1

DISEÑO E IMPLEMENTACIÓN DE UN
SISTEMA DE SEGURIDAD UTILIZANDO
FIREWALL BASADO EN FREEBSD
Jhon Carlos Castillo Atencio, Estudiante de la carrera de ingeniería de
Sistemas

Resumen – La seguridad informática, trata de minimizar acceda a Internet. El sistema operativo FreeBSD es capaz
los riesgos asociados al acceso y utilización de determinado de construir un firewall y un proxy. Mediante el uso de
sistema, de forma no autorizada y en general FreeBSD, el famoso sistema operativo capacitado para la
malintencionada, por tanto, implica la necesidad de gestión seguridad de redes, podemos lograr una alta eficiencia de
de riesgo. (Galdámez,2003).
la red por el bajo costo del hardware, mientras que la
Dejar que todas las computadoras de una red interna
solución
compartan una cantidad limitada direcciones IP públicas, y
cuidar bien la seguridad de los datos, que en muchos casos
son información sensible, son muy importantes en la del sistema operativo Windows es menos eficiente a
seguridad y gestión de las redes. A todo esto, se suma que comparación de FreeBSD
constantemente se realizan ataques para vulnerar los
sistemas y así hacerse con la información, estos ataques son II. MODELO TCP/IP
cada vez más sofisticados y son capaces de bloquear las La organización internacional para la estandarización
defensas de la red. Es por eso que se necesitan crear
mecanismos de defensan para poder resguardar la
(ISO), realizo el documento que marcaría la referencia
confidencialidad, disponibilidad e integridad de la para un protocolo para la interconexión de sistemas
información servicios de la red. En este documento abiertos. En un principio se diseñó para que sirviese como
analizaremos las características de FreeBSD, la estándar para la comunicación, ya que existían múltiples
introducción para implementar el firewall en FreeBSD, e protocolos propios de empresas y era muy difícil la
implementar un servidor proxy con Squid que puede comunicación entre dispositivos de diferentes fabricantes,
proporcionar una política de alta seguridad. Comparado
pero la finalidad no se llegó a conseguir.
con la implementación de firewall basado en el sistema
operativo Windows, el esquema de FreeBSD es más
eficiente, estable y seguro. En contra posición de todos los protocolos que estaban
surgiendo de mano de los diferentes fabricantes, el
Indices de Términos - Firewall; FreeBSD; Seguridad de red; modelo que se empieza a imponer, y a tener éxito es el
Squid modelo TCP/IP, más sencillo que el modelo OSI y el cual
ya contaba con protocolos definidos.
I. INTRODUCCIÓN
El modelo TCP/IP cuenta con 4 capas, frente a las 7
C uando se tiene una conexión a internet y direcciones
capas definidas por el modelo OSI. En la siguiente Figura
se puede apreciar la comparación entre las distintas capas
IP publicas limitadas, con el fin de compartir la conexión de los dos modelos
a internet con todas las computadoras de la red interna y
cuidar bien la seguridad de la misma. Necesitamos
resolver dos problemas clave: salvaguardar la seguridad
de la red interna mediante un firewall, bloqueando la
intrusión de Internet; construir un servidor proxy, con una
red interna proxy y que la computadora

Fig. 1 Comparación de las capas del modelo OSI y
TCP/IP
III. PROTOCOLOS
• El protocolo IP lleva encapsulados las unidades de
las capas superiores, este es un protocolo no
orientado a la conexión, por lo que no hay que
realizar ninguna comunicación previa para el
transporte y la distribución de la información. Las
unidades de Datos de este protocolo o PDU se
denominan datagramas IP.
• El protocolo TCP encapsula los datos de la capa
superior, es decir la capa de aplicación. Es un
protocolo de capa 3 o capa de transporte y es
orientado a la conexión, es decir se debe realizar
unos pasos previos al transporte de la información,
donde ambos extremos deben conectarse entre sí
para que empiece el intercambio
• El protocolo UDP transporta las PDU de la capa
superior de Aplicación. Es un protocolo de la capa
de transporte. Al contrario que TCP no es orientado
a la conexión, por lo que es más rápido; por el
contrario, no controla los errores, ni asegura que
todos los paquetes se han entregado. Por sus
características, se usa para cuando se necesita de
intercambio de información rápida y fluida, como
en video en streaming. También es usado por el
protocolo DNS entre otros.
• El protocolo HTIP pertenece a la capa de
aplicación. Permite las trasferencias de
información de la World Wide Web. Es un
protocolo sin estado, es decir no guarda
información sobre conexiones anteriores ni estados
2
del cliente. Como protocolo de transporte usa TCP.
• El protocolo CARP (Common Address
Redundancy Protacal) permite a varios equipos
compartir un set de IP predeterminado. Se usa
principalmente para equipos configurados en alta
disponibilidad. Se usa principalmente en router y
firewall, en el cual se basa este informe.
.
IV. ACERCA DE FREEBSD
FreeBSD es un sistema operativo gratuito similar a
Unix que desciende de AT&T UNIX a través de BSD
UNIX. Aunque por razones legales FreeBSD no puede
llamarse "UNIX", las API del sistema y las API internas
de FreeBSD son compatibles con UNIX. FreeBSD es el
sistema operativo derivado de BSD más utilizado en
términos de número de ordenadores instalados, y es la
distribución BSD de código abierto y con licencia libre
más utilizada. FreeBSD caracterizado en 2005 como "el
gigante desconocido entre los sistemas operativos libres",
es un sistema operativo completo.
Aunque el sistema operativo Windows actual
representó más de la mitad de la computadora de
escritorio, pero en el campo del servidor de red Unix
todavía tiene una posición insustituible. Los sistemas
operativos derivados de BSD tienen un impacto
considerable en el desarrollo de tecnologías de red
modernas.
FreeBSD se origina en la versión gratuita 4.4BSD,
coopera con la especificación POSIX estándar, la
plataforma de hardware es compatible con Intel x86,
UltraSPARC, IA-64, PC-98 y ARM architectures.
Utilizado principalmente como sistema operativo de
servidor de red, muchas grandes empresas e ISP también
lo eligen para proporcionar servicios de red como WWW,
FTP, correo electrónico, grupos de noticias, etc.
En FreeBSD a la hora de construir un firewall de red y
un sistema proxy se debe tomar en cuenta con las
siguientes consideraciones y características:
• Después de un largo tiempo de prueba, el sistema
operativo FreeBSD tiene la alta estabilidad entre
otros sistemas operativos, particularmente
adecuado para usar en un entorno de red, muchos
sitios web internacionales conocidos lo usan como

plataforma de servidor;
• FreeBSD es gratuito y abre todo el código fuente,
no hay problemas de derechos de autor y se puede
descargar de forma gratuita desde su sitio web
http://www.freebsd.org, el sistema de
personalización fácil evita códigos maliciosos
desconocidos en línea;
• Menos esfuerzo en el hardware de la computadora,
FreeBSD ha sido probado con un Pentium 166,
128M de memoria, disco duro 2G de la
computadora vieja para configurar el servidor de
seguridad y el servicio de proxy, hace el trabajo
muy bien con 40 PC navegando por Internet al
mismo tiempo (2Mbit / p conexión a Internet
dedicada);
• La funcionalidad de FreeBSD es muy poderosa, se
integra con muchos servicios de red modernos
como FTP, Telnet, Mail, etc. Con el software
gratuito Apache httpd puede actuar como un
servidor web, el rendimiento y la estabilidad son
mejores que el sistema Windows.
V. DISEÑO Y CONSTRUCCIÓN DE UNA RED FIREWALL
FreeBSD tiene tres diferentes sistemas de
cortafuegos: IPFILTER / IPF, IPFIREWALL / IPFW,
OpenBSD PacketFilter / PF. Los tres firewalls tienen su
propio concepto de diseño único, cada uno de ellos tiene
sus propias reglas gramaticales. La razón por la que
FreeBSD tiene múltiples paquetes de firewall integrados
es porque las personas tienen diferentes preferencias a la
cual uno puedo elegir.
Ningún paquete de firewall es el mejor. En este entorno,
se utilizará el sistema de cortafuegos IPFW que es
mantenido por el equipo de desarrollo de FreeBSD.
A. Diseño de las reglas firewall
Antes de iniciar el firewall IPFW, las reglas del firewall
deben diseñarse de acuerdo con la estructura y los
requisitos de la red.
La instancia de la topología de red que se muestra en la
Figura 2, FreeBSD tiene dos interfaces de red: rl0 y rl1.
3
La interfaz de red rl0 se conecta a la red interna; la interfaz
de red rl1 se conecta a Internet y se le asigna una IP
pública fija: W X Y Z
Basado en la protección de la seguridad de la red
interna, la computadora de la red interna puede conectarse
al servidor proxy FreeBSD Squid y hacer comunicación a
Internet. El firewall también necesita bloquear los ataques
desde Internet
Fig. 2. Topologia de Red
Diseñamos el siguiente archivo /etc/ipfw.rules que
contiene las reglas de firewall de IPFW:
# A continuación se muestra el contenido de las reglas.
# Los comentarios comienzan con "#".
# Permitir la comunicación de bucle local
agregar 00100 permitir todo de cualquiera a cualquiera
a través de lo0
# Bloquear segmentos de direcciones de red privada de
comunicación en la interfaz de Internet.
add 00200 deny ip from any to 10.0.0.0/8 via rl1
add 00300 deny ip from any to 172.16.0.0/12 via rl1
add 00400 deny ip from any to 192.168.0.0/16 via rl1
add 00500 deny ip from 10.0.0.0 / 8 to any via rl1
add 00600 deny ip from 172.16.0.0/12 to any via rl1
add 00700 deny ip from 192.168.0.0/16 to any via rl1
# Bloquear la comunicación reservada del segmento de
red en la interfaz de Internet.
add 00800 deny ip from any to 169.254.0.0/16 via
rl1
add 00900 deny ip from 169.254.0.0/16 to any via rl1
# Permitir el tráfico ICMP dentro de la red.
add 01000 allow icmp from 192.168.0.0/16 to any via

rl0
# Permitir la conexión TCP establecida.
add 01100 pass tcp from any to any established
# Bloquear y registrar las conexiones activas TCP
desde Internet.
add 01200 deny log tcp from any to any in via rl1 setup
# Permitir a través de otras conexiones TCP
add 01300 pass tcp from any to any setup
# Permitir consultas de DNS a Internet
add 01400 pass udp from w.x.y.z to any 53 keep-state
# Block and record all other communications.
add 01500 deny log all from any to any
B. Habilitar el cortafuegos IPFW
Todo lo que necesitamos es agregar los parámetros
de configuración relevantes en el archivo de
configuración del sistema rc.conf both. Inicie sesión
como root, proceda de la siguiente manera:
#cd /etc
#vi rc.conf
Edite el archivo de configuración rc.conf, agregue las
siguientes tres líneas al final:
firewall_enable = "YES"
firewall_type = "/etc/ipfw.rules"
firewall_logging = "YES"
Luego, un reinicio permitiría que la configuración surta
efecto. Si opera localmente, podemos cambiar al modo de
usuario único, luego volver al modo de múltiples usuarios
para
volver a cargar el archivo de configuración rc.conf. De
esta forma no es necesario reiniciar el sistema. Inicie
sesión como root, proceda con los siguientes pasos
#shutdown now
Mientras se le solicite, presione la tecla "Enter".
#return
Entonces el firewall de la red está listo al igual que lo
hace un reinicio.
4
VI. IMPLEMENTACIÓN DEL SERVIDOR PROXY SERVER
Un servidor proxy es un servidor que actúa como
intermediario para las solicitudes de los clientes que
buscan recursos de otros servidores. Un cliente se conecta
al servidor proxy y solicita algún servicio, como un
archivo, conexión, página web u otro recurso disponible
en un servidor diferente. El servidor proxy evalúa la
solicitud como una forma de simplificar y controlar su
complejidad. Con Squid FreeBSD puede actuar bien
como servidor proxy.
A. Instalacion de Squid
Cuando uno tiene varias máquinas dentro de una red en
la nube, es natural solicitar tráfico de red centralizado,
archivos de datos, servicio de credenciales, etc.
Con el tráfico de Internet centralizado, el servidor
proxy puede acelerar los procesos de descarga de algunos
archivos a los que se accede con frecuencia, como los
parches del sistema operativo.
En esta parte, instalamos Squid como un servidor proxy
opaco y configuramos algunos clientes para usarlo.
Entonce podemos decir que Squid es un software de
servidor proxy eficiente para el cliente del navegador. Es
compatible con los protocolos HTTP y FTP, y también es
compatible con el protocolo encriptado SSL. Muchas
universidades y otras grandes redes también utilizan
Squid para controlar, acelerar y navegar por Internet.
Inicie sesión como root, siga los siguientes pasos para
instalar el software Squid:
#pkg_add -r squid
Esto instalaría la última versión de Squid del
repositorio de paquetes compilados de FreeBSD. Después
de la instalación, reinicialice el directorio de caché de
Squid de la siguiente manera
#squid –z
Para permitir que Squid se inicie automáticamente cada
vez con el sistema, agregue una línea en el archivo de
configuración /etc/rc.conf al final:
squid_enable = "YES"

Reinicie o use el método descrito en la parte V para
volver a cargar el archivo /etc/rc.conf que haría que el
servidor proxy Squid estuviera en funcionamiento.
B. Configuración de Squid
Por razones de seguridad, Squid evita que alguien use
su servicio de proxy por su configuración predeterminada.
Para cambiar sus comportamientos predeterminados,
modificar su archivo de configuración bruja es
/usr/local/etc/squid/squid.conf.
Inicie sesión como root y edite el archivo de
configuración de Squid, busque las siguientes dos líneas:
#acl our_networks src 192.168.1.0/24 192.168.2.0/24
#http_access allow our_networks
Debajo, agregue las siguientes dos líneas:
acl our_networks src 192.168.0.0/24
http_access allow our_networks
Luego, guarde el archivo de configuración y vuelva a
cargar o reinicie el servicio Squid para leer el nuevo
archivo de configuración:
# /usr/local/etc/rc.d/squid.sh recarga
O [2] Wikipedia. “FreeBSD”. <http://en.wikipedia.org/wiki/Freebsd>
#/usr/local/etc/rc.d/squid.sh restart
El servicio de proxy Squid estará en el puerto 3128 / TCP
escuchando la solicitud del cliente. El cliente del
navegador debe configurar una dirección IP y un puerto
del servidor proxy para usar el servicio de proxy Squid.
Después de que el navegador pueda navegar por Internet
con rapidez y seguridad
IX. CONCLUSIÓN
Ya que el principal factor de riesgo en una empresa es
el factor humano. Como recurso siempre resultará
indispensable, y la seguridad de una red dependerá
5
siempre de cómo evaluar correctamente su grado de
responsabilidad en el uso de la red.
Se debe tener conocimiento de cuáles son las
características de cada recurso (humano o máquina),
controlar sus limitaciones, estar preparados para
eventuales ataques y problemas internos, contar con
herramientas de hardware y software adecuadas y
mantener supervisión constante de los recursos de la red.
La seguridad de la red no se concentra en el firewall,
aunque es parte importante de la misma, sino en políticas
de seguridad coherentes que se adapten a la organización
y su misión, en la que se tome la red como un todo y no
como subsistemas independientes que dependen de un
firewall para protegerse.
Por eso el esquema mencionado anteriormente
construye un firewall IPFW y un servidor proxy Squid
utilizando FreeBSD con éxito. Al mismo tiempo, protege
la seguridad de la red interna.
En comparación con la implementación de software
basada en la plataforma del sistema operativo Windows,
el esquema FreeBSD es más eficiente, estable y seguro.
REFERENCES
[1] Ugen J. S. Antsilevich, Poul-Henning Kamp, Alex Nash, Archie
Cobbs.
“IPFW FreeBSD System Manager's Manual”.
<http://www.freebsd.org/cgi/man.cgi?query=ipfw>..
[3] FreBSD “Configurando el firewall”.
<https://www.freebsd.org/doc/es_ES.ISO8859-
1/articles/filtering-bridges/filtering-bridges-ipfirewall.html>
[4] Proxy Server with FreeBSD and Squid.
< https://virtualisationworks.wordpress.com/2017/03/08/proxy-
server-with-freebsd-and-squid-part-1/>