Mejores prácticas para las reglas de firewall de pfSense

En este artículo, explicaré algunos conceptos básicos de seguridad de la red y cómo configurar un firewall Pfsense. Para que este artículo sea útil, es posible que desee conocer las redes IP y cómo se enruta el tráfico de red en una red de área local.

Además, algunos conocimientos básicos de pfSense ayudarán. Aquí hay algunos recursos para aprender más sobre pfSense:

¿Qué es un cortafuegos?

Si imagina su red doméstica como un club o lugar de música, el firewall actúa como el portero o guardia de seguridad que se encuentra en la puerta permitiendo que las personas entren y salgan de su red. Impide que transeúntes aleatorios entren en la red y hagan lo que quieran en el interior. Cuando hay nuevos visitantes cada segundo, es importante que el portero en esta analogía establezca algunas reglas básicas que permitan que sólo actividades específicas pasen por áreas específicas. Un ejemplo sería dificultar la implementación de mineros criptográficos en dispositivos inteligentes bloqueando el tráfico en puertos de minería criptográficos conocidos.

Mejores prácticas generales de firewall

Es posible que tenga varios dispositivos en su red o tal vez solo unos pocos. Existen algunas prácticas recomendadas que debe tener en cuenta para redes de oficinas pequeñas o domésticas.

  • Segmentar la red según el uso. Por ejemplo, si tiene un par de televisores y reproductores de música, colóquelos todos en una red separada que sea diferente a la red que tiene un servidor de archivos y una computadora para juegos. Tal vez también tenga un dispositivo de trabajo y quiera asegurarse de que los dispositivos de su hogar no lo pongan en riesgo; es posible que también desee crear una red separada para los dispositivos relacionados con el trabajo.
  • Deniega todo de forma predeterminada y luego permite que solo lo que necesitas acceda a Internet, esto ayudará a aumentar la dificultad de los atacantes de bajo nivel.

Preparación del diseño del firewall pfSense

Primero, haga un inventario de los dispositivos que tiene y divídalos en grupos. Soy fanático de las hojas de cálculo y las tablas. A continuación se muestran los dispositivos hipotéticos en una red dividida en grupos y redes:

Grupo de dispositivos
PC de trabajo Trabajar
Televisión inteligente Medios de comunicación
Altavoces Medios de comunicación
Cámara de puerta Operacional
Cafetera Operacional
Servidor de archivos Cableado personal
PC personal 1 Cableado personal
PC personal 2 Cableado personal
PC personal 3 Cableado personal
Teléfono Personal-inalámbrico
Tableta Personal-inalámbrico
Invitado Invitado

Agrupaciones de dispositivos para definir redes.

Configurando su red pfSense

Hay muchas buenas opciones de hardware para un enrutador pfSense. Puede optar por el dispositivo de firewall Netgate 2100 de 5 puertos que ejecute Pfsense y uno o dos conmutadores de red para comenzar.

Si va a utilizar VLAN (más sobre esto en breve) y tiene más de unos pocos dispositivos, necesitará un conmutador administrado que pueda realizar etiquetado de VLAN.

Una VLAN es una red virtual que le permite segmentar una red física en redes aisladas más pequeñas, que normalmente se utilizan para mejorar la seguridad y la eficiencia de la red al separar el tráfico.

Lo primero que debemos hacer para planificar completamente nuestra red es dividir cada uno de nuestros grupos de dispositivos en una VLAN separada:

RedVLAN/
ApodoGrupoConectividad# de dispositivos
192.168.1.0/24 1 / cableado Cableado personal cableado 4
192.168.2.0/24 2 / Trabajo Sensible cableado 1
192.168.3.0/24 3 / Inalámbrico Operacional / Medios /
Personal-inalámbrico
Inalámbrico 4
192.168.4.0/24 4 / Invitado Invitado Inalámbrico ?

Consejo del editor: antes de comenzar, comience poco a poco con una sola red y solucione los problemas y ajústela desde allí. Cuanto más compleja sea la configuración, más confuso puede resultar solucionar el problema.

Configuración de interfaces pfSense

Primero, configure el dispositivo enrutador/firewall antes de mover los dispositivos. Después de pasar por la pantalla de configuración inicial, llegará a la pantalla principal y debería verse similar a lo que se muestra a continuación:

Primero, configuraremos las VLAN para cada puerto de red en el firewall pfSense. Estas son las áreas o segmentos que se utilizan para separar dispositivos que sirven para diferentes propósitos.

A continuación se muestra el menú Interfaces. Sus interfaces (puertos de red) pueden tener nombres diferentes. La única interfaz que no debes tocar es la interfaz WAN.

Primero, habilitaremos la interfaz:

Justo debajo de la configuración de Velocidad y Dúplex, asignaremos la dirección IPv4 para la puerta de enlace:

Luego guarde la configuración y aplique los cambios:

Repita los pasos anteriores aumentando el número de red para cada interfaz. Su panel debería verse así cuando haya terminado:

Configuración del servidor DHCP del firewall pfSense

A continuación, comenzaremos a configurar el servidor DHCP en cada interfaz para que nuestros dispositivos obtengan una dirección IP de forma automática.

Seleccione el servidor DHCP en la pestaña Servicios en la barra de menú:

Asegúrese de que el rango de direcciones IP que se entregan esté configurado. Como se muestra a continuación, puede incluir toda la red o permitir que solo se entreguen algunas direcciones IP:

Repita esos pasos para cada interfaz que haya configurado. En este punto, puede probar su red. Conecte un dispositivo al enrutador pfSense y asegúrese de que reciba una dirección IP abriendo un símbolo del sistema y escribiendo ipconfig (Windows), ifconfig (Mac) o ip (Linux).

Puede probar la conectividad haciendo ping a las puertas de enlace predeterminadas de otras redes para asegurarse de que todo esté funcionando.

Antes de conectarlo a Internet, querrás configurar algunas reglas básicas de firewall:

  • Asegúrese de que no se pueda acceder a la página web de la interfaz de administración desde Internet.
  • Asegúrese de que nuestros dispositivos de red solo puedan comunicarse en puertos aceptables.

Configurar el cortafuegos pfSense

Antes de crear reglas de firewall es necesario hacer un esquema de cuál debe ser el uso aceptable de cada dispositivo. Pensar en:

  • ¿Cuántos dispositivos deberían poder conectarse al servidor de archivos?
  • ¿Cuál debería ser la política de red predeterminada?
  • ¿Existen aplicaciones específicas que utilizan protocolos específicos que deberán habilitarse?

Es importante tener en cuenta que las reglas se procesan de forma secuencial. El firewall verificará si el paquete destinado a la red coincide con las reglas uno por uno, comenzando desde arriba. Si ninguna regla coincide, el paquete se descarta o se permite según el comportamiento predeterminado del firewall.

Aquí hay algunos esquemas de reglas básicas para nuestra red.

  • El acceso administrativo al firewall no debería ser posible desde ninguna red excepto Personal-Wired.
  • De forma predeterminada, los hosts en redes separadas no deberían poder comunicarse entre sí.
  • Nuestro teléfono y tableta deberían poder acceder al servidor de archivos.
  • Las PC personales y el servidor de archivos deben comunicarse libremente.
  • El servidor de archivos debe tener reglas de denegación explícitas que impidan el acceso a él desde dispositivos sin una dirección IP estática (que deberían tener nuestros dispositivos personales).

Hardware de enrutador pfSense más vendido

Configuración de reglas de firewall externas de pfSense

Configuremos las reglas básicas para denegar el acceso a la consola administrativa y permitir que el tráfico fluya libremente desde Internet hacia nuestros hosts internos.

Navegue a la pestaña Firewall y seleccione Reglas.

La interfaz predeterminada a la que accederá será la interfaz WAN. Observe la oración resaltada a continuación. Esto significa que, de forma predeterminada, se interrumpirán todas las conexiones a Internet. Agregaremos una regla haciendo clic en el botón Agregar justo debajo del texto resaltado.

Queremos negar el acceso al panel administrativo a través de la interfaz WAN. Esto requiere dos reglas:

  • Uno para bloquear el tráfico HTTPS destinado desde la interfaz WAN.
  • Otra regla para bloquear el tráfico que utiliza el puerto HTTPS 443 para que no salga de la interfaz WAN.

Además, necesitaremos agregar una regla que permita todo el resto del tráfico HTTPS justo debajo para que podamos seguir navegando por Internet. Estas son las reglas.

Denegar el tráfico HTTPS a la interfaz:

Denegar el tráfico HTTPS desde la interfaz:

A continuación, vamos a querer permitir el tráfico HTTPS desde nuestros hosts a la red exterior. La acción de la regla será Pasar, el origen será cualquiera y el destino será el puerto HTTPS 443.

Estas tres reglas permiten que el tráfico se mueva desde hosts internos a sitios web externos, pero no permitirán que los atacantes accedan a la interfaz administrativa del enrutador para que no se puedan realizar cambios no autorizados en la red.

A continuación he implementado un conjunto de reglas muy básico que permitirá el tráfico HTTPS/HTTP, así como algunos puertos de correo electrónico.

Configuración de reglas internas de firewall de pfSense

A continuación, queremos permitir que todas las interfaces LAN se comuniquen con Internet utilizando las reglas configuradas en la interfaz WAN. Las copiaremos en cada interfaz seleccionando primero las reglas en la interfaz WAN y luego usando el botón copiar que se encuentra justo debajo de las reglas:

Ahora seleccionaremos la interfaz donde estamos copiando las reglas (en este caso OPT3):

Configurando la regla más importante

La parte más importante de cualquier configuración de red es la regla que deniega cualquier tráfico que no coincida con una regla previamente definida. Puede consultar los registros del firewall para ver qué tráfico se está eliminando y desde dónde.

Esta regla se crea utilizando la acción Bloquear, seleccionando el protocolo, origen y destino como el valor «cualquiera» y luego habilitando la casilla de verificación de paquetes de registro:

Seleccione el menú desplegable Estado y seleccione la opción Registros del sistema para ver los registros:

Una vez allí seleccionarás la pestaña denominada Firewall:

Creación de reglas adicionales y resolución de problemas

En la siguiente captura de pantalla, hay un par de puntos a los que debe prestar atención al crear nuevas reglas o solucionar problemas. En primer lugar, la dirección IP de origen y los números de puerto suelen ser muy grandes y aleatorios y pueden ignorarse. El segundo es la dirección de destino, el protocolo y el número de puerto, que es un servicio que se ejecuta en un servidor, por lo que será estático:

La dirección y el puerto que se utilizan aquí son 69.89.207.199 y el puerto UDP 123, respectivamente. Este es un servidor de hora de red y permitirá que los dispositivos sincronicen los relojes de su sistema con servidores NTP en Internet. Es una buena idea permitir este tráfico también. Querremos seleccionar el botón + al lado de la dirección de destino para agregar rápidamente la regla:

Pulsa confirmar en la parte inferior de la pantalla.

Tenga en cuenta que esto solo permitirá que un único host de la LAN envíe información a un único servidor NTP.

Nuestra página principal saltará para mostrarnos la regla creada en la interfaz. Querremos cambiar dónde se colocó la regla y permitir que un único dispositivo se comunique con cualquier servidor NTP. Primero, arrastraremos la regla hacia arriba de nuestra regla de denegación explícita y presionaremos el botón Guardar y luego aplicaremos los cambios.

A continuación, edite la regla y cambie la dirección de destino a cualquiera que borre la dirección de destino del servidor. Esto permite que nuestro host 192.168.3.2 solicite información de cualquier servidor NTP.

Desafío de configuración del firewall pfSense

¿Puede implementar reglas para permitir que solo dos dispositivos accedan a un host en otra red?

La siguiente parte de esta guía será implementar estas reglas. Por ejemplo, desea poder acceder a fotos o música desde su tableta y teléfono cuando esté conectado a Wi-Fi. Digamos:

  • Su tableta tiene una dirección IP estática de 192.168.3.251.
  • Su teléfono tiene una dirección IP estática de 192.168.3.252.
  • A su servidor de archivos se le asigna la dirección IP 192.168.1.50 y está conectado a la LAN principal.

Reglas de la interfaz WAN:

Reglas de la interfaz VLAN1:

Reglas de la interfaz VLAN2:

Reglas de la interfaz VLAN3:

Reglas de la interfaz VLAN4:

Para ir finalizando

Si siguió este artículo, debería conocer algunos de los conceptos básicos de por qué se utilizan los firewalls, algunas de las mejores prácticas para redes pequeñas, cómo crear reglas y cómo solucionar problemas de configuración en pfSense.

Si algo en su red no funciona de inmediato, comience a solucionar el problema que está causando que la red corte la conexión. A veces, las actualizaciones de firmware requerirán que se abran puertos extraños, como el 22, a dispositivos específicos. Tal vez su cámara de seguridad use un puerto específico para transmitir video a su dispositivo. Asegúrese de examinar los registros de su firewall al menos una vez a la semana después de solucionar todos los errores.

Leroy Jackson es un escritor independiente sobre tecnología. Tiene una licenciatura en electrónica y está trabajando para obtener un posgrado en IA.