder expandirlo con discos SSD M.2 en su interior. Este equipo tiene un total de cuatro puertos Gigabit Ethernet para LAN, un puerto WAN y otro puerto OPT que puede funcionar como WAN o LAN, además de un puerto USB 3.0 y un slot para microSIM. Este equipo es uno de los firewall que mejor relación calidad-precio tienen, y es ideal para entornos domésticos y también pequeñas y medianas empresas. Tiene un precio de 399 dólares.
  • Netgate SG-5100: este firewall incorpora un procesador Intel Atom C3558 con cuatro núcleos a una velocidad de 2.2GHz, dispone de 4GB de memoria RAM aunque se puede instalar hasta 16GB como máximo. Tiene un almacenamiento interno de 8GB de capacidad, pero permite la instalación de discos SSD M.2, asimismo también tiene un puerto USB 3.0. En cuanto a los puertos Gigabit Ethernet, disponemos de un puerto para WAN, otro para LAN, y un total de cuatro puertos OPT para configurarlo como nosotros queramos. Tiene un precio de 699 dólares.
  • Netgate XG-7100-DT: este firewall incorpora un procesador Intel Atom C3558 con cuatro núcleos a una velocidad de 2.2GHz, dispone de 8GB de memoria RAM aunque se puede instalar 16GB adicionales, por lo que tendríamos un total de 24GB de memoria RAM. Tiene un almacenamiento interno de 32GB de capacidad, pero permite la instalación de discos SSD M.2, incluso podremos elegir a la hora de comprarlo que nos instalen un SSD de 256GB de capacidad. Lo más interesante de este firewall es la incorporación de un total de 8 puertos Gigabit Ethernet J-45, con el puerto ETH1 configurado como WAN, y del ETH2-8 configurados como LAN, pero es que además, incorpora dos puertos SFP+ a 10Gbps como OPT para configurarlo como LAN o WAN. Tiene un precio de 899 dólares, pero merece la pena si vas a utilizar la conectividad a 10Gbps para tu red local en la empresa.

Otro hardware que podemos utilizar con OPNsense y pfSense

OPNsense y pfSense realmente son compatibles con cualquier hardware, siempre que respetemos la arquitectura de ambos sistemas operativos. De esta forma, podríamos utilizar un hardware personalizado de empresas como Supermicro que venden servidores enrackables con precios bastante competitivos, e incluso también podemos acceder a la web firewallhardware donde encontraremos diferentes hardware para firewalls.. También podríamos utilizar hardware más modestos, como por ejemplo, los microservidores de HP Gen 10 que tienen varios puertos Gigabit Ethernet, para que uno actúe como WAN de Internet y otro como LAN.

Si tienes un servidor NAS del fabricante QNAP, vas a poder instalar el propio pfSense de manera virtual dentro de su sistema operativo QTS, y disponer de todas las funcionalidades de pfSense con un hardware de QNAP, el cual también podrás utilizar para compartir archivos o realizar las tareas de un NAS. También podrás hacer uso de pfSense en el hardware de QNAP Guardian, un switch multifunción con QTS incorporado en el que podrás virtualizarlo.

Actualmente en RedesZone llevamos más de 9 meses con un pfSense virtualizado con Virtualization Station, y el funcionamiento es simplemente excelente. Debemos tener en cuenta el hardware donde lo estamos virtualizando, y también la carga del servidor tanto en consumo de CPU como en RAM, por tanto, si tienes un servidor NAS de gama de entrada o gama media sin un procesador potente, lógicamente tendrás cuello de botella en la conexión a Internet e incluso lentitud en la red local debido a que todo pasará por el pfSense si tienes VLANs configuradas.

Conclusiones

Como habéis podido ver, los modelos que os hemos recomendado os valdrían perfectamente para un hogar doméstico, pero también para pequeñas y medianas empresas. Dependiendo de lo que estés dispuesto a invertir, podrás conseguir por poco dinero (unos 400€) un completo firewall muy avanzado y profesional. Primero os tenéis que decantar por el sistema operativo que más os convenza, o que más se adapte a vuestras necesidades, para posteriormente elegir el hardware adecuado para vuestras necesidades.

Un aspecto muy importante que debes tener en cuenta es el consumo eléctrico, si compramos un hardware demasiado potente con procesadores AMD Ryzen o Intel Xeon, debes tener en cuenta el consumo de los diferentes equipos, existen procesadores bastante potentes con un consumo eléctrico por debajo de los 30W, ideal para entornos domésticos. Cuando montamos un pfSense en un hardware que ya teníamos, o decidimos comprar un nuevo hardware, hay que prestar atención no solamente a la potencia del equipo, sino a su consumo eléctrico, porque tendrá que estar permanentemente encendido, será nuestro router doméstico, y si lo apagamos nos quedaremos sin conexión a Internet, por lo que siempre deberá estar encendido.

En el caso de que tengas un servidor NAS permanentemente encendido, y tenga un procesador y RAM suficiente para pfSense o OPNsense, podrías probar a instalar estos sistemas operativos para ahorrarte el dinero adicional en comprar un hardware nuevo, y también ahorrarás algo de energía porque estás usando todo en el mismo equipo de forma virtualizada. En el caso de que apagues por las noches el servidor NAS o cuando no lo estés usando acostumbras a ponerlo en modo hibernación, entonces te merecerá la pena comprar un hardware específico para montarte tu firewall, porque pfSense o OPNsense debe estar permanentemente encendido para tener Internet en nuestra casa. Una última recomendación, aunque no es del todo necesario, si instalas estos sistemas operativos en un SSD el arranque del sistema operativo y las diferentes acciones que realicemos será más rápido.