INTRODUCCIÓN pfSense es una distribución personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracter...
PFSENSEHISTORIA.    El proyecto pfSense se inició en septiembre de 2004 por Chris Buechler y Ullrich Scott    como un fork...
FILTRADO DE DATOS.ASISTENCIA.   Se recomienda que utilice el Traffic Shaping Asistente para crear un conjunto   predetermi...
ACK.   Cuando se descarga, el equipo tiene que enviar (upload) los paquetes ACK. Estos   son, básicamente, diciendo: "sí, ...
Tomando el ejemplo anterior, podemos ver que ACKs puede consumir el 60%del ancho de banda de subida disponible. Así, qwana...
PfSense 2.0 Guía de Traffic ShapingEl acceso a la configuración de pfSense Traffic Shaping es a través de la opción de Tra...
VPN Pfsense incorpora el paquete openvpn que permite crear redes privadas virtuales (VPN). Con OpenVPN podremos extender n...
INSTRUCCIONES.Hay dos tipos de imágenes de pfSense:    Embedded. Es la que se emplea para Compact Flash, tiene los acesos ...
ADMINISTRACIÓN DE REDES.JORGE GONZALEZ.HAMALIEL FLORES.CATEDRATICO.FRANCISCO VAZQUEZ GUZMAN.
Seguridad pfsense
Seguridad pfsense
Seguridad pfsense
Próxima SlideShare
Cargando en…5
×

Seguridad pfsense

3.161 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
3.161
En SlideShare
0
De insertados
0
Número de insertados
3
Acciones
Compartido
0
Descargas
129
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Seguridad pfsense

  1. 1. INTRODUCCIÓN pfSense es una distribución personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de código abierto, puede ser instalado en una gran variedad de ordenadores, y además cuenta con una interfaz web sencilla para su configuración. El proyecto es sostenido comercialmente por BSD Perimeter LLC.
  2. 2. PFSENSEHISTORIA. El proyecto pfSense se inició en septiembre de 2004 por Chris Buechler y Ullrich Scott como un fork de m0n0wall, enfocado a las instalaciones en PC y Servidores (al contrario de m0n0wall que se orientaba a ambientes embebidos y ordenadores de bajos recursos). Se calcula que para diciembre de 2010, pfSense contaba con más de un millón de descargas.2 De acuerdo a su página oficial, se ha instalado exitosamente en distintos ambientes, que van desde redes domésticas hasta grandes corporaciones, universidades y otros tipos de organizaciones.INSTALACION Y USO. PfSense puede instalarse en cualquier ordenador o servidor que cuente con un mínimo de dos tarjetas de red, el proceso de instalación es similar a FreeBSD. Una vez copiados los archivos del sistema al disco duro, se procede a configurar las direcciones IP de las tarjetas de red. Una vez concluido lo anterior, se puede acceder al sistema desde un explorador web. El portal de administración está basado en PHP y teóricamente todas las configuraciones y administración se pueden realizar desde allí, por lo tanto no es indispensable contar con conocimientos avanzados sobre la línea de comandos UNIX para su manejo.
  3. 3. FILTRADO DE DATOS.ASISTENCIA. Se recomienda que utilice el Traffic Shaping Asistente para crear un conjunto predeterminado de reglas desde la que empezar. Las normas que el asistente crea a veces pueden lidiar bien con el tráfico de VoIP, pero es necesario ajustar para dar cabida a otro tipo de tráfico. Como ejemplo, echemos un vistazo a la configuración de tráfico P2P. Suponiendo que use el asistente, habrá qP2Pup y qP2Pdown creado ya. Al iniciar una aplicación P2P, debería ver el tráfico en estas colas. Están diseñados para transportar la mayor parte del tráfico P2P, que normalmente se hace más lento su conexión hacia abajo. El tráfico de genéricos, como las páginas web (HTTP), correo electrónico, mensajería instantánea, VoIP, etc voy a entrar en otras colas. Inicialmente, el asistente establece todas las colas de hasta el 1% del ancho de banda. Esto no es suficiente. En particular, los de la cola qwanacks ciertamente necesitan más ancho de banda si lo hace un montón de descarga. En primer lugar, una breve nota acerca de los paquetes ACK.
  4. 4. ACK. Cuando se descarga, el equipo tiene que enviar (upload) los paquetes ACK. Estos son, básicamente, diciendo: "sí, tengo esa parte de la descarga OK". Si el equipo que se descarga desde detecta que un ACK no se ha recibido, se supone que los datos no se ha recibido y lo envía de nuevo. La velocidad a la que ACK son enviados de vuelta también se utiliza para ayudar a determinar la velocidad máxima que se puede descargar los datos de los casos, por lo que es importante que los ACK son enviados tan pronto como sea posible y no se cayó con el fin de mantener sus descargas que fluye rápido. Además, en repetidas ocasiones cayó ACKs puede dar lugar a las conexiones interrumpidas, en la página web de los tiempos de espera, etc. Cuando se descarga, qwanacks es donde los paquetes ACK su ordenador envía ir. Usted necesita asegurarse de que esta cola tiene suficiente ancho de banda para mantener tus descargas. Para calcular cuánto ancho de banda que necesita, hay dos opciones. Usted podría simplemente experimento, manteniendo un ojo en la cola mientras se descarga tan rápido como su conexión lo permite, o usted podría tratar de resolverlo. Como punto de partida aproximado, una conexión por cable NTL 10Mb/512Kb necesita alrededor de 260-270Kb/segundos, de los paquetes ACK para descargar a toda velocidad.
  5. 5. Tomando el ejemplo anterior, podemos ver que ACKs puede consumir el 60%del ancho de banda de subida disponible. Así, qwanacks debería tener almenos 60% del ancho de banda disponible (yo uso 65% para el anterior). Sise establece qwanacks como este, no debería ver las gotas en la cola. Sinembargo, usted verá mucho en qP2Pup, pero eso está bien.P2P paquetes decarga son sólo el tráfico masivo, no muy importante por lo que no importa sise les cae un poco. qP2Pup ahora va a utilizar lo que queda de la banda desubida disponible, después de qwanacks ha utilizado hasta el 65% de lamisma. Usted probablemente querrá aumentar la asignación de ancho debanda de qwandef así, ya que es donde las peticiones HTTP y otras cargasgenerales van, que lo más probable es que usted quiere ser una prioridadmayor que qP2Pup. Porcentajes de ancho de banda no es necesario sumarel 100%, pero a menos que tengas una conexión muy lenta que no necesitademasiado para qwandef ya que es sobre todo pequeñas peticiones o losimpares pocos kb de correo electrónico.
  6. 6. PfSense 2.0 Guía de Traffic ShapingEl acceso a la configuración de pfSense Traffic Shaping es a través de la opción de Traffic Shaper en el Firewall de lista desplegable en la WebGUI.¿QUE ES LA MODULACION DEL TRAFICO?Control del tráfico (también conocido como "gestión de tráfico,") es el control del tráfico de redes informáticas con el fin de optimizar o garantizar el rendimiento, baja latencia, y / o aumentar el ancho de banda utilizable por retrasar los paquetes que cumplen con ciertos criterios. Más en concreto, de tráfico es cualquier acción en un conjunto de paquetes (a menudo llamado un arroyo o un flujo), que impone un retraso adicional en los paquetes de tal manera que se ajusten a alguna restricción predeterminada (un contrato o un perfil de tráfico).
  7. 7. VPN Pfsense incorpora el paquete openvpn que permite crear redes privadas virtuales (VPN). Con OpenVPN podremos extender nuestra red a cualquier lugar del mundo, haciendo que la identificación y la comunicación sean seguras. Antes de tener pfSense el administrador de la red se conectaba al escritorio de uno de los servidores Windows de su red por RDP, desde una IP fija. Al usar una IP fija se podía controlar con las reglas de uno de los routers ADSL el acceso a este servicio. Ahora, con OpenVPN el administrador entra directamente en la red local, sin necesidad de que ningún ordenador le haga de puente. Y lo hace desde una IP dinámica, autentificándose en base a certificados SSL.
  8. 8. INSTRUCCIONES.Hay dos tipos de imágenes de pfSense: Embedded. Es la que se emplea para Compact Flash, tiene los acesos a disco minimizados y no admite instalación de paquetes. De esta forma se preserva la vida de la Compact Flash. Se presenta comprimida con gzip, con la extensión img. No soporta ni teclado ni monitor, hay que conectar cable serie para acceder a la consola de pfSense y poder hacer la configuración inicial. LiveCD. Es una imagen iso, también comprimida con gzip, para ser ejecutada desde el propio CD. Tiene una opción para instalar pfSense en disco duro y a partir de entonces se pueden instalar paquetes, muchos de ellos administrables desde la interfase web.Últimas imágenes oficiales de pfSense (versión oficial con todos los parches que hayan salido):Embedded: http://snapshots.pfsense.org/FreeBSD6/RELENG_1_2/embeddedLiveCD: http://snapshots.pfsense.org/FreeBSD6/RELENG_1_2/isoImágenes no-oficiales de Hacom: Hacom es una empresa californiana que ofrece distintos tipos de cortafuegos, la mayoría de ellos basados en miniPC con tarjeta Compact Flash. Las imágenes Embedded en http://shopping.hacom.net/catalog/pub/pfsense se diferencian de las oficiales por: Usar el gestor de arranque grub en lugar del propio de FreeBSD. Soporte para teclado y monitor. No se precisa cable serie para la configuración inicial. Las imágenes que empiezan por pfSense-releng_1_2-snapshot070424 corresponden a la versión 1.2 BETA de pfSense, con fecha 24-abril-2007. Tengo esta versión funcionando satisfactoriamente desde el 25-abril-2007.
  9. 9. ADMINISTRACIÓN DE REDES.JORGE GONZALEZ.HAMALIEL FLORES.CATEDRATICO.FRANCISCO VAZQUEZ GUZMAN.

×