El firewall es el principal escudo protector de una red para comprobar y permitir/denegar tanto el tráfico entrante o saliente. Configurado de manera adecuada, nuestra red podrá funcionar con una mejor seguridad debido al control que se realiza, y, por supuesto, estará segura ante tráfico sospechoso.
Desde RedesZone, te recomendaremos algunas soluciones de firewall open-source. El hecho de que puedas tener mayor control de lo que pueda hacer la herramienta por su característica de código abierto, ya es una gran ventaja. Y además, siendo gratuitos, ¿por qué no probarlos? Seguro que alguno de ellos te convence y tienes las herramientas que vienes buscando.
¿Qué es un firewall?
Un cortafuegos o también conocido como firewall, se encarga de monitorizar todas las conexiones que se realizan entre dos o más redes, con el objetivo de permitir o denegar el tráfico de red. El cortafuegos es la primera línea de defensa frente a posibles ataques, ya sean ataques DoS para intentar dejar inutilizado un servidor web, e incluso ataques para infectarnos con malware. En muchas ocasiones un cortafuegos también realiza las mismas funciones que un router, ya que permite establecer conexiones con Internet, e incluso instalarle protocolos de enrutamiento dinámicos, rutas estáticas y mucho más.
Un cortafuegos no solamente se encarga de permitir o denegar las conexiones que se realizan en base a unas reglas que hayamos configurado, también se puede instalar un Sistema de Detección de Intrusiones (IDS) para detectar comportamientos y tráfico anómalo, para avisarnos de que «algo» raro ocurre en la red. Por supuesto, también se puede instalar un Sistema de Prevención de Intrusiones (IPS) que se encargará de avisar al cortafuegos para bloquear las direcciones IP de origen cuando se cumpla alguna regla configurada. En el caso de que uses redes privadas virtuales (VPN), un buen lugar para instalar este tipo de software es en los cortafuegos, debido a que generalmente son quienes gestionan y tienen las direcciones IP públicas, porque es la primera línea de defensa y quién recibe todos los ataques desde el exterior.
Hoy en día disponemos de varios sistemas operativos orientados específicamente a cortafuegos, son sistemas operativos basados en FreeBSD y Debian pero que están diseñados para actuar como un completo firewall y proporcionar el mejor rendimiento posible. Además, estos sistemas operativos incluyen una interfaz gráfica de usuario muy fácil de utilizar, y es que no es necesario realizar cambios a través de la línea de comandos, solamente es necesario hacerlo vía web en una interfaz gráfica muy amigable. Ahora mismo disponemos de dos sistemas operativos que están claramente por encima del resto, y estos son pfSense y OPNsense, ambos son muy buenas soluciones para implantar tanto en un entorno doméstico «avanzado» como también en pequeñas y medianas empresas, ya que al tener VPN vamos a poder interconectar sedes de forma fácil y rápida.
Cómo elegir un buen Firewall
Siempre y cuando buscamos implementar nuevas soluciones de seguridad en nuestros sistemas, debemos asegurarnos de muchas cosas previas. Los Firewall son herramientas muy importantes dentro de la organización de una red, por lo cual a la hora de elegir uno para instalar, se deben tener en cuenta algunas cosas muy importantes. Algunos de los factores que más influyen a la hora de adquirir o utilizar uno gratuito son:
- Tipo de firewall: Nos podemos encontrar con diferentes tipos de firewall. Primero tenemos los más convencionales, que son los de red. Luego tenemos los firewalls de host, y por último los de aplicación. Cada uno de ellos tiene su función, sus beneficios en según qué sectores, y las respectivas debilidades. Por lo cual este es el primer punto que debemos tener en cuenta.
- Funcionalidad: Antes de implementar un firewall, debemos saber que vamos a necesitar. Esto nos ayudará a que el elegido, se adapte perfectamente a nuestras necesidades. No todos los firewalls van a ser los más adecuados, pues siempre hay funciones diferentes entre ellos.
- Configuración: Disponer de un firewall que sea sencillo de configurar y manejar, es algo muy importante. Y es que esto nos va ayudar a reducir el tiempo de configuración, y realizar un mantenimiento mucho más simple, efectivo y en un tiempo menor. Si tenemos uno muy complejo puede afectar a la seguridad del mismo, pues es posible que nos encontremos con complicaciones.
- Soporte: El soporte que nos ofrece el proveedor es algo a tener en cuenta. Que este sea efectivo y de confianza, es algo que nos puede librar de muchos problemas en algunos momentos.
- Costes: Siempre será un factor a considerar. El precio del software puede ser desde inexistente a ser muy caro. Por lo cual es una decisión importante, que puede marcar la economía de una empresa.
- Integración: Siempre debemos estar seguros que el software se puede integrar con nuestros sistemas. Empezando por los sistemas de seguridad, soluciones de detección, repuesta y prevención.
Firewalls open-source para protegerte
Es bueno recordar que el término open-source no significa que el software sea gratis. Más bien, hace referencia a que el usuario tiene posibilidad de acceder al código fuente. Una de las ventajas de esto es que se logra promover lo colaborativo entre múltiples usuarios de un programa open-source. Pueden auditar y/o modificar el código fuente con total independencia y en función a las necesidades que tienen. Por otro lado, hay más posibilidades que los programas se actualicen. No sólo en relación a la usabilidad sino también, en cuanto a la seguridad. Ahora bien, ¿solamente si tengo una infraestructura de red grande puedo implementar componentes como los firewalls? No.
Los programas open-source facilitan tanto a los usuarios corporativos como individuales la oportunidad de configurar todas las funciones de red esenciales para un adecuado funcionamiento. En suma, se pueden contar con soluciones que permiten la configuración de funciones de ruteo y redes en general, como DHCP y DNS. Vuelta a la mención de la seguridad, estos programas open-source cuentan con varias características que permiten añadir un considerable escudo de protección: firewalls, antivirus, servicios antispam y filtros web.
Pfsense
Es una solución de firewall open-source basada en FreeBSD, cuenta con un kernel personalizado, el cual es posible instalar en la máquina de tu preferencia. Sin embargo, puedes optar por la alternativa de montar una máquina virtual (VMWare, Virtual Box y otros) y realizar la instalación de Pfsense mediante la imagen ISO. Así también, mediante las máquinas virtuales también es posible instalar mediante un dispositivo USB bootable o la imagen embebida (.img).
A continuación, citamos algunas de las características:
- Funciones de routing y firewall avanzadas
- NAT (Traducción de Direcciones de Red), más conocido como NATeo.
- Balanceador de carga.
- Dispone de cliente/servidor VPN con IPsec y OpenVPN
- Monitorización avanzada de la actividad de red mediante logs y gráficos.
- Servidor DNS
- Sistemas IDS/IPS con Snort o Suricata para proteger aún más la red
- DNS dinámico y portales cautivos.
- Servicios DHCP y DCHP Relay.
- Posibilidad de instalar software adicional para tener más servicios disponibles.
Sugerimos acceder al portal oficial para la descarga de la última versión de la ISO estable (Community Edition). Así también, puedes acceder al código fuente en su totalidad mediante su repositorio en Github.
pfSense ahora es propiedad de Netgate, pero seguimos teniendo la versión CE que es completamente gratuita sin necesidad de ningún tipo de licencia, no obstante, debes saber que poco a poco la versión de pfSense CE y la versión pfSense Plus empezarán a diferenciarse bastante, ya que incorporarán todas las mejoras en seguridad, rendimiento y funciones nuevas a esta última. Desde hace unos meses Netgate permite pasar de la versión CE a la Plus para usuarios domésticos que realicen un uso no comercial del sistema operativo.
Lo que más nos gusta de pfSense es la gran comunidad que existe, tanto en los foros oficiales como también grupos de Telegram, de hecho, en España tenemos el grupo de Telegram pfSense Spain donde los usuarios se ayudan entre ellos sobre problemas o dudas a la hora de utilizar este sistema operativo tan completo. Además, también nos permiten conocer las últimas novedades e incluso suben tutoriales en diferentes idiomas para saberlo todo sobre este gran cortafuegos.
Este firewall es uno de los mejores que puedes utilizar hoy en día, aunque tiene un duro competidor que ha ganado mucha relevancia en los últimos tiempos: OPNSense.
Endian
Este software de código abierto es otra de las diferentes opciones que tienen los usuarios para descargar e instalar un cortafuegos en sus dispositivos. Este producto en concreto está basado en Linux y lo cierto es que destaca de primeras por ser una alternativa potente y que no tiene ningún tipo de complicación a la hora de realizar la instalación, al igual que es perfecto para usarse en redes domésticas.
Con esta solución en particular se puede convertir un dispositivo de hardware en una opción de lo más potente para prevenir cualquier tipo de amenazas, así como el hecho de gestionarlas. Incluye no solo un firewall, sino que también cuenta con antivirus, una VPN y diferentes funcionalidades de filtrado de contenidos. Todo en uno, por lo que hay un sinfín de herramientas disponibles para que los usuarios tengan en su mano un software de lo más completo.
Hay que tener en cuenta que Endian con su cortafuegos ofrece un seguimiento de estado que permite a cualquier usuario el hecho de proteger su red de una inmensa mayoría de ataques y diferentes amenazas. Y ya no solo porque viene con esta solución de seguridad, también porque ofrece una VPN bastante segura para que garantizar la integridad de la conexión.
Y entre las principales características de esta solución se pueden encontrar los siguientes aspectos: registro e informes en tiempo real de las actividades de la red, mejora del acceso remoto seguro a través de una VPN, seguridad mejorada para los servicios web y de correo electrónico, etc.
OPNSense
Es una solución de firewall open-source que también está basada en FreeBSD, de hecho, es un fork de Pfsense en el cual se ha optimizado el código fuente muchísimo, con el objetivo de consumir muy pocos recursos. Este firewall tiene una gran cantidad de servicios, lo más destacable son sus actualizaciones de software semanales, tanto para incorporar nuevas funcionalidades, como para corregir los bugs que se hayan encontrado. Podemos instalar OPNsense en cualquier sistema con 64 bits, además, también podemos optar por la alternativa de montar una máquina virtual (VMWare, Virtual Box y otros) y realizar la instalación de OPNsense mediante la imagen ISO. (.img).
Las funcionalides de OPNsense son, en esencia, las mismas que Pfsense, ya que está diseñado para competir con él, por lo que las opciones de configuración y servicios son similares. OPNsense permite utilizarlo como si fuera un router con NAT, permite crear reglas de firewall avanzadas, tiene un balanceador de carga, cliente/servidor VPN con IPsec, OpenVPN, Tinc y también Wireguard, servidor DNS, DHCP, e incluso dispone del sistema IDS/IPS Suricata. Otras características importantes son que dispone de monitorización avanzada de la actividad de red mediante logs y gráficos y permite instalar muy fácilmente software adicional.
Sugerimos acceder al portal oficial para la descarga de la última versión de la ISO estable y darle una oportunidad a la mejor alternativa de PFsense.
IPFire
Se la considera como una de las mejores soluciones de firewall open-source. Se caracteriza por su modularidad y alta flexibilidad desde el momento en que se ha comenzado con su diseño. No sólo tiene funciones de firewall, sino también como servidor proxy y puerta de enlace VPN.
Por otro lado, cuenta con un sistema IDS que analiza el tráfico de red para encontrar potenciales vulnerabilidades y sus exploits. Lo cual significa que si se detecta algún ataque, tanto el evento como el autor del mismo serán bloqueados.
Si necesitas de recibir soporte ante algún inconveniente, cuenta con una gran comunidad activa. La misma cuenta con miles de desarrolladores. Por lo que puedes sentirte tranquilo ya que recibirás ayuda de parte de personas con mucha experiencia y conocimiento. Otras características que puedes aprovechar son DNS Dinámico, servicios DHCP y wake-on-LAN entre muchas otras funcionalidades. IPfire es la alternativa de FreeBSD ya que está basado en Debian.
SmoothWall
Cuenta con una interfaz web muy sencilla de comprender y utilizar. Por tanto, no se necesitan de muchos conocimientos sobre Linux para comenzar a conocer a este firewall. Cuenta con soporte para LAN, DMZ y funciones de firewall de red tanto interna como externa. Por otro lado, cuenta con funciones de aceleración para web proxy y si deseas tener un panorama sobre el tráfico web, se puede acceder a estadísticas completas al respecto.
Sugerimos acceder al portal oficial para acceder a todos las instrucciones y encontrar el instalador adecuado para tu necesidad. ¿Cuentas con hardware que no es del todo moderno? No importa, SmoothWall se caracteriza por ser un firewall muy eficiente, por lo que no es necesario contar con demasiados recursos en tu máquina.
Untangle Firewall
Es una solución basada en Debian 8.4. Cuenta con algunas funciones básicas de red que están disponibles sin coste alguno. En el caso de que quieras agregar funciones adicionales, se cuentan con aplicaciones de pago. La administración de Untangle es sumamente práctica gracias a su interfaz gráfica de usuario basada en la web.
- Bloqueo de tráfico spam
- Bloqueo de potenciales eventos de phishing y virus
- Activación de funciones OpenVPN
- Sistemas IPS
- Bloqueo de anuncios tipo Adblocker
- Portal Restricto
- Completo monitor de tráfico web
Accede al enlace del portal oficial y sigue las instrucciones de instalación. Podrás disfrutar de todo lo que ofrece esta solución, incluyendo los servicios de pagos, por 14 días mediante la prueba gratuita.
Shorewall
Otro de los más famosos, y que podríamos decir que está entre el top 10 de firewalls de código abierto, es Shorewall. Correspondiendo a la gama de programas de nueva generación y que basa su código en Linux. No solo facilita la tarea de seguridad de la red, sino que a su vez tiene una variedad de funciones y herramientas listas para usar de forma inmediata, incluido un sistema Netfilter para rastrear y monitorear amenazas potencialmente peligrosas.
Entre sus posibilidades, podrás crear una red interna privada a la que solo puedan acceder los equipos y dispositivos que tú elijas, una red de invitados a la que pueda acceder cualquier persona que conozca el lugar, etc, y todo ellos de una manera simple.
Pese a no ser de los programas más antiguos, es cierto que su última actualización es de 2020, sin embargo, cuando algo funciona bien, ¿para qué tocarlo? O eso pensarán muchos de los usuarios que lo siguen teniendo y utilizando a día de hoy. Ha pasado por muchas versiones, por lo que se entiende que no es un proyecto a medias, sino que han corregido todo lo que la comunidad pedía, dejando una versión más que decente para su uso.
Si deseas más información, o directamente probarlo, podrás hacerlo desde aquí, en su página web oficial.
¿Hay más cortafuegos de código abierto?
Además de las anteriores opciones que hay disponibles en la red, lo cierto es que puedes encontrar muchas más alternativas. Por lo que hay bastante variedad entre la que elegir en el caso de que los anteriores cortafuegos no te hayan convencido. Por ejemplo, entre otros que conocemos y no hemos analizado tienes:
- IPCop Firewall
- VyOS
- Ufw
Por lo que si ya conoces los anteriores y quieres probar uno nuevo, son opciones tan validad, y que incluso pueden resultarte más útiles.
Y tú, ¿utilizas firewalls de código abierto? ¿O prefieres las soluciones tradicionales? Déjanos un comentario, y de ser afirmativa la respuesta, que no se te olvide decirnos cuál usas, a ver si descubrimos otro que no conocemos.