1. Práctica Firewall - PfSense Francesc Pérez Fernández
ESTUDIO PREVIO
Dibuje la topología de red implementada en la práctica con MsVisio o Packet Tracert, detallando las características de
conexión del firewall (LAN, DMZ y RED PÚBLICA) y el direccionamiento de red utilizado (rango IP y puerta de enlace)
en cada zona.
Nota: suponga que el firewall se conecta a cada zona a través de un switch y detalle cómo está conectado con el resto
de tarjetas físicas y virtuales de los PCs del aula en la zona “RED PÚBLICA”.
Explique, en media página como mínimo, el motivo de utilizar una topología de red como la de la práctica en un
entorno en el que se desea prestar un servicio público y qué riesgos se corren al no hacerlo. Ponga un ejemplo.
Defina qué tipo de activos se colocan en cada zona y qué reglas implementaría inicialmente en el firewall para
preservar la seguridad entre zonas, tanto de gestión sobre el tráfico que lo atraviesa como de administración remota del
mismo.
Detalle el proceso de instalación del firewall pfSense, tanto hardware como software:
Tipo de CPU y memoria RAM mínima requerida
Tamaño aconsejado de memoria ROM
Número, tipo y modo de conexión de las interfaces de red
Configuración inicial de las interfaces de red: el firewall hará de servidor DHCP para la zona “LAN” y el obtendrá su
configuración WAN mediante el servicio DHCP
Gestión remota vía http
2. Práctica Firewall - PfSense Francesc Pérez Fernández
ADMINISTRACIÓN
Conéctese remotamente a la interfaz de administración web del firewall pfSense. Explique el procedimiento, detallando
las zonas desde donde inicialmente es posible hacerlo y el tipo de protocolo utilizado por defecto. Nota: default
password admin/pfsense.
Una vez conectados y validados:
Cambie la contraseña de administración del usuario admin para evitar conexiones no autorizadas. Explique el
procedimiento.
¿Qué derechos de administración tiene el usuario admin por defecto por pertenecer al grupo admins?
Modifique el tiempo por defecto programado para la desconexión automática de las conexiones de
administración libres a 30 minutos. Explique el procedimiento.
¿Cuáles son los sistemas de autenticación, autorización y registros de las acciones los de usuarios (AAA) que
soporta el firewall? ¿Cuáles son más seguros y escalables? ¿Por qué?
Busque en Internet información sobre el protocolo AAA Radius y responda las siguientes cuestiones:
¿Qué fases de la etapa AAA implementa por defecto con bastante éxito?
¿En qué capa del modelo TCP/IP opera?
¿Qué protocolo de transporte y puerto utiliza por defecto el servidor Radius para aceptar peticiones de validación
de sistemas externos?
¿Qué mecanismos de validación de usuario son los utilizados por Radius habitualmente? Enumere tres y defina su
comportamiento.
3. Práctica Firewall - PfSense Francesc Pérez Fernández
ADMINISTRACIÓN
En este apartado va a modificar la forma en cómo los usuarios se validan ante el portal de administración de su
firewall. Busque por Internet un servidor Radius gratuito e instálelo en el PC de la zona “LAN”. Detalle el
procedimiento.
Configure el firewall para que utilice el sistema de validación RADIUS configurado en el apartado anterior para la
autenticación y registro de los usuarios de administración. Utilice como clave compartida radiusasix2. ¿Cuaĺ es la
utilidad de esta clave? Valide la configuración y deshabilite la validación local del firewall. Detalle el procedimiento.
¿Como podría administrar el firewall en caso de caída del servidor Radius? ¿Ponga un password de consola y reinicie
el firewall? Detalle el procedimiento.
Configure https como único protocolo para la administración remota del firewall; utilice un certificado propio emitido
por el firewall para habilitar SSL. Características de la conexión:
puerto https por defecto
cinco conexiones simultáneas como máximo
permita que cualquier PC de la zona “LAN” pueda conectarse remotamente al firewall independientemente
de las reglas de gestión sobre el tráfico que tenga definidas
Detalle el procedimiento, especificando quién es la entidad emisora y de validación del certificado; así como el
certificado creado con las características de nuestra corporación. ¿Qué imagen muestra su navegador web al cargar el
certificado emitido por el servidor en la conexión HTTPS? Abra el certificado e identifique que algoritmos de cifrado e
integridad trabajan en la conexión. Detalle el procedimiento.
4. Práctica Firewall - PfSense Francesc Pérez Fernández
ADMINISTRACIÓN
Describa el proceso de actualización del firmware pfSense y en caso de existir actualizaciones disponibles, actualice el
sistema. Detalle el procedimiento.
Responda las siguientes preguntas detallando el procedimiento seguido:
¿Qué opción del menú de administración permite, con hacer un solo click, convertir el firewall en una plataforma
de enrutamiento deshabilitando todas las reglas aplicadas sobre el tráfico que lo atraviesa?
¿Es PfSense un Stateful Firewall? En caso afirmativo, ¿cuántas conexiones simultáneas puede analizar como
máximo? ¿Cree que es un firewall apto para entornos de alta densidad de tráfico?
Si configurase VLANs en la zona “LAN” y reglas sobre el tráfico entre estas VLANs, ¿qué opción del panel de
administración del firewall permite deshabilitar, con un solo click, las reglas definidas entre estas VLANs?
Configure en el cliente un servidor de correo SMTP bajo el dominio stucom.com y habilite el firewall para que el usuario
noreply@stucom.com envíe al usuario notificaciones_fw@stucom.com notificaciones sobre el estado o incidencias del
firewall. Detalle el procedimiento.
5. Práctica Firewall - PfSense Francesc Pérez Fernández
SERVICIOS DE RED
Configure el firewall como DNS forwarder. El firewall debe obtener el servidor DNS vía DHCP a través de la WAN y debe
ofrecerse como servidor DNS principal en la configuración DHCP que brinda a los hosts de la zona “LAN”. Detalle el
procedimiento. Valide con el comando “nslookup” que tanto el PC de la zona “LAN” como el firewall pueden resolver
FQDN públicos.
Nota: no olvide configurar la tarjeta de red WAN del firewall en modo DHCP.
Proponga una topología de red donde sea necesaria configurar el firewall como DHCP Relay. ¿Cómo gestiona el firewall
las peticiones DHCP que recibe en la interfaz LAN?
Observe la tabla de enrutamiento del firewall. ¿Qué redes conoce por defecto? Indique qué ruta permite al firewall
alcanzar aquellas redes que desconoce. Realice pruebas de conectividad con otros activos de otras zonas desde la zona
“LAN”. Utilice un “sniffer” para determinar si el firewall esta haciendo NAT/PAT overload para la zona “LAN”. Detalle el
procedimiento.
Configure un sistema de autenticación y registro de actividad (Accounting) con la herramienta Captive Portal para el
servicio http: cuando un cliente de la zona “LAN” quiera acceder a un servidor web ubicado en cualquier otra zona debe
autenticarse con sus credenciales y su actividad quedará registrada en el servidor Radius.
Nota: no olvide configurar en el navegador web del cliente de la zona “LAN” el proxy utilizado en el acceso real a
Internet.
6. Práctica PfSense – Administración y confguración de servicios básicos Francesc Pérez Fernández
SERVICIOS DE RED
Estudie el servicio “Wake on Lan”. ¿Cuál es su utilidad? Indique qué configuración se necesita en la BIOS del PC de la
zona “LAN” para un correcto funcionamiento del sistema.
MANUALES
http://www.pfsense.org/index.php?option=com_content&task=view&id=40&Itemid=43
http://www.pfsense.org/screenshots/
http://doc.pfsense.org/index.php/Main_Page
PROTOCOLOS
http://tools.ietf.org/html/rfc2865
http://www.ietf.org/rfc/rfc2131.txt
http://en.wikipedia.org/wiki/Wake-on-LAN
http://en.wikipedia.org/wiki/Network_address_translation
DESCARGAS
http://freeradius.org/
http://freeradius.net/