Cómo montarte un firewall profesional en tu casa o pequeño negocio barato

Si estás buscando instalarte en tu hogar o pequeño negocio, un avanzado cortafuegos con múltiples opciones de configuración, con posibilidad de configurar sistemas de detección y prevención de intrusiones, redes privadas virtuales para conectarte en modo acceso remoto o realizar un Site-to-Site, hoy en RedesZone os vamos a enseñar cómo elegir el sistema operativo ideal, y un hardware acorde a tus necesidades.

Hoy en día muchos usuarios deciden querer montarse un sistema de seguridad para su red doméstica y se encuentran con muy poca información al respecto. Por eso en RedesZone os queremos hablar de cómo podéis tener un firewall profesional en vuestro hogar o pequeño negocio, a un precio realmente muy reducido, ya que tan solo tendrás que pagar por el hardware.

Sistemas operativos para firewall que podemos usar

Lo primero que tenemos que decidir a la hora de montarnos un completo firewall, es qué sistema operativo vamos a instalarle. Existen sistemas operativos que están orientados específicamente a cortafuegos, por lo que no deberemos configurar nada a través de la línea de comandos, ya que disponen de una completa interfaz gráfica de configuración.

Dos de los sistemas operativos para cortafuegos más populares y utilizados son pfSense y OPNsense. pfSense está basado en el popular sistema operativo FreeBSD, y OPNsense está basado en HardenedBSD (este sistema operativo es un fork de FreeBSD pero orientado específicamente a proporcionar siempre la máxima seguridad posible). Por tanto, podríamos decir que ambos sistemas operativos tienen como base el popular sistema operativo FreeBSD. El rendimiento de estos dos sistemas operativos es realmente bueno, pero es que además, incorpora una grandísima cantidad de opciones de configuración y monitorización de todas las partes del firewall.

OPNsense

OPNsense es una plataforma de enrutamiento y firewall basada en HardenedBSD, incluye la mayoría de las funciones disponibles en firewalls profesionales, e incluso muchas más.

Sus características principales son:

  • Traffic Shaper
  • Autenticación de dos factores
  • Portal cautivo
  • Proxy de almacenamiento
  • VPN OpenVPN y IPsec
  • Conmutación por error de hardware
  • Detección y prevención de intrusiones (IDS/IPS)
  • Monitoreo de flujo de red
  • Soporte para complementos
  • Servidor DNS y DNS Relay
  • Servidor DHCP
  • DNS Dinámico
  • Firewall de inspección
  • Soporte 802.1Q VLAN

pfSense

pfSense es una distribución de firewall de red gratuita, basada en el sistema operativo FreeBSD, pero con un núcleo personalizado. Además, tenemos la posibilidad de incluir paquetes de software gratuitos de terceros para añadir características adicional. pfSense incluye casi todas las funcionalidades de firewalls comerciales y en muchos casos incluye muchas más.

Sus características principales son:

  • Filtrado de origen a destino de IP
  • Límites para conexiones simultáneas con reglas de base
  • Políticas de enrutamiento
  • Posibilidad de creación de alias de grupos de IP y nombres de IP
  • Límites de conexiones simultáneas de clientes
  • Límites de estado
  • Límites de nuevas conexiones.
  • Configuraciones avanzadas de NAT
  • Redundancia con HA
  • VPN de tipo OpenVPN, IPsec, tanto de acceso remoto como Site-to-Site
  • Autenticación MAC Radius
  • Gestor de archivos incorporado
  • DHCP Server y Relay

Hardware que podemos utilizar

Una vez que hayamos elegido el sistema operativo a utilizar, deberemos elegir qué hardware se ajusta más a nuestras necesidades. Dependiendo de si has elegido pfSense o OPNsense, es recomendable comprar directamente un hardware que está más que probado con estos sistemas operativos.

El hardware oficial con OPNsense incorporado

En la web oficial de Deciso, tenemos la posibilidad de comprar hardware que está específicamente diseñado para que el funcionamiento con OPNsense sea óptimo. Dependiendo de nuestras necesidades, y del presupuesto que tengamos, podemos comprar un hardware que parte desde los 399 euros hasta los 999€ para empresas medianas, aunque también tenemos hardware con precio superior que está orientado a grandes empresas, o empresas donde necesitan un mayor rendimiento y son necesarios procesadores Intel Xeon y una gran cantidad de memoria RAM.

Algunos modelos muy recomendables para entornos domésticos y de pequeñas empresas, son los siguientes:

  • OPNsense A10 Dual Core Desktop Gen2: este firewall tiene un procesador de doble núcleo AMD GX-210UA a 1GHz de velocidad, 4GB de memoria RAM y 16GB de almacenamiento interno, dispone de un total de 3 puertos Gigabit Ethernet, los cuales se pueden configurar como LAN o WAN de Internet. El precio de este firewall es de 399€.
  • OPNsense A10 Dual Core SSD Desktop Gen2: es exactamente el mismo firewall de antes, pero en lugar de tener 16GB de almacenamiento interno en FLASH, dispone de un SSD de 128GB de capacidad. El precio de este modelo es de 499€.

Aunque estos modelos tienen un hardware de gama baja, en entornos domésticos puede ser más que suficiente, aunque siempre deberemos comprar un switch gestionable o no gestionable adicional, debido a que únicamente tenemos 3 puertos Gigabit Ethernet, los cuales se pueden configurar como WAN o LAN en el propio sistema operativo.

Si queremos modelos algo más avanzados y con más puertos Gigabit Ethernet disponibles, tenemos los siguientes:

  • OPNsense A10 QUAD Core Desktop Gen2: Este firewall tiene un procesador de cuatro núcleos AMD GX-416RA a 1.6GHz de velocidad, 4GB de memoria RAM y 16GB de almacenamiento interno, dispone de un total de 4 puertos Gigabit Ethernet, los cuales se pueden configurar como LAN o WAN de Internet. El precio de este firewall es de 549€.
  • OPNsense A10 QUAD Core Desktop Gen2: es exactamente el mismo firewall de antes, pero en lugar de tener 16GB de almacenamiento interno en FLASH, dispone de un SSD de 128GB de capacidad. El precio de este modelo es de 649€.

Todos estos firewall son de sobremesa, es decir, no son enrackables. También tenemos disponibles algunos firewall que están orientados a pequeñas y medianas empresas que sí son enrackables y tienen unas características bastante mejores que los anteriores, como por ejemplo, este:

  • OPNsense A10 Quad SSD SSD Rack Gen2+: Este firewall tiene un procesador de cuatro núcleos AMD GX-420MC a 2GHz de velocidad, 8GB de memoria RAM y 128GB de almacenamiento interno SSD, dispone de un total de 4 puertos Gigabit Ethernet, los cuales se pueden configurar como LAN o WAN de Internet. El precio de este firewall es de 899€.

El hardware oficial con pfSense incorporado

En la web oficial de Netgate, tenemos la posibilidad de comprar hardware que está específicamente diseñado para que el funcionamiento con pfSense sea óptimo. Dependiendo de nuestras necesidades, y del presupuesto que tengamos, podemos comprar un hardware que parte desde los 179 dólares hasta los 899€ para empresas medianas, aunque también tenemos hardware con precio superior que está orientado a grandes empresas, o empresas donde necesitan un mayor rendimiento y son necesarios procesadores Intel Xeon y una gran cantidad de memoria RAM.

Algunos modelos muy recomendables para entornos domésticos y de pequeñas empresas, son los siguientes:

  • Netgate SG-1100: este firewall tiene un procesador Marvell Armada 3720LP de doble núcleo a 1.2GHz de velocidad, cuenta con 1GB de RAM, 8GB de almacenamiento interno, y un total de 3 puertos Gigabit Ethernet para LAN/WAN. Tiene un precio de 179 dólares, y está orientado a pequeños proyectos y entornos domésticos muy básicos donde tengamos pocos servicios de pfSense funcionando. Este modelo solo lo recomendaríamos para alguien que quiera iniciarse con pfSense, y quiera un firewall para aprender.
  • Netgate SG-3100: este firewall tiene un procesador ARM de doble núcleo a 1.6GHz de velocidad, 2GB de memoria RAM y 8GB de almacenamiento interno, aunque se puede pedir una versión con 32GB de almacenamiento interno, además de poder expandirlo con discos SSD M.2 en su interior. Este equipo tiene un total de cuatro puertos Gigabit Ethernet para LAN, un puerto WAN y otro puerto OPT que puede funcionar como WAN o LAN, además de un puerto USB 3.0 y un slot para microSIM. Este equipo es uno de los firewall que mejor relación calidad-precio tienen, y es ideal para entornos domésticos y también pequeñas y medianas empresas. Tiene un precio de 399 dólares.
  • Netgate SG-5100: este firewall incorpora un procesador Intel Atom C3558 con cuatro núcleos a una velocidad de 2.2GHz, dispone de 4GB de memoria RAM aunque se puede instalar hasta 16GB como máximo. Tiene un almacenamiento interno de 8GB de capacidad, pero permite la instalación de discos SSD M.2, asimismo también tiene un puerto USB 3.0. En cuanto a los puertos Gigabit Ethernet, disponemos de un puerto para WAN, otro para LAN, y un total de cuatro puertos OPT para configurarlo como nosotros queramos. Tiene un precio de 699 dólares.
  • Netgate XG-7100-DT: este firewall incorpora un procesador Intel Atom C3558 con cuatro núcleos a una velocidad de 2.2GHz, dispone de 8GB de memoria RAM aunque se puede instalar 16GB adicionales, por lo que tendríamos un total de 24GB de memoria RAM. Tiene un almacenamiento interno de 32GB de capacidad, pero permite la instalación de discos SSD M.2, incluso podremos elegir a la hora de comprarlo que nos instalen un SSD de 256GB de capacidad. Lo más interesante de este firewall es la incorporación de un total de 8 puertos Gigabit Ethernet J-45, con el puerto ETH1 configurado como WAN, y del ETH2-8 configurados como LAN, pero es que además, incorpora dos puertos SFP+ a 10Gbps como OPT para configurarlo como LAN o WAN. Tiene un precio de 899 dólares, pero merece la pena si vas a utilizar la conectividad a 10Gbps para tu red local en la empresa.

Otro hardware que podemos utilizar con OPNsense y pfSense

OPNsense y pfSense realmente son compatibles con cualquier hardware, siempre que respetemos la arquitectura de ambos sistemas operativos. De esta forma, podríamos utilizar un hardware personalizado de empresas como Supermicro que venden servidores enrackables con precios bastante competitivos, e incluso también podemos acceder a la web firewallhardware donde encontraremos diferentes hardware para firewalls.. También podríamos utilizar hardware más modestos, como por ejemplo, los microservidores de HP Gen 10 que tienen varios puertos Gigabit Ethernet, para que uno actúe como WAN de Internet y otro como LAN.

Si tienes un servidor NAS del fabricante QNAP, vas a poder instalar el propio pfSense de manera virtual dentro de su sistema operativo QTS, y disponer de todas las funcionalidades de pfSense con un hardware de QNAP, el cual también podrás utilizar para compartir archivos o realizar las tareas de un NAS. También podrás hacer uso de pfSense en el hardware de QNAP Guardian, un switch multifunción con QTS incorporado en el que podrás virtualizarlo.

Conclusiones

Como habéis podido ver, los modelos que os hemos recomendado os valdrían perfectamente para un hogar doméstico, pero también para queñas y medianas empresas. Dependiendo de lo que estés dispuesto a invertir, podrás conseguir por poco dinero (unos 400€) un completo firewall muy avanzado y profesional. Primero os tenéis que decantar por el sistema operativo que más os convenza, o que más se adapte a vuestras necesidades, para posteriormente elegir el hardware adecuado para vuestras necesidades.