Configura pfSense para proteger tu hogar o empresa con este firewall

Configura pfSense para proteger tu hogar o empresa con este firewall

Sergio De Luz

pfSense es el sistema operativo orientado a firewall (cortafuegos) más utilizado a nivel profesional, tanto en el ámbito doméstico con usuarios avanzados, como en pequeñas y medianas empresas para segmentar su red correctamente y disponer de cientos de servicios disponibles. pfSense está basado en el popular sistema operativo FreeBSD, por tanto, tendremos la garantía de que es un sistema operativo estable, robusto, y, sobre todo, muy seguro. A diferencia de otros firewalls, pfSense dispone de una interfaz gráfica realmente completa y muy intuitiva, ya que tendremos una pequeña explicación de cada parámetro a configurar. Hoy en RedesZone os vamos a explicar todo sobre pfSense, y cómo instalarlo en cualquier ordenador con dos tarjetas de red (una para WAN y otra para LAN).

pfSense es un sistema operativo que consume muy pocos recursos, sin embargo, dependiendo del uso, de los usuarios que vayan a transferir datos, y de los servicios que instalemos, necesitaremos disponer de más o menos potencia de CPU y también tamaño de memoria RAM. Este sistema operativo se puede instalar en prácticamente cualquier ordenador actual, pero lógicamente, el rendimiento que obtendremos dependerá del hardware, y lo mismo ocurre sobre la configuración que hayamos realizado al propio firewall. Lo más crítico para pfSense es reconocer las tarjetas de red Ethernet, las más recomendables para no tener problemas son las Intel, pero hay otros muchos fabricantes que también son compatibles, pero antes sería recomendable leer en los foros oficiales de pfSense.

 

Principales características

El objetivo principal del sistema operativo pfSense es la de proporcionar seguridad a entornos domésticos y empresariales, este equipo actúa de firewall, pero también podemos usarlo como router principal, ya que disponemos de cientos de opciones de configuración avanzadas. Gracias a la posibilidad de instalar software adicional, podremos disponer de un potente IDS/IPS (Sistema de Detección y Prevención de Intrusiones) como Snort o Suricata. Para usar pfSense es obligatorio disponer de dos tarjetas de red, una para la WAN de Internet y otra para la LAN, aunque si disponemos de más tarjetas (o una tarjeta con varios puertos) mucho mejor, porque podremos disponer de interfaces físicas adicionales para configurar una DMZ, una red adicional y mucho más.

Otro punto a favor de pfSense son las continuas actualizaciones que disponemos, tanto del sistema operativo base, como también de todos los paquetes que podemos instalar de manera adicional. En un firewall/router que está expuesto a Internet, disponer de actualizaciones es algo importantísimo para evitar vulnerabilidades de seguridad que se pudieran encontrar.

 

Opciones en el Firewall

pfSense emplea un cortafuegos SPI (Stateful Packet Inspection) basado en reglas, como suele ser habitual. Podremos filtrar paquetes rápidamente de manera muy avanzada, dependiendo del hardware, podremos conseguir anchos de banda superiores a los 10Gbps. Gracias a la interfaz gráfica de usuario, podremos crear «alias» para crear grupos de IPs y puertos, para posteriormente aplicarlo a las reglas, y de esta forma, no tener cientos de reglas en el firewall, es muy importante saber qué estamos filtrando y mantener las reglas correctamente actualizadas. Por supuesto, pfSense dispone de avanzados registros de si una regla se ha ejecutado, y de todo lo que está ocurriendo en el sistema operativo.

Si creamos diferentes interfaces de red físicas, podemos configurar de manera específica cada una de ellas. Lo mismo ocurre si configuramos VLANs en la LAN en modo router-on-stick, también podremos configurar reglas específicas para permitir o denegar el tráfico en estas VLANs. Por ejemplo, podríamos crear una VLAN específica a modo de DMZ, impidiendo el tráfico de origen desde esta VLAN hacia al resto de redes virtuales que podemos configurar.

 

IDS/IPS

pfSense no solamente dispone de un potente firewall para mitigar y/o bloquear los ataques DoS y DDoS, sino que también dispone de un avanzado IDS/IPS como Snort y Suricata, los cuales podremos instalar de manera fácil y rápida a través de los paquetes disponibles para su instalación, y en ambos tendremos interfaz gráfica de usuario para configurar las diferentes interfaces donde deben actuar, así como todas las reglas que tenemos para detectar posibles ataques. También podremos detectar fugas de información e incluso actividad sospechosa en la red que podremos bloquear. Por supuesto, también tenemos la posibilidad de ver en tiempo real el estado del sistema operativo, e incluso instalar software adicional para ver informes gráficos avanzados y conocer todo lo que ocurre en el sistema.

Las siglas IDS se corresponde con Sistema de Detección de Intrusiones, las siglas IPS se corresponde con Sistema de Prevención de Intrusiones. Es un conjunto de sistemas que se complementan para proveer de mayor seguridad a las redes de distintos tamaños. En especial, aquellas redes que requieren de un alto nivel de respuesta y servicio. Estos sistemas pueden aplicarse tanto a nivel de software o bien, a nivel hardware mediante equipos especializados. Se habla normalmente de IDS/IPS porque trabajan conjuntamente.

Evitar problemas de seguridad en la oficina

Varias de estas herramientas integran la capacidad de detectar ataques cibernéticos, además de realizar acciones que logran anular sus efectos. Ahora bien, esto último apunta específicamente a los Sistemas de Prevención de Intrusiones. Es sumamente recomendable optar por estos sistemas, en especial si es que deseamos garantizar que las amenazas de ataques informáticos se materialicen o bien, que generen el menor nivel de impacto posible.

Años atrás, la disponibilidad de estos sistemas era limitada. Se reservaba para aquellas organizaciones que, sobre todo, tenían la posibilidad de pagar por los costes que implicaban su implementación. Sin embargo, los ataques informáticos se han multiplicado en los últimos años y el panorama apunta que las organizaciones de cualquier envergadura son vulnerables. Por eso, muchas compañías especializadas en su provisión, las ofrece como parte de un paquete de productos y servicios. De todas formas, también se acostumbran a vender los IDS/IPS como productos por separado.

Son herramientas que tienen como misión monitorear el tráfico de red y de esta forma detectar amenazas. Está constantemente escaneando las conexiones que entran y salen de un equipo o de una red, para detectar cualquier anomalía. Podemos decir que es como si tuviéramos una alarma en casa que detecta movimiento y nos avisa de un posible intruso. Un sistema de detección de intrusos en ciberseguridad es precisamente eso. En cuanto detecta una posible intrusión, da la señal de alarma y automáticamente bloquea esa conexión, impidiendo que ese supuesto intruso llegue a entrar en la red. Están diseñados para analizar diferentes patrones de comportamiento. Si un intruso lleva a cabo alguna acción indebida, algo que haga sospechar, es cuando se ejecutaría para bloquear esa conexión. Previamente han sido configurados para saber reconocer amenazas y autorizar o no las conexiones. Suelen tener un sistema para procesar y enviar la información recopilada. Ese sistema de gestión suele avisar al administrador de la red para que tome medidas y evite problemas de seguridad que puedan dañar a otros equipos.

 

¿Qué IDS/IPS elegir?

Es bueno tener presente que una buena parte de la oferta de este tipo de sistemas puede tener costes no muy accesibles. Algunas soluciones de marcas líderes como la de Cisco, sobrepasan los miles de Euros sin mucha dificultad. Esto es así, principalmente por el tipo de clientes con el que cuentan y el paquete completo de servicios adicionales enlazado al sistema IDS/IPS en cuestión. Soporte técnico, recursos y una reputación bastante considerable hace que muchas organizaciones de gran tamaño opten por marcas como esta.

Un sistema de detección de intrusos no es algo único. Hoy en día podemos encontrarnos con diferentes opciones, que pueden adaptarse según las necesidades de los usuarios y qué tengamos que proteger. Vamos a ver cuáles son los principales:

  • Basados en firmas: la primera opción son los sistemas de detección de intrusos que están basados en firmas. En este caso lo que hacen es supervisar todos los paquetes de la red. Previamente tienen una base de datos con todas las firmas predefinidas y así detectar posibles amenazas. Podemos decir que en este caso funciona de forma muy similar a un antivirus. En ese caso también tienen una base de datos con las firmas que van comparando. En caso de que algo esté dentro de la lista de amenazas o no se reconozca, lanzan la alerta.
  • Basados en anomalías: el siguiente tipo de sistema de detección de intrusos es el que está basado en anomalías. Lo que hacen es monitorear el tráfico de red y lo comparan con una base que tienen establecida previamente. ¿Qué significa esto? Por ejemplo van a analizar si el ancho de banda utilizado, los protocolos o los puertos son normales o por el contrario hay algo que haga sospechar y nos alerte de que podría tratarse de un ataque informático y deberíamos tomar medidas.
  • NIDS: es un sistema de detección de intrusos que está basado en la red. Es capaz de detectar cualquier un ataque a todo el segmento. Se va a encargar de examinar todos los componentes del tráfico desde y hacia los dispositivos, examinar y verificar cualquier tipo de señal extraña que pueda considerar un ataque. En caso de que detecte que algo no cuadra, comenzará a investigar de qué se trata y buscar una solución al problema. Esto permitirá que un administrador de red pueda solventar la incidencia rápidamente y evitar así que puedan entrar en un equipo, por ejemplo, y robar los datos almacenados.
  • HIDS: por otra parte está el sistema de detección de intrusos conocido como HIDS. Se encarga de supervisar las redes internas y los equipos que están conectados a Internet. Examina tanto las redes individuales como las actividades en los puntos finales. Pero algo destacable de este sistema es que, más allá de verificar las amenazas externas, también va a rastrear en busca de amenazas internas. Esto lo hace al monitorear y escanear los paquetes de datos que viajan desde y hacia los puntos finales y poder así detectar amenazas de seguridad que se originen de forma interna.

En definitiva, un sistema de detección de intrusos es una opción más para proteger las redes frente a posibles intrusos. Hemos visto cómo funciona, cuáles son sus principales ventajas y también que tipos de sistemas hay. El objetivo de todos ellos es analizar constantemente la red en busca de posibles amenazas que puedan dañar el funcionamiento de un dispositivo o ser la puerta de entrada de ataques a una red.

Por otro lado, ¿existen soluciones gratuitas? ¿O tal vez alguna de coste más accesible o en todo caso, alguna que sea código abierto para mayor personalización? Esta guía cuenta con algunas recomendaciones, pero en pfSense disponemos solamente de dos de manera oficial: Snort y Suricata. Ambos están disponibles a través de los paquetes disponibles.

OSSEC

Es un sistema IDS basado en hosts que es desarrollado por un grupo de personas que forman parte de un proyecto de código abierto. Dicho proyecto lleva ya muchos años trabajando y OSSEC tiene un importante nivel de aceptación. Cuenta con un amplio equipo de desarrolladores dedicados a este sistema, además de una activa comunidad que está orientada a la ayuda a usuarios, creación de traducciones, documentación de soporte y mucho más. OSSEC ya pasa las 500.000 descargas anuales y lo mejor de todo, es que es multiplataforma: está disponible en Windows, macOS.

¿Utilizas algún sistema basado en Unix o Linux? No hay problema, este sistema IDS cuenta con su host compatible. Este es el esquema de funcionamiento: OSSEC monitoriza los logs de los diversos componentes de tu sistema en tiempo real. Es capaz de detectar todo tipo de cambios a archivos individuales, incluyendo a los registros de Windows más importantes. Esta solución es un sistema IDS, pero así también tiene algunas prestaciones de IPS, estas prestaciones IPS consisten en la respuesta a ataques mediante sus propias capacidades y sus integraciones con herramientas de terceros.

¿Te gustaría comenzar a probar esta herramienta? Puedes acceder al sitio oficial en donde tendrás acceso al detalle de esta solución. Además, será posible inscribirse a una lista de difusión por e-mail para estar al tanto de las novedades y acceder a su canal de Slack para comunicarte directamente con otros miembros de la comunidad. Si no necesitas de una solución a nivel corporativo con prestaciones más avanzadas como integraciones con sistemas SIEM, de almacenamiento de datos, de servicios en la nube como AWS y mucho más, cuentan con la opción de OSSEC Atomic Enterprise.

Nota: los sistemas basados en host se enfocan en la protección de los hosts en cuestión, no precisamente la red en la cual está conectado. Esto último sirve mucho si la protección está enfocada en un sólo usuario o un reducido grupo. El escenario es diferente si hablamos de los sistemas IDS/IPS que operan a nivel de red (o basados en la red), son de carácter crítico. Ahora bien, esto último puede ser de mayor utilidad porque como administrador de red, tendrás más visibilidad sobre los potenciales problemas que afectarían a uno o más hosts.

Snort

Es un proyecto de código abierto que en sus comienzos empezó como una solución de tipo analizador de paquetes. Ha pasado el tiempo y este se ha convertido en un completo sistema IDS del cual, cualquier red se puede ver sumamente beneficiada. Las reglas de aplicación son configurables mediante diversos parámetros, de manera que se pueden analizar los paquetes que viajan por tu red de manera precisa y eficaz. Tiene capacidad de detectar varios tipos de ataques mediante algoritmos de detección basados en firmas y también, detección de anomalías (actividad inusual). Una de las grandes ventajas de Snort es que cuenta con una comunidad grande y activa. Cualquier persona que lo necesite puede recibir asistencia o dar asistencia, de manera a que todos puedan sacar mayor provecho de esta solución. Además, es completamente gratuita, abierto a modificaciones mediante contribuciones. Las actualizaciones de este sistema IDS se realizan con frecuencia en base a unas reglas de comunidad y a la licencia GPL, es decir, Licencia Pública General.

También cuentan con soluciones que son de pago, las cuales son algo más accesibles en relación a otras que tienen esta particularidad. Una de las distinciones es que se actualiza con 30 días de anticipación en relación a las reglas establecidas por la comunidad Snort. Los planes disponibles van desde 27,41 Euros aproximadamente (por mes) hasta casi 366 Euros anuales. Una curiosidad es que Snort está bajo la gestión del gigante Cisco y varias de las funcionalidades responden considerando las reglas de su sistema propietario NGIPS. Estas siglas responden a Sistema de Prevención de Intrusiones de Siguiente Generación.

Para comenzar a utilizar este sistema, puedes usar como guía a este enlace el cual te guiará en estos pasos:

  • La instalación en Windows, FreeBSD, Fedora y CentOS. También tienes la opción de descargar directamente el código fuente para adaptar el sistema completamente de acuerdo a tus necesidades.
  • La descarga del conjunto de reglas para configurar y poner en marcha Snort lo antes posible.
  • Pasos para mantener tu sistema al día con las últimas actualizaciones.

Security Onion

Es una distribución de Linux que funciona como una solución robusta de seguridad. La misma incluye su propio sistema IDS/IPS y funciona mediante soluciones base como OSSEC y Snort. Además, también funciona en base al sistema Suricata en relación a las funcionalidades IDS/IPS basados en red. Un punto super interesante que puede marcar la diferencia a la hora de elegir la solución que necesitas es que viene integradas con diversas herramientas. Algunas de ellas son las siguientes:

  • Elasticsearch (motor de búsqueda distribuido)
  • Logstash (herramienta de administración de logs)
  • Kibana (panel de visualización de datos de código abierto)
  • Bro (monitor de seguridad de redes)
  • Sguil (monitor de seguridad de redes)
  • Squert (visualización de datos almacenados de eventos)
  • NetworkMiner (herramienta de análisis de redes) y otras herramientas más orientadas a la seguridad

Pueden acceder a su repositorio oficial en GitHub en donde obtendrás el archivo imagen (de formato ISO), además de todas las instrucciones necesarias para poder utilizarlo cuanto antes.

WinPatrol

Muy probablemente, esta es la solución con funcionalidades IDS/IPS más liviana que podemos encontrar. No ocupada ni siquiera 2MB, así también la instalación no precisa de más de 4,5 MB. Una vez instalado, ya puedes ejecutarlo muy rápidamente. Contarás una vista como esta:

Haciendo una revisión rápida, podemos decir que WinPatrol es más que nada, un programa que te ayuda a gestionar de mejor manera los procesos, programas y otros aspectos de tu sistema operativo. Sin embargo, cuenta con funcionalidades orientadas a la prevención y detección de intrusiones que puede ser de gran ayuda a usuarios individuales. Cuenta con características que permiten la monitorización ante cambios en asociaciones de tipos de archivos y creación de tareas programadas varias. Además, podrás tener visibilidad de cambios importantes como los archivos de registro de Windows, archivos ocultos y más.

Es compatible con Windows, incluyendo Windows 10, puedes descargar aquí la versión gratuita y, si lo necesitas, puedes acceder a una versión de pago.

  

VPN

Las redes privadas virtuales (VPN) siempre suelen colocarse en el propio firewall, para no tener problemas con la NAT y el filtrado de otros firewalls. Disponer de un servidor VPN o cliente VPN, nos permitirá interconectar ubicaciones remotas a través de Internet de forma segura, y también conectar diferentes dispositivos a la red local en modo VPN de acceso remoto. pfSense incorpora diferentes tipos de VPN para adaptarse perfectamente a las necesidades de los usuarios:

  • L2TP/IPsec
  • IPsec IKEv1 y IKEv2, con diferentes tipos de autenticación como Mutual-PSK, Mutual-RSA e incluso Xauth.
  • OpenVPN con autenticación por certificados digitales, credenciales de usuario y más.
  • WireGuard

Lo más destacable de pfSense 2.5.0 es la incorporación de la popular VPN WireGuard, tanto para conectar usuarios de forma remota, como para hacer túneles Site-to-Site de forma rápida y fácil, gracias a este nuevo protocolo que se ha integrado en el kernel y nos proporcionará un gran rendimiento.

A partir de la versión pfSense 2.5.1 se le quitó el soporte oficial a la popular VPN WireGuard, por problemas de seguridad relacionados con la implementación del software en el sistema operativo y en el Kernel. A partir de esta versión, WireGuard ya no está disponible de forma oficial, pero la empresa detrás de pfSense ha contratado a un desarrollador con experiencia para incorporarlo en las siguientes versiones. Actualmente con la versión 2.5.2 tampoco está de manera oficial, sin embargo, sí la podemos encontrar en el listado de paquetes de pfSense disponibles, instalándola manualmente y nos aparecerá en la misma ubicación donde antes lo teníamos. Este paquete nuevo desarrollado desde cero nos permitirá tener WireGuard de forma segura y fiable, pero todavía está en fase beta puliendo diferentes pequeños fallos y también integrándolo perfectamente en el sistema operativo para tener la mejor seguridad y rendimiento de esta VPN tan poopular.

 

Otras características

pfSense incorpora una grandísima cantidad de servicios, los mismos o más que los routers y otros firewalls profesionales. Por ejemplo, algunas de las principales características adicionales son la posibilidad de configurar un servidor DNS con DNS Resolver, ideal para que sea el propio firewall quien resuelva todas las peticiones, también disponemos de un completo servidor DHCP con decenas de opciones avanzadas, un servidor NTP para servir la hora a diferentes dispositivos, WoL, QoS para priorizar diferentes equipos, Traffic Shaper, compatibilidad con VLANs, posibilidad de configurar diferentes VLANs en una o varias interfaces, posibilidad de configurar QinQ, Bridge y LAGG con diferentes opciones avanzadas, también podemos usar el servidor Dynamic DNS y mucho más. No debemos olvidar que, al ser un sistema operativo muy avanzado, podremos ver un completo registro de todo lo que está ocurriendo, e incluso tendremos avisos por email o Telegram para estar al tanto de todo lo que ocurra.

Una de las características más importantes, es la posibilidad de instalar paquetes adicionales para disponer de aún más funcionalidades, gracias a este software adicional, podremos ampliar las funcionalidades de este firewall profesional. Algunos de las extensiones más populares son las siguientes:

  • arpwatch para que nos notifique por email o Telegram qué equipos nuevos se han conectado. Esta funcionalidad es muy interesante para tener bajo control qué equipos se conectan, nos aparecerá la dirección IP asignada, la dirección MAC y también la dirección del hostname del equipo, y todo ello con avisos en tiempo real para evitar posibles intrusos.
  • bandwidthd para ver gráficos de utilización del ancho de banda, aunque los gráficos no son demasiado «buenos» estéticamente, sí es cierto que nos será muy útil para poder ver el ancho de banda que estamos consumiendo en cada interfaz física o lógica del firewall.
  • freeradius3 para montar un servidor de autenticación RADIUS, ideal para configurar APs WiFi y disponer de WPA2/WPA3-Enterprise. La implementación de FreeRADIUS en pfSense es completa, disponemos de todas las opciones de configuración existentes, además, podremos hacer cualquier configuración a través de la interfaz gráfica de usuario, sin necesidad de configurar archivos de texto a modo de archivo de configuración.
  • iperf para medir el ancho de banda al pfSense y desde él. La incorporación de iperf es la versión iperf3, por tanto, podremos comprobar el ancho de banda que es capaz de gestionar entre las diferentes VLANs, es decir, la velocidad del tráfico inter-vlan.
  • nmap para realizar escaneo de puertos a equipos remotos, generalmente este software está disponible en sistemas operativos orientados a la ciberseguridad y pentesting, pero lo tenemos disponible para hacer nuestras propias pruebas directamente desde aquí.
  • pfBlocker-ng para bloquear toda la publicidad, y también dominios y direcciones IP maliciosas
  • Snort y Suricata: los dos IDS/IPS por excelencia, no vienen por defecto pero se puede instalar
  • Haproxy para balanceador
  • Squid para montar un servidor proxy.
  • nut para monitorizar sistemas SAI
  • Agente zabbix para integrarlo fácilmente en un sistema de monitorización
  • Zeek (antiguo Bro IDS)

Pero cuenta también con ciertas funciones que pueden ayudarnos a asegurar la red y evitar problemas.

  • Filtrado de IP origen y destino para el tráfico TCP y UDP
  • Limitar las conexiones simultáneas por regla
  • Opción para realizar un filtrado de los datos que circulan de acuerdo con alguna regla. Utiliza p0f, que se trata de una herramienta de huellas digitales de forma pasiva. Esto nos permite filtrar por Sistema Operativo las conexiones que se realizan.
  • Es posible el enrutamiento de políticas de forma flexible, donde podremos seleccionar la puerta de enlace mediante reglas.
  • Se puede convertir en un enrutador puro desactivando los filtros de firewall.
  • Dispone de balanceo de carga.
  • Multi WAN
  • Servidor PPPoE
 

Requisitos mínimos para la instalación de pfSense

  • Procesador 600Mhz, pero es recomendable que sea de más, y de 64 Bits.
  • 512 MB de RAM, pero de nuevo, contar con más, sería ideal.
  • 4 GB de espacio de disco duro, de igual forma que en los requerimientos anteriores.
  • 2 tarjetas de red. Una correspondiente a la LAN y otra a la WAN.
  • Puerto USB, o DVD si lo tenemos en ISO
  • Conectividad a internet

pfSense funciona en arquitectura x86, siendo compatible con CPU recientes de 64 bits, además, se puede instalar en casi cualquier plataforma en la nube como Amazon Cloud, Azure y más, además, debemos tener en cuenta que hoy en día podemos comprar equipos del fabricante Netgate que ya vienen con pfSense preinstalado, con equipos orientados a ámbito profesional.

 

Implementación en empresas

La implementación de pfSense en una empresa puede ser una excelente opción para mejorar la seguridad y la administración de la red. Esto es algo vital dentro de la estructura de cualquier empresa, pero no por ello se debe implementar a la ligera. Lo mejor es seguir un proceso para ver que todo funciona según lo esperado.

  • Evaluación de requisitos: Antes de implementar pfSense, es importante realizar una evaluación exhaustiva de los requisitos de la empresa. Esto implica identificar los objetivos de seguridad y rendimiento de la red, así como determinar la cantidad de tráfico y el número de usuarios que se espera manejar. Esta evaluación ayudará a dimensionar adecuadamente el hardware y las configuraciones necesarias.
  • Adquisición del hardware: pfSense se puede instalar en una variedad de hardware, desde servidores dedicados hasta dispositivos específicos. Es importante seleccionar un hardware que cumpla con los requisitos de rendimiento de la empresa y que sea compatible. Se recomienda consultar la lista de hardware compatible en el sitio web oficial de pfSense para garantizar una compatibilidad óptima.
  • Instalación y configuración de pfSense: Una vez que se tiene el hardware, se procede a la instalación. Se puede descargar la imagen de pfSense desde su sitio web y crear un medio de instalación, como una unidad USB. La instalación es similar a la instalación de otros sistemas operativos y se puede realizar siguiendo las instrucciones proporcionadas en la documentación oficial.
  • Configuración de la red: Después de la instalación, se realiza la configuración inicial de la red. Esto incluye asignar las interfaces de red, configurar las direcciones IP y establecer las reglas de firewall necesarias. Es importante tener en cuenta la topología de red de la empresa y definir correctamente las interfaces de red para garantizar una comunicación eficiente y segura.
  • Configuración de servicios y reglas de firewall: Una vez que la configuración básica de la red está en su lugar, se pueden configurar los servicios necesarios, como DHCP, DNS, VPN y filtrado de contenido. Además, se definen las reglas de firewall para controlar el tráfico entrante y saliente, asegurando que solo las conexiones autorizadas sean permitidas y protegiendo la red contra amenazas externas.
  • Monitorización y mantenimiento: Después de la implementación inicial, es importante monitorear y mantener el sistema pfSense de manera regular. Esto implica verificar los registros de eventos, realizar actualizaciones de seguridad, implementar parches y realizar copias de seguridad periódicas. También se pueden configurar alertas para notificar sobre actividades inusuales o intentos de acceso no autorizados.
 

Descarga e instalación de pfSense

La descarga y uso de pfSense CE es completamente gratuita, basta con entrar en la web oficial e irnos directamente a la pestaña de «Download».

Una vez que hayamos pinchado en «Download», veremos una sección donde elegiremos la arquitectura a elegir, seleccionamos AMD64.

También tenemos que seleccionar el tipo de imagen, si queremos una imagen ISO para copiar en un DVD o pendrive, o directamente una imagen USB, nosotros hemos seleccionado la imagen ISO DVD. A continuación, deberemos elegir el servidor desde donde realizar la descarga, es recomendable que siempre sea el más cercano físicamente de tu ubicación actual.

Una vez que hayamos descargado la imagen, deberemos descomprimirla ya que viene en formato iso.gz, y deberemos extraer la imagen ISO directamente.

Una vez que lo hayamos descargado, podremos grabarlo a un CD, copiarlo a un USB booteable con Rufus etc. En nuestro caso, vamos a instalar pfSense en una máquina virtual con VMware, para que veáis cómo instalarlo de manera virtual y probarlo en un entorno controlado de pruebas, para posteriormente pasarlo a producción. En el tutorial vais a ver cómo crear dos tarjetas de red, una en modo bridge para que se conecte a la red local real, y otra en modo host-only para poder acceder vía web desde nuestro ordenador, sin depender de la red local.

 

Configuración de la máquina virtual en VMware

En nuestro caso vamos a utilizar VMware Workstation 15.5 PRO, pero cualquier versión serviría para realizar la instalación de este sistema operativo orientado a cortafuegos. Lo primero que tenemos que hacer al abrir VMware es pinchar en «Create a New Virtual Machine», tal y como podéis ver en la siguiente pantalla:

En el asistente de configuración de la VM tendremos que elegir creación «Typical», cargar la imagen ISO de pfSense, automáticamente reconocerá que el sistema operativo reconocido internamente es FreeBSD 10 (aunque realmente es la última versión), seguimos con el asistente hasta elegir la ruta de la VM, el disco reservado para la máquina virtual lo dejamos en 20GB, y por último, veremos un resumen de todo el hardware que tendrá esta máquina virtual que vamos a crear.

Antes de finalizar, debemos pinchar en «Customize Hardware» para aumentar la memoria RAM a 4GB, aumentar el número de Cores de CPU, y añadir una tarjeta de red adicional, y configurar las tarjetas de red correctamente.

Independientemente del número de CPU y núcleos (os recomendamos 1 CPU y 4 Cores), y de memoria RAM (os recomendamos mínimo 4GB), tenemos que añadir una segunda tarjeta de red, porque tendremos la WAN de Internet y la LAN. Pinchamos en «Add» y pinchamos en «Network Adapter» para añadirla. También podríamos añadir tarjetas adicionales para tener más opciones de configuración a nivel de firewall, pero empezar por una WAN y LAN está bien.

Una vez que tengamos las dos añadidas, tendremos que configurarlas de la siguiente forma:

  • Adaptador 1: bridge (automatic)
  • Adaptador 2: custom VMnet1 (Host-only)

A continuación, podéis ver cómo quedaría esta configuración.

Para poder acceder vía web a la administración del sistema operativo, es necesario configurar el adaptador VMnet1, para hacer esto, nos vamos a «Panel de control / Centro de redes y recursos compartidos / Cambiar configuración del adaptador» y cambiamos la dirección IP al adaptador VMware Network Adapter VMnet1, poniendo la IP 192.168.1.2/24 tal y como podéis ver a continuación. Una vez hecho, pinchamos en aceptar y aceptar para salir del menú de configuración.

Una vez que ya lo tenemos todo configurado a nivel de máquina virtual, podemos ejecutar la máquina virtual para empezar con la instalación.

 

Instalación de pfSense en VMware

Cuando arrancamos la máquina virtual, podremos ver un menú con varias opciones de arranque, no debemos tocar nada y esperar a que pasen los segundos. Posteriormente cargará, y ya podremos ver las diferentes opciones que nos brinda la imagen ISO para la instalación de pfSense.

Una vez que arranque la instalación de este sistema operativo, que aceptar el copyright que nos muestra. En el siguiente menú podremos instalar, recuperar el sistema operativo en caso de fallo catastrófico, y también recuperar el archivo de configuración config.xml de una instalación anterior. Nosotros pincharemos en «Install» para instalar el sistema operativo desde cero. En el siguiente menú tendremos que configurar el teclado, eligiendo nuestro idioma y distribución de teclado.

Después nos preguntará cómo queremos instalar el sistema operativo, si con UFS para BIOS o UEFI, de forma manual para expertos, abrir la consola para hacer todo manualmente, o utilizar ZFS como sistema de archivos. En nuestro caso, hemos elegido la primera de todas, Auto (UFS) BIOS y procedemos con la instalación. La instalación tardará un minuto aproximadamente, aunque dependerá del hardware que tengas, cuando finalice nos preguntará si queremos lanzar una consola para hacer configuraciones específicas, pinchamos en «No» y posteriormente nos preguntará si queremos reiniciar el sistema operativo, y aceptamos.

En cuanto se inicie nuevamente pfSense, podemos ver que se le ha asignado correctamente una IP a la WAN de Internet y otra a la LAN.

En el menú de administración por consola podremos realizar las siguientes acciones:

  • Cerrar sesión a SSH
  • Asignar interfaces físicas a la WAN o LAN, permite configurar también VLANs para la conexión a Internet e incluso de cara a la LAN.
  • Configurar la dirección IP de las diferentes interfaces configuradas anteriormente
  • Resetear la contraseña de administrador para entrar vía web
  • Restaurar pfSense a valores de fábrica
  • Reiniciar el sistema operativo
  • Apagar el sistema operativo
  • Hacer ping a un host
  • Lanzar una consola para tareas de administración avanzadas por comandos
  • Lanzar pfTop para ver todas las conexiones actuales
  • Ver los logs del sistema operativo de filtrado
  • Reiniciar el servidor web
  • Lanzar consola con utilidades pfSense para configuraciones rápidas
  • Actualizar desde consola
  • Habilitar SSH en el sistema operativo
  • Restaurar una configuración reciente
  • Reiniciar PHP-FPM por si tenemos problemas de acceso vía web al sistema operativo.

Si quieres configurar las interfaces físicas a través de la consola, antes de iniciar sesión vía web, podremos hacerlo fácilmente e incluso asignar las correspondientes VLANs:

Por supuesto, debemos realizar la configuración desde cero, asignando la interfaz correspondiente a la WAN y a la LAN:

Por último, podremos configurar a nivel de IP las interfaces, tanto de la WAN como también de la LAN. No obstante, esta configuración es muy básica, todas las opciones disponibles las podéis ver vía web.

En esos instantes, ya podremos acceder vía web a la configuración del pfSense, a través de https://192.168.1.1 con nombre de usuario «admin» y contraseña «pfsense».

 

Asistente de configuración de pfSense

Para poder acceder al sistema operativo pfSense vía web, tenemos que introducir la URL https://192.168.1.1 con nombre de usuario «admin» y clave «pfsense», el puerto es el 443 por defecto de HTTPS, no es necesario usar un puerto específico.

Una vez que hayamos aceptado el certificado SSL/TLS autofirmado de pfSense, veremos el menú de inicio de sesión, tal y como podéis ver aquí:

pfSense nos va a proporcionar un asistente de instalación paso a paso para realizar las principales configuraciones de la red. Tenemos la opción de no hacerlo, pero es recomendable seguirlo si es la primera vez que lo utilizamos.

Lo primero que veremos en este asistente es la bienvenida, a continuación, nos indicará que podemos comprar una suscripción de soporte de Netgate para que nos ayuden a realizar diferentes configuraciones, debemos recordar que hace años Netgate se hizo con pfSense para seguir desarrollándolo, tanto para sus propios equipos como para la comunidad. Con la versión 2.5.0 tendremos una división entre ambos proyectos, cada vez se bifurcarán más (pfSense CE vs pfSense Plus).

A continuación, podemos ver y configurar el nombre del host, dominio, y los servidores DNS si queremos poner otros que no sean los de nuestro operador. También podremos configurar el servidor NTP para sincronizar la hora, e incluso la zona horaria. Este asistente de pfSense nos ayudará a configurar la interfaz WAN de Internet, disponemos de cuatro posibles configuraciones: Static, DHCP, PPPoE y PPTP, además, soporta VLAN ID para los operadores que lo necesiten. En este menú podremos clonar la MAC, configurar el MTU y MSS, realizar configuraciones específicas dependiendo del tipo de conexión, e incluso podremos incorporar reglas automáticas al firewall para evitar ataques a las redes.

También podremos configurar la interfaz de la LAN, por defecto usamos 192.168.1.1 pero podemos elegir la que nosotros queramos, además, también podremos configurar la máscara de subred. Otra opción muy importante es cambiar la contraseña por defecto, pfSense nos invitará a cambiarla para estar protegidos. Una vez cambiada, pinchamos en «Reload» para seguir con el asistente de configuración y terminarlo, nos dará la enhorabuena y ya podremos empezar a configurar de forma avanzada este completo firewall.

Una vez que hemos visto en detalle el asistente de configuración vía web, vamos a entrar de lleno en todas sus opciones de configuración.

 

Opciones de administración de pfSense

En el menú principal de pfSense podremos ver la información del sistema, el nombre del pfSense, el usuario que ha iniciado sesión, sistema, hardware utilizado e incluso la versión exacta de pfSense y qué versión tenemos del sistema operativo base (FreeBSD), también podremos ver el tiempo de uptime, la hora actual, los servidores DNS y el estado del almacenamiento, CPU y RAM. Por supuesto, en la parte de la derecha veremos el estado de las interfaces de red que tenemos configuradas.

Este menú principal es muy configurable, para tener todo el estado de pfSense de un vistazo, podremos añadir widgets como el de estado real de las interfaces de red, el de OpenVPN y IPsec, logs del firewall y muchos otros más. Este menú es muy personalizable para adaptarse a las necesidades de la red y ver todo a la vez.

Una vez que hemos visto el menú principal, vamos a ver parte por parte el sistema operativo pfSense, sin entrar mucho en detalle en todas las configuraciones porque tenemos cientos de posibilidades.

 

System

En la sección de «System» es donde podremos configurar el servidor web del propio pfSense, activar el protocolo HTTPS y SSH, configurar en detalle la seguridad de acceso y la protección del inicio de sesión. También podremos configurar parámetros globales del firewall y NAT, también podremos configurar parámetros globales a nivel de red, tanto de IPv6 como de las interfaces de red, un detalle importante es que podremos activar o desactivar el «offloading» para acelerar el rendimiento si el hardware lo soporta. Otras opciones de configuración son las de configurar el proxy, balanceo de carga y características de ahorro de energía. Por último, podremos configurar a bajo nivel parámetros del sistema operativo base, y configurar las notificaciones por email y Telegram (una novedad de la última versión pfSense 2.5).

En esta sección de «System» también tendremos un gestor de certificados digitales, podremos crear una CA y certificados de servidor y cliente de manera fácil y rápida, con el objetivo de posteriormente usarlo en servidores VPN como IPsec o OpenVPN, así como en el servidor RADIUS Freeradius que podemos instalar de forma opcional. Este gestor de certificados nos permitirá crear certificados basados en RSA y también en EC con diferentes algoritmos.

En la sección «General Setup» podremos cambiar el nombre al equipo, el dominio, los servidores DNS a configurar para que luego los clientes los utilicen, la localización (zona horaria y servidor NTP), y también podremos configurar el aspecto de pfSense al disponer de diferentes temas. Esta última parte es interesante para modificar la interfaz gráfica de usuario con un pfSense oscuro o directamente otros temas que nos gusten más. También podremos configurar al HA para tener alta disponibilidad e incluso instalar una gran cantidad de software adicional, ya que tendremos en la sección de «Package Manager» una gran cantidad de plugins para ampliar las funcionalidades de pfSense.

En la sección de «Routing» podremos ver las diferentes puertas de enlace dadas de alta, posibilidad de configurar rutas estáticas para llegar a otras redes, e incluso crear un grupo de gateways.

pfSense permite actualización a través del propio sistema operativo, en cuanto detecte que hay una nueva versión, podremos actualizarlo a través de la interfaz gráfica de usuario, sin necesidad de descargar la imagen ISO y realizar la actualización de forma manual.

Al ser un sistema operativo muy completo, podremos crear diferentes usuarios y grupos con diferentes permisos. Por ejemplo, podremos crear un listado de usuarios locales para autenticarse vía SSH en el sistema, o para hacer uso de una VPN en concreto. También podremos configurar un servidor de autenticación con RADIUS o LDAP, para hacer uso de dichos usuarios que tengamos.

Una vez que hemos visto la sección de «System», vamos a irnos a «Interfaces» para ver todo lo que podremos hacer.

 

Interfaces

En la sección de «Interfaces» podremos ver la asignación de la WAN y LAN con las diferentes interfaces físicas, desde aquí podremos configurar fácilmente las diferentes interfaces físicas y también lógicas, ya que podremos configurar VLANs y posteriormente asignarla a una interfaz virtual. Otras opciones de configuración que podremos hacer son crear grupos de interfaces, configurar WiFi, QinQ, PPPs, GIFs, Bridges o puentes, e incluso podremos crear un LAGG con diferentes algoritmos (LACP, Failover, LoadBalance y Roundrobin).

Imaginemos que nuestro operador hace uso del VLAN ID 6 para proporcionarnos Internet, tal y como está la configuración actual de la WAN no funcionará. Deberemos crear una VLAN ID 6, y posteriormente aplicarla en la WAN de Internet. Si en la red local profesional tenemos diferentes VLANs y queremos intercomunicarlas entre ellas, también podremos hacerlo con pfSense, dando de alta las diferentes VLAN ID y posteriormente creando interfaces virtuales que «cuelgan» de la LAN.

Si nos metemos en la configuración de la WAN o LAN, podremos ver la configuración que se ha realizado en el asistente de instalación que vimos anteriormente. En el menú de WAN tendremos diferentes tipos de configuración de cara a la conexión, lo mismo ocurre con IPv6, e incluso podremos poner la dirección MAC que nosotros queramos. También podremos configurar el MTU y MSS, además de configurar parámetros avanzados del cliente DHCP.

En cuanto a la LAN, lo normal es tener la configuración en «Static IPv4» y posteriormente activar nosotros el servidor DHCP, por supuesto, aquí deberemos configurar también el gateway para los clientes que se conecten que es la dirección IP en sí misma.

Una vez que hemos visto todas las opciones de configuración de «Interfaces», vamos a ver brevemente las opciones del firewall.

 

Firewall

En la sección de «Firewall» es donde tenemos que configurar todas las reglas del cortafuegos. En la sección de «Aliases» podremos crear un alias para aplicar una regla a un conjunto de direcciones IP, puertos y también URL. Esto es ideal para tener muy bien organizadas las reglas en el cortafuegos, es muy importante tener un cierto orden para tener el mejor rendimiento posible (las reglas más utilizadas en la parte superior, y las menos usadas en la parte inferior), además, las reglas más específicas deben situarse en la parte superior y las más generales debajo, para que el funcionamiento sea correcto.

Tendremos la posibilidad de configurar las reglas del NAT en Port Forward, también podremos configurar el NAT 1:1, las reglas de Outbound de la NAT e incluso el NPt para IPv6. En la sección de «Rules» es donde crearemos las diferentes reglas de permitir o denegar en las diferentes interfaces de red que tengamos en el pfSense. Estas reglas las crearemos a través de la interfaz gráfica de usuario, y podremos definir decenas de parámetros avanzados y usando diferentes protocolos, podremos arrastrar para mover las reglas de una posición a otra, e incluso añadir separadores para ayudarnos a identificar un conjunto de reglas.

Por defecto, en pfSense tenemos un «denegar todo» en la parte inferior de forma implícita, por tanto, para tener tráfico se necesitará al menos una regla de permitir.

Otras características interesantes son la posibilidad de crear «Floating rules» en diferentes interfaces de forma fácil, para tener bien ordenadas las reglas repetitivas, e incluso reglas temporales que están activas en un determinado horario, y la posibilidad de configurar «Virtual IPs» para usar el pfBlocker-ng, por ejemplo. Por último, también tendremos aquí el «Traffic Shaper» por interfaz, por cola, podremos configurar limitadores de ancho de banda e incluso ejecutar un asistente de configuración.

 

Services

En la sección de «Services» es donde tendremos disponibles todos los servicios que vienen por defecto en pfSense, e incluso los servicios que hayamos instalado de forma adicional a través del gestor de paquetes. En esta sección podremos encontrar una herramienta para hacer backups de forma automática, configurar el portal cautivo del pfSense, configurar el servidor DHCP y DHCPv6 para la LAN.

Uno de los servicios más destacables es el DNS resolver, que es el servidor DNS del propio pfSense, y el cual podremos configurar con DNS over TLS y tener reglas muy específicas para los clientes, podremos realizar configuraciones avanzadas, como definir diferentes servidores DNS para las diferentes reglas.

Otros servicios disponibles en esta sección es el servicio de DNS dinámico, el IGMP Proxy, el servidor NTP para proporcionar la hora a los diferentes equipos, el servidor PPPoE, el protocolo SNMP para monitorizar este firewall remotamente e incluso el protocolo UPnP/NAT-PMP para abrir puertos de forma automática y dinámica, el Wake-on-LAN (WoL) para despertar equipos en la red local.

Una vez que hemos visto varios servicios incorporados en pfSense, vamos a irnos directamente a la sección de VPN.

VPN

Este sistema operativo orientado a firewall soporta la mayoría de protocolos VPN que existen actualmente, tenemos L2TP/IPsec, IPsec, OpenVPN y también WireGuard. Teniendo en cuenta que está orientado a un uso profesional, disponemos de todas las opciones de configuración disponibles y tipos de autenticación existentes. Podremos crear VPN de tipo acceso remoto y también Site-to-Site.

Dependiendo de las necesidades de los usuarios y la empresa, será recomendable configurar y levantar el túnel con un tipo de protocolo u otro, la novedad de pfSense 2.5.0 en adelante es la incorporación de WireGuard de forma nativa, aunque en las versiones anteriores también era compatible haciendo una instalación «manual». Gracias a la incorporación de WireGuard y a las últimas versiones de OpenVPN, tendremos todas las últimas mejoras en seguridad y rendimiento.

Lo que más nos gusta de pfSense, es que podremos configurar una VPN desde cero sin necesidad de editar complicados archivos de texto de configuración, todo se puede hacer a través de la interfaz gráfica de usuario.

 

Status

En la sección de «Status» es donde podremos ver el estado global del firewall, ver los registros de diferentes zonas del sistema operativo, ver el estado de las interfaces, el estado del tráfico, uso de CPU y RAM y el estado de todos los servicios que tenemos en uso en el sistema operativo. Algo que nos gusta mucho de pfSense, es que muy pocas veces tendremos que meternos vía SSH o por consola a ver registros, todo se encuentra en la propia interfaz gráfica de usuario vía web.

En este menú podremos ver el estado del portal cautivo, CARP, dashboard principal, estado del DHCP y DHCPv6, estado del DNS resolver, el gateway, las interfaces, túneles VPN Ipsec y OpenVPN, la monitorización de diferentes interfaces, los servicios, e incluso ver un gráfico en tiempo real del tráfico, entre otras opciones. Dependiendo del software adicional que instales, es posible que estas opciones de visualización del estado de diferentes servicios aumenten.

 

Diagnostics

En la sección de «Diagnostics» podremos ver la tabla ARP, la autenticación, realizar copia de seguridad y restauración, hacer un DNS Lookup, editar archivos de manera manual, restaurar a valores de fábrica el sistema operativo, apagar y reiniciar el sistema, ver la tabla NDP, ejecutar el capturador de tráfico para detectar problemas, ejecutar pfInfo y pfTop para ver las conexiones actuales, hacer ping y tracert, ver el estado del SMART, realizar un test de puertos y mucho más.

 

Configuración del Dashboard

Cabe la posibilidad de que el panel de control por defecto se nos quede pequeño, por eso podemos agregar y eliminar columnas de este. Para modificar esto, acudimos a System y luego entramos en General Setup. Una vez dentro, buscamos la opción de webConfigurator y podremos cambiar los valores de Dashboard Columns. Picamos en guardar, y listo.

pfSense es una herramienta tremendamente útil y con gran cantidad de configuraciones. Por eso creemos que existen ventajas que hacen que sea la opción ideal. La solidez de su firewall, es uno de sus puntos fuertes, pero no podemos olvidarnos de la flexibilidad que nos ofrece. Otro punto a favor, es que se trata de código abierto, por lo cual la detección de fallos puede ser más rápida, con las correspondientes actualizaciones.

Es sencillo de usar. Cuando hablamos de este tipo de servicios, no suelen ser muy accesibles si no se tiene cierta experiencia, pero pfsense cuenta con una interfaz simple y fácil de usar en lo que se refiere a funciones básicas.

 

Alternativas a pfSense

Como has podido ver, pfSense es una herramienta muy completa que nos ayuda con muchas características diferentes para realizar toda la gestión de la red y de sus tráfico. Pero esta no es la única que nos podemos encontrar en el mercado. Hay muchas opciones que hacen funciones similares, pero todas con sus respectivas diferencias a la hora de configurar y funcionar. Cabe recalcar, que siempre es recomendable hacerse con ellas en medios oficiales. Esto nos ayudará a proteger nuestra seguridad y la de nuestros datos.

Tal y como habéis visto, pfSense es un sistema operativo que podremos usar de firewall y router principal, tanto a nivel doméstico cuando tenemos amplios conocimientos, como también a nivel profesional en pequeñas y medianas empresas. Gracias a la gran estabilidad que tenemos en el sistema operativo, y a la gran cantidad de software adicional que podremos instalar, este sistema se convierte en uno de los mejores para usarlo como firewall/router.

 

IPFire

Esta herramienta es utilizada por muchas empresas alrededor del mundo. Está basada en Netfilter, y se puede utilizar como cortafuegos, servidor proxy o puerta de enlace VPN. Pero todo depende de la configuración que le hagamos, ya que nos proporciona mucha flexibilidad en su uso. Esta cuenta con un sistema llamado IDS, por el cual detecta los ataques y los evita desde un primer momento. La gran ventaja que nos ofrece, es que desde que nos hacemos con ella, hasta que está en funcionamiento, puede pasar poco más de media hora.

Una de las características más destacadas de este firewall es el hecho de que está basado en Linux. Esto hace que use iptables con el fin de permitir o denegar el tráfico, además de que también tiene funciones de NAT, sirve para aislar el tráfico entre diferentes subredes y otras acciones.

Todas estas características y funcionalidades convierte a este software en una de las alternativas que tienes disponible en caso de que no te haya convencido la opción de pfSense.

 

OPNSense

En este caso estamos ante una variante de pfSense. Cuenta con una GUI en varios idiomas y tiene muchos niveles de seguridad orientadas al sector empresarial. Puede hacer funciones de firewall, VPN, 2FA, QoS, IDPS, Proxy, Webfilter y Netflow, entre otras muchas. OPtro de los detalles que te pueden interesar conocer de esta alternativa es el hecho de que es un producto compatible con las arquitecturas de sistema de 32 y 64 bit. Además, está disponible para su descarar tanto en imagen ISO como a través de un instalador USB.

Esta alternativa lo cierto es que es uno de los completos firewall con el que puedes tener una buena cantidad de opciones para su configuración. Hay que tener en cuenta que OPNsense es un fork de este sistema operativo pfSense y también de m0n0wall. Por lo que es un detalle importante, además de que también está basado en el sistema FreeBSD.

Entre sus principales características encontramos que permite la autenticación con dos factores para iniciar sesión en la administración del sistema, traffic shaper, proxy caché con soporte para lista negra, entre otras muchas.

 

NG Firewall

Nos ofrece una plataforma donde podemos obtener todo lo necesario para proteger la red de una organización. Resulta una de las más sencillas de utilizar, ya que cuenta con una interfaz muy intuitiva. Pero su gran ventaja es que se puede realizar instalación de diferentes módulos en la misma, por lo cual podremos adaptarla totalmente a nuestras necesidades.

Sin duda alguna es otra de las opciones que tienes como alternativa a pfSense. En este caso, encontrarás una serie de funcionalidades más avanzadas con las que puedes llevar a cabo un sinfín de acciones. Por ejemplo, la inspección profunda de paquetes, detectar y prevenir posibles intrusos, protección de denegación de servicios distribuidos, etc. Por lo que tiene todo tipo de características y funciones

 

Smoothwall

Si se busca una opción gratuita y con una interfaz simple para realizar la configuración y administración, seguramente esta sea una de las mejores opciones. Y todo porque está basado en Linux y lo cierto es que te permite una fácil administración, además de instalación. Al igual que podrás manejar este cortafuegos desde una sencilla interfaz web y también se ofrece la alternativa de apgar o reiniciar de forma directa a través de su interfaz web. Aunque, hay que tener en cuenta un detalle, este programa en concreto es una opción específica para los servidores Linux.

Por otro lado, debes tener en cuenta que esta opción que tienes como alternativa a pfSense te va a permitir llegar a configurar LAN, DMZ, Firewall, y nos facilita estadísticas detalladas del tráfico que se mueve por la red. Por lo que es otra de las herramientas que tienes a tu alcance.

 

Endian

Este es otro de los productos a los que podemos recurrir como alternativa a pfSense. Se trata de una opción de seguridad que está basada en Linux. No solo es potente, también ofrece una gran facilidad de instalación y de uso a los usuarios, tanto para redes domésticas como para aquellas redes que son de menor tamaño. Por lo que se convierte en una opción idónea para estos casos.

Entre sus principales puntos se encuentra el hecho de que permite transformar un dispositivo de hadrware bare-metal en una gran alternativa unificada que permite la prevención y, sobre todo, la gestión de posibles amenazas. Todo esto se debe a que cuenta con varias herramientas como cortafuegos, una VPN, un antivirus… además de que tiene funciones de filtrado de contenidos. Una serie de aspectos por los que resulta recomendable usar este producto en concreto.

Además de esta serie de herramientas, hay que hablar de sus características clave: permite la supervisión en todo momento, puesto que ofrece un registro e informes en tiempo real para conocer el estado de las actividades en la red; consigue mejorar el acceso remoto al ser más seguro gracias a la VPN comunitaria de Endian; mejora la gestión de eventos y tiene una seguridad mejorada para los servicios web.

 

MikroTik RouterOS

MikroTik RouterOS consiste en un sistema operativo que transforma un ordenador estándar en un enrutador de red con diversas funcionalidades. Este sistema, basado en Linux (como la mayoría), permite establecer reglas de firewall, implementar servidores y clientes VPN, gestionar el ancho de banda y la calidad de servicio, así como funciones de punto de acceso inalámbrico y otras utilidades típicas para la interconexión y gestión de redes.

RouterOS tiene diferentes niveles de servicio, cada uno con capacidades adicionales, y su configuración y monitoreo se pueden realizar a través de una aplicación de Windows llamada Winbox, así como mediante conexiones FTP, telnet y SSH. También ofrece una API para integración con aplicaciones personalizadas para una gestión más específica.

 

NethServer

NethServer es una plataforma de servidor Linux construida sobre CentOS. Su principal enfoque radica en su diseño modular, lo que facilita convertirlo en diferentes tipos de servidores: correo, web, colaboración, cortafuegos, filtro web, IPS/IDS o VPN. Además, cuenta con una interfaz web completa que simplifica las tareas administrativas y permite la instalación fácil y rápida de varios módulos preconfigurados con solo un clic. Esta solución está dirigida principalmente a pequeñas y medianas empresas aunque puede servir en cualquier ámbito.

 

ClearOS

ClearOS se encuentra en diferentes sistemas operativos diseñados para adaptarse a las necesidades y capacidades de empresas, pymes y hogares. Hay que contar que tiene con tres ediciones disponibles: ClearOS Enterprise, ClearOS Home y ClearOS Core, puedes elegir la que mejor se ajuste a tus necesidades, dependiendo de si tu uso es individual, por trabajo, etc.

A pesar de contar con una amplia gama de funciones y servicios integrados, ClearOS es fácil de configurar gracias a su intuitiva interfaz basada en web, por lo que no deberías tener ningún problema en ello.

¡Sé el primero en comentar!
Logo redeszone.net
Navega gratis con cookies…

Navegar por redeszone.net con publicidad personalizada, seguimiento y cookies de forma gratuita. i

Para ello, nosotros y nuestros socios i necesitamos tu consentimiento i para el tratamiento de datos personales i para los siguientes fines:

Las cookies, los identificadores de dispositivos o los identificadores online de similares características (p. ej., los identificadores basados en inicio de sesión, los identificadores asignados aleatoriamente, los identificadores basados en la red), junto con otra información (p. ej., la información y el tipo del navegador, el idioma, el tamaño de la pantalla, las tecnologías compatibles, etc.), pueden almacenarse o leerse en tu dispositivo a fin de reconocerlo siempre que se conecte a una aplicación o a una página web para una o varias de los finalidades que se recogen en el presente texto.

La mayoría de las finalidades que se explican en este texto dependen del almacenamiento o del acceso a la información de tu dispositivo cuando utilizas una aplicación o visitas una página web. Por ejemplo, es posible que un proveedor o un editor/medio de comunicación necesiten almacenar una cookie en tu dispositivo la primera vez que visite una página web a fin de poder reconocer tu dispositivo las próximas veces que vuelva a visitarla (accediendo a esta cookie cada vez que lo haga).

La publicidad y el contenido pueden personalizarse basándose en tu perfil. Tu actividad en este servicio puede utilizarse para crear o mejorar un perfil sobre tu persona para recibir publicidad o contenido personalizados. El rendimiento de la publicidad y del contenido puede medirse. Los informes pueden generarse en función de tu actividad y la de otros usuarios. Tu actividad en este servicio puede ayudar a desarrollar y mejorar productos y servicios.

La publicidad que se presenta en este servicio puede basarse en datos limitados, tales como la página web o la aplicación que esté utilizando, tu ubicación no precisa, el tipo de dispositivo o el contenido con el que está interactuando (o con el que ha interactuado) (por ejemplo, para limitar el número de veces que se presenta un anuncio concreto).

  • Un fabricante de automóviles quiere promocionar sus vehículos eléctricos a los usuarios respetuosos con el medioambiente que viven en la ciudad fuera del horario laboral. La publicidad se presenta en una página con contenido relacionado (como un artículo sobre medidas contra el cambio climático) después de las 18:30 h a los usuarios cuya ubicación no precisa sugiera que se encuentran en una zona urbana.
  • Un importante fabricante de acuarelas quiere realizar una campaña publicitaria en Internet para dar a conocer su última gama de acuarelas con la finalidad de llegar tanto a artistas aficionados como a profesionales y, a su vez, se evite mostrar el anuncio junto a otro contenido no relacionado (por ejemplo, artículos sobre cómo pintar una casa). Se detectará y limitará el número de veces que se ha presentado el anuncio a fin de no mostrarlo demasiadas veces.

La información sobre tu actividad en este servicio (por ejemplo, los formularios que rellenes, el contenido que estás consumiendo) puede almacenarse y combinarse con otra información que se tenga sobre tu persona o sobre usuarios similares(por ejemplo, información sobre tu actividad previa en este servicio y en otras páginas web o aplicaciones). Posteriormente, esto se utilizará para crear o mejorar un perfil sobre tu persona (que podría incluir posibles intereses y aspectos personales). Tu perfil puede utilizarse (también en un momento posterior) para mostrarte publicidad que pueda parecerte más relevante en función de tus posibles intereses, ya sea por parte nuestra o de terceros.

  • En una plataforma de redes sociales has leído varios artículos sobre cómo construir una casa en un árbol Esta información podría añadirse a un perfil determinado para indicar tuinterés en el contenido relacionado con la naturaleza, así como en los tutoriales de bricolaje (con el objetivo de permitir la personalización del contenido, de modo que en el futuro, por ejemplo, se te muestren más publicaciones de blogs y artículos sobre casas en árboles y cabañas de madera).
  • Has visualizado tres vídeos sobre la exploración espacial en diferentes aplicaciones de televisión. Una plataforma de noticias sin relación con las anteriores y con la que no has tenido contacto en el pasado crea un perfil basado en esa conducta de visualización marcando la exploración del espacio como un tema de tu posible interés para para otros vídeos.

El contenido que se te presenta en este servicio puede basarse en un perfilde personalización de contenido que se haya realizado previamente sobre tu persona, lo que puede reflejar tu actividad en este u otros servicios (por ejemplo, los formularios con los que interactúas o el contenido que visualizas), tus posibles intereses y aspectos personales. Un ejemplo de lo anterior sería la adaptación del orden en el que se te presenta el contenido, para que así te resulte más sencillo encontrar el contenido (no publicitario) que coincida con tus intereses.

  • Has leído unos artículos sobre comida vegetariana en una plataforma de redes sociales. Posteriormente has usado una aplicación de cocina de una empresa sin relación con la anterior plataforma. El perfil que se ha creado sobre tu persona en la plataforma de redes sociales se utilizará para mostrarte recetas vegetarianas en la pantalla de bienvenida de la aplicación de cocina.
  • Has visualizado tres vídeos sobre remo en páginas web diferentes. Una plataforma de video, no relacionada con la página web en la que has visualizado los vídeos sobre remo, pero basandose en el perfil creado cuando visistaste dicha web, podrá recomendarte otros 5 vídeos sobre remo cuando utilices la plataforma de video a través de tu televisor .

La información sobre qué publicidad se te presenta y sobre la forma en que interactúas con ella puede utilizarse para determinar lo bien que ha funcionado un anuncio en tu caso o en el de otros usuarios y si se han alcanzado los objetivos publicitarios. Por ejemplo, si has visualizado un anuncio, si has hecho clic sobre el mismo, si eso te ha llevado posteriormente a comprar un producto o a visitar una página web, etc. Esto resulta muy útil para comprender la relevancia de las campañas publicitarias./p>

  • Has hecho clic en un anuncio en una página web/medio de comunicación sobre descuentos realizados por una tienda online con motivo del “Black Friday” online y posteriormente has comprado un producto. Ese clic que has hecho estará vinculado a esa compra. Tu interacción y la de otros usuarios se medirán para saber el número de clics en el anuncio que han terminado en compra.
  • Usted es una de las pocas personas que ha hecho clic en un anuncio que promociona un descuento por el “Día de la madre”de una tienda de regalos en Internet dentro de la aplicación de una web/medio de comunicación. El medio de comunicación quiere contar con informes para comprender con qué frecuencia usted y otros usuarios han visualizado o han hecho clic en un anuncio determinado dentro de la aplicación y, en particular, en el anuncio del “Día de la madre” para así ayudar al medio de comunicación y a sus socios (por ejemplo, las agencias de publicidad) a optimizar la ubicación de los anuncios.

La información sobre qué contenido se te presenta y sobre la forma en que interactúas con él puede utilizarse para determinar, por ejemplo, si el contenido (no publicitario) ha llegado a su público previsto y ha coincidido con sus intereses. Por ejemplo, si hasleído un artículo, si has visualizado un vídeo, si has escuchado un “pódcast” o si has consultado la descripción de un producto, cuánto tiempo has pasado en esos servicios y en las páginas web que has visitado, etc. Esto resulta muy útil para comprender la relevancia del contenido (no publicitario) que se te muestra.

  • Has leído una publicación en un blog sobre senderismo desde la aplicación móvil de un editor/medio de comunicación y has seguido un enlace a una publicación recomendada y relacionada con esa publicación. Tus interacciones se registrarán para indicar que la publicación inicial sobre senderismo te ha resultado útil y que la misma ha tenido éxito a la hora de ganarse tu interés en la publicación relacionada. Esto se medirá para saber si deben publicarse más contenidos sobre senderismo en el futuro y para saber dónde emplazarlos en la pantalla de inicio de la aplicación móvil.
  • Se te ha presentado un vídeo sobre tendencias de moda, pero tu y otros usuarios habéis dejado de visualizarlo transcurridos unos 30 segundos. Esta información se utilizará para valorar la duración óptima de los futuros vídeos sobre tendencias de moda.

Se pueden generar informes basados en la combinación de conjuntos de datos (como perfiles de usuario, estadísticas, estudios de mercado, datos analíticos) respecto a tus interacciones y las de otros usuarios con el contenido publicitario (o no publicitario) para identificar las características comunes (por ejemplo, para determinar qué público objetivo es más receptivo a una campaña publicitaria o a ciertos contenidos).

  • El propietario de una librería que opera en Internet quiere contar con informes comerciales que muestren la proporción de visitantes que han visitado su página y se han ido sin comprar nada o que han consultado y comprado la última autobiografía publicada, así como la edad media y la distribución de género para cada uno de los dos grupos de visitantes. Posteriormente, los datos relacionados con la navegación que realizas en su página y sobre tus características personales se utilizan y combinan con otros datos para crear estas estadísticas.
  • Un anunciante quiere tener una mayor comprensión del tipo de público que interactúa con sus anuncios. Por ello, acude a un instituto de investigación con el fin de comparar las características de los usuarios que han interactuado con el anuncio con los atributos típicos de usuarios de plataformas similares en diferentes dispositivos. Esta comparación revela al anunciante que su público publicitario está accediendo principalmente a los anuncios a través de dispositivos móviles y que es probable que su rango de edad se encuentre entre los 45 y los 60 años.

La información sobre tu actividad en este servicio, como tu interacción con los anuncios o con el contenido, puede resultar muy útil para mejorar productos y servicios, así como para crear otros nuevos en base a las interacciones de los usuarios, el tipo de audiencia, etc. Esta finalidad específica no incluye el desarrollo ni la mejora de los perfiles de usuario y de identificadores.

  • Una plataforma tecnológica que opera con un proveedor de redes sociales observa un crecimiento en los usuarios de aplicaciones móviles y se da cuenta de que, en funciónde sus perfiles, muchos de ellos se conectan a través de conexiones móviles. La plataforma utiliza una tecnología nueva para mostrar anuncios con un formato óptimo para los dispositivos móviles y con un ancho de banda bajo a fin de mejorar su rendimiento.
  • Un anunciante está buscando una forma de mostrar anuncios en un nuevo tipo de dispositivo. El anunciante recopila información sobre la forma en que los usuarios interactúan con este nuevo tipo de dispositivo con el fin de determinar si puede crear un nuevo mecanismo para mostrar la publicidad en ese tipo de dispositivo.

El contenido que se presenta en este servicio puede basarse en datos limitados, como por ejemplo la página web o la aplicación que esté utilizando, tu ubicación no precisa, el tipo de dispositivo o el contenido con el que estás interactuando (o con el que has interactuado) (por ejemplo, para limitar el número de veces que se te presenta un vídeo o un artículo en concreto).

  • Una revista de viajes, para mejorar las experiencias de viaje en el extranjero, ha publicado en su página web un artículo sobre nuevos cursos que ofrece una escuela de idiomas por Internet. Las publicaciones del blog de la escuela se insertan directamente en la parte inferior de la página y se seleccionan en función de la ubicación no precisa del usuario (por ejemplo, publicaciones del blog que explican el plan de estudios del curso para idiomas diferentes al del país en el que este te encuentras).
  • Una aplicación móvil de noticias deportivas ha iniciado una nueva sección de artículos sobre los últimos partidos de fútbol. Cada artículo incluye vídeos alojados por una plataforma de streaming independiente que muestra los aspectos destacados de cada partido. Si adelantas un vídeo, esta información puede utilizarse para determinar que el siguiente vídeo a reproducir sea de menor duración.

Se puede utilizar la localización geográfica precisa y la información sobre las características del dispositivo

Al contar con tu aprobación, tu ubicación exacta (dentro de un radio inferior a 500 metros) podrá utilizarse para apoyar las finalidades que se explican en este documento.

Con tu aceptación, se pueden solicitar y utilizar ciertas características específicas de tu dispositivo para distinguirlo de otros (por ejemplo, las fuentes o complementos instalados y la resolución de su pantalla) en apoyo de las finalidades que se explican en este documento.

O sin cookies desde 1,67€ al mes

Por solo 1,67€ al mes, disfruta de una navegación sin interrupciones por toda la red del Grupo ADSLZone: adslzone.net, movilzona.es, testdevelocidad.es, lamanzanamordida.net, hardzone.es, softzone.es, redeszone.net, topesdegama.com y más. Al unirte a nuestra comunidad, no solo estarás apoyando nuestro trabajo, sino que también te beneficiarás de una experiencia online sin cookies.