Está en la página 1de 20

QUE ES PFSENSE?

PfSense es un software libre licenciado bajo la licencia BSD, basado en el sistema operativo
FreeBSD y adaptado a asumir el papel de un firewall y/o enrutador de redes. Adems, se
cuenta actualmente con decenas de paquetes adicionales que le permiten solicitar la
posicin de UTM.
La UTM (Unified Threat Management) es tericamente una evolucin del firewall
tradicional, unindose a ejecutar varias funciones de seguridad en un solo dispositivo:
firewall, prevencin de intrusiones, antivirus de red, VPN, filtrado de contenido, equilibrio
carga y reportes informativos y de gestin de la red.
ESCENARIO
Este tutorial est destinado a describir la instalacin de pfSense con un servidor proxy, que
sirve para restringir acceso a pginas web desde la red LAN, de acuerdo al escenario que
se muestra en la Figura 1.


Figura 1. Escenario de instalacin
REQUISITOS MNIMOS DE HARDWARE
De acuerdo con el sitio http://www.pfsense.org los requisitos mnimos para una instalacin
normal en el disco duro son:
o CPU - Pentium 100 MHz
o RAM - 128 MB
o CD-ROM para la instalacin inicial
o 1 GB de disco duro
o 2 tarjetas de red habilitadas
Para este ejemplo utilizaremos la aplicacin libre Virtualbox y de manera virtualizada
haremos funcionar el firewall PfSense.
Para configurar la mquina virtual solamente haremos nfasis en la configuracin
especfica para el firewall PfSense, tomando en cuenta los requisitos listados anteriormente

DESCARGA DE LA IMAGEN PFSENSE
Para descargar PfSense en la versin 2.0.2, visite la siguiente direccin:
http://www.pfsense.org/mirror.php?section=downloads y elija el espejo de su preferencia.
Si el procesador del equipo donde se instala el servidor de seguridad es 32 bists, se
requerir descargar la imagen i386, si el procesador es la arquitectura de 64 bits se puede
descargar e instalar utilizando la imagen de i386, sin embargo, es recomendable descargar
el imagen amd64 bits.
Despus de descargado el archivo pfSense-2.0.2-RELEASE-LiveCD-i386.iso.gz lo
descomprimimos para obtener el archivo pfSense-2.0.2-RELEASE-LiveCD-i386.iso. Una vez
descomprimido simplemente grabamos la imagen en un CD o DVD en blanco para instalar
en una PC normal o solamente lo guardamos en una carpeta para ser utilizado con nuestra
mquina virtual de Virtualbox .
CONFIGURAR LA MAQUINA VIRTUALBOX
Luego de creada la mquina virtual con los requisitos antes mencionados, configuramos en
el apartado de Almacenamiento la unidad de CD/DVD virtual para que inicie la instalacin
con la imagen que hemos descargado. Segn se muestra en la imagen 2

Imagen 2. Configuracin de la unidad de almacenamiento virtual
Otra configuracin que haremos es la de los adaptadores de red, nuestro firewall tendr
acceso tanto a la red LAN como a la WAN por medio de las tarjetas de red. Para este
ejemplo utilizamos una tarjeta inalmbrica (interfaz WAN) y la tarjeta Ethernet (interfaz
LAN). Como se muestra en las siguientes configuras:

Imagen 3. Configuracin del adaptador 1

Imagen 4. Configuracin del adaptador 2
INSTALACION DE PFSENSE
Despus de observar los requisitos de hardware y configurar nuestra mquina virtual, la
instalacin puede comenzar. Iniciamos la mquina virtual y aparecer una pantalla,
presionamos Enter para entrar al arranque dafault, como se muestra en la Figura 5.

Figura 5. Pantalla de arranque de PfSense.
En este momento se debemos estar atentos, porque en la siguiente pantalla debemos
presionar i para instalar pfSense, como se muestra en la figura 6.

Figura 6. Pantalla de opcin de instalacin pfSense.


El instalador de pfSense nos da la opcin de cambiar algunos ajustes sobre el hardware,
pero la instalacin por defecto sugerido funciona a la perfeccin, as que aceptamos esta
configuracin y pulsamos Enter.

Figura 7. Aceptacin de las configuraciones de hardware estndar
Instalamos mediante la opcin Quick/Easy Install como se muestra en la Figura 8.

Figura 8. Tipo de instalacin

En la siguiente pantalla muestra un mensaje que indica que si la instalacin contina, se
eliminarn los datos del disco duro. Como es una instalacin nueva, no nos preocupan los
datos del disco duro virtual. Presionamos Enter en la opcin OK.

Figura 9. Formateo del disco duro
En la siguiente pantalla pfSense ofrece la opcin de personalizar el kernel. Pero instalamos
con el kernel predeterminado.

Figura 10. Opciones de configuracin del kernel

Ahora la instalacin est casi terminada, dejando slo reiniciar el equipo, como se muestra
en la siguiente figura.
Nota: en este punto debemos quitar la unidad de DVD. Como lo estamos trabajando en
una mquina virtual, luego de apagada sta, desmontamos el archivo ISO en las opciones
de Almacenamiento de la virtual, segn se muestra en la figura 12.

Figura 11. Finalizacin de la instalacin

Figura 12. Eliminacin del disco de la unidad virtual

CONFIGURACION DE LAS INTERFACES DE RED
Despus de que el equipo finalice la instalacin y se reinicie la unidad virtual pfSense,
mostrar las tarjetas de red disponibles, en este caso las placas son em0 y em1, estas
clasificaciones pueden variar.
Tras iniciar el pfSense pregunta si desea configurar VLANs, este caso no las vamos a
configurar. Presionamos n seguido de Enter.

Figura 13. Configuracin inicial pfSense.
Ahora debemos indicar qu tarjeta de red usaremos para la red WAN. Escribimos em0 y
presionamos Enter. Seguidamente nos solicita indicar la tarjeta para la red LAN. Tecleamos
em1 y presionamos Enter. Presionamos Enter de nuevo para finalizar esta parte.
PfSense nos mostrar cmo se asignarn las interfaces y confirmamos con y, como
muestra la siguiente imagen.

Figura 14. Configuracin de tarjetas y confirmacin de la configuracin.

Ahora PfSense nos mostrar un texto de bienvenida y las opciones que siempre tendremos
en el modo de consola. Tambin se nos indica la versin del firewall que estamos usando.

Figura 15. Pantalla de bienvenida de PfSense en modo consola
Para tener acceso va web desde otra PC, debemos configurar las IPs con que se
identificarn las interfaces de red. Seleccionamos la opcin 2 y se nos mostrarn las
interfaces disponibles. Ahora con la opcin 1 indicamos la red WAN

Figura 16. Configuracin de la interface WAN

Vamos a dejar las interfaces en redes diferentes. Escribimos n para deshabilitar el DHCP.
Asignamos la IP 192.168.1.2 (la red de la interfaz inalmbrica se encuentra en este rango) y
una mscara de 24 bits. Luego escribimos y para el protocolo HTTP.

Figura 17. Configuracin IP de la red WAN
Ahora configuramos la interfaz LAN de nuestro firewall, elegimos las opciones 2 y luego 2,
segn la siguiente imagen

Figura 18. Configuracin de la interface LAN

A esta red asignamos la IP 192.168.2.1 con una mscara de 24 bits. En la opcin DHCP
escribimos y para habilitarlo y escribimos el rango de direcciones IP para asignar a los
clientes.
En la siguiente opcin escribimos y para configurar el protocolo web HTTP y luego
presionamos Enter para finalizar esta configuracin.

Figura 19. Configuracin IP de la red LAN
ACCESO VIA WEB

Hasta aqu llegamos con la instalacin y configuracin del firewall en modo de consola. A
partir de ahora podemos conectar otras PCs por medio de un switch a la tarjeta LAN y
tendremos acceso a la interface grfica del firewall para configurarlo segn nuestros
requerimientos de acceso a internet.
Podemos comprobar si el firewall nos asigna una IP del rango que hemos elegido
haciendo una prueba de ipconfig/ifconfig y una prueba de ping al 192.168.2.1
Si todo es correcto, abrimos el navegador y en la direccin escribimos la IP que identifica a
nuestra red LAN, como se muestra en la siguiente imagen.
El usuario es admin y la contrasea por defecto es pfsense.


Figura 20. Acceso PfSense via web

Lo primero que nos va aparecer es un asistente para que configuremos los parmetros
iniciales del firewall. Tambin podemos acceder al asistente en el Men System, Setup
Wizard. Hacemos click en el botn Next para ir avanzando en las opciones.
Definimos un nombre de host y un dominio para darle un nombre a nuestro firewall.
Indicamos los servidores DNS que tenemos asignados con nuestro ISP. Este paso es
importante obtener resolucin de nombres de dominio, como se muestra en la siguiente
imagen.



Figura 21. Informacin general PfSense


En la siguiente pantalla indicamos nuestra ubicacin. En el servidor de hora dejamos el que
nos sugiere por defecto.

Figura 22. Ubicacin global




En la siguiente pantalla configuramos la interface WAN. En el modo de consola
habamos configurado para que la IP sea esttica. Verificamos que est en este
modo y asignamos la IP con el Gateway como se muestra en la figura 23.

Figura 23. Configuracin WAN via web


En el siguiente paso verificamos la IP de la red LAN y la mscara de red

Figura 24. Configuracin de interface LAN via web

En la siguiente pantalla podemos cambiar la contrasea que el firewall tiene por defecto


Figura 25. Cambio de contrasea

Para finalizar chacemos click en Reload para guardar todos los cambios que hayamos
hecho al firewall


Figura 26. Guardar cambios de configuracin









INSTALACION DEL SERVIDOR PROXY
Para establecer los permisos de acceso a internet instalamos el complemento llamado
squid en nuestro firewall. En el men grfico vamos a System, Packages, como muestra la
siguiente imagen:


Figura 27. Acceso a los complementos


En la pestaa Available Packages buscamos el paquete squid y hacemos click en el botn
con el sigmo + que aparece al lado derecho. Segn muestra la figura 28.

Figura 28. Instalacin del paquete squid

Cuando haya terminado de instalar el paquete, nos va aparecer una nueva opcin en el
men Services llamada Proxy server.
Al entrar a esta opcin y en la pestaa General seleccionamos la interface LAN. Activamos
las opciones,
Activamos Enable logging para guardar un historial e indicamos un directorio de registros.
Tambin podemos configurar el puerto por el que podrn conectarse los clientes.


Figura 29. Configuracin del Proxy server




En la pestaa Access control podemos agregar direcciones para formar una lista negra y
una lista blanca. Estas son excepciones a las reglas que se habrn definido. Podemos ver
un ejemplo en la siguiente imagen


Figura 31. Control de acceso en el Servidor proxy


Si el usuario intenta entrar a una pgina que ha sido restringida, se le muestra el siguiente
error:

Figura 32. Denegacin de acceso web por el Servidor proxy
CONFIGURACION DEL PORTAL CAUTIVO
Yendo a [Services] [Captive portal] podemos configurar la forma en que los usuarios de
una red entran a navegar por Internet. A esta prestacin se le llama portal cautivo.

Figura 33. Configuracin del portal cautivo

El portal cautivo admite desde sencillas configuraciones donde slo aparece una pgina de
informacin al usuario hasta distintos sistemas de validacin.
Despus de estar en portal cautivo lo activamos, seleccionando la Pestaa Enable captive
portal para comenzar con la configuracin bsica.
Las opciones que vamos a utilizar son las siguientes:

Interfaces: Habilitamos las interfaces por donde correr nuestro portal cautivo.
Hard timeout: Decimos el tiempo en que la persona tiene permitido estar conectada a
internet.
Redirection URL: En esta opcin definimos a donde es que queremos que sea la pgina
de inicio de nuestro usuario despus de autenticado.
MAC filtering: Deshabilitamos el filtrado por MAC para que los usuarios puedan loguearse
solo con ingresar, o solo con una contrasea.
Authentication: Seleccionamos Local User Manager / Voucher
Authentication error page contents: Ingresamos lo que debe aparecer si hay un error de
autenticacin.
Per-user bandwidth restriction: El Portal cautivo restringe el ancho de banda para cada
usuario conectado.

La siguiente es la ventana de autenticacin del Portal cautivo que se muestra a cada
usuario cuando se conecta a internet.

Figura 34. Autenticacin en el Portal cautivo