Configuración y uso de firewalls avanzados con PFSense

Clase 8 de 12 • Curso de Seguridad de Redes On-Premise

Contenido del curso

Introducción

Segmentación de redes y redes virtuales

Seguridad en puertos físicos

Firewalls

Otros conceptos en seguridad on-premise

Tomar examen

Resumen

Proteger una red moderna va mucho más allá de conectar un computador a un módem. La evolución de dispositivos como el router —que pasó de simplemente enrutar dos redes a incorporar funciones como DMZ, filtros de puertos y firewall— refleja cómo las amenazas crecieron junto con la cantidad de equipos conectados. Hoy, un firewall de alto nivel instalado como software ofrece control granular del tráfico, integración con VPN, diagnóstico de red y mucho más.

¿Cómo funciona un firewall de software como pfSense?

pfSense es un firewall que se instala como máquina virtual, por ejemplo en VMware, y se administra desde una interfaz web [01:10]. Su gran ventaja frente a un router convencional es que no se limita a filtrar tráfico: también ofrece servicios de VPN, diagnóstico, verificación de interfaces y gestión de paquetes adicionales.

Al ser software, permite agregar tantas tarjetas de red o conexiones como la infraestructura necesite [05:22]. Esto significa que puedes adaptar el firewall a entornos pequeños o a arquitecturas empresariales complejas sin depender de hardware dedicado.

¿Qué interfaces se pueden configurar?

Dentro de pfSense encontramos distintos tipos de interfaces [01:50]:

WAN: conexión hacia Internet o redes externas.
LAN: red local donde residen los dispositivos internos.
OpenVPN: interfaz creada para el acceso mediante red privada virtual.

Cada interfaz puede tener sus propias reglas, lo que permite definir políticas de tráfico independientes para cada segmento de red.

¿Cómo se crean y organizan las reglas de filtrado?

Las reglas se configuran generalmente sobre la interfaz LAN [02:10]. Para cada regla se definen varios parámetros:

Interfaz: LAN, WAN u otra disponible.
Tipo de direccionamiento: IPv4 o IPv6.
Protocolo: TCP, UDP o protocolos de enrutamiento.
Fuente y destino: puede ser una red completa, un host específico o cualquier dirección. Se asignan máscaras de red según se necesite.
Puertos: se indica el puerto exacto que se desea bloquear o permitir.

Un ejemplo práctico es bloquear el puerto de Telnet [02:25], un protocolo inseguro cuyo tráfico conviene restringir. Una vez creada la regla, pfSense la aplica de forma jerárquica: las reglas ubicadas más arriba en la lista tienen prioridad sobre las inferiores [03:45]. Puedes mover las reglas hacia arriba o abajo según necesites que una se superponga a otra.

¿Qué servicios adicionales ofrece pfSense más allá del filtrado?

El firewall no se limita a bloquear o permitir tráfico. Desde su administrador de paquetes [05:50] se pueden instalar herramientas complementarias:

Nmap: permite escanear redes y revisar tráfico en busca de puertos abiertos o vulnerabilidades.
Exportación de archivos OpenVPN: facilita la configuración de clientes VPN con certificados y parámetros personalizados [05:02].
Balanceo de carga: distribuye el tráfico entre dos o más interfaces WAN para lograr alta disponibilidad y redundancia de canales, minimizando tiempos de caída [06:30].
Captura de paquetes y gráficos de tráfico: herramientas de diagnóstico que permiten visualizar el comportamiento de la red en tiempo real.

¿Cuáles son las mejores prácticas según la guía NIST 800-41?

La guía de firewalls y políticas NIST 800-41 establece recomendaciones clave para cualquier implementación [07:45]:

Aplicar el principio de privilegio mínimo: bloquear todo el tráfico de forma predeterminada y permitir únicamente lo estrictamente necesario.
Limitar las reglas solo a los protocolos y puertos requeridos.
Usar reglas jerárquicas a nivel de organización para bloquear tráfico que nunca debe permitirse.
Especificar siempre fuente y destino, tanto en IP como en puertos, evitando el uso excesivo de ANY o ALL [08:15].
Identificar todas las redes y necesidades antes de configurar; entre más información se tenga, mejor se asegura la red.
Mantener un control de cambios estricto con aprobación de un nivel superior para evitar reglas improvisadas.
Realizar revisiones periódicas para detectar solapamientos o reglas que permitan más tráfico del debido.

Estas prácticas transforman un firewall de una simple barrera en una política de seguridad activa y bien gobernada. Si ya estás usando pfSense u otro firewall de software, comparte qué funciones adicionales has implementado y cómo han fortalecido tu infraestructura.

Comentarios

Juan Carlos Gutiérrez Ayala

student•

Los firewalls de software, como pfSense, son soluciones de filtrado de tráfico de red implementadas a nivel de software en lugar de hardware dedicado. Estas soluciones pueden instalarse en servidores físicos o máquinas virtuales y ofrecen una amplia gama de funcionalidades de seguridad, incluyendo inspección de paquetes, filtrado de contenido, y prevención de intrusiones. pfSense, en particular, es una popular distribución de firewall de código abierto basada en FreeBSD que ofrece características avanzadas similares a las de los dispositivos de firewall comerciales.

características y funcionalidades

Flexibilidad en la implementación: al ser software, pfSense puede instalarse en una variedad de plataformas de hardware, incluidos PC antiguos, servidores dedicados y entornos virtualizados, lo que permite a las organizaciones aprovechar el hardware existente y reducir costos.
Interfaz de usuario web: pfSense proporciona una interfaz de usuario web para la configuración y gestión del firewall, lo que facilita la administración remota y la configuración de políticas de seguridad sin necesidad de comandos complejos.
Soporte para VPN: ofrece soporte integrado para varias soluciones de VPN, como OpenVPN y IPsec, permitiendo a las organizaciones configurar conexiones seguras para el acceso remoto o la conexión entre sitios.
Filtrado avanzado: incluye capacidades de filtrado de tráfico por dirección IP, puerto y protocolo, así como soporte para filtrado por contenido y bloqueo de aplicaciones.
Alta disponibilidad: pfSense puede configurarse en un clúster de alta disponibilidad, utilizando CARP (Common Address Redundancy Protocol) para garantizar la continuidad del servicio en caso de fallo de hardware.
Extensibilidad: a través de paquetes adicionales, pfSense puede extenderse con funcionalidades adicionales como detección y prevención de intrusiones (Snort o Suricata), balanceo de carga, y monitoreo de red.

ventajas de los firewalls de software

Costo-efectividad: en comparación con los firewalls de hardware, los firewalls de software a menudo representan una solución más económica, especialmente para pequeñas y medianas empresas o para entornos con necesidades específicas de configuración.
Personalización: permiten una personalización y flexibilidad mayores en la configuración de políticas de seguridad, adaptándose mejor a las necesidades específicas de la red.
Actualizaciones y mantenimiento: el software puede actualizarse fácilmente para incluir las últimas correcciones de seguridad y mejoras de funcionalidades, lo que ayuda a mantener la red protegida contra amenazas emergentes.

consideraciones

Dependencia del hardware subyacente: el rendimiento y la fiabilidad del firewall pueden estar limitados por las capacidades del hardware en el que se instala.
Decesidad de conocimientos técnicos: aunque la interfaz de usuario simplifica la gestión, configurar y mantener un firewall de software de manera efectiva requiere un entendimiento sólido de redes y seguridad informática.
Seguridad del sistema operativo host: la seguridad del firewall está intrínsecamente ligada a la seguridad del sistema operativo subyacente. Es crucial mantener el sistema operativo y el software del firewall actualizados para protegerse contra vulnerabilidades.

En lo personal de musta mucho PfSense, el tema de DPI es uno de los elementos que más necesito con mis clientes y que es más complicado de echar a andar.

Vale la pena que vean OPNSense y NG Firewall (pero este si es de paga).

miguel trujillo meza

student•

paloalto se utiliza aqui en peru

Diego Fernando Ramos Aguirre

student•

Gracias por ese gran aporte.

Javier Ramos

student•

Dentro del Framework de seguridad NIst

Encontramos el apartado 800-41 Que es una guia para Firewalls and Firewalls policy , dentro de lo que se destacan las siguientes

Zero Trust
Jerarquia
Permitir
Identificar
Control de cambio
Verificar

Javier Ramos

student•

Uso Mikrotik como firewall por hardware, sin embargo al leer sobre pfsense me llama bastante la atencion voy a comenzar a usarlo Gracias Profe por esta clase

Diego Fernando Ramos Aguirre

student•

Firewalls

Hoy en día existen cientos de aplicaciones herramientas, dispositivos relacionados con la seguridad los cuales evolucionaron de las funciones del router. El router su función principal era la de enrutar dos redes, la de internet y nuestra red local, pero al aumentar la cantidad de computadoras aumentaron las amenazas, por eso los router comenzaron a incluir características como:

DMZ
Filtro de puertos
firewall

Un firewall común tiene la capacidad de administrar reglas de control entre redes.

Una marca de Firewall como software es pfsense.

Las opciones básicas de un firewall de alto nivel nos permiten administrar las reglas que definen los parámetros de entrada y salida de tráfico, como opciones de filtrado tcp/ip a todas las interfaces configuradas. Dentro de las recomendaciones de la guia de firewalls y politicas de NIST 800-41 que ofrece recomendaciones como:

Zero Trust
Jerarquia
Permitir
Identificar
Control de cambio
Verificar

Juan Pablo Ruiz

student•

muy interesantes, he trabajado con Palo alto y en años anteriores con St.Bernard Software.

Configuración y uso de firewalls avanzados con PFSense

Introducción

Seguridad en Redes: Segmentación y Configuración de VLAN

Implementación de Frameworks de Seguridad en Redes Empresariales

Segmentación de redes y redes virtuales

Segmentación de Redes y Configuración de VLANs para Seguridad TI

Configuración de VLANs: Troncal y Acceso en Switches

Configuración y Uso de VPNs para Conexiones Seguras Remotas

Seguridad en puertos físicos

Configuración de Port Security en Switches de Red

Prevención de Loops con Spanning Tree Protocol en Redes

Firewalls

Configuración y uso de firewalls avanzados con PFSense

Dispositivos de Seguridad: Firewalls, IDS e IPS

Otros conceptos en seguridad on-premise

Protocolos Seguros vs Inseguros: Análisis y Comparación

Gestión Centralizada de Redes con Control de Acceso NAC

Seguridad de Redes On-Premise: Segmentación, VLAN y VPN