pfSense: The Definitive Guide: La gua definitiva para el Abierto de pfSense Fuente firewall y router de distribucin
por hristopher !" #uechler y &ingle $i% Sobre la base de pfSense 'ersin (")"* Fecha de publicacin )++, opyright - )++, hristopher !" #uechler .esu%en La gua oficial para la distribucin de pfSense abrir cortafuegos de origen"
Todos los derechos reservados"
Tabla de contenidos
&refacio """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """"" //i/
&rlogo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """""""" ///i (" Autores """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" ///ii ("(" hris #uechler """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" ///ii (")" $i% &ingle """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ///ii )" Agradeci%ientos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" ///ii )"(" Libro de Dise0o de &ortada """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" ///iii )")" Los desarrolladores pfSense """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" ///iii )"*" Agradeci%ientos personales """""""""""""""""""""""""""""""""""""""""""""""""" """"" ///iv )"1" Los revisores """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ///iv *" o%entarios """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" ///v 1" onvenciones tipogr2ficas """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" ///v (" 3ntroduccin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" "" (
("(" 3niciacin del &royecto """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" ( (")" 45u6 significa para pfSense 7 %edia8 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" ( ("*" 4&or 9u6 Free#SD8 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" ) ("*"(" Soporte inal2%brico """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" ) ("*")" .endi%iento de la red """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" ) ("*"*" La fa%iliaridad y la facilidad de tenedor """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" ) ("*"1" Alternativas de Apoyo al Siste%a :perativo """""""""""""""""""""""""""""""""""""""""""""" ) ("1" o%;n de i%ple%entaciones """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" * ("1"(" Servidor de seguridad de per%etro """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" * ("1")" LA< o =A< del router """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" * ("1"*" &unto de acceso inal2%brico """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" 1 ("1"1" Aparatos de uso especial """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" 1 (">" 'ersiones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""" > (">"(" (")"* &ublicacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" > (">")" (")? (")"(? (")") @%isiones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" A (">"*" ("+ .elease """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" A (">"1" 3nstant2nea de prensa """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" A (">">" )"+ &ublicacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" A ("A" &latafor%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""" A ("A"(" Live D """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" B ("A")" 3nstalacin co%pleta """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" B ("A"*" @%bebido """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" B ("B" onceptos de .edes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" C ("B"(" @ntender 3& p;blica y privada Direcciones """""""""""""""""""""""""""""""""" C ("B")" Subredes 3& onceptos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" (+ iii
("C"A" Free#SD interfaD de no%enclatura """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" (B ("," #;s9ueda de infor%acin y obtencin de ayuda """""""""""""""""""""""""""""""""""""""""""""""""" """"" (B (","(" #;s9ueda de infor%acin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" (B (",")" :btencin de ayuda """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" (B
)" Fardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """" (C
)"(" De co%patibilidad de hardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (C )"("(" Adaptadores de red """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (C )")" .e9uisitos %ni%os de hardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" (, )")"(" #ase de .e9uisitos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" (, )")")" .e9uisitos @specficos de la &latafor%a """""""""""""""""""""""""""""""""""""""""""""""""" """ (, )"*" Seleccin de hardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" )+ )"*"(" La prevencin de dolores de cabeDa de hardware """""""""""""""""""""""""""""""""""""""""""""""""" """" )+ )"1" Ta%a0o del hardware de :rientacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" )( )"1"(" onsideraciones de rendi%iento """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" )( )"1")" aracterstica onsideraciones """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" )* *" 3nstalacin y actualiDacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" )B *"(" Descarga de pfSense """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" )B *"("(" 'erificacin de la integridad de la descarga """"""""""""""""""""""""""""""""""""""""""" )C *")" 3nstalacin co%pleta """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )C *")"(" &reparacin de los D """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" ), *")")" Arrancando desde el D """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" *+ *")"*" Asignacin de interfaces """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" *( *")"1" 3nstalacin en el disco duro """""""""""""""""""""""""""""""""""""""""""""""""" """""""" *) *"*" @%bebido de instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" *> *"*"(" 3nstalacin incorporado en =indows """"""""""""""""""""""""""""""""""""""""""""""""" *> *"*")" 3nstalacin incorporado en Linu/ """""""""""""""""""""""""""""""""""""""""""""""""" """ *C *"*"*" 3nstalacin integrado en Free#SD """"""""""""""""""""""""""""""""""""""""""""""""" *C *"*"1" 3nstalacin incorporado en !ac :S G """"""""""""""""""""""""""""""""""""""""""""""" *, *"*">" FinaliDacin de la instalacin incorporado """""""""""""""""""""""""""""""""""""""""""" 1( *"1" Suplente t6cnicas de instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" 1) *"1"(" 3nstalacin con la unidad en un e9uipo diferente """""""""""""""""""""""""""""""""""" 1) iv
*"B"(" Facer una copia de seguridad """ y un &lan de copia de seguridad """"""""""""""""""""""""""""""""""""""""""""" >) *"B")" ActualiDacin de una instalacin incorporado """""""""""""""""""""""""""""""""""""""""""""""""" """ >) *"B"*" ActualiDacin de una instalacin co%pleta """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" >) *"B"1" La actualiDacin de un Live D de instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""" >1
1" onfiguracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""" >>
1"(" one/in a la =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" >> 1")" Asistente para la instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" >> 1")"(" &antalla de infor%acin general """""""""""""""""""""""""""""""""""""""""""""""""" """""""" >A 1")")" <T& y onfiguracin del huso horario """"""""""""""""""""""""""""""""""""""""""""""""" >B 1")"*" onfiguracin de =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" >C 1")"1" onfiguracin de la interfaD LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""" A) 1")">" @stableDca la contrase0a de ad%inistrador """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" A) 1")"A" FinaliDacin del Asistente para la instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """""" A* 1"*" 3nterfaD de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" A1 1"*"(" Asignar interfaces """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" A1 1"*")" De interfaD =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" A1 1"*"*" 3nterfaD LA< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" A> 1"*"1" 3nterfaces opcionales """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" A> 1"1" :pciones generales de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" AA 1">" :pciones avanDadas de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" AA 1">"(" onsola serie """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" AA 1">")" Secure Shell JSSFK """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" AB 1">"*" Fsica co%partida de red """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" AB
1">"1" 3&vA """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" AC
1">">" Filtrado de &uente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" AC 1">"A" =ebGH3 certificado SSL 7 clave """""""""""""""""""""""""""""""""""""""""""""""""" """"""" AC 1">"B" @9uilibrio de carga """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" AC
1">"C" 'arios """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" A,
1"A"(+" Filtrar registros """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" B> 1"A"((" .einicie web onfigurator """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" BA 1"A"()" pfSense desarrolladores Shell Jantes de shell &F&K """""""""""""""""""""""""""""""" BA 1"A"(*" ActualiDacin de la consola """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" BA 1"A"(1" Activar 7 Desactivar Secure Shell JsshdK """"""""""""""""""""""""""""""""""""""""""""""" BA 1"A"(>" !ueva el archivo de configuracin de dispositivo e/trable """""""""""""""""""""""""""""""""" BA 1"B" SincroniDacin de la hora """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" BA 1"B"(" Eonas de tie%po """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" BB 1"B")" Tie%po de !anteni%iento de &roble%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" BB
1"C" Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" C+
1"C"(" <o se puede acceder desde la LA< =ebGH3 """"""""""""""""""""""""""""""""""""""""""""""""" C+ 1"C")" <o 3nternet desde la LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" C( 1"," pfSense G!L del archivo de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" C1 1","(" @ditar %anual%ente la configuracin de su """"""""""""""""""""""""""""""""""""""""""""""" C1 1"(+" 45u6 hacer si te cerr la puerta de la =ebGH3 """"""""""""""""""""""""""""""""""""""" C> 1"(+"(" 4:lvid su contrase0a """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" C> 1"(+")" Fe olvidado la contrase0a con una consola errado """""""""""""""""""""""""""""""""""" C> 1"(+"*" vs FTT& FTT&S confusin """""""""""""""""""""""""""""""""""""""""""""""""" """""" CA 1"(+"1" Acceso blo9ueados con reglas de firewall """"""""""""""""""""""""""""""""""""""""""""" CA 1"(+">" Servidor de seguridad de for%a re%ota evadir blo9ueo con las reglas """""""""""""""""""""""""" CA 1"(+"A" Servidor de seguridad de for%a re%ota evadir blo9ueo de t;nel con SSF """"""""""""" CB 1"(+"B" #lo9ueada debido a un error de configuracin de S9uid """""""""""""""""""""""""""""""" CC 1"((" &ensa%ientos finales de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" CC >" #acLup y .ecuperacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" C, >"(" @strategias de copia de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" C, >")" Facer copias de seguridad en la =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" ,+ >"*" Hso del &a9uete Auto onfig#acLup """""""""""""""""""""""""""""""""""""""""""""""""" """" ,+ >"*"(" Funcionalidad y #eneficios """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" ,+ vi
A" Servidor de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """" (++ A"(" Funda%entos de cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" (++ A"("(" Ter%inologa b2sica """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" (++ A"(")" Filtrado con estado """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (++ A"("*" @l filtrado de entrada """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" (+( A"("1" @l filtrado de salida """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" (+( A"(">" #lo9ue vs .echaDar """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" (+1 A")" 3ntroduccin a la pantalla de .eglas de cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" (+> A")"(" Adicin de una regla de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" (+B A")")" @dicin de reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" (+B A")"*" Traslado de reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" (+B A")"1" @li%inacin de reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" (+C
A"*" Alias """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""" (+C
A"*"(" onfiguracin de Alias """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" (+C A"*")" Hso de alias """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (+, A"*"*" Alias !eMoras en )"+ """""""""""""""""""""""""""""""""""""""""""""""""" """""""" ((( A"1" Firewall de !eMores &r2cticas artculo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" (() A"1"(" Denegar por defecto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" (() A"1")" 5ue sea corto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" (() A"1"*" .evise su .egla%ento """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" (() A"1"1" Docu%entar su configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """" ((* A"1">" .educcin del ruido de registro """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" ((* A"1"A" .egistro de &r2cticas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" ((1 vii
A"A"," :pciones avanDadas """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" ()+ A"A"(+" @stado Tipo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" ()( A"A"((" < Sync G!LI.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" ()(
A"A"()" Lista """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ()) A"A"(*" Gateway """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" ()) A"A"(1" Descripcin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" ())
A"B" !6todos de utiliDacin de direcciones 3& p;blicas adicionales """""""""""""""""""""""""""""""""""""""""""""""""" " ()) A"B"(" @legir entre rutas? puentes? y <AT """""""""""""""""""""""""""""""" ()) A"C" 'irtual 3& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""" ()1 A"C"(" &ro/y A.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" ()>
A"C")" A.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" ()> A"C"*" :tros """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" ()>
A"," Tie%po base de reglas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ()> A","(" Tie%po .eglas lgica basada """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" ()A A",")" Tie%po Advertencias basada en reglas """""""""""""""""""""""""""""""""""""""""""""""""" """""""" ()A A","*" onfiguracin de los horarios de tie%po basada en reglas """""""""""""""""""""""""""""""""" ()A A"(+" 'isualiDacin de los registros del firewall """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" ()C A"(+"(" 'iendo en la =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" (), A"(+")" 'iendo desde el %en; onsola """""""""""""""""""""""""""""""""""""""""""""""" (*+ A"(+"*" &ara ver i%2genes de la Shell """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" (*+ A"(+"1" 4&or 9u6 a veces veo blo9ueado las entradas del registro para la legti%a
cone/iones8 """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (*(
A"((" Solucin de proble%as de reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" (*) A"(("(" .evise sus registros """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" (*) A"((")" .evisin de par2%etros de la regla """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" (*) A"(("*" .evisin del estado de pedido """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" (*) A"(("1" <or%as e interfaces """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" (*) A"((">" Activar la regla de registro """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" (** A"(("A" Solucin de proble%as con la captura de pa9uetes """""""""""""""""""""""""""""""""""""""""" (** B" <etworL Address Translation """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (*1 viii
B"C"*" &&T& 7 G.@ """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" (>* B"C"1" $uegos online """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (>1 B"," Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" (>> B","(" &uerto Adelante Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """" (>> B",")" <AT .efle/in Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" (>B B","*" Solucin de proble%as de salida <AT """""""""""""""""""""""""""""""""""""""""""""""""" " (>C C" @nruta%iento """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """" (>, C"(" .utas est2ticas """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" (>, C"("(" @Me%plo de ruta est2tica """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" (>, C"(")" #ypass reglas de firewall para el tr2fico en la %is%a interfaD """"""""""""""""""""""""" (A+ C"("*" .edirecciones 3 !& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" (A( i/
C"1" .uta Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (AB C"1"(" 'isualiDacin de las rutas """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" (AB C"1")" Hsando traceroute """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" (B+ C"1"*" .utas y '&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" (B(
," &uente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """ (B*
,"(" &uente y la capa ) Loops """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" (B* ,")" &uente y cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (B* ,"*" &uente entre dos redes internas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" (B1 ,"*"(" DF & y puentes internos """""""""""""""""""""""""""""""""""""""""""""""""" """"""" (B1 ,"1" Superar :&T a la =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" (B> ,">" .educcin de la interoperabilidad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (B> ,">"(" &ortal cautivo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (B>
,">")" A.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (B> ,">"*" !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" (C(
(+")")" 'LA< 3D """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" (C* (+")"*" &adres interfaD """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (C* (+")"1" Acceso al puerto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" (C1 (+")">" Doble eti9uetado J5in5K """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" (C1 (+")"A" 'LA< privada J&'LA<K """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" (C1 (+"*" 'LA<s y seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (C1 (+"*"(" Segregar las Donas Fiduciario """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" (C> (+"*")" Hsando el valor por defecto 'LA<( """""""""""""""""""""""""""""""""""""""""""""""""" """"""" (C> (+"*"*" Hso de un puerto troncal 'LA< por defecto """""""""""""""""""""""""""""""""""""""""""""" (C> (+"*"1" La li%itacin del acceso a los puertos del tronco """""""""""""""""""""""""""""""""""""""""""""""""" "" (CA (+"*">" :tros proble%as con los interruptores """""""""""""""""""""""""""""""""""""""""""""""""" """""" (CA (+"1" pfSense configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" (CA (+"1"(" onsola de configuracin de 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """ (CA (+"1")" interfaD web de configuracin de 'LA< """"""""""""""""""""""""""""""""""""""""""""" (C, (+">" 3nterruptor de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (,( /
((")"*" on%utacin por error """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" )+B ((")"1" @9uilibrio de carga """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )+B ((")">" !onitor de &3 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" )+B (("*" !ultiI=A< Advertencias y consideraciones """"""""""""""""""""""""""""""""""""""""""""""""" )+C (("*"(" !;ltiples =A< co%partiendo una ;nica puerta de enlace 3& """""""""""""""""""""""""""""""""" )+, (("*")" &&&o@ o &&T& %;ltiples =A< """"""""""""""""""""""""""""""""""""""""""""""""" )+, (("*"*" Los servicios locales y !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""""""" )+, (("1" 3nterfaD de configuracin y D<S """""""""""""""""""""""""""""""""""""""""""""""""" """""""" )(+ (("1"(" 3nterfaD de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" )(+ (("1")" onfiguracin del servidor D<S """""""""""""""""""""""""""""""""""""""""""""""""" """"""" )(+ (("1"*" @scala a un gran n;%ero de interfaces =A< """"""""""""""""""""""""""""""" )() ((">" asos especiales de !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" )() ((">"(" !;ltiples cone/iones con la %is%a puerta de enlace 3& """""""""""""""""""""""""""""""" )(* ((">")" !;ltiples cone/iones &&&o@ o &&T& Tipo """""""""""""""""""""""""""""""""" )(* (("A" !ultiI=A< y <AT """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" )(* (("A"(" <AT de salida %ultiI=A< y AvanDado """"""""""""""""""""""""""""""""""" )(* (("A")" !ultiI=A< y redirecciona%iento de puertos """""""""""""""""""""""""""""""""""""""""""""""" )(* (("A"*" !ultiI=A< y <AT +(:+( """""""""""""""""""""""""""""""""""""""""""""""""" """""""" )(1 (("B" @9uilibrio de carga """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )(1 (("B"(" onfiguracin de un grupo de balanceo de carga """"""""""""""""""""""""""""""""""""""""""""" )(1 (("B")" &roble%as con el e9uilibrio de carga """""""""""""""""""""""""""""""""""""""""""""""""" " )(>
(("C" on%utacin por error """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" )(A
(("C"(" onfiguracin de un grupo de con%utacin por error """""""""""""""""""""""""""""""""""""""""""""""""" """"" )(A (("," o%probacin de la funcionalidad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )(B ((","(" &rueba de con%utacin por error """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )(B ((",")" 'erificacin de la funcionalidad de e9uilibrio de carga """"""""""""""""""""""""""""""""""""""" )(C (("(+" &oltica de enruta%iento? e9uilibrio de carga y estrategias de con%utacin por error """"""""""""""""""""""""""" ))+ /i
(("()" Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ))* (("()"(" 'erifi9ue su estado de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" " ))* (("()")" #alanceo de carga no funciona """""""""""""""""""""""""""""""""""""""""""""""""" """ ))1 (("()"*" on%utacin por error no funciona """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" ))1 ()" .edes privadas virtuales """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ))> ()"(" despliegues co%unes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" ))> ()"("(" Sitio para conectividad de sitio """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" ))> ()"(")" Acceso re%oto """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" ))A ()"("*" &roteccin para redes inal2%bricas """"""""""""""""""""""""""""""""""""""""""""""""" ))A ()"("1" Asegure rel6 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" ))B ()")" @legir una solucin '&< para el entorno """"""""""""""""""""""""""""""""""""""" ))B
()")"(" 3nteroperabilidad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" ))B
()")")" Autenticacin de las consideraciones """""""""""""""""""""""""""""""""""""""""""""""""" """ ))B ()")"*" Facilidad de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" ))C ()")"1" !ultiI=A< capaD """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" ))C ()")">" liente disponibilidad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" ))C ()")"A" Firewall de a%istad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" )), ()")"B" riptogr2fica%ente segura """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" )*+
()")"C" .esu%en """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" )*+
(*"(" Ter%inologa de 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )*) (*"("(" Asociacin de Seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" )*) (*"(")" &oltica de Seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )*) (*"("*" Fase ( """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )*) (*"("1" Fase ) """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )** (*")" @legir opciones de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" )** (*")"(" 3nterfaD de seleccin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" )** (*")")" Los algorit%os de cifrado """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" )*1
(*")"*" ursos de la vida """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" )*1 (*")"1" &rotocolo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" )*1
(*")">" Algorit%os hash """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" )*1 (*")"A" DF clave de grupo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )*> /ii
(*"C">" N.ando%N T;nel Desconecta 7 Fallas D&D en routers integrados """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """" )>, (*"C"A" 3&sec 3nterpretacin registro """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" )>, (*"C"B" AvanDadas de depuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" )A1 (*"," onfiguracin de dispositivos de terceros 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" " )A> (*","(" :rientaciones generales para dispositivos de terceros 3&sec """"""""""""""""""""""""""""""" )A> (*",")" isco &3G :S A"/ """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" )AA (*","*" isco &3G :S B"/? C"/? y ASA """""""""""""""""""""""""""""""""""""""""""""""" )AA (*","1" isco 3:S de routers """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" )AB (1" &&T& '&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""" )A, (1"(" &&T& Advertencia de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )A, (1")" &&T& y reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" )A, (1"*" &&T& y !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )A, (1"1" &&T& Li%itaciones """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )A, (1">" onfiguracin del servidor &&T& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" )B+ (1">"(" Direcciona%iento 3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )B+
(1">")" Autenticacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )B(
(1">"*" .e9uerir cifrado de ()C bits """""""""""""""""""""""""""""""""""""""""""""""""" """""" )B( (1">"1" Guardar los ca%bios para iniciar servidor &&T& """"""""""""""""""""""""""""""""""""""""""""""" )B( (1">">" onfigurar reglas de firewall para clientes &&T& """""""""""""""""""""""""""""""""""""" )B( (1">"A" Adicin de usuarios """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" )B) (1"A" &&T& configuracin del cliente """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" )B1 (1"A"(" =indows G& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" )B1 /iii
(>" :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""""""" ),( (>"(" 3ntroduccin b2sica a la infraestructura de clave p;blica G">+, """"""""""""""""""""""""""""""" ),( (>")" La generacin de claves y certificados :pen'&< """""""""""""""""""""""""""""""""""""""""""" ),) (>")"(" La generacin de claves co%partidas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" ),) (>")")" Generacin de ertificados """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" ),* (>"*" :pciones de configuracin de :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""" *+( (>"*"(" opciones de configuracin del servidor """""""""""""""""""""""""""""""""""""""""""""""""" """" *+( (>"1" onfiguracin re%ota de acceso """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" *+> (>"1"(" Deter%inar un es9ue%a de direcciona%iento 3& """""""""""""""""""""""""""""""""""""""""""" *+> (>"1")" @Me%plo de red """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" *+A (>"1"*" onfiguracin del servidor """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" *+A (>"1"1" De instalacin del cliente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" *+C (>"1">" onfiguracin del cliente """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *+, (>">" Sitio para @Me%plo de configuracin de la web """""""""""""""""""""""""""""""""""""""""""""""""" """""" *(* (>">"(" onfiguracin del lado del servidor """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" *(* (>">")" onfiguracin del lado del cliente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" *(1 (>">"*" &rueba de la cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *(> (>"A" Filtrado y <AT con cone/iones :pen'&< """"""""""""""""""""""""""""""""""""""" *(> (>"A"(" 3nterfaD de configuracin y asignacin de """""""""""""""""""""""""""""""""""""""" *(> (>"A")" Filtrado con :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" *(A (>"A"*" <AT con :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" *(A (>"B" :pen'&< y !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" *(, (>"B"(" :pen'&< y servidores %ultiI=A< """""""""""""""""""""""""""""""""""""""""""""" *(, (>"B")" :pen'&< clientes y !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""" *)+ (>"C" :pen'&< y A.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *)( (>"," one/iones en puente :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" *)( Las (>"(+ horas" :pciones de configuracin personaliDada """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" *)) (>"(+"(" :pciones de ruta """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *)) (>"(+")" @specificacin de la interfaD """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" *)* (>"(+"*" Hso de aceleradores de hardware criptogr2fico """"""""""""""""""""""""""""""""""""""""""" *)* (>"(+"1" @specificar la direccin 3& 9ue puede utiliDar """""""""""""""""""""""""""""""""""""""""""""""""" """ *)* /iv
(A"C"*" 4 %o puedo calcular la cantidad de ancho de banda a asignar a la confir%acin colas8 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" *1* (A"C"1" 4&or 9u6 no O/P for%a adecuada8 """"""""""""""""""""""""""""""""""""""""""""""" *1* (B" Servidor de e9uilibrio de carga """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" *11 (B"(" @/plicacin de las opciones de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" "" *11 (B"("(" &iscinas de servidor virtual """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *11 /v
(C" =iIfi """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" "" *>> (C"(" .eco%endaciones de hardware inal2%brico """""""""""""""""""""""""""""""""""""""""""""""""" """"""" *>> (C"("(" TarMetas inal2%bricas de los proveedores de reno%bre """"""""""""""""""""""""""""""""""""""""" *>> (C"(")" controladores inal2%bricos incluidos en (")"* """"""""""""""""""""""""""""""""""""""""""""""" *>> (C")" =A< inal2%brica """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" *>A (C")"(" 3nterface de """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *>B (C")")" onfiguracin de su red inal2%brica """""""""""""""""""""""""""""""""""""""""""""" *>B (C")"*" o%probar el estado inal2%brico """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" *>B (C")"1" Se %uestran las redes inal2%bricas disponibles y potencia de la se0al """"""""""""""""" *>C (C"*" Superar e inal2%bricas """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *>C (C"*"(" S.S y 3#SS inal2%bricos y puentes """"""""""""""""""""""""""""""""""""""""""" *>, (C"1" @l uso de un punto de acceso e/terno """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" *>, (C"1"(" @n cuanto a su router inal2%brico en un punto de acceso """"""""""""""""""""""""""" *>, (C"1")" &uente inal2%brico para su LA< """""""""""""""""""""""""""""""""""""""""""""""""" *A+ (C"1"*" &uente inal2%brico a una interfaD :&T """""""""""""""""""""""""""""""""""""""""" *A+ (C">" pfSense co%o punto de acceso """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" *A( (C">"(" 4Debo usar un A& o e/terna pfSense co%o punto de acceso8 """"""""""""" *A) (C">")" pfSense onfiguracin co%o punto de acceso """""""""""""""""""""""""""""""""""""""" *A) (C"A" proteccin adicional para su red inal2%brica """"""""""""""""""""""""""""""""""""""" *AA (C"A"(" proteccin adicional inal2%brica con &ortal autivo """""""""""""""""""""""""" *AA (C"A")" proteccin adicional con '&< """"""""""""""""""""""""""""""""""""""""""""""""" *AB (C"B" onfiguracin de un punto de acceso inal2%brico seguro """""""""""""""""""""""""""""""""""""""""""""""""" *AC (C"B"(" @nfo9ue de %;ltiples cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" """"""" *A, (C"B")" Servidor de seguridad ;nico enfo9ue """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" *A, (C"B"*" ontrol de acceso y filtrado de salida consideraciones """"""""""""""""""""""""""" *A, (C"C" Solucin de proble%as de cone/iones inal2%bricas """""""""""""""""""""""""""""""""""""""""""""""""" " *B+ (C"C"(" o%pruebe la antena """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" *B+ (C"C")" &ruebe con varios clientes o tarMetas inal2%bricas """""""""""""""""""""""""""""""""""" *B+ /vi
(,"(" Li%itaciones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" *B) (,"("(" Slo puede eMecutarse en una sola interfaD """""""""""""""""""""""""""""""""""""""""""""""""" "" *B) (,"(")" <o sean capaces de revertir portal """""""""""""""""""""""""""""""""""""""""""""""""" """ *B) (,")" &ortal de onfiguracin sin autenticacin """"""""""""""""""""""""""""""""""""""""""" *B) (,"*" &ortal de configuracin %ediante la autenticacin local """""""""""""""""""""""""""""""""""""" *B) (,"1" &ortal de configuracin %ediante la autenticacin .AD3HS """"""""""""""""""""""""""""""""" *B* (,">" :pciones de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *B*
(,">"(" 3nterfaD """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" *B*
(,">")" !2/i%a de cone/iones si%ult2neas """"""""""""""""""""""""""""""""""""""""""""""" *B* (,">"*" Tie%po de inactividad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" *B* (,">"1" Duro tie%po de espera """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" *B1 (,">">" Desconectarse ventana e%ergente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *B1 (,">"A" .edireccin de H.L """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *B1 (,">"B" los inicios de sesin de usuario concurrente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *B1 (,">"C" Filtrado de direcciones !A """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *B1
(,">"," Autenticacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *B1
(,">"(+" FTT&S entrada """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *B> (,">"((" <o%bre de servidor FTT&S """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" *B> (,">"()" &ortal de contenidos de la p2gina """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" *B> (,">"(*" Autenticacin de contenido p2gina de error """"""""""""""""""""""""""""""""""""""""""""" *BA (,"A" Solucin de proble%as de portal cautivo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" *BA (,"A"(" Autenticacin de fracasos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *BA (,"A")" &ortal de la p2gina no carga Ja vecesK ni ninguna carga otra p2gina """""""" *BB
)+" Firewall de redundancia 7 alta disponibilidad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" *BC
)+"(" A.& 3nfor%acin general """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" *BC )+")" pfsync 3nfor%acin general """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" *BC )+")"(" pfsync y actualiDaciones """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *B, )+"*" pfSense G!LI.& Sync 3nfor%acin general """""""""""""""""""""""""""""""""""""""""""""""""" """"" *B, )+"1" @Me%plo de configuracin redundante """""""""""""""""""""""""""""""""""""""""""""""""" """""" *B, )+"1"(" Deter%inar las asignaciones de direccin 3& """"""""""""""""""""""""""""""""""""""""""""" *C+ )+"1")" onfigurar el servidor de seguridad pri%aria """""""""""""""""""""""""""""""""""""""""""""""""" " *C( )+"1"*" onfiguracin del servidor de seguridad secundaria """""""""""""""""""""""""""""""""""""""""""""" *C1 )+"1"1" onfigurar sincroniDacin de la configuracin """""""""""""""""""""""""""""""""""""" *C> )+">" !ultiI=A< con A.& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" *CA )+">"(" Deter%inar las asignaciones de direccin 3& """"""""""""""""""""""""""""""""""""""""""""" *CA )+">")" onfiguracin de <AT """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" *CC )+">"*" onfiguracin del Firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *CC )+">"1" !ultiI=A< A.& con D!E Diagra%a """"""""""""""""""""""""""""""""""""""" *C, )+"A" o%probacin de la funcionalidad de con%utacin por error """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" *C, /vii
)(" Servicios """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" "" *,C )("(" Servidor DF & """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" *,C
)("("(" onfiguracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" *,C )("(")" ondicin $urdica y Social """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" 1+) )("("*" Arrenda%ientos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" 1+*
)("("1" Servicio DF & .egistros """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" 1+* )(")" De retrans%isin DF & """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" 1+1 )("*" D<S Forwarder """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" 1+1 )("*"(" onfiguracin de D<S Forwarder """""""""""""""""""""""""""""""""""""""""""""""""" "" 1+> )("1" D<S din2%ico """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" 1+A )("1"(" Hso de D<S din2%ico """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" 1+B )("1")" .F )(*A D<S din2%ico actualiDaciones """"""""""""""""""""""""""""""""""""""""""""""" 1+C
)(">" S<!& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" 1+C
)(">"(" S<!& de%onio """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" 1+C )(">")" S<!& Traps """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" 1+,
)(">"*" !dulos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" 1(+
/viii
)("C" =aLe on LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" 1(> )("C"(" Despierta una sola %29uina """""""""""""""""""""""""""""""""""""""""""""""""" """"" 1(> )("C")" Al%acena%iento de direcciones !A """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" 1(A )("C"*" Despierta una sola %29uina al%acenados """""""""""""""""""""""""""""""""""""""""""""""""" " 1(A )("C"1" Despierta Todos los e9uipos al%acenados """""""""""""""""""""""""""""""""""""""""""""""""" """""" 1(A )("C">" .eactivacin desde DF & Arrenda%ientos 'er """""""""""""""""""""""""""""""""""""""""""""""""" 1(A )("C"A" Guardar en DF & Arrenda%ientos 'er """""""""""""""""""""""""""""""""""""""""""""""""" " 1(A )("," Servidor &&&o@ """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" 1(B ))" Siste%a de segui%iento """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" 1(C ))"(" Siste%a de .egistros """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" 1(C ))"("(" 'iendo los archivos de registro """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" 1(C ))"(")" a%biar la configuracin de registro """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" 1(, ))"("*" .egistro re%oto con Syslog """""""""""""""""""""""""""""""""""""""""""""""""" """ 1)+ ))")" @stado del siste%a """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" 1)( ))"*" @stado de la interfaD """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" 1)) ))"1" @stado de los servicios """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" 1)* ))">" ..D Gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" 1)* ))">"(" Siste%a de Gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" 1)1 ))">")" Tr2fico Gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1)> ))">"*" &a9uete de Gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1)> ))">"1" alidad de los gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" 1)> ))">">" ola de gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1)>
))">"A" onfiguracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" 1)>
))"A" Servidor de seguridad de los @stados """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" 1)A ))"A"(" 'iendo en la =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" 1)A ))"A")" 'iendo con pftop """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" 1)A ))"B" Tr2fico Gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" 1)B
)*" &a9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" " 1)C
)*"(" 3ntroduccin a los pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" 1)C )*")" 3nstalacin de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" 1), )*"*" .einstalacin y actualiDacin de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """"" 1*+ )*"1" Desinstalacin de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1*( )*">" &a9uetes de desarrollo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" 1*( )1" Software de terceros y pfSense """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" 1*) )1"(" .AD3HS de autenticacin de =indows Server """""""""""""""""""""""""""""""""""""""" 1*) )1"("(" La eleccin de un servidor para 3AS """""""""""""""""""""""""""""""""""""""""""""""""" """"""" 1*) )1"(")" 3nstalacin de la <3 """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1*) )1"("*" onfiguracin de la <3 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" 1** /i/
)1"1"(" &reocupaciones 7 Advertencias """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" 11) )1"1")" 3nstalacin de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" 111 )1"1"*" @l %anteni%iento de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" 111 )>" aptura de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""" 11> )>"(" aptura de %arco de referencia """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" 11> )>")" Seleccin de la interfaD adecuada """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" 11> )>"*" Li%itar el volu%en de captura """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" 11A )>"1" aptura de pa9uetes de la =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """""" 11A )>"1"(" :btener un pa9uete de captura """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" 11A )>"1")" 'iendo los datos capturados """""""""""""""""""""""""""""""""""""""""""""""""" """""" 11B )>">" Hso de tcpdu%p de la lnea de co%andos """""""""""""""""""""""""""""""""""""""""""""""""" 11B )>">"(" tcpdu%p banderas de lnea de co%andos """""""""""""""""""""""""""""""""""""""""""""""""" """ 11C )>">")" Filtros tcpdu%p """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" 1>( )>">"*" Solucin de proble%as pr2cticos eMe%plos """""""""""""""""""""""""""""""""""""""""""" 1>1 )>"A" Hso de =iresharL con pfSense """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" 1>C )>"A"(" 'isualiDacin de archivos de pa9uetes de captura """""""""""""""""""""""""""""""""""""""""""""""""" """" 1>C )>"A")" =iresharL Ferra%ientas de an2lisis """""""""""""""""""""""""""""""""""""""""""""""""" """""""" 1>, )>"A"*" .e%oto en tie%po real de captura """""""""""""""""""""""""""""""""""""""""""""""""" """""""" 1A+ )>"B" Te/to sin for%ato &rotocolo de depuracin con fluMo T & """""""""""""""""""""""""""""""""""""""""""" 1A( )>"C" .eferencias adicionales """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1A) A" Gua de %en;s """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""""" 1A*
A"(" Siste%a de """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" 1A* A")" 3nterfaces """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" 1A* A"*" Servidor de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" 1A1 A"1" Servicios """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" 1A> A">" '&< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""""" 1AA A"A" ondicin $urdica y Social """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""" 1AA A"B" Diagnstico """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" 1AB Rndice """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" 1A,
//
Lista de figuras
("(" !2scara de subred convertidor """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" (*
(")" .ed 7 alculadora <odo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" (1 ("*" .ed 7 @Me%plo calculadora <odo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" (> *"(" 3nterfaD de pantalla de asignacin de """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" *( 1"(" Asistente para la instalacin de la pantalla 3nicio """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" >A 1")" &antalla de infor%acin general """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" >B 1"*" <T& y la pantalla de configuracin de Dona horaria """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" >B 1"1" onfiguracin de =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" >C 1">" onfiguracin General =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" >, 1"A" onfiguracin de 3& est2tica """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" >, 1"B" DF & Fostna%e !arco """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" >, 1"C" onfiguracin de &&&o@ """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" A+ 1"," &&T& onfiguracin =A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" A( 1"(+" onstruido en el filtrado de entrada :pciones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" A( 1"((" onfiguracin de LA< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" A) 1"()" a%biar ontrase0a Ad%inistrativa """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" A* 1"(*" ActualiDar pfSense =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" A* 1"(1" onfiguracin de un t;nel SSF puerto C+ en &uTTS """""""""""""""""""""""""""""""""""""""""""""""""" """" CB >"(" =ebGH3 de copia de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" ,+ >")" =ebGH3 restauracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" ,> >"*" onfiguracin de la Fistoria """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" ,A A"(" Au%ento del ta%a0o de estado de la tabla a >+"+++ """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" (+( A")" &redeter%inado =A< nor%as """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (+A A"*" &or defecto de LA< nor%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" (+A A"1" A0adir LA< opciones de la regla """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" (+B
A">" anfitriones alias @Me%plo """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" A"A" @Me%plo de alias de red """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" A"B" puertos alias @Me%plo """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""
A"C" Ter%inacin auto%2tica de alias de hosts """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" ((+ A"," Ter%inacin auto%2tica de alias de puertos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" ((+ A"(+" @Me%plo Artculo Hso de alias """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" ((+ A"((" Al pasar %uestra el contenido de los @M6rcitos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" ((( A"()" Al pasar %uestra el contenido de &uertos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" ((( A"(*" Las reglas de firewall para prevenir e%isiones de registro """""""""""""""""""""""""""""""""""""""""""""""""" ((1
A"(1" Alias para los puertos de gestin """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" A"(>" Alias para los hosts de gestin """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" A"(A" Alias lista """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""""" A"(B" @Me%plo restringida nor%as de gestin de LA< """"""""""""""""""""""""""""""""""""""""""""" """" //i
A"(C" .estringidos nor%as de gestin de LA< I eMe%plo alternativo """""""""""""""""""""""""""""""" A"(," de las reglas antiIblo9ueo con discapacidad """"""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" A")+" &rueba de la resolucin de no%bres para las actualiDaciones #ogon """""""""""""""""""""""""""""""""""""""""""""""""" """" ((B A")(" !;ltiples direcciones 3& p;blicas en uso I solo blo9ue 3& """"""""""""""""""""""""""""""""""""""""" """""" A"))" !;ltiples direcciones 3& p;blicas en uso I dos blo9ues 3& """"""""""""""""""""""""""""""""""""""""" """"""" A")*" Adicin de un rango de tie%po """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" A")1" Alta Ga%a Tie%po """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""
A")>" Lista la lista despu6s de agregar """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" ()B A")A" @legir un horario para una regla de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""" ()C A")B" Firewall de lista de reglas con el cuadro """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" ()C A")C" @Me%plo de entradas del registro se ve desde la =ebGH3 """"""""""""""""""""""""""""""""""""""""""""""" (), B"(" A0adir Adelante &uerto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" (*A B")" &uerto @Me%plo Adelante """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" (*B B"*" Listado de &uerto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" (*C B"1" Adelante &uerto de reglas de cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (*C B">" @Me%plo redirigir puerto para la cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" (1+ B"A" +(:+( <AT pantalla @ditar """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (1( B"B" @ntrada <AT +(:+( """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" (1)
B"C" +(:+( @Me%plo <AT I ;nico en el interior y fuera de 3& """"""""""""""""""""""""""""""""""""""" """ B"," +(:+( entrada <AT para 7 rango 3D. *+ """""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" B"(+" :rdena%iento de <AT y Firewall de &rocesa%iento de """""""""""""""""""""""""""""""""""""""""""" """"""" B"((" LA< a la =A< de procesa%iento """""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""
B"()" &rocesa%iento de =A< a LA< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" (1> B"(*" Las reglas de firewall para el puerto hacia adelante a la LA< de host """""""""""""""""""""""""""""""""""""""""""""""""" " (1A B"(1" Fabilitar <AT .efle/in """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" (1B
B"(>" A0adir .ee%plaDar D<S reenviador """""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" B"(A" A0adir D<S reenviador 3gnorar para e/a%ple"co% """""""""""""""""""""""""""""""""""""""""" " B"(B" D<S Forwarder anulacin de www"e/a%ple"co% """"""""""""""""""""""""""""""""""""""""" "
C"(" .uta est2tica """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""" (>, C")" onfiguracin de rutas est2ticas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" (A+ C"*" @nruta%iento asi%6trico """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (A( C"1" =A< 3& y la configuracin de puerta de enlace """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" (A* C">" onfiguracin de enruta%iento :&T( """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (A1 C"A" Salida de configuracin <AT """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" (A> C"B" nor%as :&T( cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (A> C"C" =A< reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (AA C"," .uta de pantalla """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" (AB ,"(" Las reglas de firewall para per%itir el DF & """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (B1 (+"(" 3nterfaces: Asignar """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" (C, (+")" Lista de 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""" (,+ (+"*" @ditar 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""" (,+
//ii
(*")" Hn sitio onfiguracin del t;nel '&< """"""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (*"*" Hn sitio de la Fase ( onfiguracin """"""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""
(*"1" Hn sitio de la Fase ) onfiguracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )*C (*">" Hn sitio Qeep Alive """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" )*, (*"A" Aplicar onfiguracin de 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" )*, (*"B" Sitio # onfiguracin del t;nel '&< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )1+ (*"C" Sitio # Qeep Alive """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" )1+ (*"," Hn sitio a otro 3&sec uando pfSense no es la puerta de enlace """"""""""""""""""""""""""""""""""""""""" )1) (*"(+" Hn sitio a otro 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" )1* (*"((" Sitio A I ruta est2tica a la subred re%ota """""""""""""""""""""""""""""""""""""""""""""""""" """"""" )1* (*"()" Sitio # I ruta est2tica a la subred re%ota """""""""""""""""""""""""""""""""""""""""""""""""" """"""" )11 (*"(*" Fabilitar %vil clientes 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )1> (*"(1" Los clientes %viles de la Fase ( """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )1A (*"(>" Los clientes %viles de la Fase ) """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )1B (*"(A" Aplicar configuracin del t;nel %vil """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" )1B (*"(B" 3&sec &reIShared Qey NHsuarioN Lista """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" )1C (*"(C" Adicin de un 3dentificador 7 par de claves preIco%partidas """""""""""""""""""""""""""""""""""""""""""""""""" """ )1C (*"(," Aplicar los ca%biosT Lista &SQ """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" )1, (*")+" Do%ada '&< suave Access !anager I Sin cone/iones Sin e%bargo? """""""""""""""""""""""""""""""" )>+
(*")(" onfiguracin del cliente: Ficha General """"""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (*"))" onfiguracin del cliente: Ficha cliente """"""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" //iii
onfiguracin del cliente: Ficha de resolucin de no%bres """""""""""""""""""""""""""""""""""""""""""" """""""""""""" onfiguracin del cliente: Autenticacin? 3dentidad Local """""""""""""""""""""""""""""""""""""""""""""""""" " )>( onfiguracin del cliente: Autenticacin? 3dentidad re%oto """"""""""""""""""""""""""""""""""""""""""" " onfiguracin del cliente: la autenticacin? las credenciales """""""""""""""""""""""""""""""""""""""""""" """""" onfiguracin del cliente: Fase ( """"""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""
(*")," onfiguracin del cliente: &oltica """""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" (*"*+ horas" onfiguracin del cliente: &olticas? A0adir Topologa """"""""""""""""""""""""""""""""""""""""""" """""""""""""" (*"*(" onfiguracin del cliente: <o%bre de la cone/in <ueva """""""""""""""""""""""""""""""""""""""""""" """"""""""" (*"*)" Listo para Hsar cone/in """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""
(*"**" onectado t;nel """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )>1 (1"(" &&T& direcciona%iento 3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" )B+ (1")" &&T& '&< Firewall de .egla """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" )B) (1"*" &&T& usuario Tab """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" )B) (1"1" Adicin de un usuario &&T& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )B* (1">" Aplicar los ca%bios &&T& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" )B* (1"A" Lista de Hsuarios &&T& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )B1 (1"B" one/iones de red """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )B1 (1"C" Tareas de red """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" )B>
(1"," @l lugar de trabaMo de cone/in """""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" (1"(+" onectar a '&< """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (1"((" <o%bre de cone/in """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" (1"()" one/in de host """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (1"(*" FinaliDar la cone/in """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (1"(1" onecte di2logo """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""
(1"(>" &ropiedades de la cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )BA
(1"(A" Ficha de seguridad """""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""" (1"(B" .edes Tab """""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (1"(C" !arco de puerta de enlace re%ota """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""
(1"(," 'ista one/iones de red """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )BB (1")+" onfiguracin de una cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )BB (1")(" onectar a un lugar de trabaMo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" )BB (1"))" onectarse a trav6s de '&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )BC (1")*" onfiguracin de la cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )BC (1")1" onfiguracin de autenticacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )B, (1")>" La cone/in est2 listo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" )B,
//iv
(>"1" 'iscosidad &referencias """""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" (>">" 'iscosidad Agregar cone/in """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (>"A" onfiguracin 'iscosidad: General """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" (>"B" onfiguracin 'iscosidad: ertificados """""""""""""""""""""""""""""""""""""""""""""" """""""""""" (>"C" onfiguracin 'iscosidad: :pciones """""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""
(>"," onfiguracin 'iscosidad: .edes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" *(( Las (>"(+ horas" 'iscosidad conectar """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" *()
(>"((" 'iscosidad %en; """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" (>"()" 'iscosidad detalles """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (>"(*" 'iscosidad detalles: @stadsticas de tr2fico """"""""""""""""""""""""""""""""""""""""""""" """"""""""""""" (>"(1" 'iscosidad infor%acin: .egistra """""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""
(>"(>" :pen'&< sitio de eMe%plo a la red de sitio """""""""""""""""""""""""""""""""""""""""""""""""" """"""" *(* (>"(A" :pen'&< sitio de eMe%plo de regla de firewall sitio =A< """"""""""""""""""""""""""""""""""""""""""" *(1 (>"(B" Asignar tun+ interfaD """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" *(A (>"(C" Hn sitio a otro con subredes en conflicto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *(B (>"(," Hn sitio de configuracin de <AT +(:+( """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *(C (>")+" Sitio # +(:+( configuracin de <AT """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *(C (>")(" @Me%plo est2tica de las rutas de :pen'&< lient en :&T =A< """""""""""""""""""""""""""""""""" *)( (A"(" 3nicio del Asistente para Shaper """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" *), (A")" !odelador de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" **+ (A"*" 'oD sobre 3& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" **( (A"1" &ena de aMa """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" **) (A">" .edes peerItoI&eer """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" *** (A"A" .ed de $uegos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" **1 (A"B" Subir o baMar otras aplicaciones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" **> (A"C" Las colas de base =A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" **A (A"," Traffic Shaper colas Lista """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" **B (A"(+" .eglas Traffic Shaper Lista """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" *1+ (B"(" Servidor de e9uilibrio de carga de red de eMe%plo """""""""""""""""""""""""""""""""""""""""""""""""" """""""" *1C
(B")" &ool de configuracin """""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" (B"*" onfiguracin del servidor virtual """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""
(B"1" Alias de servidores web """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" *>+ (B">" Agregar regla de firewall para servidores web? """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *>(
//v
(B"A" Servidor de seguridad de estado de los servidores =eb """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" *>(
(B"B" 'irtual Server de estado """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" *>) (C"(" asignacin de interfaD I =A< inal2%brica """""""""""""""""""""""""""""""""""""""""""""""""" """""""" *>B
(,"(" &ortal autivo en subredes %;ltiples """"""""""""""""""""""""""""""""""""""""""""" """""""""""""""" )+"(" @Me%plo de diagra%a de red A.& """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""
)+")" =A< 3& A.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" *C)
)+"*" 3& LA< A.& """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" )+"1" 3& virtual lista """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" )+">" @ntrada salida <AT """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" )+"A" onfiguracin avanDada de <AT de salida """""""""""""""""""""""""""""""""""""""""""""" """"""
)+"B" pfsync interfaD de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" *C1 )+"C" Servidor de seguridad de @stado en la interfaD pfsync """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" *C>
)+"((" Diagra%a del A.& con 3& enrutados """""""""""""""""""""""""""""""""""""""""""" """""""""""""" )+"()" Diagra%a del A.& con con%utadores redundantes """""""""""""""""""""""""""""""""""""""""""" "
)("(" De%onio del servicio DF & @stado """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" 1+) )(")" D<S @Me%plo .ee%plaDar """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" 1+> )("*" H&n& pantalla de estado 9ue %uestra los e9uipos cliente con los puertos re%iti """""""""""""""""""""""""""""" 1(* )("1" siste%a de pfSense co%o se ve por =indows B en su navegacin por la .ed """"""""""""""""""""" 1(1 ))"(" @Me%plo de las entradas del registro del siste%a """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" 1(, ))")" @stado del siste%a """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" 1))
)1")" Agregar nuevo cliente .AD3HS I no%bre y direccin del cliente """""""""""""""""""""""""""""""""""" )1"*" Agregar nuevo cliente .AD3HS I Secreto co%partido """"""""""""""""""""""""""""""""""""""""""" """""""
)1"1" Listado del cliente .AD3HS """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" 1*1
//vi
)1"(+" Agregar una cone/in 3& din2%ica """"""""""""""""""""""""""""""""""""""""""""" """""""""""""""" )1"((" Agregar una cone/in 3& est2tica """"""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )1"()" .ed agregado con 6/ito """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )1"(*" Filtrado de contenidos a nivel """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )1"(1" Gestin de do%inios individuales """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""
)1"(>" servidores D<S de alias """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" 11( )1"(A" nor%as de LA< para restringir D<S """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 11(
)>"(" aptura de referencia """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )>")" 'er captura de =iresharL """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""
)>"*" =iresharL An2lisis de .T& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" 1>,
//vii
Lista de cuadros
("(" .F (,(C 3& privada del espacio de direcciones """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" ,
(")" Tabla de subred 3D. """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" (( ("*" 3D. de resu%en de ruta """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" () )"(" !2/i%o rendi%iento de la &H """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )( )")" >++"+++ pps rendi%iento de procesa%iento en el %arco de diversos ta%a0os """""""""""""""""""""""""""""""""""""""""""""""""" "" )* )"*" !esa grande del @stado de .A! onsu%o """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" )1 )"1" 3&Sec por ipher I AL3G """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" )1 )">" 3&Sec por &H """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )> *"(" Las opciones del Lernel """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" *1 A"(" Salida de tr2fico necesarios """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" (+1
B"(" 7 *+ 3D. %apeo I octeto final se pongan en venta """""""""""""""""""""""""""""""""""""""""""""""""" """"" (1*
B")" 7 *+ 3D. %apeo I octeto final no se pongan en venta """"""""""""""""""""""""""""""""""""""""""""""""" (1*
C"(" #lo9ue 3& =A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" (A) C")" Dentro del blo9ue 3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" (A) C"*" .uta de las banderas de %esa y de significados """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" (AC (+"(" GS(+CT <etgear configuracin 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """""""" (,A (("(" Diseccin de la vigilancia de ping """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" )+C ((")" Desigual carga de los costos de e9uilibrio """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" ))( ()"(" aractersticas y propiedades por Tipo de '&< """""""""""""""""""""""""""""""""""""""""""""""""" """" )*+ (*"(" onfiguracin de 3&sec de punto final """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )*A )+"(" =A< asignaciones de direccin 3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *C+ )+")" LA< asignaciones de direccin 3& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" *C+ )+"*" pfsync direccin 3& de %isiones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" *C( )+"1" Direcciona%iento 3& =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" *CB )+">" Direcciona%iento 3& =A<) """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" *CB )+"A" LA< asignaciones de direccin 3& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" *CB )+"B" D!E asignaciones de direccin 3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *CC )+"C" pfsync direccin 3& de %isiones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" *CC )>"(" .eal 3nterfaD vs no%bres descriptivos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" 11> )>")" De uso co%;n banderas tcpdu%p """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" 11C )>"*" @Me%plos de uso de tcpdu%pIs """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" 11,
//viii
&refacio
!is a%igos y co%pa0eros de trabaMo saben 9ue voy a construir cortafuegos" &or lo %enos una veD al %es
alguien dice N!i e%presa necesita un servidor de seguridad con G e S? y el precio
citas 9ue he recibido decenas de %iles de dlares" 4<os puede ayudar a cabo8 N
ual9uier persona 9ue construye cortafuegos sabe esta pregunta podra ser %2s realista enunciado co%o N4&odra usted por favor? venir una noche y bofetada a unos e9uipo para %? entonces %e deM al aDar se interru%pe durante los pr/i%os tres a cinco a0os para tener 9ue instalar nuevas caractersticas? los proble%as de depuracin? configurar las funciones
So no saba lo suficiente para solicitar? asistir a las reuniones para resolver los proble%as 9ue
no puede posible%ente ser proble%as de firewall? pero alguien piensa 9ue puede ser el servidor de seguridad? y identificar soluciones para %is necesidades innu%erables desconocidos8 Ah? y aseg;rese
para probar cada caso de uso posible antes de i%ple%entar cual9uier cosa" N
.echaDar estas peticiones %e hace parecer grosero" La aceptacin de estas solicitudes ruinas de %i co%porta%iento alegre" Durante %ucho tie%po? yo no construir cortafuegos? e/cepto
para %i e%pleador" pfSense %e per%ite ser una persona %2s agradable sin tener 9ue trabaMar real%ente en ello"
on pfSense puedo i%ple%entar un servidor de seguridad en tan slo unas horas I y la %ayora de
//i/
&refacio
el siste%a operativo Free#SD subyacentes para ser seguro? estable y eficiente" ActualiDaciones de seguridad8 #asta con hacer clic en un botn y reiniciar el siste%a"
Su necesidad de nuevas caractersticas8 Slo tienes 9ue activar" pfSense %aneMa la agrupacin? el tr2fico la for%acin? el e9uilibrio de carga? la integracin con su e9uipo e/istente a trav6s de
pfSense co%eter un poco deMar2 agradecido pfSense usuarios a co%prar una cerveDa o seis"
&ersonal%ente? no construyen cortafuegos de la nada %2s" uando necesito un
///
&rlogo
#ienvenido a la gua definitiva de pfSense" @scrito por pfSense #uechler cofundador hris
pfSense y consultor $i% &ingle? este libro cubre la instalacin y configuracin b2sica a trav6s de redes avanDadas y cortafuegos con el firewall de fuente abierta popular y el router
de distribucin"
@ste libro est2 dise0ado para ser un a%istoso gua pasoIaIpaso para la creacin de redes y de seguridad co%;n tareas? ade%2s de una referencia co%pleta de las capacidades de pfSense" La gua definitiva para pfSense cubre
los siguientes te%as: U Hna introduccin a pfSense y sus caractersticas" U Fardware y planificacin del siste%a" U 3nstalacin y actualiDacin pfSense" U HtiliDar la interfaD de configuracin basada en web" U opia de seguridad y restauracin" U ortafuegos funda%entos y las nor%as de la definicin y solucin de proble%as" U @l reenvo de puertos y traduccin de direcciones de red" U General de redes y configuracin de enruta%iento" U .educir? LA< virtuales J'LA<K? y !ultiI=A<" U .edes privadas virtuales con 3&Sec? &&T&? y :pen'&<" U ontrol del tr2fico y balanceo de carga" U .edes inal2%bricas y cautivos configuraciones del portal" U servidores de seguridad redundantes y de alta disponibilidad" U Servicios relacionados con la red de 'arios"
U Siste%a de %onitoreo? registro? an2lisis de tr2fico? aspirados? captura de pa9uetes? y solucin de proble%as"
///i
&rlogo
Al final de este libro? usted encontrar2 una gua de %en; con las opciones del %en; est2ndar disponibles en pfSense y un ndice detallado"
(" Autores
("(" hris #uechler
hris es uno de los fundadores del proyecto pfSense? y uno de sus pro%otores %2s activos"
Vl ha estado trabaMando en la industria de T3 durante %2s de una d6cada? trabaMando e/tensa%ente con los cortafuegos y Free#SD para la %ayora de ese tie%po" Vl ha proporcionado seguridad? red y servicios relacionados para las organiDaciones en el sector p;blico y privado? 9ue van desde pe9ue0as organiDaciones de Fortune >++ e%presas y grandes organiDaciones del sector p;blico" Actual%ente se gana la vida ayudando a organiDaciones con necesidades relacionadas con pfSense incluyendo el dise0o de redes? la planificacin de i%ple%entacin? asistencia para la configuracin? la conversin de los cortafuegos e/istentes? el desarrollo y %ucho %2s" Vl se basa en Louisville? QentucLy? @@"HH" y proporciona servicios a clientes de todo el %undo" Tiene nu%erosas certificaciones de la industria incluyendo el 3SS&? SS &? ! S@? <A y entre otros"
y glTail"
uando leMos de la co%putadora? $i% ta%bi6n le gusta pasar tie%po con su fa%ilia? leer? to%ar i%2genes? y ser un adicto a la televisin" Su p2gina web personal se puede encontrar en http:77pingle"org"
)" Agradeci%ientos
@ste libro? y pfSense en s %is%a no sera posible sin un gran e9uipo de desarrolladores? colaboradores? patrocinadores corporativos? y una co%unidad %aravillosa" @l proyecto ha recibido el cdigo contribuciones de %2s de (++ personas? con ), personas 9ue han contribuido considerable%ente suficiente para obtener acceso de confir%acin" ientos de personas han contribuido financiera%ente? con el hardware? y otros recursos necesarios" !iles %2s han hecho su parte para apoyar el proyecto? ayudando a
///ii
&rlogo
otros en la lista de correo? foro? y el 3. " <uestro agradeci%iento a todos los 9ue han hecho su parte para 9ue el proyecto del gran 6/ito se ha convertido"
///iii
suscripciones? lo 9ue %e per%ite dar el salto a trabaMar a tie%po co%pleto en el proyecto a principios de )++,"
Ta%bi6n debo agradecer a $i% para saltar en este libro y ofrecer una ayuda considerable en la realiDacin de 9ue" Sa han pasado dos a0os en la fabricacin? y trabaMar %ucho %2s de lo 9ue haba i%aginado" &uede 9ue haya sido obsoletos antes de 9ue se ter%ine? si no fuera por su ayuda durante los ;lti%os %eses" Ta%bi6n
gracias a $ere%y .eed? nuestro editor y el editor? por su ayuda con el libro"
&or ;lti%o? %i agradeci%iento a todos los 9ue han contribuido al proyecto pfSense en cual9uier for%a? especial%ente a los desarrolladores 9ue han dado enor%es cantidades de tie%po al proyecto durante los ;lti%os cinco
a0os"
)"*")" De $i%
!e gustara dar las gracias a %i esposa e hiMo? 9ue aguantar%e a trav6s de %i participacin en el
proceso de escritura" Sin ellos? habra vuelto loco hace %ucho tie%po"
Ta%bi6n %e gustara dar las gracias a %i Mefe? .icL SaneD de F& Servicios de internet? por ser de apoyo
grupo de apoyo de los usuarios de software de cdigo abierto y colaboradores 9ue he encontrado"
///iv
&rlogo U #ruce $on U !arL Foster U 3rvine #ryan U !idgley =arren U @iriL :verby
*" o%entarios
@l editor y autores ani%ar a su opinin sobre este libro y la distribucin de pfSense"
&or favor? enve sus sugerencias? crticas y 7 o elogios por La gua definitiva para pfSense
libro <info@reedmedia.net>" p2gina web de la editorial para el libro est2 en http:77 www"reed%edia"net7booLs7pfsense7"
&ara consultas generales relacionadas con el proyecto pfSense? por favor? escribir en el foro o lista de correo"
acciones" La siguiente lista nos da eMe%plos de c%o estos se for%atean en el libro" Selecciones de %en; 3nterfaD gr2fica de las eti9uetas de artculos 7 <o%bres #otones ®untar por la entrada @ntrada del usuario <o%bres de archivos Los no%bres de los co%andos o progra%as gDip Servidor de seguridad .eglas Destino Aplicar ca%bios Desea continuar? Regla Descripcin / Boot / loader.conf
o%andos escritos en el int6rprete de co%andos #ls-l Los ele%entos 9ue debe ser ree%plaDado por valores especficos a su configuracin ///v 192.168.1.1
<ota
uidado con estoX JFooLleftarrowK" Largo de shell
eMe%plos de lnea de co%andos se puede dividir utiliDando la barra invertida JYK para la continuacin de lnea shell"
///vi
.A! 9ue no poda ponerse en pr2ctica con la funcin deseada conMunto de pfSense"
ninguna opcin %eMor? nos fui%os con 6l" Se lleg a decir: N#ueno? sie%pre pode%os ca%biarlo"N
Desde entonces? un ca%bio de no%bre fue considerado entre los desarrolladores? sin ganar ninguna de traccin co%o la %ayora de la gente era indiferente? y nadie sinti una necesidad i%periosa para el ca%bio" A %ediados de )++B? un debate de no%bres fue iniciado por una entrada de blog? y la abru%adora respuesta de la
3ntroduccin
fundada en )++1? soporte inal2%brico de :pen#SD fue %uy li%itada" Su co%patibilidad con el controlador era %ucho %2s li%itado 9ue el de Free#SD? y no tena soporte para cosas i%portantes? tales co%o =&A J=iIFi &rotected AccessK y =&A) con ning;n plan de alguna aplicacin de dicho apoyo en el %o%ento" Algunos
esto ha ca%biado desde )++1? pero sigue adelante en Free#SD capacidades inal2%bricas"
co%pleta%ente redise0ado"
3ntroduccin
<ota
@n entornos 9ue re9uieren %2s de * Gbps de rendi%iento sostenido? o %2s de >++"+++ pa9uetes por segundo? sin router basado en hardware ofrece un rendi%iento adecuado" Tales a%bientes necesidad de desplegar con%utadores de nivel * Jrouting hecho en el hardware por el interruptorK o routers de ga%a alta basados en AS3 " o%o los productos b2sicos au%entos en el rendi%iento de hardware y siste%as operativos de propsito general co%o Free#SD %eMorar las capacidades de procesa%iento de pa9uetes en lnea con lo 9ue el nuevo hardware
3ntroduccin
("1"1"(" '&<
Algunos usuarios de la cada de pfSense co%o '&< detr2s de un cortafuegos e/istente? para agregar '&<
capacidades? sin crear ninguna interrupcin en la infraestructura de servidor de seguridad e/istentes" La %ayora de pfSense i%ple%entaciones '&< ta%bi6n actuar co%o un servidor de seguridad peri%etral? pero este es un %eMor aMuste en algunas circunstancias"
capacidades"
3ntroduccin
interfaD para tcpdu%p 9ue per%ite la descarga del archivo pcap 9ue resulta cuando la captura
ha ter%inado" @sto per%ite a esta e%presa para capturar pa9uetes sobre una red de sucursales? descargue el
aptura"
(">" 'ersiones
@sta seccin describe los pfSense diferentes versiones disponibles actual%ente y en el pasado"
Free#SD B")" Hsted puede encontrar la versin actual reco%endado por la navegacin a www"pfsense"org7 versiones [http:77www"pfsense"org7versions\" Las referencias en este libro a (") en su %ayora incluyen todos los
versin (")"/? aun9ue algunas cosas 9ue se %encionan en este libro slo e/isten en (")"* y versiones posteriores"
>
3ntroduccin
actualiD la base de siste%a operativo Free#SD B"+" La versin (")") a0ade algunas correcciones de errores"
preparado para los pri%eros lanDa%ientos a disposicin del p;blico" Situaciones si%ilares pueden e/istir en el futuro" Hsted puede ver lo 9ue las instant2neas? en su caso? est2n disponibles visitando la instant2nea del servidor [http:77
snapshots"pfsense"org\"
("A" &latafor%as
pfSense ofrece tres platafor%as adecuadas para tres diferentes tipos de despliegues" @n esta seccin
3ntroduccin
("A"(" Live D
La platafor%a Live D 9ue per%ite eMecutar directa%ente desde el D sin necesidad de instalar un disco duro
o tarMeta o%pact Flash" La configuracin se puede guardar en un dis9uete o una unidad flash HS#" La D no es de acceso frecuente despu6s del arran9ue ya 9ue el siste%a se eMecuta principal%ente desde la .A! en ese %o%ento? pero no debe ser eli%inado de un siste%a en funciona%iento" @n la %ayora de los casos? esto slo debera ser utiliDa co%o una evaluacin del software con el hardware en particular" !ucha gente lo utiliDa %ucho plaDo? pero reco%enda%os el uso de instalaciones nuevas en su lugar" Los usuarios de Live D no puede utiliDar los pa9uetes? y la
%eMor y con el apoyo de versin" <o tiene por 9u6 algunas de las li%itaciones de las otras platafor%as"
("A"*" @%bebido
La versin incorporada est2 dise0ado especfica%ente para usarse con cual9uier hardware usando o%pact Flash J FK en lugar de un disco duro" Las tarMetas F pueden %aneMar sola%ente un n;%ero li%itado de escrituras? por lo 9ue el versin incorporada se eMecuta slo lectura de F? con lectura 7 escritura de siste%as de archivos co%o discos .A!" 3ncluso con esa li%itacin? son a%plia%ente co%patibles con el hardware integrado y por %edio de 3D@ a los convertidoresI F" Aun9ue las tarMetas F son %2s pe9ue0os 9ue un conector de la unidad tradicional de disco duro ATA? el n;%ero de pines es los %is%os y 9ue sean co%patibles" @sto hace 9ue sea %2s f2cil de i%ple%entar para los dispositivos 9ue ya soporte 3D@" F siendo los %edios de estado slido? ta%bi6n no tienen la posible 9uiebra de un giro
en <ano#SD"
3ntroduccin
Hna desventaMa de los siste%as integrados es 9ue algunos de los datos de gr2ficos histricos en ..Dtool es
perdido si el siste%a no se cierra sin proble%as" &or eMe%plo? un corte de energa har2 9ue algunos gr2fico la p6rdida de datos" @sto no afecta a la funcionalidad? sino 9ue deMa espacios en blanco en los gr2ficos histricos"
3ntroduccin
Traduccin de direcciones" 3D. .ange (+"+"+"+ 7 C (B)"(A"+"+7() (,)"(AC"+"+7(A 3ntervalo de direcciones 3& (+"+"+"+ I (+")>>")>>")>> (B)"(A"+"+ I (B)"*(")>>")>> (,)"(AC"+"+ I (,)"(AC")>>")>>
Locales Nconfiguracin auto%2tica I? pero no debe ser asignada por DF & o %anual%ente Fay %2s"
de suficiente espacio de direcciones reservado por el .F (,(C? co%o se %uestra en Tabla ("( N? .F (,(C privadas @spacio de direcciones 3& N? por lo 9ue hay pocos incentivos para desviarse de esa lista" <os he%os encontrado con redes con todo tipo de inadecuado direcciona%iento? y conducir2 a los proble%as I no es un cuestin de NsiN? sino NcuandoN los proble%as se produDcan" Si usted se encuentra trabaMando en una ya e/istente red %ediante un espacio de direccin incorrecta? lo %eMor es corregir el direcciona%iento tan pronto co%o sea posible"
Hna lista co%pleta de las redes 3&v1 de uso especial se pueden encontrar en el .F ***+"
3ntroduccin
cientos de direcciones privadas de siste%as a 3nternet" ontenido en este libro le ayudar2 a a deter%inar el n;%ero de 3& p;blica de tu red re9uiere"
N.utas de visinN" !2s infor%acin acerca del enruta%iento se pueden encontrar en aptulo C? @nruta%iento"
@n una i%ple%entacin tpica de pfSense? los anfitriones se le asignar2 una direccin 3& dentro del rango de la LA< pfSense? la %is%a %2scara de subred 9ue la interfaD LA< de pfSense y pfSense uso de 3& de la LA< co%o su puerta de enlace predeter%inada" Lo %is%o se aplica a los hosts conectados a una interfaD 9ue no sea inal2%brica? utiliDando
&'LA< debe ser e%pleado" Las 'LA< son cubiertos en aptulo (+? LA< virtuales J'LA<K"
%2scara"
(+
3ntroduccin
&refiMo 3D. 3& HtiliDables 3& <;%ero de 7 )1 Direcciones redes Direcciones ( ) 1 C (A *) A1 ()C )>A >() (+)1 )+1C 1+,A C(,) (A?*C1 *)?BAC A>?>*A (*(?+B) )A)?(11 >)1?)CC (?+1C?>BA )?+,B?(>) 1?(,1?*+1 C?*CC?A+C (A?BBB?)(A **?>>1?1*) AB?(+C?CA1 (*1?)(B?B)C ( + ) A (1 *+ A) ()A )>1 >(+ (+)) )+1A 1+,1 C(,+ (A?*C) *)?BAA A>?>*1 (*(?+B+ )A)?(1) >)1?)CA (?+1C?>B1 )?+,B?(>+ 1?(,1?*+) C?*CC?A+A (A?BBB?)(1 **?>>1?1*+ AB?(+C?CA) (*1?)(B?B)A (7)>Ath (7()Cth (7A1th (7*)nd (7(Ao (7Co (71o Hn %edio ( ) 1 C (A *) A1 ()C )>A >() (+)1 )+1C 1+,A C(,) (A?*C1 *)?BAC A>?>*A (*(?+B) )A)?(11 (?+1C?>BA
)>>")>>")>>"+
)>>")>>")>1"+ )>>")>>")>)"+ )>>")>>")1C"+ )>>")>>")1+"+ )>>")>>"))1"+ )>>")>>"(,)"+ )>>")>>"()C"+
7 )1
7 )* 7 )) 7 )( 7 )+ 7 (, 7 (C 7 (B
)>>")>>"+"+
)>>")>1"+"+ )>>")>)"+"+ )>>")1C"+"+ )>>")1+"+"+ )>>"))1"+"+ )>>"(,)"+"+ )>>"()C"+"+
7 (A 7 (> 7 (1 7 (* 7 () 7 (( 7 (+ 7, 7C 7B 7A 7>
((
3ntroduccin
&refiMo 3D. 3& HtiliDables 3& <;%ero de 7 )1 Direcciones redes Direcciones )AC?1*>?1>A >*A?CB+?,() (?+B*?B1(?C)1 )?(1B?1C*?A1C 1?),1?,AB?),A )AC?1*>?1>1 >*A?CB+?,(+ (?+B*?B1(?C)) )?(1B?1C*?A1A 1?),1?,AB?),1 )?+,B?(>) 1?(,1?*+1 C?*CC?A+C (A?BBB?)(A **?>>1?1*)
71 7* 7) 7( 7+
+"+"+"+
y %ucho %2s"
Direcciones 3& o redes 9ue pueden estar contenidos dentro de una %2scara 3D. ;nico 9ue se conoce co%o 3D.
resu%ibles"
Al dise0ar una red a la 9ue debe asegurar 9ue todas las subredes 3& privada en uso en un lugar deter%inado 3D. son resu%ibles" &or eMe%plo? si se necesitan tres 7 )1 subredes en un solo lugar? utiliDar un )) 7 de la red en cuatro subredes 7 )1 redes" La siguiente tabla %uestra los cuatro 7 )1 9ue subredes
()
3ntroduccin
subredes? tiene un destino de la ruta 9ue cubre todas las redes en cada lugar" Sin ella?
su derecho? o entrar en una %2scara deci%al y haga clic en el botn alcular a su derecha"
(*
3ntroduccin
podr2s ver las instrucciones de uso" #cidr_range.pl Uso: cidr_range.pl <primer <IP <IP <Apellido> Si desea resu%ir (,)"(AC"("(* (,)"(AC"(")+ a trav6s? eMecute cidr_range"pl de la siguiente %anera" #cidr_range.pl 192.168.1.13 192.168.1.20 192.168.1.13/32 192.168.1.14/31 192.168.1.16/30 192.168.1.20/32
@sto de%uestra 9ue to%ar2 cuatro rangos 3D. para incluir slo a trav6s de (,)"(AC"("(* (,)"(AC"(")+" Si uno %ira hacia atr2s en la %esa de 3D.? un 7 ), %2scara cubre C direcciones 3&? y esto es de C direcciones 3&? por lo 9ue 4por 9u6 no un 7 ), es suficiente8 La respuesta es por9ue no se puede elegir una direccin arbitraria de partida para una a%plia 3D." Si usted va enchufe (,)"(AC"("(* )>>")>>")>>")1C y en la .ed 7 <odo alculadora subnet%asL"info [http:77www"subnet%asL"info7\? &odr2s ver las 7 ), de red 9ue contiene (,)"(AC"("(* es (,)"(AC"("C7), con un rango de +"C a +"(> JFigura ("*? N.ed 7
(1
3ntroduccin
de los interruptores"
Hn do%inio de difusin solo puede contener %2s de una subred 3&? sin e%bargo? 9ue es general%ente no se considera buen dise0o de red" subredes 3& deben ser segregados en e%isin separada
(>
3ntroduccin
9uieres 9ue tu servidor web de acceso p;blico? en la %is%a red 9ue la LA<" Si el servidor se
co%pro%etido? el atacante podra f2cil%ente llegar a cual9uier e9uipo de su LA<" Si han dedicado servidores de bases de datos? estos pueden ser aislados de todo lo de%2s y seguro de todo? %enos los servidores 9ue necesitan acceder a bases de datos" Al igual 9ue con el eMe%plo anterior? un co%pro%etido web servidor no podra poner en peligro los servidores de bases de datos tanto co%o si estuvieran en la %is%a
("C"(" LA<
La interfaD LA< es la pri%era interfaD interna del servidor de seguridad" Abreviatura de .ed de 2rea local? es %2s co%;n el lado privado de un router 9ue a %enudo se utiliDa un es9ue%a de direcciones 3& privadas"
("C")" =A<
La interfaD =A< se utiliDa para la cone/in a 3nternet o cone/in a 3nternet pri%aria en una despliegue %ultiI=A<" Abreviatura de red de 2rea e/tensa? es la red social no son de confianDa p;blica fuera
("C"*" :&T
interfaces :&T u opcional se refieren a las interfaces conectadas a las redes locales 9ue no sean
LA<" interfaces :&T se utiliDan co%;n%ente para los seg%entos de LA< en segundo lugar? los seg%entos D!E? inal2%brica
one/iones =A<"
("C">" D!E
orto para la Dona des%ilitariDada" @l t6r%ino fue to%ado de su sentido %ilitar? 9ue se refiere a una especie de a%ortiguador entre un 2rea protegida y una Dona de guerra" @n la creacin de redes? es un 2rea donde su servidores p;blicos 9ue residen es accesible desde 3nternet a trav6s de la =A<? pero ta%bi6n aislado de
la LA< para 9ue un co%pro%iso en la Dona de despeMe no ponga en peligro los siste%as en otros seg%entos"
Algunas co%pa0as de %al uso del t6r%ino NDona de distensinN en sus productos de servidor de seguridad en referencia a (:( <AT en la 3& =A< 9ue e/pone una serie en la LA<" Fay %2s infor%acin sobre este te%a en
Seccin B"*"*? N(:( <AT en la =A< 3&? ta%bi6n conocido co%oN Dona de distensin Nen LinLsysN"
(A
3ntroduccin
#roadco% chipsetsK? rl J.ealteL C(),7C(*,K? entre %uchos otros" Si su siste%a de %eDcla una tarMeta de &ro7(++ y una .ealteL C(*,? las interfaces se fxp0 y rl0 ? respectiva%ente" 3nterfaD asignaciones de no%bres y est2n %2s cubiertos en aptulo *? 3nstalacin y actualiDacin"
(B
en http:77www"freebsd"org7releases7B").7hardware"ht%l" La %2s general de hardware de Free#SD ®untas %2s frecuentes es otro buen recurso a utiliDar para ayudar a la seleccin de hardware" Se puede encontrar en http:77 www"freebsd"org7doc7en_HS"3S:CC>,I(7booLs7fa97hardware"ht%l" @n esta seccin se ofrecen orientacin sobre el %eMor hardware soportado disponibles para fines de cortafuegos y enruta%iento" La consideracin pri%ordial y ;nica reco%endacin fuera de las notas de hardware para la red
adaptadores"
(C
Fardware
los 9ue en general son confiables y funcionan correcta%ente" De las diversas tarMetas & 3 9ue e/isten algunos trabaMos
bien? y algunos tienen varias cosas 9ue se ro%pen" Las 'LA< pueden no funcionar correcta%ente o en absoluto? y
%odo pro%iscuo necesarios para salvar no pueden trabaMar? entre %uchas otras posibilidades"
Si usted tiene tarMetas de red disponibles y est2n construyendo un siste%a de pieDas de repuesto? vale la pena intentar lo 9ue tiene a %ano" !uchas veces ellos no tendr2n ning;n proble%a" Si usted est2 buscando para co%prar hardware para la i%ple%entacin? van con las tarMetas de 3ntel" @n las redes donde la fiabilidad y el rendi%iento son de la %ayor preocupacin? no escati%an en gastos %ediante el uso de cual9uier <3 le sucede 9ue tiene por ah
%al? especial%ente en siste%as 9ue no son co%patibles con HS# )"+? o con adaptadores 9ue son estricta%ente HS# ("(" <3 HS# son ideales en caso de apuro? o cuando se a0ade la conectividad de red a una & de escritorio? y est2n %uy bien para algunas i%ple%entaciones casa cortafuegos? pero para un rendi%iento fiable en el 9ue los centros de datos
(,
Fardware
)")")"(" Live D
U Hnidad de DI.:! U unidad flash HS# o unidad de disco para al%acenar archivos de configuracin
)+
Fardware
ofreciendo platafor%as de hardware en la preIinstalado 9ue usa%os? y sabe%os 9ue es roca slida y plena%ente co%patibles"
'isita http:77www"pfsense"org7vendors para la infor%acin %2s actualiDada sobre reco%ienda
proveedores de hardware"
re9uerido y caractersticas 9ue se utiliDar2n" @n las secciones pr/i%as cubrir estas consideraciones"
por9ue nunca se desea eMecutar el hardware para su plena capacidad durante perodos prolongados"
La eleccin de la tarMeta de red tiene un i%pacto significativo en el rendi%iento %2/i%o alcanDable? dependiendo de la velocidad de la &H" Tabla )"(? Nel rendi%iento %2/i%o por &HN %uestra la rendi%iento %2/i%o alcanDable utiliDando dos tarMetas de red .ealteL C(*, en co%paracin con dos 3ntel &.:7(+++
GT DesLtop tarMetas de red para platafor%as de hardware con las ranuras & 3" &H &entiu% !!G )++ !FD =.A& I )AA !FD Geode A bordo de !a/ .ealteL !a/ &.:7(+++ !a/ .endi%iento J!bpsK .endi%iento J!bpsK .endi%iento J!bpsK n7a )> !bps 1+ !bps )1 !bps n7a n7a
)(
Fardware
!a/ &.:7(+++ !a/ A bordo de !a/ .ealteL .endi%iento J!bpsK .endi%iento J!bpsK .endi%iento J!bpsK C> !bps n7a n7a ,* !bps J(++ !b velocidad de cableK )>+ !bps n7a n7a >( !bps C1 !bps ,* !bps J(++ !b velocidad de cableK n7a n7a A1 !bps )(B !bps *A> !bps
<etgate Fa%aLua J( GFD eleronK &entiu% 33 a *>+ !FD n 7 a n7a &entiu% 333 B++ !FD &entiu% 1 ("B GFD n 7 a
<3 calidad suficiente" &ara un %2/i%o de 1++ a >++ !b 7 s? un vieMo servidor de *") GFD es suficiente"
))
Fardware
re9uiere 9ue los servidores y los siste%as de varias capaD de e%puMar una velocidad de cable Gbps" <o tene%os
e9uipa%iento adecuado para 9ue la escala de las pruebas" &ero eso no 9uiere decir 9ue pfSense no es adecuado en
pa9uetes por segundo JppsK" 4 u2nto rendi%iento 9ue esto e9uivale a depende de la red %edio a%biente? con algunas referencias proporcionadas en Tabla )")? N>++"+++ de pps en distintos
.endi%iento de procesa%iento en >++Qpps )11 !bps ("CB Gbps *"B* Gbps >">, Gbps
de la infor%acin"
la utiliDacin de hardware"
)*
Fardware
re9uiere .A! adicional" ada estado tiene apro/i%ada%ente ( Q# de %e%oria .A!" Tabla )"*? N@stado Grande
Tabla de onsu%o de .A! N proporciona una gua para la cantidad de %e%oria re9uerida para un gran n;%ero de estados" Tenga presente 9ue esto es slo la %e%oria utiliDada para el segui%iento del estado y el otro co%ponentes de pfSense se re9uieren por lo %enos *) a 1C !# de %e%oria .A! adicional en la parte superior de este y posible%ente
(?+++?+++
*?+++?+++
un acelerador de hardware criptogr2fico" Aceleradores criptogr2ficos de hardware? tales co%o cartas de apoyo Fifn gran au%ento %2/i%o de la '&<? y eli%inar en gran %edida la diferencia de rendi%iento entre los siste%as de cifrado" Tabla )"1? N.endi%iento de 3&sec por ipher I AL3GN %uestra el %2/i%o rendi%iento al siste%a de cifrado de hardware para & !otores AL3G JGeode de >++ !FDK con y sin un
SoeLris vpn(1(( acelerador criptogr2fico Fifn" &rotocolo de cifrado D@S *D@S #lowfish AST()C !2/i%o rendi%iento (*"B !bps C"1 !bps (A"> !bps (A"* !bps !2/i%o rendi%iento Jcon FifnK )1
Fardware
)"1")"*" &a9uetes
Algunos pa9uetes tienen un i%pacto significativo en los re9uisitos de hardware en su entorno"
)"1")"*"(" #ufido
Snort? el siste%a de deteccin de intrusiones en la red disponibles en el siste%a de pa9uetes pfSense? puede
re9uieren una cantidad significativa de %e%oria .A!? dependiendo de su configuracin" )>A !# debera
)"1")"*")" ala%ar
S9uid es un pro/yIcach6 FTT& disponible co%o un pa9uete de pfSense servidor? y el disco @ 7 S es una consideracin i%portante para los usuarios de S9uid? ya 9ue deter%ina el rendi%iento de la cach6" &or el contrario? para la %ayora de los usuarios de pfSense es en gran %edida irrelevante? ya 9ue el ;nico i%pacto significativo 9ue la velocidad del disco tiene en pfSense es el %o%ento de arran9ue y el tie%po de actualiDacin? no tiene i%portancia para el rendi%iento de la red u otros
funciona%iento nor%al"
)>
Fardware
@n a%bientes pe9ue0os? incluso para S9uid? cual9uier unidad de disco duro es suficiente" &ara i%ple%entaciones %2s de )++ usuarios
usando S9uid? usted debe considerar (+Q .&! SATA o discos S S3" Htilice (>Q .&! S S3 o SAS
)A
garantiDar la descarga co%pleta correcta%ente" &ara las instalaciones incrustadas? descargue el . Img.gz archivo" @l no%bre de la versin (")"* del archivo es pfSense-1.2.3-nanobsd-tamao. Img.gz? Donde tamao es uno de los >()!? (G? )G? 1G o?
para refleMar el ta%a0o de la tarMeta F para el 9ue se pretende 9ue la i%agen Jlos ta%a0os est2n en ! de %egabyte y G de gigabyteK" <or%al%ente usted desea hacer coincidir el ta%a0o de la i%agen al ta%a0o de su tarMeta F? pero se puede utiliDar una i%agen de %enor ta%a0o en una tarMeta F %2s grande? co%o una i%agen de (G a )G La tarMeta F" @ste archivo es una i%agen co%pri%ida con gDip" <o es necesario e/traer el archivo? ya 9ue el proceso de instalacin
)B
3nstalacin y actualiDacin
hash se puede co%parar con el contenido de la . Md5 archivo descargado desde el sitio web de pfSense? 9ue se puede ver en cual9uier editor de te/to sin for%ato co%o #loc de notas"
p2gina web" JSiste%as G<H o Linu/ proporciona un co%ando %d>su% 9ue funciona de %anera si%ilar"K
<ota
Si el hardware de destino no tiene una unidad de DI.:!? un e9uipo diferente puede se utiliDa para instalar en el disco duro de destino" 'er otras t6cnicas de instalacin
)C
3nstalacin y actualiDacin
no co%o un D de datos 9ue contiene el archivo 3S: solo" &rocedi%ientos para hacerlo vara seg;n la :S y software disponible"
con el no%bre del software de grabacin y N'(e!ar isoNDebera ayudar a localiDar las instrucciones"
9ue contiene la nor%a 3S: pfSense? haga clic derecho sobre 6l y haga clic en la i%agen opiar a D"
),
3nstalacin y actualiDacin
Si no hay una aplicacin gr2fica 9ue%a instalado? a;n es posible grabar desde el
de lnea de co%andos" @n pri%er lugar? deter%inar el dispositivo de grabacin de S S3 3D 7 LH< JLogical Hnit <u%berK con
el siguiente co%ando: #cdrecord - scan)(s Cdrecord-Clone 2.01 (i686-pc-linux-gnu) Copyright (C) 1995-2004 Jrg Schilling Linux versin del controlador sg: 3.1.25 Al usar la versin libscg 'Schily-0.8'. scsibus0: 0,0,0 100 'LITE-ON') 'COMBO LTC-48161H' KH0F 'extrable de CD-ROM
Tenga en cuenta el S S3 3D 7 LH< 0,0,0" Grabar la i%agen co%o en el eMe%plo siguiente? ree%plaDando <Max > Velocidad con la velocidad de la hornilla y lun con el 3D S S3 7 LH< del grabador: #cdrecord - de$ *lun - +elocidad *speed> <mximo , pfSense-1.2.3-#i$e%D-&nstaller.iso
*")"("1" 'erificacin de la D
Ahora 9ue el D est2 preparado? co%pruebe 9ue se ha grabado correcta%ente consultando los archivos contenidos en el D" !2s de )+ carpetas deben ser visibles? incluyendo depsito? de arran9ue? v6ase? conf? y %ucho %2s" Si slo un archivo 3S: grande 9ue se ve? el D no se ha grabado correcta%ente" .epita los pasos indicados anterior%ente para grabar un D? y aseg;rese de grabar el archivo 3S: co%o una i%agen de D y no co%o un archivo de datos"
*+
3nstalacin y actualiDacin
la educacin de un %en; de arran9ue una veD se pulsa una tecla durante el &:ST? co%;n%ente @sc o F()"
@n su defecto? ca%biar el orden de arran9ue en la #3:S" @n pri%er lugar el poder? en el siste%a y entrar en el #3:S de configuracin" @s tpica%ente encontrado en una prioridad de arran9ue o la partida de inicio? pero podra estar en cual9uier lugar" Si arrancar desde el DI.:! no est2 habilitado? o tiene una prioridad %2s baMa 9ue el arran9ue desde el disco duro y la unidad contiene otro siste%a operativo? el siste%a no arran9ue desde el D de pfSense" onsulte el
placa %anual para obtener infor%acin %2s detallada en la %odificacin de la orden de inicio"
*(
3nstalacin y actualiDacin
Hna lista de las interfaces de red y sus direcciones !A 9ue se encuentra en el siste%a aparecer2? Munto con una indicacin de su estado de vnculos si 9ue es co%patible con la tarMeta de red" @l estado de los vnculos se denota por NJarribaKN 9ue aparece despu6s de la direccin !A si un enlace se detecta en esa interfaD" La !A J!edia Access ontrolK de una tarMeta de red es un identificador ;nico asignado a cada tarMeta? y no hay dos tarMetas de red deben tener la %is%a direccin !A " J@n la pr2ctica? esto no es bastante duplicacin cierto? la direccin !A se produce con bastante frecuencia"K Despu6s de eso? un %ensaMe aparecer2 para La configuracin de 'LA<" Si se desean las 'LA<? consulte aptulo (+? LA< virtuales J'LA<K %2s adelante en
tarMetas de red es desconocida? la for%a %2s sencilla de resolverlo sera utiliDar la deteccin auto%2tica
funcin"
&ara la asignacin auto%2tica de interfaD? en pri%er lugar desconecte todos los cables de la red del siste%a? a continuacin? escriba (na y pulse @nter" Ahora conectar un cable de red en la interfaD 9ue debe conectarse a la LA<?
y pulse @nter" Si todo ha ido bien? pfSense debe saber ahora 9ue la interfaD a utiliDar para la
LA<" @l %is%o proceso se puede repetir para la =A< y las interfaces opcionales 9ue se le sea necesario" Si aparece un %ensaMe co%o <o vinculacin detecta? consulte la Seccin *">? N3nstalacin
Solucin de proble%as N &ara obtener %2s infor%acin sobre la separacin de las identidades de tarMeta de red"
Despu6s de las interfaces se han configurado? aparecer2 un %ensaMe pidiendo Quieres continuar?" Si la asignacin de interfaD de red aparece tipo correcto? /? A continuacin? presione @<T.A." Si el
teclado se est2 utiliDando? eliMa aceptar esta configuracin y pasar al siguiente paso"
A continuacin? una lista de tareas se presentar2" Si slo hay un disco duro instalado en el siste%a y no es necesario configurar las opciones de encargo? r2pido 7 instalacin sencilla se puede elegir" @sto la instalacin en el pri%er disco duro se encuentra y acepta todas las opciones por defecto" Hn di2logo de confir%acin se %ostrar2" &ulse Aceptar para continuar o ancelar para volver al %en; anterior" La instalacin
continuar2 y 9ue slo deMe para solicitar 9ue el n;cleo debe ser instalado"
*)
3nstalacin y actualiDacin
Si decide utiliDar el 5uicL 7 opcin de instalacin sencilla? vaya a Tabla *"(? N:pciones del LernelN de
opciones del Lernel" De lo contrario? elige la pri%era opcin: 3nstalar pfSense para realiDar una instalacin personaliDada
ayudar"
@l siguiente paso es for%atear la unidad 9ue fue elegido Musto" A %enos 9ue se sabe con certeDa 9ue el unidad contiene una particin de Free#SD utiliDable? seleccione For%ato de este disco y pulse enter" De lo contrario? elegir :%itir este paso" uando se present la pantalla de la geo%etra del disco? es %eMor elegir utiliDar esta geo%etra" @s posible ree%plaDar este si hay %2s valores correctos son conocidos? pero en la %ayora de los casos los valores por defecto son correctos" Hna pantalla de confir%acin aparecer2? %o%ento en el 9ue la unidad de for%ato O
<ota
@ste es un buen lugar para parar y asegurarse de 9ue la unidad correcta ha sido seleccionada? co%o
no hay vuelta atr2s una veD 9ue esta accin se ha realiDado" Todo en el el disco se destruir2n"
el arran9ue dual con otro siste%a operativo es posible 9ue los usuarios avanDados 9ue saben configurar %anual%ente esas cosas? pero este tipo de configuraciones no se ad%iten oficial%ente y se
Hn cuadro de confir%acin aparecer2 con el resultado de ese co%ando? y si se logr la prensa? introduDca
**
3nstalacin y actualiDacin
9ue se cre para pfSense" :tra ventana de confir%acin de presentacin de infor%es del 6/ito del proceso de for%ateo"
Subparticiones ahora se pueden crear? pero de nuevo los valores por defecto en esta pantalla ser2 aceptable para
casi todos los usos" Algunas personas prefieren tener subparticiones separado para / Var?/ Tmp? S as sucesiva%ente? pero
esto no es necesario? y no debe hacerlo a %enos 9ue tenga un conoci%iento considerable de los re9uisitos de espacio especfico para su instalacin" Si va a realiDar una instalacin co%pleta de flash
los %edios de co%unicacin co%o base una tarMeta F o disco HS#? aseg;rese de retirar la de intercambio particin" Facer los ca%bios deseados? a continuacin? seleccione Aceptar y rear"
Ahora si6ntese y espere? espere? y tienen unos pocos sorbos de caf6 %ientras 9ue el proceso de instalacin de copias pfSense a la ubicacin de destino" Despu6s de 9ue el proceso de instalacin ha finaliDado su trabaMo? hay una indicacin final para seleccionar el Lernel para instalar en el siste%a de destino" Fay cuatro opciones disponibles? cada uno con
sus propios fines: Qernel tipo !ultiprocesa%iento si%6trico del n;cleo <;cleo %onoprocesador @%bebido n;cleo Los desarrolladores del Lernel :bMetivo 7 Descripcin Se utiliDa para los siste%as 9ue tienen varios n;cleos o procesadores" Se utiliDa para los siste%as 9ue tienen un solo procesador Deshabilita 'GA de la consola y el teclado? usa consola serie" 3ncluye opciones de depuracin ;til para los desarrolladores"
cierto hardware? independiente%ente del n;%ero de procesadores? no funcionar2 de for%a fiable? o en absoluto con el n;cleo %onoprocesador? pero funciona bien con el Lernel S!&? as co%o viceversa" @n caso de 9ue
el D antes de 9ue el proceso de arran9ue co%ienDa" Felicidades? pfSense est2 total%ente instaladoX
*1
3nstalacin y actualiDacin
<ota
Tenga %ucho cuidado al hacer estoX Si se trata de eMecutar esto en una %29uina 9ue contiene otros
unidades de disco duro es posible seleccionar la unidad e9uivocada y sobrescribir una parte de ese unidad con pfSense" @sto deMa el disco co%pleta%ente ilegible? salvo para ciertos progra%as de recuperacin de disco? y 9ue es golpeado y se pierda en el %eMor" physdisLwrite para =indows contiene una revisin de seguridad 9ue no per%ite sobrescribir una unidad %2s grande de C++ !# sin una opcin especfica en la lnea de co%andos" La %anera %2s segura de instalar pfSense a un F es a trav6s de la redireccin de HS# con '!ware? discutido %2s adelante en este captulo en la instalacin de t6cnicas alternativas para la seccin JSeccin *"1? N3nstalacin Alternativa
T6cnicas NK" Hna veD %2s? sea %uy cuidadoso al hacer estoX Fago hincapi6 en esto por9ue s6 de varios
personas 9ue han escrito %al un disco y sobrescribe el disco duro" @sto puede suceder a nadie? incluido el otro fundador de pfSense? 9ue accidental%ente sobrescribi su
<ota
Ta%bi6n hay disponible una interfaD gr2fica de usuario para physdisLwrite lla%ado &hysGH3? pero slo el
versin disponible de este escrito fue en ale%2n" Dicho esto? la interfaD gr2fica de usuario es si%ple suficiente para el uso 9ue puede 9ue no sea una barrera para %uchas personas" De hecho? puede resultar %2s f2cil de usar? incluso en un idio%a e/tranMero? 9ue la versin de lnea de co%andos se encuentra en 3ngl6s" &or eMe%plo? la identificacin de los dispositivos adecuados es una tarea %ucho %2s si%ple" @s
*>
3nstalacin y actualiDacin
@n =indows 'ista o =indows B? physdisLwrite debe ser lanDado desde un s%bolo del siste%a de eMecucin
co%o ad%inistrador" Si%ple hecho de tener derechos de ad%inistrador no es suficiente" La for%a %2s sencilla de hacer esto
es hacer clic en el botn 3nicio? a continuacin? escriba c!d en el cuadro de b;s9ueda" Faga clic en cmd.exe cuando
aparece y seleccione @Mecutar co%o ad%inistrador" @l progra%a physdisLwrite continuacin? se puede eMecutar desde 9ue el s%bolo del siste%a sin ning;n proble%a" @Mecutarlo desde un s%bolo del siste%a 9ue no ha
eMecutar co%o ad%inistrador se dar2 lugar a ning;n disco 9ue se encuentra" &ara utiliDar physdisLwrite? en pri%er lugar iniciar un s%bolo del siste%a" A continuacin? ca%bie al directorio 9ue contiene physdiskwrite.exe y eMecutarlo seguido por el
ruta de acceso al pfSense.img.gz archivo descargado antes" Despu6s de eMecutar el co%ando? un %ensaMe con una lista de unidades conectadas al siste%a aparecer2" La %anera %2s segura para garantiDar la unidad correcta
es elegido sera eMecutar physdisLwrite antes de insertar el registro F? la salida? a continuacin? pulse trl b para salir" 3nserte la tarMeta F y eMecutar physdisLwrite nuevo? co%parar la salida a la anterior
de eMecucin" @l disco se %uestra ahora 9ue no se haba de%ostrado es la fibrosis 9ustica" @l n;%ero de cilindros
JN ilindrosN de la produccin physdisLwriteK ta%bi6n se puede utiliDar para ayudar a indicar la unidad apropiada" Los >() !#
F utiliDado en el eMe%plo siguiente se cuenta con A* cilindros? %ientras 9ue los discos duros tienen %2s de *+"+++"
Asi%is%o? recuerda 9ue physdisLwrite tiene un %ecanis%o de seguridad 9ue no se sobreponen a un disco %2s grande de ) G#? sin especificar -U despu6s del co%ando physdisLwrite" Tras seleccionar el disco a escribir? physdisLwrite a escribir la i%agen" @sto to%ar2 entre
de dos a dieD %inutos en una %29uina r2pida con HS# )"+ y HS# )"+ escritor F" Si el siste%a o escritor de F es slo HS# ("(? espera%os 9ue to%e varias veces %2s largo debido a la velocidad %uy baMa de
HS# ("(" @l siguiente es un eMe%plo pr2ctico del uso de physdisLwrite para escribir una i%agen pfSense" Microsoft Windows [Versin 6.0.6001] Copyright (c) 2006 Microsoft Corporation. Todos los derechos reservados. C: \ Windows \ system32> cd , tools C: \ Herramientas> p0/sdis12rite.e-e c: , te!p , pfSense-1.2.3-nano)sd-"123.i!g.g4 physdiskwrite v0.5.1 por Manuel Kasper <mk@neon1.net> La bsqueda de unidades fsicas ... Informacin para \ \ \ Windows: cilindros: TPC: SPT: PhysicalDrive0.: 36481 255 63
*A
3nstalacin y actualiDacin
Informacin para \ \ \ Windows: cilindros: TPC: SPT: Informacin para \ \ \ Windows: cilindros: TPC: SPT:
Informacin para \ \ \ Windows: cilindros: TPC: SPT: Informacin para \ \ \ Windows: cilindros: TPC: spt:
Qu disco quieres escribir? (0 .. 7) 2 Acerca de sobreescribir el contenido del disco 2 con nuevos datos. Desea continuar? (Y / n) / Que se encuentran comprimidos archivo de imagen 122441728 / 122441728 bytes escritos en total C: \ Herramientas> Despu6s de physdisLwrite ha co%pletado? el F se puede 9uitar de la escritora y se coloca en el obMetivo de hardware"
*B
3nstalacin y actualiDacin
<ota
@l escrito contiene F #SD particiones for%ateadas siste%a de archivos 9ue no se pueden leer
en =indows" =indows recla%ar2 la unidad necesita ser for%ateado debe intentar para acceder a ella" <o hacerlo? slo tiene 9ue %over el F para el hardware de destino" <o hay
<o haga caso de la advertencia sobre la final de basura I 9ue es por la fir%a digital" Si la i%agen se 9ueda corta o errores despu6s de slo la transferencia de una pe9ue0a cantidad de datos? es posible necesidad de desco%pri%ir la pri%era i%agen: #g(n4ip pfSense-1.2.3-nano)sd.i!g.g4 #dd if * pfSense-1.2.3-nano)sd.i!g of * 6 de$ 6AdX o)s * 671
*C
3nstalacin y actualiDacin
p6rdida" U onecte su lector de F con la tarMeta F insertada" U Si el !ac :S G aparece un %ensaMe diciendo 9ue la tarMeta no se puede leer? haga clic en 3gnorar" U Abrir Htilidad de Discos"
U Seleccione las particiones de tu tarMeta F 9ue se %ontan? y haga clic en el botn de des%ontar" La
particiones debe aparecer ahora en gris" U Seleccione el lector de tarMetas F en la colu%na de la iD9uierda? y haga clic en el botn de infor%acin" U Tenga en cuenta el N3dentificador de disco: por eMe%plo? ^DisL(" U Abre Ter%inal" U 'aya al directorio 9ue contiene la i%agen pfSense" U Htilice este co%ando? en sustitucin de disco [n] con el disco de identificador 9ue se encuentran por enci%a de: #g4cat pfSense-1.2.3-nano)sd.i!g.g4 5 dd of * 6 de$ 6disco [n] )s * 161 Ta%bi6n e/iste la siguiente alternativa para lograr esto por co%pleto de la lnea de co%andos" $lista dis1(til / Dev/disk0 #: TAMAO TIPO NOMBRE DE IDENTIFICACIN 0: GUID_partition_scheme * 298.1 Gi disk0 1: EFI 200.0 Mi disk0s1 2: Apple_HFS Macintosh HD 297.8 Gi disk0s2 / Dev/disk1 #: TAMAO TIPO NOMBRE DE IDENTIFICACIN 0: CD_partition_scheme 30 das a Gran Francs * 521.4 Mi disk1 1: CD_DA 7.8 Mi disk1s1 2: CD_DA 7.8 Mi disk1s2 3: 18,2 CD_DA Mi disk1s3 4: CD_DA 13.8 Mi disk1s4 5: CD_DA 14.0 Mi disk1s5
*,
3nstalacin y actualiDacin
/ Dev/disk2 #: TAMAO TIPO NOMBRE DE IDENTIFICACIN 0: GUID_partition_scheme * 90.0 Mi disk2 1: Apple_HFS Procesamiento de 90.0 Mi disk2s1 / Dev/disk3
#: TAMAO TIPO NOMBRE DE IDENTIFICACIN
0: FDisk_partition_scheme * 978.5 Mi disk3 1: DOS_FAT_32 UNTITLED 978.4 Mi disk3s1 $dis1(til (!o(nt dis13s1 $g4cat pfSense-e!)edded.i!g.g4 5 dd of * 6 de$6dis13s1 )s * 161 7665 registros en un 7665 un registro de 125587456 bytes transferidos en 188.525272 secs (666157 bytes / seg)
1+
3nstalacin y actualiDacin
siste%as" @n Free#SD? utiliDa el incorporado en el progra%a punta" @scribiendo p(nta co!1 se conectar2 para el pri%er puerto serie" Desconecte escribiendo N8.NAl principio de una lnea"
ual9uiera 9ue sea el cliente de serie? se procurar2 9ue se establece para la velocidad adecuada J,A++K? #its de datos JCK? &aridad JnK? y los bits de parada J(K" <or%al%ente? esto se escribe co%o ,A++7C7<7(" Algunas unidades incrustado por defecto a una velocidad %2s r2pida" & !otores =.A& y por defecto AL3G a *C1++7C7<7( y SoeLris por defecto de hardware para (,)++7C7<7(" !uchos clientes por defecto de serie para ,A++7C7<7(? por lo 9ue la adaptacin de 6stas configuracin puede no ser necesario" Hsted tendr2 9ue utiliDar ,A++7C7<7( con pfSense independiente%ente de la configuracin de su hardware" &ara el hardware con otras velocidades de ,A++? es probable 9ue desee
ca%bia la velocidad de trans%isin en ,A++ en la configuracin de la #3:S para 9ue el #3:S y pfSense son accesibles con
la %is%a configuracin" onsulte el %anual de su hardware para obtener infor%acin sobre la configuracin de su velocidad de trans%isin"
1(
3nstalacin y actualiDacin
Hna veD 9ue las interfaces se les ha asignado? el siste%a debe estar listo para configurar a trav6s de la =ebGH3"
i%ple%entaciones"
%29uina original" uando se le solicite con Asignar interfaces durante el inicio del Live D? seleccione n para 'LA<s y el tipo salida a asignar la interfaD LA< del siste%a para pasar de asignacin de interfaD" A continuacin? proceder
a trav6s de la instalacin nor%al%ente" Aparecer2 un %ensaMe en el instalador para configurar la red configuracin? y esto se puede o%itir ta%bi6n" Despu6s de la instalacin? per%iten 9ue la %29uina se reinicie y apagarlo? una veD 9ue regresa a la pantalla del #3:S" .etire el disco duro de la instalacin %29uina y colocarla en el siste%a de destino" Despu6s del arran9ue? se le solicitar2 la asignacin de interfaD
co%o en este eMe%plo: Timecounter "CET" frecuencia 431646144 Hz calidad 800 Timecounters marque todos los ms 10.000 Rpido IPsec: Procesamiento de iniciada la Asociacin de Seguridad. ad0: DN4OCA2A> <HMS360404D5CF00 3906MB en UDMA33 ata0-master Tratando de montar la raz de ufs: / dev /ad2s1a Manual de sistema de archivos raz de la especificacin: <fstype>: <device> Monte <device> utilizando <fstype> sistema de archivos por ejemplo. ufs: da0s1a
1)
3nstalacin y actualiDacin
? Lista vlida dispositivos de disco de arranque <empty line> Cancelar entrada manual > Mountroot 9FS:ad0s1a Tratando de montar la raz de ufs: ad0s1a ___ ___ / F \ / P \ ___ / Sentido \ ___ / \ \ ___ / @l siste%a est2 tratando de %ontar la unidad con el no%bre de dispositivo incorrecto? co%o ad2" Hna lnea Musto por enci%a de
el mountroot siste%a debe indicar la ubicacin real de la unidad? tales co%o ad0" &ara continuar con el
proceso de arran9ue? escriba el no%bre de dispositivo correcto" @n este caso? 9FS:ad0s1a" #asta con sustituir ad0 en
esa lnea con el no%bre del dispositivo de la unidad de disco duro? co%o se %uestra por enci%a de este siste%a" To%e nota de la
Diagnstico @ditar el archivo y abra / Etc / fstab" .ee%place cada instancia del no%bre del dispositivo en ese archivo y guardar los ca%bios" .einiciar el siste%a para verificar el ca%bio"
&ara 9uienes est2n fa%iliariDados con las operaciones de lnea de co%andos? para ca%biar esto en la lnea de co%andos elegir opcin 8 una veD 9ue la consola de cargas para entrar en el %en; para iniciar una shell" @n este eMe%plo se utiliDa el editor vi" Si
vi no es una opcin deseable? ee ta%bi6n est2 disponible y cuenta con ayuda en pantalla" A continuacin? introduDca el co%ando para editar el fstab archivo" #$i 6 etc 6 fsta) @l contenido del archivo aparecer2" Se ver2 algo co%o esto: # Opciones de dispositivo Punto de montaje fstype dump pass # / Dev/ad2s1a / ufs rw 1 1
Faga los ca%bios necesarios" @n este eMe%plo? el dispositivo es incorrecta ad2? @sto debe ser ca%biado
a ad0:
# Opciones de dispositivo Punto de montaje fstype dump pass #
/ Dev/ad0s1a / ufs rw 1 1
1*
3nstalacin y actualiDacin
Ahora guarda el archivo y salga del editor" J@sc? a continuacin? : :'; si vi fue utiliDado"K
las instrucciones siguientes son especficas de '!ware =orLstation A"+ y versiones anteriores" U rear un e9uipo virtual con redirecciona%iento HS#" U Desconecte el escritor F desde su & " U onecte el F 7 !icrodrive F en su escritor" U 3nicie la %29uina virtual y haga clic en el interior de la %29uina virtual para 9ue tenga el foco"
U onecte el escritor de F en su & " La %29uina virtual se levante el dispositivo HS#? y el pfSense
D de instalacin reconocer2 la tarMeta F 7 !icrodrive co%o un disco duro" U ontin;e con la instalacin de la %is%a co%o una co%pleta instalacin nor%al"
@n '!ware =orLstation A">? podr2s ver un icono para cada dispositivo HS# en la %29uina a lo largo del
parte inferior de la ventana de '!ware" Faga clic en el dispositivo y haga clic en %onecte <Desconecte
de acogida= para utiliDarlo dentro de su %29uina virtual" onsulte la docu%entacin de '!ware para %2s infor%acin
en la redireccin de HS#"
secciones siguientes se describen los proble%as %2s co%unes y las %edidas adoptadas para resolverlos"
11
3nstalacin y actualiDacin
ontrolador o placa base Fa habido casos donde las versiones especficas de los D de Free#SD gestor de arran9ue no funciona en algunos siste%as" @n este caso? consulte la seccin anterior sobre c%o realiDar la instalacin en un disco duro & por separado y luego pasar al siste%a de destino"
Fay %2s t6cnicas de solucin de proble%as 9ue aparecen en la docu%entacin pfSense =iLi en Solucin de proble%as de arran9ue [Fttp:77doc"pfsense"org7inde/"php7#oot_Troubleshooting\"
es un gestor de arran9ue con %uchas caractersticas 9ue soporta varios siste%as operativos? los %edios de arran9ue? y siste%as de archivos" Su p2gina web es http:77
www"gnu"org7software7grub7"
1>
3nstalacin y actualiDacin
Al igual 9ue en la seccin anterior? hay %2s t6cnicas de solucin de proble%as enu%erados en el
la docu%entacin en lnea en Solucin de proble%as de arran9ue [Fttp:77doc"pfsense"org7inde/"php7
#oot_Troubleshooting\"
enchufe el cable de nuevo en la interfaD y aseg;rese de 9ue tiene una luD de enlace antes de pulsar 3ntro"
Si un cable de red est2 conectado directa%ente entre dos siste%as y no con un interruptor de garantiDar? 9ue un cable cruDado [\ Fttp:77en"wiLipedia"org7wiLi7@thernet_crossover_cable se est2 utiliDando" Algunos adaptadores nuevos pueden apoyar AutoI!D3G [http:77en"wiLipedia"org7wiLi7AutoI!D3G\ S se encargar2 de esto interna%ente? pero %uchos adaptadores %2s vieMos no" Del %is%o %odo? si la cone/in de un pfSense
siste%a a un switch 9ue no soporta AutoI!D3G? utilice un cable de cone/in directa parche"
Si la interfaD est2 conectado correcta%ente? pero pfSense a;n no detecta el enlace hasta el
interfaces de red se utiliDa no detecta correcta%ente enlace por alguna raDn" @n este caso?
a los no%bres de interfaD en la pantalla de asignacin: le0 08:00:27:26: a4: 04 le1 08:00:27:32: CE: 2f
La direccin !A es a veces i%preso en una pegatina en alg;n lugar fsica%ente en la tarMeta de red" Las direcciones !A ta%bi6n se asignan por el fabricante? y hay varias bases de datos en lnea 9ue le per%itir2 hacer una b;s9ueda inversa de una direccin !A con el fin de encontrar la e%presa 9ue hiDo
la tarMeta")
Las tarMetas de red de diferentes %arcas? %odelos o conMuntos de chips a veces se pueden detectar con diferentes conductores" &uede ser posible decir una tarMeta 3ntel utiliDando el fxp ade%2s de un controlador .ealteL tarMeta con la rl conductor %irando a las propias tarMetas y la co%paracin de las deno%inaciones
en el circuito"
)http:77www"C+CA"net7tools7%ac7?
1A
3nstalacin y actualiDacin
Hna veD 9ue se deter%ina 9ue la tarMeta de red se utiliDar2 para una deter%inada funcin? escriba en la interfaD de
pantalla de asignacin cuando se le solicite" @n el eMe%plo anterior? le0 se =A< y le1 ser2 LA<" uando se le pida pri%ero para la direccin de LA<? se hara le1 y pulse @nter" A continuacin? cuando se le pida la =A<? el tipo le0? S pulse @nter" Dado 9ue no e/isten interfaces opcionales? un
%2s prensa de entrar? a continuacin? / co%pletar2 la tarea" @n casi todas las & de torre? la %2s alta
ranura & 3 ser2 la pri%era tarMeta de red? ordenados secuencial%ente en orden de arriba hacia abaMo" uando tienes tres 3ntel fxp tarMetas en un siste%a? la tarMeta de red superior es nor%al%ente fxp0? @l uno por debaMo de ese fxp1? S el
%2s baMa fxp2" @sto depende de la placa base? pero casi sie%pre es cierto" Si
tener una tarMeta de red a bordo 9ue es la %is%a %arca co%o un co%ple%ento de la <3 ? tenga en cuenta 9ue algunos siste%as se
no lo necesita? se lo 9uita"
tienen una configuracin para el siste%a operativo? 9ue por lo general se debe establecer en otros"
revisin" La gente parece tener dificultades para creer esto? pero confa en %? slo haDlo" #3:S actualiDaciones co%;n%ente corregir errores en el hardware" <o es raro 9ue se encontr con proble%as inducidos por errores de hardware en siste%as 9ue tienen estable eMecutar =indows desde hace a0os" Supongo 9ue cual9uiera de las ventanas no provoca el error? o tiene un trabaMo en torno? co%o yo personal%ente he visto esto en %;ltiples ocasiones" Las cosas 9ue la actualiDacin del #3:S puede solucionar incluyen la falta de arran9ue? tie%po de %anteni%iento de los proble%as? y en general
1B
3nstalacin y actualiDacin
de verificacin Seccin *">"1")? NDeshabilitar &<& :S en la #3:SN de nuevo despu6s de hacer esto"
Los eMe%plos %2s co%unes incluyen el puerto paralelo? %ode%s a bordo? los dispositivos de audio? Firewire? posible%ente
HS# y los puertos serie a %enos 9ue usted planea usar una consola serie"
tiene un registro de eventos 9ue puede enu%erar los errores de hardware? tales co%o fallas de prueba de %e%oria"
software puede revelar" Debe probar el disco duro con software de diagnstico del fabricante? y poner a prueba la %e%oria con un progra%a co%o el %e%testCA b" @stas y %2s herra%ientas est2n disponibles en el NHlti%ate #oot D [http:77www"ulti%atebootcd"co%7\ N? 5ue se carga con %uchas
<ano#SD i%2genes de a%bos sectores" Hn AL3G en la necesidad de una actualiDacin del #3:S nor%al%ente presentan los siguientes snto%as en el arran9ue:
1C
3nstalacin y actualiDacin
Phys. C / H / S 7964/16/63 C Entrar / H / S 995/128/63 Un FreeBSD 2 FreeBSD Arranque: 1 ############ @l n;%ero de %arcas de al%ohadilla J`K poco a poco crecer2 con el tie%po co%o el arran9ue intenta continuar" Si este
co%porta%iento se ve? siga los procedi%ientos de actualiDacin del #3:S de su proveedor de por lo %enos la versin +",,h Ade%2s de necesitar la versin +",,h #3:S? el #3:S ta%bi6n se debe establecer para el %odo FS Jcilindro 7
$efe 7 Sector %odo para hacer frente a los datos en un discoK? co%o en el eMe%plo siguiente: PC Motores ALIX.2 v0.99h 640 KB de memoria base 261.120 KB de memoria ampliada 01F0 Maestro 848A SanDisk SDCFH2-004G Phys. C / H / S 7964/16/63 C Entrar / H / S 995/128/63 Configuracin de la BIOS: * 9 * 9600 (2) 19 200 baudios (3) 38 400 baudios (5) 57 600 baudios (1) 115.200 baudios ? % ? %@S !odo (L) el modo LBA (W) disco duro de espera (V) del disco duro esclavo (U) UDMA permiten (M) MFGPT solucin (P) a finales de inicio PCI * R * de serie de la consola permiten (E) de arranque PXE permiten (X) Xmodem subir (Q) Salir &ara llegar a esta pantalla? pulse S %ientras 9ue la prueba de %e%oria se %uestra en la consola serie" A continuacin? prensa % para ca%biar al %odo FS? a continuacin? pulse A deMar de fu%ar" @n este punto el AL3G debe arrancar de for%a adecuada ya sea de corte de una i%agen de <ano#SD"
1,
3nstalacin y actualiDacin
archivo debe estar en E: \ Conf \ config.xml si la unidad HS# E:" Sustituir el caso letra de unidad para el siste%a 9ue se utiliDa"
@/traiga la unidad HS# de la estacin de trabaMo? y luego ench;felo en el siste%a de pfSense se restaurado" &onga el D en vivo en su unidad de DI.:!? y arrancar el siste%a" Debe ser evidente 9ue el siste%a utiliDado la configuracin de la HS# y no del siste%a para configurar las interfaces" Lo ;nico 9ue 9ueda por hacer es seguir los pasos descritos en Seccin *")"1? N3nstalacin del disco duro
>+
3nstalacin y actualiDacin
<ota
Tenga cuidado al 9uitar una unidad HS# de un siste%a de pfSense" Sie%pre es %2s segura de hacerlo cuando el poder est2 apagado" Si la unidad HS# se %onta por una 9ue eMecutan el siste%a pfSense y 9uitar sin des%ontar? el siste%a se blo9uear2 y reiniciar el siste%a con resultados posible%ente i%predecibles" Free#SD es incapaD de perder Actual%ente los siste%as de ficheros %ontados sin inducir el p2nico" @sto ya no ser2 un
otra causaK? la configuracin se puede conservar al %is%o tie%po acabando con el resto de los archivos instalados"
Durante el proceso de instalacin? antes de elegir pfSense instalacin hay una opcin del %en; %arcada .escate config"/%l" uando se elige esta opcin? la configuracin se puede seleccionar desde cual9uier al%acena%iento %asivo los %edios de co%unicacin relacionada con el siste%a" @l proceso de instalacin se carga esta configuracin? y una veD
la configuracin antigua visitando Diagnstico opia de seguridad 7 restauracin en la red una veD =ebGH3
conectividad ha sido restaurada" @n el 2rea .estaurar configuracin de la p2gina? haga clic en @/a%inar? encontrar el archivo de copia de seguridad de configuracin" Hna veD localiDado? haga clic en Abrir y? final%ente? haga clic en .estaurar De configuracin" La configuracin ser2 restaurada y el siste%a se reiniciar2 auto%2tica%ente" Despu6s de reiniciar el siste%a? la configuracin co%pleta debe estar presente" @ste proceso se describe con %ayor detalle en
la configuracin e/istente"
Al %antener un siste%a de pfSense actualiDado con una versin actual apoyo? 9ue nunca ser2 obsoleto" Las nuevas versiones se liberan peridica%ente 9ue contienen nuevas caractersticas? actualiDaciones? correccin de errores? y varios otros ca%bios" @n la %ayora de los casos? la actualiDacin de una instalacin de pfSense es %uy f2cil" Si actualiDas a una nueva
liberacin 9ue es un slo un punto de desenganche Jpor eMe%plo? (")") a (")"*K? la actualiDacin debe ser %ni%a%ente invasiva
>(
3nstalacin y actualiDacin
y es i%probable 9ue cause proble%as" @l proble%a %2s co%;n es la regresin especficos del hardware
de una versin de Free#SD a otro? aun9ue esto sea %uy poco frecuente" ActualiDacin versiones fiMar %2s hardware
9ue se ro%pen? pero regresiones son sie%pre posibles" !2s grandes saltos? por eMe%plo de (")"* a )"+ en el futuro debe ser %aneMado con cuidado? y lo ideal sera probado en hardware id6ntico en una prueba
seccin de la p2gina? aseg;rese de 9ue la Dona de copia de seguridad se establece en BCDCS? A continuacin? haga clic en Descargar configuracin"
Guardar este archivo en un lugar seguro? y no estara de %2s hacer varias copias" A9uellos con un pfSense &ortal [https: 7 7 portal"pfsense"org 7\ suscripcin debe considerar el uso de la configuracin de copia de seguridad auto%2tica
pa9uete? y hacer una copia de seguridad %anual to%a nota de la raDn co%o antes de la actualiDacin"
Ta%bi6n puede ser una buena idea tener a %ano para instalar los %edios de co%unicacin la liberacin actual%ente en eMecucin? en caso de 9ue algo va %al y una reinstalacin es necesario" Si eso ocurre? tiene el archivo de copia de seguridad en la %ano y se refieren a la anterior Seccin *"A? N3nstalacin de .ecuperacinN" Ta%bi6n se refieren a aptulo >?
#acLup y .ecuperacin"
actualiDaciones fiables se puede realiDar co%o una instalacin co%pleta" ontinuar2 en la instalacin co%pleta
<ota
Si va a actualiDar desde una versin anterior de pfSense hasta la versin (")"*? 9ue se todava tienen 9ue reflash la tarMeta con una nueva i%agen basada en <ano#SD" A partir de entonces se
>)
3nstalacin y actualiDacin
anuncio aparecer2 con los archivos de actualiDacin para la versin actual de pfSense" Descargue el . Tgz archivo?
J&or eMe%plo? pfSense-Full-Update-1.2.3.tgzK S 9ue aco%pa0a a la . Md5 archivo para verificar la descarga" 'er Seccin *"("(? N o%probar la integridad de la descargaN en !D> para obtener detalles sobre
c%o utiliDar un . Md5 archivo" &ara instalar el archivo de actualiDacin? visite el pfSense =ebGH3" Faga clic en Siste%a Fir%ware" Faga clic en Fabilitar
argar fir%ware" Faga clic en el botn @/a%inar situado Munto al fir%ware de archivo de i%agen" #us9ue la actualiDacin archivo descargado en el paso anterior y haga clic en Abrir" &or ;lti%o? haga clic en la actualiDacin del Fir%ware botn" La actualiDacin tendr2 unos %inutos para cargar y aplicar? en funcin de la velocidad de la cone/in 9ue se utiliDa para la actualiDacin y la velocidad del siste%a de destino" @l firewall se reiniciar2
actualiDacin auto%2tica" @s %2s seguro es utiliDar las versiones oficiales? ya 9ue ver la %ayora de las pruebas y debe ser raDonable%ente seguro y sin proble%as" Sin e%bargo? co%o con cual9uier actualiDacin? pri%ero debe visitar el sitio web de pfSense y
>*
3nstalacin y actualiDacin
13"
en la =ebGH3 ta%bi6n per%ite una ubicacin de actualiDacin del archivo de encargo para ser utiliDado" Desde el %en; de la consola de actualiDacin? seleccione la opcin 1 para la actualiDacin desde una direccin H.L" 3ntroduDca la direccin H.L co%pleta en el fichero de actualiDacin? tales co%o: http://files.pfsense.org/mirror/updates/pfSense-FullUpdate-1.2.3.tgz
onfir%e 9ue la actualiDacin se debe aplicar? y entonces debera ser descargados y
>1
una %2scara de subred 9ue coincide con la dada a pfSense? co%o )>>")>>")>>"+"
Hna veD 9ue el & est2 conectado a la %is%a LA< 9ue el siste%a de pfSense? vaya a la direccin 3& de la LA<"
<ota
Tenga cuidado al asignar una nueva direccin 3& LA<" @sta direccin 3& no puede estar en el
>>
onfiguracin
Dado 9ue esta es la pri%era veD 9ue visita la =ebGH3? el asistente de configuracin se iniciar2 auto%2tica%ente? y
se ver2 co%o Figura 1"(? NAsistente de configuracin de inicio de la pantallaN" Faga clic en Siguiente para iniciar la configuracin
proceso"
%2s detalle %2s adelante en el asistente de configuracin" Faga clic en Siguiente cuando haya ter%inado"
>A
onfiguracin
servidor de no%bre de host en el valor predeter%inado 0.pfsense.pool.ntp.org? 5ue recoger2 los servidores al aDar de un grupo de hosts <T& en buen estado"
&ara la seleccin de Dona horaria? seleccione una Dona geogr2fica%ente no%bre 9ue %eMor coincide con el pfSense siste%a de localiDacin" <o utilice el G!T JGreenwich !ean Ti%eK co%pensar las Donas de estilo" &ara obtener %2s infor%acin? consulte Seccin 1"B"(? NEonas de Tie%poN %2s adelante en este captulo" uando ter%ine? haga clic en Siguiente para
continuar"
>B
onfiguracin
de su 3S&"
<ota
Si usted tiene una interfaD inal2%brica para la interfaD =A<? algunas opciones adicionales puede parecer 9ue no est2n cubiertas en este tutorial de la instalacin est2ndar Asistente" Hsted puede referirse a aptulo (C? =iIfi? 5ue tiene una seccin sobre =ireless =A< para obtener infor%acin adicional" @s posible 9ue deba o%itir la configuracin de la =A< por ahora?
en lugar de tener 9ue borrar cach6s A.& o actualiDar las entradas A.& est2ticas"
La unidad de trans%isin %2/i%a J!THK? el ta%a0o del ca%po se ve en Figura 1">? N=A< General onfiguracin N <or%al%ente se puede deMar en blanco? pero se puede ca%biar si lo desea" Algunas situaciones pueden convocatoria de una !TH inferior para asegurar los pa9uetes son de ta%a0o apropiado para su cone/in a 3nternet" @n
%ayora de los casos? el valor por defecto asu%e valores para el tipo de cone/in =A< funciona correcta%ente"
>C
onfiguracin
router" La direccin 3& y puerta de enlace de a%bos deben residir en la %is%a subred"
es necesario"
>,
onfiguracin
Acceso telefnico &&&o@ de la de%anda har2 9ue pfSense para deMar la cone/in abaMo 7 en lnea hasta 9ue los datos se
solicit 9ue se necesita la cone/in a 3nternet" cone/iones &&&o@ suceder %uy r2pido? por lo 9ue en %ayora de los casos el retraso? %ientras 9ue la cone/in se configura sera insignificante" Si planea eMecutar
los servicios detr2s de la caMa pfSense? no co%probarlo? ya 9ue se 9uiere %antener una lnea
con la %edida de lo posible en ese caso" Ta%bi6n tenga en cuenta 9ue esta opcin no va a caer una ya e/istente
cone/in"
@l tie%po de espera inactivo &&&o@ especifica c%o pfSense tie%po 9ue le per%itir2 la cone/in &&&o@ ir sin trans%isin de datos antes de desconectar" @sto es real%ente slo es ;til cuando se co%bina con
entrada? y no para la cone/in a un re%oto '&< &&T&" @stos aMustes? al igual 9ue el &&&o@
configuracin? ser2 proporcionado por su 3S&" A diferencia de &&&o@? sin e%bargo? con una =A< &&T& debe Ta%bi6n se especifica una direccin 3& local? la %2scara de subred 3D.? y establecer la direccin 3& re%ota a la
cone/in"
A+
onfiguracin
.edes N" Faga clic en Siguiente para continuar cuando haya ter%inado"
A(
onfiguracin
A)
onfiguracin
veD 9ue se tenga 9ue repetir esta configuracin inicial? puede hacerlo en Siste%a @l progra%a de instalacin @l asistente desde la =ebGH3"
A*
onfiguracin
3nterfaces JAsignarK" Fay dos pesta0as a9u? las asignaciones de la interfaD y las 'LA<" J'LA<
configuracin se e/pone %2s adelante en aptulo (+? LA< virtuales J'LA<K"K Las asignaciones de la interfaD
pesta0a %uestra una lista de todas las interfaces actual%ente asignado: =A<? LA<? y cual9uier :&TG 9ue
configurado" Al lado de cada interfaD es una lista desplegable de todas las interfaces de red o puertos 9ue se encuentran en el siste%a? incluyendo interfaces de hardware real? as co%o interfaces 'LA<" La direccin !A
o 'LA< eti9uetas se %ostrar2n Munto a los no%bre de la interfaD para facilitar la identificacin"
Hsted puede ca%biar las interfaces actual%ente asignado al decantarse por un puerto de red nuevos? o a0adir un interfaD adicional :&TG haciendo clic" @sto a0adir2 otra lnea? con una interfaD nueva :&T? n;%ero %2s alto 9ue cual9uier interfaD de :&T e/istentes? o si no los hay? :&T(" De for%a predeter%inada? se seleccione auto%2tica%ente la interfaD disponible siguiente 9ue no est6 asignado" &or eMe%plo? si el obMetivo siste%a ha fxp0?fxp1? S fxp2? S ha establecido =A< fxp0? S LA< fiMado para fxp1? elegir para agregar otra interfaD asu%ir2 auto%2tica%ente :&T( se fxp2" Si usted tiene interfaces adicionales y esto no es el lugar previsto? y puede ser %odificado" Si los ca%bios son
=A< opciones"
Hna de las opciones disponibles a9u 9ue no se %uestra en el asistente de configuracin es la capacidad de deshabilitar la espacio de usuario de aplicacin FT&I&ro/y? ta%bi6n conocido co%o el ayudante de FT&" Si est2 eMecutando un FT& p;blico JFile Transfer &rotocolK detr2s de pfSense? es posible 9ue desee para 9ue el ayudante de FT& para 9ue cone/iones FT& funcione correcta%ente" Tenga en cuenta 9ue al hacer esto todas las cone/iones FT& se parecen
A1
onfiguracin
vienen desde el router pfSense ya estar2 actuando co%o un pro/y" 'er Seccin B"C"(? NFT&N de %2s infor%acin en profundidad sobre el pro/y FT& y te%as relacionados con el FT&"
lado? esto pro/y cone/iones FT& y hacerlo de %odo 9ue los clientes de la LA< pueden utiliDar la protocolo FT& nor%al%ente en %odo activo? y el pro/y se abrir2 y redireccionar los puertos adecuados
la interfaD LA<? pero %enos de la =A<" &ara habilitar una interfaD territorio palestino ocupado? pri%ero debe co%probar la Fabilitar opcional x 3nterfaD de casilla?
donde x es el n;%ero actual de la interfaD del territorio palestino ocupado 9ue est2 configurando" &or eMe%plo? en :&T(? dira Fabilitar una interfaD opcional" Ta%bi6n puede ca%biar el no%bre de esta interfaD %ediante la introduccin de una #reve descripcin" @sta descripcin JD!E? servidores de la :ficina? 3ngeniera? etcK aparecer2 en su lugar de N:&T(N en los %en;s y de configuracin" @sto hace 9ue sea %ucho %2s f2cil de recordar no slo lo 9ue es una interfaD para el? sino ta%bi6n para identificar a un interfaD para a0adir reglas de firewall o elegir
direccin y !TH" Al igual 9ue el interfaD LA<? es posible 9ue ta%bi6n puente de una interfaD a otra :&T interfaD? uni6ndose a ellos en el %is%o do%inio de broadcast" Hsted puede usar esto para a0adir otro puerto
A>
onfiguracin
La opcin de ayuda de FT& ta%bi6n est2 disponible" onsulte Seccin B"C"(? NFT&N para %2s infor%acin"
Eona horaria y el servidor <T& de tie%po se puede ca%biar si se desea? co%o se e/plica en el asistente de configuracin"
$unto con la capacidad de ca%biar los servidores D<S? no hay otra opcin: la lista de ad%itidos del servidor D<S 9ue sea ree%plaDada por DF & 7 &&& en =A<" @ste es en esencia lo 9ue dice? si est2 %arcada? pfSense utiliDar2 los servidores D<S 9ue se asignan de for%a din2%ica por DF & o &&&" 5ue se utiliDar2 por el propio siste%a y co%o aguas arriba servidores D<S para el pro%otor de D<S" @stos servidores se
no se trans%ite a los clientes DF & detr2s del siste%a de pfSense? sin e%bargo"
@l puerto y el &rotocolo =ebGH3 =ebGH3 se puede establecer" FTT& y FTT&S est2n disponibles" La las %eMores pr2cticas sera el uso de FTT&S para 9ue el tr2fico =ebGH3 se cifra? sobre todo si la servidor de seguridad se gestiona de for%a re%ota" Traslado de la =ebGH3 a un puerto alternativo es ta%bi6n una buena t2ctica para %ayor seguridad? y se va a liberar los puertos de 3nternet est2ndar para su uso con el puerto o hacia delante otros servicios? co%o un pro/y s9uid" &or defecto? el =ebGH3 utiliDa FTT& en el puerto C+ para el %eMor
de %anera beneficiosa"
Algunas de estas opciones pueden ser cubiertos en %2s detalle en otras secciones del libro en su
discusin sera %2s actual o relevante? pero todos ellos son %encionados a9u con una breve
descripcin"
AA
onfiguracin
puerto" @sto desactivar2 el teclado a bordo? vdeo y ratn? pero le per%itir2 conectar un
cable de %de% nulo al puerto serie y 9ue gestiona directa%ente desde otro & o dispositivo de serie" Despu6s de
de hacer cual9uier ca%bio? aseg;rese de hacer clic en Guardar cuando haya ter%inado"
&ara obtener %2s infor%acin sobre la cone/in a una consola serie? consulte Seccin *"*">"(? N onectar una serie
la cuenta de root puede ser utiliDado? y a%bos aceptan la contrase0a =ebGH3 de entrada"
Las transferencias de archivos desde y hacia el siste%a de pfSense ta%bi6n son posibles %ediante el uso de una copia segura JS &K
cliente? co%o scp de :penSSF de lnea de co%andos? FileEilla? =inS & o Fugu" &ara usar S &? debe conectarse co%o usuario root no ad%in"
&ara habilitar el SSF? active la casilla Munto a Activar Secure Shell" Ta%bi6n es %2s seguro para %over el Servidor SSF a un puerto alternativo" Al igual 9ue con %over el =ebGH3 a un puerto alternativo? 9ue proporciona una pe9ue0a %eMora de la seguridad? y libera el puerto si desea 9ue lo re%ita a un siste%a interno"
&ara ca%biar el puerto? escriba el nuevo puerto en el cuadro del puerto SSF"
Ta%bi6n puede configurar SSF para per%itir 9ue slo los inicios de sesin basada en clave y no una contrase0a" &ara ello? visita Deshabilitar la contrase0a de inicio de sesin de Secure Shell J LA'@ sola%enteK y pegar las teclas per%ite p;blica en el AutoriDado laves ca%po de te/to" a%biar a la entrada ;nica clave basada en una pr2ctica %ucho %2s segura?
ata9ues de fuerDa"
las entradas"
AB
onfiguracin
1">"1" 3&vA
@n la actualidad? pfSense no es co%patible con 3&vA de filtrado? aun9ue las reglas %uy per%isiva podra per%itir
el tr2fico 3&vA 9ue la %ayora de los usuarios no esperan 9ue el tr2fico 3&vA a abandonar su red? ya 9ue no se utiliDa" o%o tal? el tr2fico 3&vA se blo9uea de for%a predeter%inada" Si usted re9uiere 3&vA para pasar el firewall? consulte la caMa para per%itir el tr2fico 3&vA" Ta%bi6n puede activar <AT encapsulado de pa9uetes 3&vA Jel protocolo 3& 1(7.F )C,*K co%probando 9ue la caMa y entrar en una direccin 3&v1 a 9ue los pa9uetes deben
se trans%itir2"
AC
onfiguracin
%is%a fuente 9ue se enva al %is%o servidor web" @sta Ncone/in pegaMosaN e/istir2 sie%pre y cuando
hay estados 9ue hacen referencia a esta cone/in" Hna veD 9ue los estados e/pirar2? por lo 9ue ser2 la cone/in pegaMosa"
:tras cone/iones de host 9ue ser2 re%itido a un servidor web? el pr/i%o en el round robin"
NSticLyN cone/iones son deseables para algunas aplicaciones 9ue dependen de las 3&s %is%o ser %antenido a lo largo de un deter%inado perodo de sesiones" @sto se utiliDa en co%binacin con la carga del servidor
e9uilibrio de la funcionalidad? describe con detalle en aptulo (B? Servidor de e9uilibrio de carga"
1">"C" 'arios
A pocas opciones 9ue no encaMan en ninguna otra categora se puede encontrar a9u"
<ota
Si bien esto deMa de pulsaciones de teclas accidentales? y %antener a los usuarios ocasionales? esto no es en %ediante un %6todo de seguridad perfecto" Hna persona con conoci%ientos de acceso fsico podra restablecer las contrase0as Jv6ase Seccin 1"(+")? NFe olvidado la contrase0a con un errado consola NK" Debe tener en cuenta otros %6todos de seguridad fsica si es 9ue
un re9uisito de su instalacin"
A,
onfiguracin
<ota
.estableci%iento de la 3& LA< de la consola del siste%a ta%bi6n se restablecer2 esta opcin" Si encuentra blo9ueado despu6s de habilitar esto? elegir la opcin de %en; de la consola para configurar
la 3& de la LA<? y entrar en la direccin e/acta%ente la %is%a 3& y la infor%acin adMunta"
deseable" &ara %2s infor%acin sobre asociaciones de seguridad? consulte Seccin (*"("(? NAsociacin de SeguridadN
B+
onfiguracin
siste%as operativos 9ue estableDca el bit DF? pero establece un cero de identificacin 3& ca%po de cabecera"
Servidor de seguridad de los estados se tratan %2s en Seccin A"(")? Nfiltrado con estadoN"
B(
onfiguracin
fondo de .efle/in <AT en co%paracin con otras t6cnicas co%o Split D<S"
en uso? debe reiniciar el siste%a despu6s de establecer esta opcin para 9ue pueda ser descargada"
B)
onfiguracin
puede variar ligera%ente dependiendo de la versin y platafor%a" *** Bienvenidos a pfSense-1.2.3 de pfSense pfSense *** LAN -> fxp1 -> 192.168.1.1 WAN -> fxp0 -> 1.2.3.4 pfSense configuracin de la consola *********************** 0) Cerrar sesin SSH (solamente) 1) Asignar interfaces 2) Establecer la direccin IP LAN 3) Reiniciar contrasea webConfigurator 4) Restablecer los valores predeterminados de fbrica 5) Reiniciar el sistema 6) Sistema de Parada 7) Ping acogida 8) Shell 9) PFtop 10) Filtro de Registros 11) Reiniciar webConfigurator 12) pfSense desarrolladores Shell 13) Actualizacin de la consola 14) Desactivar Secure Shell (sshd) 98) Mover el archivo de configuracin de dispositivo extrable Ingrese una opcin:
Lo 9ue sigue es una descripcin general de lo 9ue es posible %ediante el uso de la %ayora de estas opciones" Al igual 9ue con otras opciones avanDadas? algunos de ellos pueden ser cubiertos con %2s detalle en otras secciones de la
B*
onfiguracin
ta%bi6n tienes la opcin de convertir DF & encendido o apagado? y establecer el rango DF & 3&"
Si ha deshabilitado la regla =ebGH3 antiIblo9ueo? se le pedir2 9ue vuelva a habilitarlo" Ser2 Ade%2s del siste%a para volver a FTT& en el puerto por defecto si se utiliDa un puerto no est2ndar" @sto se hace para
ayudar a los 9ue pueden encontrarse blo9ueado el uso de la =ebGH3 recuperar el acceso"
? respectiva%ente"
=ebGH3K"
B1
onfiguracin
apagar el siste%a" @n siste%as e%bebidos? tirando del enchufe? es %enos peligroso? pero si el tie%po es %alo ta%bi6n podra ser perMudicial JDiagnstico Detener siste%a en el =ebGH3K"
se %uestra? incluyendo el n;%ero de pa9uetes recibidos? los n;%eros de secuencia? los tie%pos de respuesta?
1"A"C" Shell
3nicia un shell de lnea de co%andos" !uy ;til? y %uy potente? pero ta%bi6n tiene el potencial de ser %uy peligroso" Algunas tareas de configuracin co%pleMa puede re9uerir 9ue trabaMan en la c2scara? y algunas tareas de reparacin son %2s f2ciles de lograr de a9u? pero sie%pre hay una oportunidad de causar da0os irreparables en el siste%a si no se %aneMa con cuidado" La %ayora de los usuarios pfSense nunca
reco%ienda ni se ad%ite"
1"A"," &Ftop
&Ftop le da una visin en tie%po real de los estados de firewall? y la cantidad de datos 9ue han enviado y recibidos" &uede ayudar a identificar las direcciones 3& y las sesiones de %o%ento est2 usando el ancho de banda? y ta%bi6n puede ayudar a diagnosticar otros proble%as de cone/in de red" 'er Seccin ))"A")? N %o ver con
B>
onfiguracin
algunos casos el proceso puede haberse detenido por alguna raDn? y reiniciar ser2 restaurar el acceso"
cdigo base"
de %anera si%ilar a la %is%a opcin en el =ebGH3 cubiertos anterior%ente en este captulo? pero es accesible
desde la consola"
.ecuperacin"
adecuada%ente es ta%bi6n una necesidad absoluta en siste%as e%bebidos? algunos de los cuales no tienen una batera
BA
onfiguracin
a bordo para preservar su fecha y la hora cuando se desconecta la ali%entacin" <o puede haber algunas
peculiaridades de obtener no slo una fecha adecuada y el tie%po en el siste%a? y %antener de esa %anera? pero
www"freebsd"org7cgi79ueryIpr"cgi8prc)1*C>\: @stas Donas se incluyen la co%patibilidad con los antiguos siste%as H<3G" Hsted tienen %2s probabilidades de convencer a los desarrolladores de bases de datos TE a caer por co%pleto de lo 9ue van a conseguir 9ue ca%bien las definiciones" @n cual9uier caso? Free#SD seguir la pr2ctica de la base de datos TE"
Actual%ente conta%os con un billete abierto para e/a%inar este asunto confuso para pfSense )"+" &ode%os 9uitar todas estas Donas con G!T desde la interfaD web por co%pleto" @n este %o%ento? se reco%ienda utiliDar
BB
onfiguracin
cabida a la deriva reloM nor%al" Si la fecha de su siste%a y el tie%po son correctos? aseg;rese de <T& sincroniDacin funciona" @l proble%a %2s co%;n es la prevencin de la sincroniDacin la falta de configuracin de D<S correcta en el firewall" Si el servidor de seguridad no puede resolver no%bres de host? el sincroniDacin <T& fallar2" Los resultados de la sincroniDacin se %uestran en el arran9ue de la
eMecutando una versin de varias revisiones del #3:S de la fecha" Hna de las revisiones dirigi una crono%etraMe cuestin 9ue al parecer nunca afectadas de =indows por alguna raDn" La aplicacin de la #3:S actualiDacin solucionado el proble%a" Lo pri%ero 9ue debe co%probar es asegurarse de 9ue tiene la ;lti%a
#3:S de su siste%a"
de inicio ;nico" Si el co%porta%iento %eMora? entonces debera deshabilitar A &3 de for%a per%anente"
&ara desactivar per%anente%ente A &3? debe agregar un valor a la / Boot / device.hints archivo" Hsted &ara ello? la navegacin de los Diagnsticos @ditar archivo? introduDca / Boot / device.hints y luego
haga clic en argar" A0adir una nueva lnea al final y luego escriba: hint.acpi.0.disabled = "1" A continuacin? haga clic en Guardar"
BC
onfiguracin
&ara una for%a alternativa de hacer esto? a partir de diagnsticos De co%andos o desde una shell tipo? lo siguiente: #ec0o E0int.acpi.0.disa)led * 1EFF 6 )oot 6 de$ice.0ints
<ota
La / Boot / device.hints archivo se sobrescribir2n durante la actualiDacin" Se consciente de 9ue tendr2 9ue repetir este ca%bio despu6s de realiDar una actualiDacin de fir%ware"
puede no ser tan r2pido co%o otros %6todos" Las opciones ti%ecounter otros se e/plicar2 %2s adelante"
Si el siste%a %antiene la hora correcta%ente despu6s de realiDar este ca%bio? usted necesita para hacer este ca%bio
@dicin de archivos? la carga / Etc / sysctl.conf? S a0adir esto al final: kern.timecounter.hardware = i8254
Faga clic en Guardar y? a continuacin? 9ue el estableci%iento debe ser ledo de nuevo en el siguiente inicio" Alternativa%ente? usted podra
agregue la lnea utiliDando un %6todo si%ilar al deshabilitar A &3 arriba: #ec0o E1ern.ti!eco(nter.0ard2are i82"7 *EFF 6 etc 6 s/sctl.conf
<ota
La / Etc / sysctl.conf archivo se sobrescribir2n durante la actualiDacin" Tenga en cuenta
9ue tendr2 9ue repetir este ca%bio despu6s de realiDar una actualiDacin de fir%ware"
Dependiendo de la platafor%a y el hardware? ta%bi6n puede haber otros ti%ecounters a intentarlo" &ara una
lista de ti%ecounters disponibles se encuentran en su siste%a? eMecute el siguiente co%ando: #1ern.ti!eco(nter.c0oice s/sctl
A continuacin? debera ver una lista de ti%ecounters disponibles y su NcalidadN seg;n lo infor%ado por Free#SD:
B,
onfiguracin
kern.timecounter.choice: TSC (-100) ACPI de seguridad (850) i8254 (0) ficticia (-1.000.000) A continuacin? podra tratar de probar cual9uiera de los cuatro valores para el Lern"ti%ecounter"hardware sysctl
aMuste" @n t6r%inos de NcalidadN en este listado? cuanto %ayor sea el n;%ero? %eMor? pero real de la
facilidad de uso vara de siste%a a siste%a" @l TS es un contador de la &H? sino 9ue est2 vinculada a la velocidad de reloM y no es legible por otras &Hs" @sto hace 9ue su uso en siste%as S!& i%posible? y en a9uellos con procesadores de velocidad variable" @l iC)>1 es un chip de reloM 9ue se encuentran en la %ayora del hardware? 9ue tiende a ser seguro? pero puede tener algunos proble%as de rendi%iento" @l contador de A &3 de seguridad? si el apoyo adecuado en el hardware disponible? es una buena opcin? ya 9ue no sufren de la li%itaciones de rendi%iento de iC)>1? pero en la pr2ctica su precisin y la velocidad varan a%plia%ente dependiendo sobre la aplicacin" @sto y %2s infor%acin sobre Ti%ecounters Free#SD se puede encontrar en el de papel Ti%ecounters: @ficiente y crono%etraMe preciso en n;cleos S!& [http:77phL"freebsd"dL7 pubs 7\ ti%ecounter"pdf por &oulIFenning Qa%p del &royecto Free#SD"
Hna veD 9ue est6 seguro de 9ue hay una luD de enlace en a%bos tarMeta de red del cliente y la red LA< pfSense la interfaD? el siguiente paso es co%probar la configuracin T & 7 3& en el & desde el 9ue se tratando de conectar" Si el servidor DF & est2 habilitado en el siste%a de pfSense? ya 9ue ser2 por defecto? asegurar 9ue el cliente ta%bi6n se establece para DF &" Si el DF & est2 desactivado en el siste%a de pfSense? 9ue
C+
onfiguracin
tendr2 9ue codificar una direccin 3& en el cliente 9ue residen en la %is%a subred 9ue el pfSense
siste%a de direccin 3& LA<? con la %is%a %2scara de subred? y utiliDar la direccin 3& LA< pfSense co%o
restableci%iento de la cone/in o el fracaso? a continuacin? o el de%onio del servidor 9ue eMecuta el =ebGH3 no se est2 eMecutando?
o si est2 intentando acceder a 6l desde un puerto e9uivocado" Si el error 9ue recibe es en ca%bio una cone/in
consola del siste%a? por lo general la opcin ((" @n caso de 9ue no ayuda? iniciar un shell de la consola Jopcin
C(
onfiguracin
o%pruebe todos los aMustes en interfaces =A<? che9ue o reiniciar el e9uipo 3S&
J!de% de cable o DSL? etcK? y tal veD consultar con su 3S& para obtener ayuda con respecto a la configuracin 9ue
se debe utiliDar"
aconseMable contactar con su 3S& y co%prueba los valores" Si los servidores D<S son obtenidos a trav6s de DF & o &&&o@ y no se puede contactar con ellos? ta%bi6n puede ponerse en contacto con su proveedor de 3nternet sobre esa cuestin" Si todo esto falla? usted puede desear considerar el uso de :penD<S [http:77www"opendns"co%7\ J'6ase el Seccin )1")? Nfiltrado de contenidos con :penD<SNK servidores de no%bres en el router pfSense
eMe%plo? si un ordenador est2 en el lado de la LA<? y el siste%a de LA< de pfSense direccin 3& es (,)"(AC"("(?
a continuacin? el servidor D<S del cliente ta%bi6n debe ser (,)"(AC"("(" Si ha deshabilitado el reenviador D<S?
ta%bi6n puede ser necesario aMustar los servidores D<S 9ue se asignan a los clientes DF & en Servicios
C)
onfiguracin
Servidor DF &" <or%al%ente? cuando el reenviador D<S est2 deshabilitado? el siste%a de servidores de D<S son asignados directa%ente a los clientes? pero si eso no es el caso en la pr2ctica para su configuracin? defina los
a9u" Si el e9uipo cliente no est2 configurado para DF &? aseg;rese de 9ue tiene la adecuada servidores D<S conMunto: o la direccin 3& LA< del siste%a de pfSense o servidores D<S lo interno o e/terno
los aMustes necesarios para per%itir 9ue el tr2fico" onsultar aptulo A? Servidor de seguridad para %2s detalle infor%acin sobre la edicin o la creacin de nor%as adicionales"
Si funciona desde el lado de la LA<? pero no desde una interfaD territorio palestino ocupado? aseg;rese de tener las nor%as en vigor para
per%itir 9ue el tr2fico de salida" <o hay ninguna regla se crea de for%a predeter%inada en las interfaces de territorio palestino ocupado"
C*
onfiguracin
<AT? y vaya a la ficha de salida" A %enos 9ue est6 seguro 9ue usted necesita es establecer el %anual? el ca%bio el aMuste a la salida de generacin de reglas <AT Jpasarela 3&secK y luego tratar de llegar a
a 3nternet desde un & cliente nuevo" Si eso no ayud a un & en la LA< para salir? entonces el
JA:<KK? y funciona desde la LA<? pero no desde una interfaD territorio palestino ocupado? tendr2 9ue configurar %anual%ente una regla 9ue coincide con el tr2fico 9ue viene de all" !ira a la nor%a e/istente para LA< y aMustarlo en consecuencia? o consulte el captulo <AT para %2s infor%acin sobre c%o crear reglas de <AT de salida"
Lo %is%o se aplica para el tr2fico procedente de usuarios de '&<: &&T&? :pen'&<? 3&sec? etc Si estos usuarios
necesidad de llegar a 3nternet a trav6s de este router pfSense? se necesitan reglas <AT de salida para su
por el siste%a antes de llegar a entender 9ue pfSense se encarga de todo auto%2tica%ente"
La %ayora de la gente nunca se necesita saber dnde reside el archivo de configuracin? pero para la referencia es en / Cf / conf / config.xml" &or lo general? / Conf / es un enlace si%blico a / Cf / conf? &or lo 9ue ta%bi6n puede
ser accesible directa%ente desde / Conf / config.xml? &ero esto vara seg;n la platafor%a y siste%a de archivos dise0o"
Diagnstico opia de seguridad 7 restauracin? guarde el archivo en su & ? edite el archivo y realiDar los necesarios ca%bios? a continuacin? restaurar el archivo de configuracin %odificado para el siste%a"
C1
onfiguracin
%6todos son un poco difcil? pero sie%pre debera ser posible recuperar el acceso" Lo peor de los casos escenarios re9uieren acceso fsico" o%o usted recordar2 a principios de este captulo se %enciona 9ue cual9uier persona con acceso fsico puede pasar por alto las %edidas de seguridad y ahora usted ve c%o
to%ar un par de reinicios para llevar a cabo? pero puede ser fiMa con acceso fsico a la consola: U .einiciar el cuadro de pfSense
U Seleccione la opcin 1 J%odo de usuario ;nicoK desde el %en; del gestor Jel uno con el pfSense AS 33
logoK U &ulse 3ntro cuando se le pida para iniciar 7 bin 7 sh U 'olver a %ontar todas las particiones co%o regrabables: #6 S)in 6 (fs !o(nt-tU @Mecute el co%ando integrado de restableci%iento de contrase0a: #6 Gtc 6 rc.initial.pass2ord U Siga las instrucciones para restablecer la contrase0a U .einiciar
Ahora debera ser capaD de acceder al siste%a con el no%bre de usuario y contrase0a por defecto de ad!in
y pfSense? .espectiva%ente"
C>
onfiguracin
a la =ebGH3 de esa interfaD" Tener 9ue ca%inar a alguien en el lugar a trav6s de fiMacin de la nor%a es %eMor 9ue perderlo todoX
1"(+">" Servidor de seguridad de for%a re%ota evadir blo9ueo con las reglas
Hsted puede J%uy te%poral%enteK deshabilita las reglas de firewall utiliDando la consola" &uede utiliDar la fsica consola? o si todava son capaces de obtener a trav6s de SSF? 9ue ta%bi6n va a funcionar" Desde la consola? utilice
conMunto de reglas de sinta/is? puede editar 9ue para arreglar el proble%a de conectividad y volver a cargar las reglas de este %odo: #pfctl-f 6 t!p 6 r(les.de)(g
Despu6s de volver a %eterse en la =ebGH3 con ese arreglo te%poral? hacer lo 9ue el trabaMo 9ue tiene 9ue hacer en =ebGH3 para hacer la revisin per%anente" Al guardar las reglas de la =ebGH3? 9ue te%poral
CA
onfiguracin
1"(+"A" Servidor de seguridad de for%a re%ota evadir blo9ueo con SSF T;nel
Si blo9ueado el acceso a la =ebGH3 de for%a re%ota? pero todava tiene acceso con SSF? entonces no es una for%a relativa%ente f2cil de conseguir en: t;nel SSF"
Si la =ebGH3 est2 en el puerto C+? configurar el cliente para reenviar el puerto local C+ Jo C+C+? o lo 9ue seaK al puerto re%oto Nlocalhost: C+N? a continuacin? diriMa su navegador a 0ttp:66local0ost:80 o lo de puerto local 9ue ha elegido" Si su =ebGH3 est2 en otro puerto? utilice en su lugar" Si usted est2
a trav6s de FTT&S 9ue todava tendr2 9ue usar FTT&S para acceder a la =ebGH3 esta %anera"
CB
onfiguracin
Llene las opciones co%o se %uestra en Figura 1"(1? N onfiguracin de un t;nel SSF puerto C+ en &uTTSN? a continuacin?
haga clic en Agregar" Hna veD 9ue se conecte y escriba su no%bre de usuario 7 contrase0a? puede acceder a la =ebGH3
de nuevo a arreglar la configuracin? puede 9ue tenga 9ue arreglarlo %ediante el siguiente procedi%iento" U onecte el siste%a de pfSense consola con SSF o el acceso fsico U 3niciar una concha? opcin C de la consola" U Ter%inar el proceso de cala%ar de este %odo: #6 9sr 6 local 6 etc 6 rc.d 6 parada s'(id.s0 Si eso no funciona? trate de esta %anera: #1illall -9 cala!ar o #s'(id-1 cierre
Hna veD 9ue el proceso de cala%ar est2 total%ente ter%inado? usted debera ser capaD de recuperar el acceso a la =ebGH3" Tenga en cuenta 9ue puede 9ue tenga 9ue trabaMar con rapideD? o repetir el co%ando shutdown? co%o el cala%ar puede
se reiniciar2 auto%2tica%ente"
Ayuda N"
CC
estado id6ntico a lo 9ue se estaba eMecutando anterior%ente" <o hay necesidad de hacer una copia de seguridad de todo el siste%a? co%o los archivos de siste%a de base no se %odifican por una nor%al? correr? siste%a" La ;nica e/cepcin es la caso de algunos pa9uetes? co%o FreeSwitch? 9ue dispongan de datos fuera del archivo de configuracin"
ca%bios? especial%ente en los casos en 9ue puede ser una copia de seguridad %anual se perdi por una raDn u otra"
pfSense hace una copia de seguridad interna en cada ca%bio? y es una buena idea para descargar un %anual
uno ta%bi6n" Las copias de seguridad auto%2ticas realiDados en cada ca%bio es bueno para volver a antes de
configuraciones despu6s de los ca%bios han de%ostrado ser perMudiciales? pero no son buenos para la recuperacin de desastres est2n en el propio siste%a y no se %antienen al e/terior" o%o es un proceso bastante sencillo y sin dolor? debe ser f2cil hacer un h2bito de descargar una copia de seguridad de veD en cuando? y %antenerlo en un lugar seguro" Si usted tiene una suscripcin de portal"pfsense"org [https: 7 7 portal"pfsense"org\? opias de seguridad
sysctl.conf? S otros"
Ade%2s de hacer copias de seguridad? ta%bi6n debe probarlos" Antes de introducir un siste%a en produccin? es posible 9ue desee hacer copia de seguridad de la configuracin? y luego li%pie la unidad de disco duro? y
luego intentar algunas de las diferentes t6cnicas de restauracin en este captulo" Hna veD 9ue est6 fa%iliariDado con la for%a de copia de seguridad y restaurar una configuracin? es posible 9ue desee poner a prueba peridica%ente copias de seguridad en un noIproduccin de la %29uina o la %29uina virtual" La ;nica cosa peor 9ue una copia de seguridad 9ue falta es una
C,
#acLup y .ecuperacin
@n (")"/ pfSense? los datos del gr2fico de ..D? 9ue se encuentra en / Var / db / RRD? <o est2 respaldada por ninguna de las copia de seguridad de los procesos de accin" @ste proble%a se solucionar2 en la pr/i%a versin? donde los datos ..D puede ser considerado
en la copia de seguridad de archivos G!L de configuracin? pero esto puede no ser conveniente para algunas personas debido a la el au%ento de ta%a0o de este trae" Fay otras %aneras de asegurarse de estos datos es una copia de seguridad? sin e%bargo" 'er
Seccin >"A? NArchivos de copia de seguridad y directorios con el pa9uete de copia de seguridadN %2s adelante en este captulo"
ver la =ebGH3" Ser2 no%brado config-< ostnam!>-<tim!stam">. Xml? &ero 9ue puede ser ca%biado antes de guardar el archivo"
,+
#acLup y .ecuperacin
configuraciones se conservan en nuestro servidor" @sto le proporciona copia de seguridad instant2nea? segura fuera del sitio de su servidor de seguridad sin intervencin del usuario"
<ota
Fay una advertencia a la utiliDacin de este pa9uete en pfSense (") I la ;nica for%a de poder e%pate la copia de seguridad auto%2tica en versin (") es para activar a todos los filtros de recarga"
slo las configuraciones de cifrado 9ue no sirven de nada sin la contrase0a de cifrado"
<ota
@s %uy i%portante guardar esta clave de cifrado en alg;n lugar fuera de su firewall I Si lo pierde? ser2 i%posible restaurar la configuracin si se pierde la
,(
#acLup y .ecuperacin
copia de seguridad por lo 9ue es claro 9ue es la raDn por la 9ue hiDo la copia de seguridad"
configuracin de nada los ca%bios 9ue no sean las reglas de <AT y firewall? debe elegir S"
,)
#acLup y .ecuperacin
1" onfigurar el pa9uete Auto onfig#acLup co%o se describi anterior%ente? utiliDando su cuenta de portal y la contrase0a de cifrado 9ue utiliDaba anterior%ente" >" 'isita la ficha .estaurar y elegir la configuracin 9ue desea restaurar" A" uando se le pida 9ue reinicie despu6s de la restauracin? 9ue lo hagan" Ahora estar2 de regreso al estado de su servidor de seguridad de el ca%bio de configuracin anterior"
copias de seguridad"
el ho%bre en los ata9ues del %edio" Al eMecutar copias de seguridad con wget a trav6s de redes de confianDa? 9ue debe utiliDar FTT&S con un certificado 9ue puede ser verificado por wget"
&ara una FTT&S enrutador 9ue eMecuta con un certificado con fir%a personal? el co%ando sera algo
co%o este: #2get-' - no-c0ec1-certificado - post-data HGn$iar descarga *H , 0ttps: 6 6admin:pfSenseD192.1 !.1.16 Diag_)ac1(p.p0p , -C-confignom"#e de $os%- IDate JK LK !K dK @K 3K SI -!l.
,*
#acLup y .ecuperacin
&ara un router funciona%iento regular FTT&? el co%ando sera: #2get-' - post-data HGn$iar descarga *H , 0ttp:66admin:pfSenseD192.1 !.1.16 Diag_)ac1(p.p0p , -C-confignom"#e de $os%- IDate JK LK !K dK @K 3K SI -!l. @n a%bos casos? ca%bie el no%bre de usuario y la contrase0a con la suya? y la direccin 3&
sera lo 9ue la direccin 3& es accesible desde el siste%a de realiDacin de la copia de seguridad" @l siste%a
realiDar la copia de seguridad ta%bi6n tendr2 acceso a la =ebGH3? por lo 9ue %odifica las reglas de firewall
en consecuencia" La eMecucin de este sobre la =A< no se reco%ienda? co%o %ni%o se debe utiliDar FTT&S? y restringir el acceso a la =ebGH3 de confianDa a un conMunto de direcciones 3& p;blicas" @s preferible hacer
scp" Hsando scp para e%puMar una copia de seguridad de una sola veD con la %ano puede ser ;til? pero su utiliDacin en un siste%a auto%atiDado la %oda tiene sus riesgos" La lnea de co%andos para scp variar2 %ucho dependiendo de su siste%a configuracin? pero puede verse co%o: #scp 6 cf 6 conf 6 config.-!l , usua#ioD"ac&up$os%: ac1(ps6config- I0ostna!eI - Idate JK LK !K dK @K 3K SI -!l. on el fin de i%pulsar la configuracin de una %anera auto%atiDada 9ue tendra 9ue generar un SSF clave sin contrase0a" Debido a la naturaleDa insegura de una clave sin contrase0a? lo 9ue genera co%o una llave se deMa co%o eMercicio para el lector" @sto a0ade cierto grado de riesgo debido al hecho de 9ue cual9uier persona
con acceso a ese archivo tiene acceso a la cuenta designada? sin e%bargo por9ue la clave es %antenerse en el
servidor de seguridad donde el acceso est2 %uy restringido? no es un riesgo considerable en la %ayora de escenarios" Si lo hace esto? garantiDar 9ue el usuario re%oto est2 aislada y tiene poco o nada de privilegios en el siste%a destino" Hn un entorno chroot S & puede ser conveniente en este caso" 'er la scponly shell disponibles para la %ayora de &latafor%as H<3G 9ue per%ite copias S & archivo? pero niega las capacidades interactivas de acceso" Algunos versiones de :penSSF tiene chroot apoyo incorporado para SFT& JSecure FT&K" @stas %edidas en gran %edida li%itar el riesgo de co%pro%iso con respecto al servidor re%oto? pero a;n as salir de su copia de seguridad datos en peligro" Hna veD 9ue el acceso est2 configurado? una entrada de cron se podra a0adir al siste%a de pfSense invocar scp" &ara obtener %2s infor%acin? visite la pfSense =iLi de docu%entacin o de la b;s9ueda en los foros"
,1
#acLup y .ecuperacin #ss0 root D192.1 !.1.1 cat 6 cf 6 conf 6 )ac1(p.-!lF config.-!l uando se eMecuta? esta orden dar2 lugar a una archivo lla%ado backup.xml en el trabaMo actual
directorio 9ue contiene la configuracin del siste%a de pfSense re%oto" La auto%atiDacin de este %6todo 9ue utiliDa cron es ta%bi6n posible? pero este %6todo re9uiere una clave SSF sin contrase0a co%o en el host realiDar la copia de seguridad" @sta clave per%itir2 el acceso ad%inistrativo a su servidor de seguridad? por lo 9ue debe
estar bien controlado" J'6ase Seccin 1">")? NSecure Shell JSSFKN para los detalles de configuracin de SSF"K
de Diagnstico opia de seguridad 7 restauracin? y ver la seccin de configuracin de restauracin JFigura >")?
N=ebGH3 .estaurarNK" &ara restaurar la copia de seguridad? seleccione el 2rea de la restauracin Jnor%al%ente BCDCSK? A continuacin? haga clic en @/a%inar" #us9ue el archivo de copia de seguridad en su & y? a continuacin? haga clic en el botn .estaurar configuracin" La configuracin se aplicar2? y el firewall se reiniciar2 con los valores obtenidos a partir de
cable cruDadoK detr2s del siste%a de pfSense 9ue est2 siendo restaurado"
,>
#acLup y .ecuperacin
su entrada"
,A
#acLup y .ecuperacin
<ota
Ta%bi6n puede realiDar esto en un siste%a de pfSense separado en lugar de una co%putadora Free#SD? pero no use un router produccin activa para este fin"
@n su lugar? utiliDar un siste%a de repuesto o un router de la prueba" @l archivo de configuracin se guarda en / Cf / conf / tanto para instala integrado y co%pleto? pero la diferencia es
en el lugar donde reside este directorio" &ara las instalaciones incrustadas? esto es en un seg%ento particular? tales co%o ad0s3 si la unidad est2 ad0" Gracias a G@:! J%arco de al%acena%iento %odularK las eti9uetas en los ;lti%os versiones de Free#SD y en uso en siste%as de archivos incrustados <ano#SD basado en este seg%ento ta%bi6n puede
tener acceso? independiente%ente del no%bre del dispositivo utiliDando la eti9ueta / Dev / ufs / cf" &ara las instalaciones nuevas?
es parte de la divisin de raD Jnor%al%ente ad0s1aK" Los no%bres de las unidades puede variar dependiendo del tipo y
posicin en el siste%a"
ver %ensaMes de la consola 9ue refleMa el no%bre del dispositivo? y las eti9uetas G@:! reciente%ente disponible" Ahora %ontar la particin de configuracin: #!o(nt-t (fs 6 def 6 (fs 6 cf 6 !nt
Si por alguna raDn usted no puede usar las eti9uetas G@:!? utilice el dispositivo directa%ente co%o /
dev/da0s3" Ahora? una copia de configuracin en la tarMeta: #cp 6 (sr6)ac1(ps6pfSense6config-ali-.e-a!ple.co!-2009060618"M03.-!l , 6 3nt 6 conf 6 config.-!l A continuacin? aseg;rese de des%ontar la particin de configuracin: #(!o(nt 6 !nt
,B
#acLup y .ecuperacin
Desconecte la tarMeta? vuelva a introducirla en el router y vuelva a encenderlo" @l router debe estar en eMecucin
con la configuracin anterior" Si desea copiar la configuracin de la tarMeta? el proceso de
contenidos del siste%a est2n da0ados de alguna %anera? pero el archivo de configuracin est2 intacto"
>"A" Los archivos de copia de seguridad y directorios con la copia de seguridad &a9uete
@l pa9uete de copia de seguridad le per%itir2 hacer copias de seguridad y restaurar cual9uier conMunto de archivos 7 carpetas en el del siste%a" &ara la %ayora? esto no es necesario? pero puede ser ;til para realiDar copias de seguridad o para la ..D pa9uetes co%o FreeSwitch 9ue pueden tener los archivos 9ue desea guardar Jpor eMe%plo? %ensaMes de voD"K &ara instalar el pa9uete? vaya a Siste%a &a9uetes? y encuentra respaldo en la lista? y haga clic"
Hna veD instalado? est2 disponible a partir de diagnsticos Los archivos de copia de seguridad 7 Dir" @s bastante si%ple de usar? co%o se %uestra en el eMe%plo siguiente"
@n el ca%po <o%bre? introduDca RRD de datos" @n el ca%po .uta? escriba 6 +ar 6 d) 6 RRD" @stablecer @nabled +erdadero? S para la Descripcin? escriba NrOfico de datos RRD" Faga clic en Guardar"
@n la pantalla de copia de seguridad principal? haga clic en el botn opia de seguridad y? a continuacin se le presentar2 con un el archivo a descargar 9ue deber2 contener los datos ..D Munto con los otros directorios en el grupo de respaldo" Guardar en un lugar seguro? y considerar el %anteni%iento de %;ltiples copias si los datos es %uy
Diagnstico de
opia de seguridad de archivos 7 Dir? haga clic en @/a%inar y bus9ue un archivo de copia de
seguridad 9ue se previa%ente descargados" Faga clic en argar? y los archivos deben ser restaurados" Debido a 9ue la ..D archivos
,C
#acLup y .ecuperacin
slo se toc cuando se actualiDa una veD cada A+ segundos? usted no debera tener 9ue reiniciar el siste%a o reiniciar cual9uiera de los servicios una veD los archivos se restauran"
%odificaciones del cdigo fuente" Ade%2s? algunos pa9uetes re9uieren %6todos adicionales de copia de seguridad de
sus datos"
@l archivo de configuracin pueden contener infor%acin confidencial? co%o claves '&< o certificados? y contrase0as J9ue no sea la contrase0a de ad%inistradorK en te/to sin for%ato en algunos casos" Algunas contrase0as deben estar2 disponible en for%ato de te/to en tie%po de eMecucin? por lo 9ue seguro hash de las contrase0as i%posible" ual9uier confusin sera trivial de invertir para cual9uier persona con acceso al cdigo fuente I es decir? todo el %undo" Hna decisin consciente de dise0o se hiDo en %+n+wall? y continu en pfSense? a deMar las contrase0as en claro para 9ue sea su%a%ente claro 9ue el archivo contiene contenido delicado y deben ser protegidas co%o tales" &or lo tanto usted debe proteger las copias de seguridad de estos archivos en algunos %anera" Si los al%acena en un %edio e/trable? tenga cuidado con la seguridad fsica de 9ue los %edios de co%unicacin y7
o cifrar la unidad"
Si tiene 9ue usar la =ebGH3 trav6s de la =A< sin una cone/in '&<? debe por lo %enos el uso de FTT&S" De lo contrario? una copia de seguridad se trans%ite en claro? incluyendo cual9uier infor%acin confidencial dentro de ese archivo de copia de seguridad" @s %uy reco%endable 9ue utilice un vnculo de confianDa o encriptados
cone/in"
,,
ayudar a entender la %eMor %anera de configurar correcta%ente las reglas del firewall en pfSense"
configurado y se a0aden auto%2tica%ente las nor%as? 9ue est2n cubiertos %2s largo de este captulo"
@n pfSense? conMuntos de reglas se eval;an en base pri%er partido" @sto significa 9ue si usted lee el conMunto de reglas para una interfaD de arriba a abaMo? la pri%era regla 9ue coincida ser2 el 9ue se utiliDa" &rocesa%iento se detiene despu6s de llegar a este partido y luego la accin especificada por esa regla se to%a" !antenga sie%pre Teniendo esto en cuenta al crear nuevas reglas? especial%ente cuando se est2n elaborando nor%as para restringir el tr2fico" Las reglas %2s per%isivas sie%pre debe ser hacia la parte inferior de la lista? por lo 9ue las restricciones o
protocolo diferente? co%o el control de los %ensaMes 3 !& 9ue se pueden proporcionar en respuesta a una red T &?
(++
Servidor de seguridad
tablas"K @l estado por defecto ta%a0o de la tabla en pfSense es de (+?+++" @sto significa 9ue si usted tiene activos (++++ cone/iones 9ue atraviesan el cortafuegos? cone/iones adicionales ser2 dado de baMa" @ste l%ite puede se incre%entar2 en la navegacin con el siste%a &2gina de avanDada? y desplaDarse hacia abaMo en el tr2fico Shaper y Firewall avanDado JFigura A"(? NAu%ento del ta%a0o de estado de la tabla a >+"+++NK" 3ntroduDca el n;%ero necesario para Servidor de seguridad de @stados %2/i%o? o deMe la casilla en blanco para el valor predeter%inado de (+"+++" Hsted puede ver el uso de su estado histrico en @stado ..D gr2ficos" @n la ficha Siste%a? seleccione
nada en la red interna es Ndigno de confianDaN? por lo 9ue 4por 9u6 preocuparse de filtrado8
%uchas diferentes organiDaciones? e%presas %2s pe9ue0as y las redes do%6sticas no utiliDan salida
(+(
Servidor de seguridad
filtrado" Se puede au%entar la carga ad%inistrativa? ya 9ue cada nueva aplicacin o servicio puede re9uieren la apertura de puertos o protocolos adicionales en el firewall" @n algunos entornos? es difcil por9ue los ad%inistradores no sabe%os real%ente lo 9ue est2 sucediendo en la red? y no se atreven para ro%per las cosas" @n otros? es i%posible por raDones de poltica laboral" &ero usted debe esforDarse para per%itir slo el tr2fico %ni%o re9uerido para salir de la red? sie%pre 9ue sea posible" @strecha salida
habitual puerto de 3. ? 9ue puede paraliDar los robots 9ue se basan en el 3. para funcionar"
:tro eMe%plo 9ue he visto es el caso de 9ue la interfaD en el interior de una instalacin pfSense se viendo >+ a A+ !bps de tr2fico? %ientras 9ue la =A< tenan %enos de ( !bps de rendi%iento" <o se no otras interfaces en el firewall" Algunos investigacin puso de %anifiesto la causa co%o un peligro siste%a en la LA< utiliDando un robot 9ue participan en una denegacin de servicio distribuido JDDoSK contra un sitio web de Muegos de aDar chino" Se utiliDa el puerto HD& C+? probable%ente por un par de raDones" @n pri%er lugar? HD& per%ite enviar grandes pa9uetes sin co%pletar un protocolo de enlace T &" on con estado servidores de seguridad son la nor%a? los grandes pa9uetes T & no pasar2 hasta 9ue el apretn de %anos con 6/ito co%pletado? lo 9ue li%ita la eficacia de los ata9ues DDoS" @n segundo lugar? a9uellos 9ue e%pleen salida filtrado son co%;n%ente de%asiado per%isiva? lo 9ue per%ite T & y HD&? T &? donde slo se re9uiere?
co%o en el caso de FTT&" @n esta red? el puerto HD& C+ no fue per%itido por el conMunto de reglas de salida? por lo 9ue
todos los DDoS estaba realiDando estaba golpeando la interfaD interna del servidor de seguridad con el tr2fico 9ue se estaba cado" @staba buscando en el servidor de seguridad de una raDn no relacionada y encontr6 esto? sino 9ue era feliD avanDaba a sin degradacin del rendi%iento y el ad%inistrador de la red
no"
)" &revenir un co%pro%iso I en algunas circunstancias? filtrado de salida puede i%pedir 9ue sus siste%as no se vean co%pro%etidas" Algunas e/plotaciones y gusanos re9uieren el acceso de salida para tener 6/ito" Hn
(+)
Servidor de seguridad
eMe%plo %2s vieMo pero bueno de esto es el gusano ode .ed a partir de )++(" @l e/ploit causado afectados
siste%as para tirar de un archivo eMecutable a trav6s de TFT& JTrivial File Transfer &rotocolK y luego eMecutar 9ue" Su servidor web? casi seguro 9ue no es necesario para utiliDar el protocolo TFT&? y el blo9ueo TFT& a trav6s de filtrado de salida prevenir la infeccin por ode .ed? incluso en los servidores no actualiDados" @ste es en gran %edida slo es ;til para detener total%ente los ata9ues auto%atiDados y gusanos? co%o un hu%ano real
atacante se encuentra todos los aguMeros 9ue e/isten en el filtrado de salida y usarlos a su favor"
Hna veD %2s? la solucin correcta para la prevencin de co%pro%iso es corregir las vulnerabilidades de su red?
conMunto de reglas? y este es un %edio eficaD para li%itar %uchos tipos de conectividad '&<"
1" &revenir 3& spoofing I esta es una raDn co%;n%ente citada para el e%pleo de filtrado de salida?
pero pfSense blo9uea auto%2tica%ente el tr2fico a trav6s de la funcionalidad falsa antispoof &F? por lo 9ue no es aplicable en este caso"
>" prevenir fugas de infor%acin I ciertos protocolos no se debe per%itir 9ue salgan de su red" @Me%plos especficos pueden variar de un entorno a otro" !icrosoft .& J.e%ote &rocedure allK en el puerto T & (*>? <et#3:S sobre T & y los puertos HD& (*B a (*,? y S!# 7 3FS JServer !essage #locL 7 o%%on 3nternet File Syste%K de T & y HD& 11> son eMe%plos co%unes de los servicios 9ue no se debe per%itir 9ue salgan de su red" @sto puede evitar 9ue la infor%acin sobre su red interna de fugas en la 3nternet? y evitar2 9ue sus siste%as de iniciar los intentos de autenticacin con servidores de 3nternet" @stos protocolos ta%bi6n se incluyen en Nli%itar el i%pacto de un siste%a co%pro%etidoN? co%o se indic anterior%ente? ya 9ue %uchos gusanos se han basado en estos protocolos para funcionar en el pasado" :tros protocolos 9ue pueden ser relevantes en su entorno se syslog? S<!& y traps S<!&" La restriccin de este tr2fico prevenir %al configurados los dispositivos de red de envo de registro y otros potencial%ente a la infor%acin sensible en 3nternet" @n lugar de preocuparse por lo 9ue podra protocolos a fuga de infor%acin de la red y deben ser blo9ueados? slo per%iten el tr2fico 9ue
se re9uiere"
filtrado en la red"
(+*
Servidor de seguridad
A"("1")"(" DeMe 9ue lo 9ue conoce%os? blo9uear el resto? y el trabaMo a trav6s de la lluvia
Hn enfo9ue es agregar reglas de firewall para el tr2fico 9ue usted conoce necesita estar per%itido" o%ience con hacer una lista de cosas 9ue sabe%os 9ue son necesarios? co%o en Tabla A"(? Ntr2fico de la salida necesariaN" Descripcin FTT& y FTT&S de todos los hosts S!T& de correo 3& de origen cual9uier 3& del servidor de 3& de destino cual9uier cual9uier &uerto de destino T & C+ y 11* T & )> T & y HD& >*
correo cual9uier servidor .ecursiva D<S 3& del servidor D<S consultas de los internos Servidores D<S
pa9uetes con soporte para for%ato de registro &F son fwanalog ( y Facha)" Hsted puede encontrar %2s f2cil de analiDar los registros con un script personaliDado? si usted tiene e/periencia con el an2lisis de archivos de te/to" @ste ayudar2 a crear el conMunto de reglas necesarias con %enos consecuencias 9ue debe tener una %eMor idea de lo 9ue
configuracin por defecto? todo el tr2fico iniciado desde 3nternet se reduMo en silencio"
.echaDar enva una respuesta al negar tr2fico T & y HD&? deMando 9ue el host 9ue inici el tr2fico Sabe%os 9ue la cone/in fue rechaDada" .echaDado el tr2fico T & recibe un T & .ST JresetK en respuesta?
y rechaD el tr2fico HD& recibe un %ensaMe 3 !& inalcanDable en respuesta" Aun9ue usted puede especificar
rechaDo de cual9uier regla de firewall? los protocolos 3& 9ue no sean T & y HD& no son capaces de ser rechaDado I
( )
http:77www"di/ongroup"net7hatchet7
(+1
Servidor de seguridad
estas nor%as en silencio caer2 otros protocolos 3&" @sto se debe a 9ue no e/iste un est2ndar para rechaDar otros protocolos"
atacantes de e/ploracin de 3nternet" uando se utiliDa rechaDar? una respuesta se enva de nuevo in%ediata%ente 9ue el puerto est2 cerrado? %ientras 9ue el blo9ue silenciosa%ente descarta el tr2fico? haciendo 9ue el esc2ner del atacante puerto esperar una respuesta" @ste argu%ento en realidad no tienen agua por9ue cada lector buen puerto puede escanear cientos o %iles de hosts al %is%o tie%po? y no est2 all sentado esperando un respuesta de los puertos cerrados" Fay una diferencia %ni%a en el consu%o de recursos y velocidad de e/ploracin? pero tan leve 9ue no debe ser una consideracin" Si blo9uea todo el tr2fico de la 3nternet? hay una diferencia notable entre el blo9ue y rechaDar I nadie sabe su siste%a es real%ente en lnea" Si usted tiene incluso un ;nico puerto abierto? el valor es %ni%o por9ue el atacante sabe 9ue se encuentra en lnea? y ta%bi6n saber 9u6 puertos est2n abiertos o no rechace blo9ueado cone/iones" Si bien no es un valor i%portante en el blo9ue %2s de rechaDar? le reco%iendo sie%pre
reco%enda%os el uso de rechaDo? para evitar posibles proble%as de aplicacin 9ue en silencio deMando caer el tr2fico dentro de su red podra inducir" <o es un efecto secundario de esto 9ue puede ser un factor en su eleccin de blo9uear o rechaDar" Si utiliDa rechaDar? se hace %2s f2cil para las personas dentro de su red de deter%inar sus polticas de filtrado de salida co%o el servidor de seguridad? 9ue ellos sepan lo 9ue est2 blo9ueando" A;n es posible para los usuarios internos para asignar las reglas de salida cuando se utiliDa el blo9ue? slo se necesita una
redes"K
(+>
Servidor de seguridad
iconos se utiliDan para las reglas de %ovilidad reducida? e/cepto en el icono? co%o la regla? ser2 atenuada"
(+A
Servidor de seguridad
una regla a la parte superior del conMunto de reglas? %ientras 9ue la parte inferior agrega la regla en la parte inferior"
(+B
Servidor de seguridad
%2s puntero del ratn? una barra gruesa aparecer2 para indicar 9ue las nor%as se insertan" Despu6s de
hace clic en? las nor%as y luego se introduce por enci%a de la fila elegida" Ta%bi6n puede elegir las reglas de
se %ueven por un solo clic en cual9uier lugar dentro de la fila 9ue desee seleccionar"
eli%inacin? y si esto es lo 9ue 9uera hacer? haga clic en Aceptar para eli%inar real%ente la regla"
&ara eli%inar varias reglas? %ar9ue la casilla al inicio de las filas 9ue deben ser eli%inados? a continuacin? haga clic en el en la parte inferior de la lista" Las reglas ta%bi6n se pueden seleccionar haciendo clic en un solo lugar
en su lnea"
A"*" Alias
Alias le per%iten a los puertos de grupo? los eM6rcitos? o las redes y se refieren a ellos por su no%bre en el servidor de seguridad nor%as? la configuracin de <AT y la configuracin de la talladora de tr2fico" @sto le per%ite crear de %anera significativa %2s corto y %2s %aneMables conMuntos de reglas" ual9uier cuadro en la interfaD web con un fondo roMo se
alias a%biente"
<ota
Alias en este conte/to no debe confundirse con la interfaD de alias 3&? 9ue son
un eMe%plo de uso de un alias de hosts para contener una lista de servidores web p;blicos"
(+C
Servidor de seguridad
a%bos" Figura A"B? N@Me%plo puertos aliasN %uestra un eMe%plo de un alias de los puertos"
<ota
autoco%pletar Alias %ay;sculas y %in;sculas" Si usted tiene un alias lla%ado servidores web y tipo de una %in;scula NwN? este alias no aparecer2" Hna capital N=N se debe utiliDar" @ste
N=N? la lista desplegable 9ue aparece se %uestran todos los alias correspondientes"
(+,
Servidor de seguridad
((+
Servidor de seguridad
hacer tan f2cil de lograr" :pen'&< se aborda con %2s detalle en aptulo (>? :pen'&<"
(((
Servidor de seguridad
%edio de la operacin"
pfSense usuarios suelen preguntar N49u6 cosas %alas tengo 9ue blo9uear8 @sa es la pregunta e9uivocada? ya 9ue se aplica a un defecto per%iso de %etodologa" To% nota de la seguridad profesional .anu% !arcus incluye por defecto per%iso de su NSeis ideas %2s tontos en Seguridad 3nfor%2ticaN de papel? 9ue se reco%ienda lectura para cual9uier profesional de la seguridad" * &er%ita 9ue slo lo 9ue necesita? y no deMar la por defecto 9ue todos los pronunciarse sobre la LA< y la adicin de reglas de blo9ueo de Ncosas %alasN por enci%a del @stado lo per%itan"
difciles de auditar" HtiliDar alias para ayudar a %antener su conMunto de reglas lo %2s corto posible"
(()
Servidor de seguridad
redes 9ue no ca%bian con frecuencia? con un pe9ue0o n;%ero de ad%inistradores del servidor de seguridad y las buenas
procedi%ientos de control de ca%bios? tri%estral o se%estral es general%ente adecuado" &ara un r2pido ca%bio de entornos o a9uellos con pobre control de ca%bios y varias personas con acceso a servidor de seguridad? el
entornos co%o centros de datos? a veces se ve una co%binacin de todas esas cosas"
&or9ue no hay ning;n valor en conocer el firewall blo9uea (1 %illones en e%isiones de <et#3:S del da de ayer? y 9ue el ruido podra encubrir los registros 9ue son i%portantes? es una buena idea a0adir una regla de blo9ueo en la interfaD =A< para el ruido del tr2fico repetido" Al a0adir una regla de blo9ueo sin el registro habilitado en la interfaD =A<? este tr2fico seguir2 siendo blo9ueada? pero ya no llenan su
registros"
La regla se %uestra en la Figura A"(*? Nlas reglas de firewall para prevenir e%isiones de registroN es 9ue tengo configurado en uno de los siste%as de %i prueba? donde el N=A<N est2 en una LA<" &ara deshacerse del registro ruido para 9ue pueda ver las cosas de inter6s? he a0adido esta regla para blo9uear? pero no registra nada con la
((*
Servidor de seguridad
el registro de ruido"
generados" Sin e%bargo? esta %etodologa es en realidad un poco hacia atr2s" el tr2fico blo9ueado no puede hacer da0o por lo su valor de registro es li%itado? %ientras 9ue el tr2fico 9ue se pasa puede ser %uy i%portante la infor%acin de registro haber si un siste%a est2 en peligro" Despu6s de eli%inar cual9uier ruido de blo9ue in;til co%o se describe en el seccin anterior? el resto es de alg;n valor para fines de an2lisis de tendencias" Si usted est2 viendo significativa%ente %ayor o %enor volu%en de registro de lo habitual? es probable%ente bueno para investigar por 9u6" :SS@ ? un cdigo abierto siste%a de intrusiones basado en host de deteccin J3DSK? es un siste%a 9ue puede
registros de recopilacin de pfSense a trav6s de syslog y alerta de 9ue inicie sesin ano%alas volu%en" 1
Todo el tr2fico de respuesta es auto%2tica per%itido por esta entrada de la tabla de estado"
@n este %o%ento? no hay %anera de adaptarse a las nor%as de salida en cual9uier interfaD" De salida nor%as no son necesarios? por9ue se aplica el filtrado de la direccin de entrada de cada interfaD" @n algunas circunstancias li%itadas? tales co%o un firewall con nu%erosas interfaces internas? 9ue tienen
1http:77www"ossec"net
((1
Servidor de seguridad
disponibles puede reducir significativa%ente el n;%ero de reglas de firewall necesarias" @n tal caso? podra
aplicar las reglas de salida para el tr2fico de 3nternet co%o las nor%as de salida en la =A< para evitar tener 9ue duplicarlos para cada interfaD interna" @l uso de entrada y de salida de filtrado hace cosas %2s co%pleMas y %2s propenso a errores del usuario? pero entende%os 9ue puede ser deseable y
por defecto" @sto se puede configurar en el siste%a AvanDada la p2gina en =ebGH3 de Lucha contra el cierre patronal" @ste
auto%2tica%ente la regla per%ite el tr2fico agregado de cual9uier fuente dentro de la red de cual9uier protocolo
por lo 9ue slo un alias de hosts de confianDa pueden tener acceso a las interfaces de ad%inistracin del servidor de seguridad"
interfaces JFigura A"(>? NAlias de los eM6rcitos de gestinNK" Los alias resultantes se %uestran en la Figura A"(A? Nlista AliasN"
A continuacin? las reglas del firewall LA< debe estar configurado para per%itir el acceso a los previa%ente definidos
los eM6rcitos? y denegar el acceso a todo lo de%2s" Fay %uchas %aneras 9ue usted puede lograr esto? dependiendo sobre aspectos especficos de su entorno y c%o %aneMar filtrado de salida" Figura A"(B? N@Me%plo .estringido nor%as de gestin de LA< Ny la Figura A"(C?N restringido las nor%as de gestin de LA< I eMe%plo alternativo N%uestran dos eMe%plos" La pri%era per%ite 9ue las consultas D<S a la 3& LA<? 9ue es necesario si usted est2 utiliDando el agente de D<S? y ta%bi6n per%ite a los hosts de LA< hacer ping a la 3& de la LA<" A continuacin? rechaDa el resto del tr2fico" @l segundo eMe%plo se per%ite el acceso desde la gestin de los eM6rcitos a los puertos de gestin? a continuacin? rechaDa el resto del tr2fico a los puertos de gestin" @liMa el
((>
Servidor de seguridad
%etodologa 9ue %eMor se adapte a su entorno" .ecuerde 9ue el puerto de origen no es el %is%o 9ue el puerto de destino"
Hna veD 9ue las reglas del firewall se configuran? es necesario deshabilitar la regla =ebGH3 antiIblo9ueo de
el Siste%a p2gina AvanDadas JFigura A"(,? Nlas reglas antiIblo9ueo con discapacidadNK" !ar9ue la casilla y haga clic en Guardar"
<ota
Si ya no se puede acceder a la interfaD de ad%inistracin despu6s de desactivar el antiI regla de blo9ueo? no se ha configurado las reglas de firewall adecuada%ente" Se puede volver a habilitar la regla antiIblo9ueo %ediante el uso de la opcin 3& de LA< en el %en; de la consola"
Slo tienes 9ue configurar su 3& actual? y el @stado auto%2tica%ente se vuelve a habilitar"
la red se cae"
NDirecciones 3& privadaN &ara obtener %2s infor%acin acerca de direcciones 3& privadas"K
((A
Servidor de seguridad
e indicar ya sea el tr2fico falso? o una subred no utiliDados 9ue ha sido secuestrado por un uso %alicioso"
pfSense proporciona una lista bogons 9ue se actualiDa seg;n sea necesario" Si usted tiene redes #lo9ue #ogon habilitado? el servidor de seguridad obtendr2 una lista actualiDada bogons el pri%er da de cada %es a partir de files.pfsense.org" @l guin corre a las *:++ a% hora local? y duer%e una cantidad aleatoria de tie%po hasta () horas antes de realiDar la actualiDacin" @sta lista no ca%bia con %ucha frecuencia? y nuevas asignaciones de 3& se 9uitan de la lista bogons %eses antes de 9ue sean real%ente utiliDadas? por lo 9ue la actualiDacin %ensual es suficiente" Aseg;rese de 9ue su firewall puede resolver no%bres de host D<S? de lo contrario
la actualiDacin fallar2" &ara asegurarse de 9ue puede resolver D<S? vaya a Diagnsticos &ing? y tratar de hacer ping files.pfsense.org co%o se de%uestra en Figura A")+? N&rueba de resolucin de no%bres para actualiDaciones #ogon N"
Figura A")+" &rueba de la resolucin de no%bres para las actualiDaciones #ogon A">"("1"(" ForDar una actualiDacin bogons
on los ca%bios relativa%ente frecuentes a la lista bogons? y previo aviso de los nuevos 3& p;blica asignaciones? la actualiDacin bogons %ensual es suficiente" Sin e%bargo puede haber situaciones en las 9ue desea forDar %anual%ente una actualiDacin #ogon? co%o si las actualiDaciones han estado fallando #ogon debido a una incorrecta configuracin de D<S" &uede eMecutar una actualiDacin a trav6s de la interfaD web Diagnstico pantalla de co%andos? eMecutando 7 etc 7 rc"update_bogons"sh ahora" @l argu%ento ahora
siguiendo el guin es i%portante por9ue le dice a la secuencia de co%andos para eMecutar de in%ediato y el sue0o no"
((B
Servidor de seguridad
A">"(">" 3&sec
uando se habilita un sitio a sitio de cone/in 3&sec? las reglas se agregan auto%2tica%ente per%itiendo 9ue el
e/tre%o re%oto del t;nel direccin 3& de acceso al puerto HD& >++ y el protocolo @S& en la =A< direccin 3& utiliDada para la cone/in" uando los clientes %viles de 3&sec es activado? el puerto HD& >++ y
para el tr2fico destinado a la subred re%ota '&<" Agrega auto%2tica%ente reglas de 3&sec se discuten en %ayor profundidad en aptulo (*? 3&sec"
A">"("A" &&T&
uando se habilita el servidor &&T&? reglas ocultas se agregan auto%2tica%ente per%itiendo 9ue el puerto T & (B)* y el G.@ JGeneric .outing @ncapsulationK protocolo para la direccin 3& de =A< de cual9uier direccin 3& de origen" !2s infor%acin acerca de estas nor%as se pueden encontrar en Seccin ()"*? N'&<s y
silencio blo9ueada por la regla de denegacin por defecto Jco%o se e/plica en Seccin A"1"(? NDenegar por defectoNK"
A"A"(" Accin
A9u es donde puede especificar si el @stado va a pasar? blo9uear o rechaDar el tr2fico" ada uno de ellos es
%ostrar en su pantalla de reglas de firewall? pero en gris para indicar su estado de discapacidad"
((C
Servidor de seguridad
A"A"*" 3nterfaD
La cada de la interfaD de abaMo especifica la interfaD en la 9ue se aplicar2 la regla" .ecuerde 9ue
el tr2fico slo es filtrada en la interfaD donde se inicia el tr2fico" Tr2fico inicia desde su
LA< destinados a la 3nternet o cual9uier otra interfaD en el servidor de seguridad es filtrada por el conMunto de reglas de LA<"
A"A"1" &rotocolo
A9u es donde se especifica el protocolo de esta regla partido" La %ayora de estas opciones son autoI
e/plicativo" T & 7 HD& coincidir2 con el tr2fico T & y HD&" @specificacin de 3 !& har2
otra lista desplegable aparece donde puede seleccionar el tipo de 3 !&" 'arios otros co%unes
A"A">" Fuente
A9u es donde se especifica la direccin 3& de origen? subred? o alias 9ue coincida con esta regla" Hsted
nor%al%ente 9uiere deMar el puerto de origen en Ncual9uierN? co%o las cone/iones T & y HD& son de origen desde un puerto aleatorio en el intervalo de puerto ef%ero Jentre (+)1 a A>>*>? el rango e/acto utiliDa variables dependiendo del siste%a operativo y versin del siste%a operativo 9ue inicia la cone/inK" La fuente puerto casi nunca es el %is%o 9ue el puerto de destino? y no se lo debe configurar co%o tal a %enos 9ue sepa la aplicacin 9ue est2 utiliDando e%plea este co%porta%iento atpico" Ta%bi6n es seguro 9ue
A"A"A" Fuente :S
Hna de las caractersticas %2s singulares de la &F y? por tanto pfSense es la posibilidad de filtrar por el siste%a operativo iniciar la cone/in" &ara conocer las reglas del & T? pf per%ite al siste%a operativo pasiva to%a de huellas digitales 9ue le per%ite crear reglas basadas en el siste%a operativo de iniciar el protocolo T & cone/in" La caracterstica p+f de pf deter%ina el siste%a operativo en uso %ediante la co%paracin de las caractersticas de la T & SS< pa9uete 9ue inicia las cone/iones T & con un archivo de huellas dactilares" Tenga en cuenta 9ue es posible
((,
Servidor de seguridad
ca%biar la huella digital de su siste%a operativo para parecerse a otro siste%a operativo? especial%ente en abierto
siste%as operativos de cdigo co%o la #SD y Linu/" @sto no es f2cil? pero si usted tiene t6cnico
A"A"B" Destino
A9u es donde se especifica la direccin 3& de destino? subred? o alias 9ue coincida con esta regla" '6ase la descripcin de la opcin Fuente de Seccin A"A">? NFuenteN para %2s detalles" Al igual 9ue con la
a9u"
A"A"C" .egistrarse
@sta casilla deter%ina si los pa9uetes 9ue coincidan con esta regla se registra en el registro del cortafuegos"
configuracin? puede li%itar la regla a (+ cone/iones por host de origen? en lugar de (+ cone/iones totales"
()+
Servidor de seguridad
o hacer cone/iones r2pidas de%asiados? los co%porta%ientos 9ue son co%unes con los virus" Hsted puede establecer
una cone/in de cantidad y un n;%ero de segundos para el perodo de tie%po" ual9uier direccin 3& superior
9ue el n;%ero de cone/iones dentro del plaDo establecido ser2n blo9ueadas durante una hora" Detr2s de la
escenas? esto es %aneMado por el cuadro virusprot? lla%ado as por su finalidad tpica de la proteccin antivirus"
uso" Las opciones de opti%iDacin se tratan en Seccin 1">","*? N:pciones de Firewall de opti%iDacinN
A"A"(+"*" ninguno
@sta opcin no %antener el estado de esta regla" @sto slo es necesario en algunos alta%ente especialiDados escenarios avanDados? ninguno de los cuales se tratan en este libro? ya 9ue son e/tre%ada%ente raros"
()(
Servidor de seguridad
A"A"()" Lista
A9u puede seleccionar un progra%a 9ue especifica los das y horas esta nor%a estar2 en vigor" Seleccin de
N<ingunoN? la regla sie%pre se activar2" &ara obtener %2s infor%acin? consulte Seccin A",? NTie%po
A"A"(*" Gateway
Gateway le per%ite especificar una interfaD =A< o en la piscina e9uilibrador de carga para el tr2fico 9ue coincidan con esta
regla para su uso" @sto se trata en aptulo ((? !;ltiples cone/iones =A<"
A"A"(1" Descripcin
@scriba una descripcin a9u para su consulta" @sto es opcional? y no afecta a la funcionalidad de la regla" Hsted debe entrar en algo a9u 9ue describe el propsito de la regla" @l %2/i%o
3&s p;blicas a los anfitriones con el enruta%iento y subredes 3& p;blica puente"
en lo 9ue puede hacer con estas direcciones? deM2ndote con dos opciones viables"
A"B"("("(" &uente
Si 9uiere 9ue el 3& adicionales asignados directa%ente a los siste%as 9ue los utiliDan? es puente
su ;nica opcin" Htilice una interfaD :&T puente con =A< para estos siste%as"
())
Servidor de seguridad
de la i%ple%entacin"
@l ;nico uso de %;ltiples direcciones 3& p;blica asignada de esta for%a es para el reenvo de puertos" Hsted puede configurar el puerto hacia delante en cada interfaD =A< 9ue se utiliDa la direccin 3& asignada a la interfaD por su proveedor de 3nternet del servidor DF &" Salida <AT para el territorio palestino ocupado =A< no funcionar2 debido a la li%itacin de 9ue cada =A< debe tener una puerta de enlace 3& ;nica a cabo adecuada%ente el tr2fico directo de 9ue
se puede utiliDar con <AT? tendiendo un puente o una co%binacin de los dos" &ara usarlos con <AT? agregue A.& pro/y o carpa '3&" &ara asignar direcciones 3& p;blica directa%ente a las %29uinas detr2s del firewall? se le necesidad de una interfaD dedicada para los anfitriones 9ue se enlaDa a =A<" uando se utiliDa con puente? el hosts con la 3& p;blica directa%ente afectados deber2n utiliDar la puerta de enlace predeter%inada %is%o 9ue el de la =A< cortafuegos? el router del 3S& aguas arriba" @sto crear2 dificultades si los hosts con direcciones 3& p;blicas deben iniciar las cone/iones a las %29uinas detr2s de otras interfaces de su servidor de seguridad? ya 9ue la puerta de enlace 3S& no la ruta de tr2fico para las subredes internas de nuevo a su servidor de seguridad" Figura A")(? Np;blico %;ltiple 3&s en uso I solo blo9ue de 3& Nse %uestra un eMe%plo del uso de %;ltiples direcciones 3& p;blicas en un solo blo9ue con una co%binacin de <AT y puente" &ara infor%acin sobre la configuracin? <AT se discute
A"B"(")")" &e9ue0a subred 3& =A< con %ayor LA< subred 3&
Algunos 3S& le dar2 una pe9ue0a subred 3& 9ue el N=A<N cesin? y una ruta %2s grande NDentroN de subred para la final de la subred de la =A<" o%;n%ente se trata de un *+ 7 de la =A<? y
()*
Servidor de seguridad
un 7 ), o %ayor para el interior" router del proveedor se le asigna uno de los e/tre%os de la 7 *+? por lo general la
%2s baMo de propiedad intelectual? y el servidor de seguridad se le asigna la propiedad intelectual %2s alto" @l proveedor entonces las rutas de la subred LA< al tel6fono 3& de la =A<" &uede utiliDar las direcciones 3& adicionales en una interfaD de enrutado con 3&s p;blicas directa%ente asignado a los hosts? o con <AT con otras personalidades? o una co%binacin de los dos" Dado 9ue los proyectos de investigacin se dirigen a usted? A.& no es necesaria? y no necesita ninguna de las entradas '3& para el uso con (:( <AT"
Debido a pfSense es la entrada en el seg%ento de :&T(? enruta%iento de :&T( anfitriones a LA< es %ucho
%2s f2cil 9ue en el escenario de un puente necesario cuando se utiliDa un ;nico blo9ue 3& p;blica" Figura A"))? N!;ltiples 3&s p;blicas en el uso I a dos cuadras de propiedad intelectualN se %uestra un eMe%plo 9ue co%bina un enrutado 3& blo9ue y <AT" @nruta%iento 3& p;blica se trata en Seccin C")? N@nruta%iento 3& &;blicaN? S <AT
Disponibilidad"
a una interfaD nueva :&T? usarlo con <AT? o una co%binacin de los dos"
3& J'3&K"
Fay tres tipos de direcciones 3& virtuales disponibles en pfSense: &ro/y A.&? la carpa? y otros" ada uno es ;til en situaciones diferentes" @n la %ayora de circunstancias? pfSense tendr2 9ue proporcionar A.& en su
()1
Servidor de seguridad
'3& por lo 9ue debe usar pro/y A.& o A.&" @n situaciones en las A.& no es necesario? co%o cuando %2s direcciones 3& p;blicas son dirigidas por el proveedor de la =A< 3&? utilice otras personalidades tipo"
A"C")" A.&
A.&A '3& se utiliDan sobre todo con las i%ple%entaciones redundantes utiliDando A.&" &ara obtener infor%acin sobre
utiliDando A.&A '3&? consulte aptulo )+? Firewall de redundancia 7 alta disponibilidad sobre el hardware redundancia"
Algunas personas prefieren utiliDar '3& A.& incluso cuando se e%plea slo un ;nico servidor de seguridad" @sto es por lo general pfSense por9ue responde a los pings en la carpa '3&? si las reglas de su cortafuegos per%ite este tr2fico JLas reglas por defecto no lo hace? para '3&s en =A<K" :tra situacin en la A.&A '3& se debe utiliDar es para cual9uier personalidades 9ue ser2 el anfitrin de un servidor FT&" @l pro/y FT& en pfSense debe ser capaD de unirse a
un host interno de ping para funcionar" 'er aptulo B? <etworL Address Translation para %2s de la infor%acin"
A"C"*" :tros
N:trosN '3& per%iten definir direcciones 3& adicionales para su uso cuando las respuestas A.& para la direccin 3& no son necesarios" La ;nica funcin de la adicin de un :tro '3& est2 haciendo 9ue la direccin disponible en las pantallas de configuracin de <AT" @sto es ;til cuando se tiene un blo9ue 3& p;blica dirigida a su direccin 3& =A< o un '3& A.&"
()>
Servidor de seguridad
%anteni%iento en el %o%ento esta funcionalidad fue escrito significaba esta era la ;nica posibilidad de adecuada
desconectar sesiones activas cuando el calendario de venci%iento" <ueva funcionalidad en pfSense )"+ per%ite 9ue se trata de integrarse con el &F de filtro? per%itiendo 9ue el tie%po basado en nor%as para funcionar igual 9ue cual9uier otra regla" &or el %o%ento? hay algunas advertencias a usar el tie%po basado en nor%as? y la lgica de estos nor%as es un poco diferente" @n esta seccin se analiDar2 c%o el uso del tie%po basado en nor%as? y las diferencias
accidental%ente per%itir un acceso %2s de lo previsto con una regla progra%ada" To%e este otro eMe%plo: Si usted tiene una poltica restrictiva de la salida para el tr2fico FTT&? y desea progra%ar el tr2fico FTT& reglas? entonces usted tendr2 9ue progra%ar las nor%as restrictivas? y no slo tiene un blo9ue progra%ado regla para el tr2fico FTT&" @n este caso el blo9ue progra%ado regla general? cuando fuera de la hora progra%ada?
se convertir2 en una regla general pasan FTT& y FTT& ignorar las nor%as %2s restrictivas de la salida"
veces"
()A
Servidor de seguridad
ser2 09:00 a 1M:00 J(B:++K" Todas las horas se dan en la Dona horaria local" Ahora entrar en un tie%po Descripcin del 2rea de distribucin? co%o Se!ana la)oral? A continuacin? haga clic en Agregar Tie%po"
Hna veD 9ue el intervalo de tie%po se ha definido? aparecer2 en la lista en la parte inferior de la progra%acin
despu6s de agregar N" @ste progra%a estar2 disponible para su uso en las reglas del cortafuegos"
()B
Servidor de seguridad
%2s infor%acin sobre c%o agregar y las nor%as de edicin" &ara nuestro eMe%plo? agregar una regla para blo9uear el T &
tr2fico en la interfaD LA< de la subred LA<? a cual9uier destino en el puerto FTT&" uando
llegar a la Lista !arco elegir el horario 9ue acaba%os de definir? (siness@o(rs? o%o en Figura A")A? N@leccin de una lista de reglas de firewallN"
()C
Servidor de seguridad
Seccin ))"(? NSiste%a de .egistrosN para obtener infor%acin sobre c%o ver y ca%biar esta configuracin"
@l =ebGH3 analiDa los registros? se ve en Figura A")C? N@Me%plo de entradas del registro se ve desde la =ebGH3N? en A colu%nas: Accin? Tie%po? 3nterfaD? :rigen? Destino? y el &rotocolo" Accin %uestra lo 9ue pas con el pa9uete 9ue genera la entrada de registro? ya sea pasar? blo9uear o rechaDar" @l tie%po es el %o%ento en 9ue lleg el pa9uete" La interfaD es en el pa9uete entr en pfSense" Fuente es la fuente Direccin 3& y el puerto" Destino es la direccin 3& de destino y el puerto" @l protocolo es el protocolo
cu2les son: S I SS< SincroniDar n;%eros de secuencia" 3ndica una nueva cone/in intento cuando slo SS< est2 fiMado" AIA Q F I F3< 3ndica aceptacin de los datos" o%o se se0al anterior%ente?
estas son las respuestas para 9ue el re%itente saber datos se han recibido en Aceptar" 3ndica 9ue no hay %2s datos del re%itente? el cierre de una
cone/in"
(),
.estableci%iento de la cone/in" @sta bandera se fiMa al responder a una solicitud de abrir una cone/in en un puerto 9ue no tiene ning;n de%onio de escucha" Ta%bi6n se puede aMustar por el software de servidor de seguridad para la espalda no deseados cone/iones"
@sto de%uestra 9ue el artculo >1 se e%pareM? 9ue dio lugar a una accin de blo9ueo en la vr1 interfaD" Las direcciones 3& de origen y de destino se %uestran a continuacin" Los pa9uetes de otros protocolos pueden %ostrar
de nuevo con el progra%a de obstruir? y entonces puede ser conducido a trav6s de cual9uier progra%a 9ue desee" &ara ver el contenido actual del archivo de registro? eMecute el siguiente co%ando: #o)str(ir 6 $ar 6 log 6 filter.log
Todo el contenido del archivo de registro se %ostrar2" Si usted est2 interesado slo en los ;lti%os a0os
(*+
de salida en lugar del registro de pri%as por co%pleto" &ara ver el contenido analiDado de la sesin actual? eMecute: #o)str(ir 6 $ar 6 log 6 filter.log 5 p0p 6 (sr 6 local 6 222 6 filterparser.p0p &odr2s ver el registro de las entradas de salida por lnea? con salida si%plificada de este %odo: 17 de julio 00:06:05 bloque vr1 UDP 0.0.0.0:68 255.255.255.255:67
A"(+"1" 4&or 9u6 a veces veo blo9ueado las entradas del registro de cone/iones legti%as8
A veces podr2s ver las entradas de registro 9ue? si bien eti9uetados con el NDefault negarN la regla? se parecen a pertenecen al tr2fico legti%o" @l eMe%plo %2s co%;n es ver una cone/in blo9ueada participacin de un servidor web" @s probable 9ue esto suceda cuando un pa9uete T & F3<? 9ue nor%al%ente se cierra la cone/in?
llega despu6s de 9ue el estado de la cone/in se ha 9uitado" @sto sucede por9ue en ocasiones un pa9uete
(*(
Servidor de seguridad
tr2fico"
Hsted ver2 esto en ocasiones incluso si ha per%itir 9ue todas las nor%as en todas sus interfaces? ya 9ue todos los para las cone/iones T & slo per%ite pa9uetes T & SS<" @l resto de tr2fico T & o ser2 parte de
un estado 9ue e/isten en la tabla de estado? o se i%itan los pa9uetes con las banderas T &"
deseo o esperar"
los registros Jde estado .egistros del siste%a? en la pesta0a FirewallK" .ecuerde 9ue pfSense por defecto de registro
todo el tr2fico se reduMo y no se registra ning;n tr2fico 9ue pasa" A %enos 9ue se a0ada el blo9ue o rechaDar las reglas 9ue no utilice el registro? todo el tr2fico blo9ueado sie%pre podr2 ingresar" Si no ve el tr2fico con un
pasar regla 9ue coincide con el tr2fico 9ue debe ser per%itido"
slo por el conMunto de reglas configuradas en la interfaD donde se inicia el tr2fico" @l tr2fico proveniente de
(*)
Servidor de seguridad
un siste%a de la LA< con destino a un siste%a en cual9uier otra interfaD se filtra slo por la LA< reglas" Lo %is%o es cierto para todas las otras interfaces"
otros usos" 'er aptulo )>? aptura de pa9uetes para %2s detalles sobre la solucin de proble%as con el pa9uete captura y tcpdu%p"
(**
se aborda con %2s detalle en Seccin B"A? N<AT SalienteN sobre la salida <AT"
(*1
De 3nternet"
proporciona la proteccin de cual9uier persona de e/ploracin de 3nternet en busca de los siste%as de ata9ue" uando se agregar un puerto para la cone/in? pfSense per%itir2 ning;n tr2fico 9ue coincide con la regla de firewall correspondiente" @s no sabe la diferencia de un pa9uete con una carga %aliciosa y 9ue es benigno" Si coincide con la regla de firewall? es per%itido" Tienes 9ue confiar en los controles basado en host para asegurar 9ue ninguna
(*>
3& virtual Jv6ase Seccin A"C? N3&s virtualesNK? a %enos 9ue se trata de un local de redireccin"
@l &rotocolo y el rango de puerto e/terno se debe establecer en consecuencia para el servicio 9ue se trans%iti"
"900" J o%o se trata de un puerto co%;n%ente trans%itido? 9ue ta%bi6n est2 disponible en la lista desplegable para La 3& <AT debe ser la direccin 3& local a la 9ue este puerto e/teriores situados por delante la voluntad y el local puerto es donde el rango de puertos re%itido co%enDar2" Si va a reenviar un rango de puertos? por eMe%plo (,+++I(,(++? slo tiene 9ue especificar un punto de partida local ya 9ue los puertos deben coincidir una a uno" @ste ca%po le per%ite abrir un puerto diferente en el e/terior de la sede en el interior est2 escuchando? por eMe%plo el puerto e/terno CCCC podr2 re%itir al puerto local C+ para FTT& en un
servidor interno"
@l ca%po de descripcin? co%o en otras partes de pfSense? est2 disponible para una breve frase acerca de lo 9ue
de un cl;ster de con%utacin por error Jver aptulo )+? Firewall de redundancia 7 alta disponibilidadK? 5ue suele ser indeseables"
La ;lti%a opcin es %uy i%portante" Si %arca AutoIa0adir una regla de firewall para per%itir el tr2fico a trav6s de esta regla <AT? entonces una regla de firewall se crear2 auto%2tica%ente para usted 9ue le per%ita el tr2fico
('irtual
<etworL o%puting? una co%putadora de escritorio %ultiplatafor%a protocolo de uso co%partido con %uchos libres 7 i%ple%entaciones de cdigo abierto? co%o Hltra'<
Jhttp:77www"uvnc"co%7K
(*A
para llegar al puerto de destino" <or%al%ente es %eMor deMar esta %arcada? y %odificar entonces la regla de firewall despu6s? si es necesario" Faga clic en Guardar cuando haya ter%inado? a continuacin? en Aplicar ca%bios"
@n Figura B")? N@Me%plo de Avance del puertoN hay un eMe%plo de la pantalla hacia adelante edicin de puerto
co%pletado con la configuracin adecuada 9ue trans%ita la '< para un siste%a local"
(*B
en el perodo de investigacin <AT en el puerto adecuado? co%o se %uestra en Figura B"1? NAdelante &uerto reglas de firewallN"
utiliDar puertos alternativos? tales co%o C+C+" Si usted tiene cinco direcciones 3& p;blicas disponibles configurado co%o 'irtual 3&? usted podra tener cinco servidores web internos a trav6s del puerto C+" 'er Seccin A"C? N'irtual
(*C
&ara 9ue re%ite el puerto =A< en las direcciones 9ue sean accesibles por %edio de su respectiva 3& =A<
direccin de la residencia de cara interfaces? tendr2 9ue configurar <AT refle/in 9ue se describe en Seccin B">? N.efle/in <ATN" Hsted sie%pre debe probar su puerto hacia adelante de un siste%a de
pro/y el tr2fico FTT& a un servidor pro/y o redirigir todos los salientes de S!T& a un servidor"
<ota
@l siste%a 9ue est2 dirigiendo el tr2fico a esta debe residir en una interfaD diferente de el servidor de seguridad" De lo contrario su propio tr2fico de red se redirige a s %is%o" @n el caso de un servidor pro/y FTT& con un puerto para la cone/in de redireccin de la LA<? por su propio solicitudes nunca ser2 capaD de salir de la red a %enos 9ue el servidor reside en una interfaD de territorio palestino ocupado" <o hay %anera de negar un puerto para la cone/in en una interfaD interna en (")"/ pfSense? aun9ue hay una solicitud abierta en funcin de eso y se puede incluir
en )"+"
La entrada <AT se %uestra en la Figura B">? N@Me%plo de redireccin del puerto hacia adelanteN es un eMe%plo de un
configuracin 9ue va a redirigir todo el tr2fico FTT& 9ue llegan a la interfaD LA< de ala%ar Jpuerto
(*,
conMunto de reglas" Si el tr2fico es per%itido por las reglas de su firewall? ser2 pasado al host interno"
(1+
configurar las reglas de firewall? y co%o sie%pre? 9ue per%ita evitar cual9uier cosa 9ue no es necesario"
(1(
otra %2scara"
B"*")"("1" Descripcin
@ste es un ca%po opcional 9ue no afecta el co%porta%iento de la entrada <AT (:(" .ellene algo
9ue le per%itir2 identificar f2cil%ente a esta entrada cuando se trabaMa con el servidor de seguridad en el futuro"
los %apas se encuentra en un seg%ento de la D!E con 3& interna (,)"(AC")">" +(:+( La entrada <AT para %apear (+"+"+"> a (,)"(AC")"> se %uestra en la Figura B"B? NLa entrada <AT (:(N" Hn diagra%a 9ue representa este
configuracin en la Figura B"C? N@Me%plo de <AT +(:+( I ;nico en el interior y fuera de 3&N"
(1)
<AT para una a%plia 3D. 7 *+ de los &3" 3& e/terna (+"+"+"A17*+ (+"+"+"A1 (+"+"+"A> (+"+"+"AA (+"+"+"AB 3nterior 3& (,)"(AC")"A17*+ (,)"(AC")"A1 (,)"(AC")"A> (,)"(AC")"AA (,)"(AC")"AB
octeto N ta%bi6n sera v2lida" 3& e/terna (+"+"+"A17*+ (+"+"+"A1 (+"+"+"A> (+"+"+"AA (+"+"+"AB 3nterior 3& (,)"(AC")")++7*+ (,)"(AC")")++ (,)"(AC")")+( (,)"(AC")")+) (,)"(AC")")+*
B"*"*" +(:+( <AT en la =A< 3&? ta%bi6n conocido co%o NDona de distensinN en LinLsys
Algunos routers de consu%o co%o los de LinLsys tienen lo 9ue lla%an una NDona de distensinN? caracterstica 9ue se adelante todos los puertos y protocolos destinados a la direccin 3& de la =A< a un siste%a en la LA<" @n
(1*
efecto? esto es de (:( <AT entre la direccin 3& de la =A< y la direccin 3& del siste%a interno"
NEona de distensinN en ese conte/to? sin e%bargo? no tiene nada 9ue ver con lo 9ue una verdadera red D!E es en tie%po real la creacin de redes de ter%inologa" De hecho? es casi todo lo contrario" Hn host en una verdadera Dona de distensin se encuentra en una
aislado de la red leMos de los anfitriones otra LA<? asegur fuera de la 3nternet y los host LA<
por igual" &or el contrario? una NDona des%ilitariDadaN de acogida en el sentido de LinLsys no es slo en la %is%a red 9ue el
hosts de LA<? pero co%pleta%ente e/puestos al tr2fico entrante con ninguna proteccin"
@n pfSense? no se puede tener +(:+( <AT activo en la 3& =A<" @l =ebGH3 no per%itir 9ue dicho
configuracin? ya 9ue se ro%pera la conectividad para otras %29uinas en la red" @n su lugar? debe slo hacia delante de los protocolos y puertos necesarios para el servidor o aplicacin? y restringir su el uso de reglas de firewall 9ue sea posible" 5ue t6cnica%ente se puede lograr lo %is%o %ediante el envo de Los puertos T & y HD& del ( al A>>*> y el G.@ y protocolos de pesetas? pero esto es %uy fuerte
este ordena%iento" Ta%bi6n %uestra 9ue los laDos de tcpdu%p? ya 9ue su uso co%o herra%ienta de solucin de proble%as se se describir2 %2s adelante en este libro Jv6ase aptulo )>? aptura de pa9uetesK"
ada capa no sie%pre tiene 6/ito" Figura B"((? NLA< a la =A< de procesa%ientoN y Figura B"()? N=A< a la LA< de procesa%iento N %uestran 9ue las capas se aplican para el tr2fico iniciado desde la LA< va a la
=A<? y ta%bi6n para el tr2fico iniciado en la =A< va a LA< Jpor eMe%plo cuando el tr2fico est2 per%itidoK"
&ara el tr2fico de LA< a =A<? en pri%er lugar las reglas del firewall 9ue se eval;an? el <AT de salida se aplica si el tr2fico est2 per%itido" @l <AT =A< y las reglas del firewall no se aplican al tr2fico
inici en la LA<"
(11
(1>
&ara el tr2fico iniciado en la =A<? <AT se aplica en pri%er lugar? a continuacin? las reglas del firewall" Tenga en cuenta 9ue tcpdu%p es sie%pre lo pri%ero y el ;lti%o en ver el tr2fico I por pri%era veD en la interfaD de entrada? antes de cual9uier procesa%iento de firewall y <AT? y el ;lti%o en la interfaD de salida" @sto de%uestra lo 9ue est2 en el cable" J'6ase aptulo )>? aptura de pa9uetesK
Figura B"(*" Las reglas de firewall para el puerto hacia adelante a la LA< de host
esta funcionalidad" Dividir el D<S est2 cubierta en Seccin B">")? NSplit D<SN"
(1A
su red"
a los servicios .eenviador D<S y haga clic en la seccin NHsted puede entrar en los registros 9ue anulan
(1B
los resultados de los agentes de abaMo N? co%o se indica en la Figura B"(>?N Add D<S Forwarder
.ee%plaDar N"
@l resultado ser2 el pro%otor de D<S: pantalla de edicin de acogida" La Figura B"(A? NAdd Forwarder D<S Au%ento al presupuesto para e/a%ple"co% Ny la Figura B"(B?N D<S reenviador anulacin de www"e/a%ple"co% N
%uestran eMe%plos de anulaciones D<S para e/a%ple"co% y www"e/a%ple"co%" Hsted tendr2 9ue a0adir un au%ento al presupuesto para cada no%bre de host en el uso de detr2s de su firewall"
Munto con todos los de%2s registros de los do%inios JA? <A!@? !G? etc"K
@n entornos 9ue utiliDan el servidor D<S de #3<D D<S donde el p;blico se encuentra aloMado en el %is%o servidor D<S co%o el privado? cuentan con puntos de vista de #3<D se utiliDa para resolver D<S diferente de la residencia los eM6rcitos 9ue las e/ternas" Si est2 usando un servidor D<S diferente? es posible 9ue un apoyo si%ilar
Disponibilidad"
el tr2fico de hoMas"
(1C
el puerto de origen eli%ina estos posibles Jaun9ue poco probableK vulnerabilidades de seguridad"
Sin e%bargo? esto ro%pe algunas aplicaciones" <o se construyen en las reglas cuando avanDadas de salida <AT es con discapacidad 9ue no lo hace para HD& >++ J3Q@ para el tr2fico '&<K y >+A+ JS3&K? por9ue estos tipos de tr2fico? casi sie%pre se ro%pe por reescribir el puerto de origen" @l resto del tr2fico se ha
opcin de puerto" Faga clic en Firewall <AT? y la ficha de salida" Faga clic en !anual de salida regla <AT
generacin JAdvanced salida <AT JA:<KK y haga clic en Guardar" A continuacin ver2 una regla en el parte inferior de la p2gina eti9uetada Auto creado regla para LA<" Faga clic en el botn a la derecha de la regla para editarlo" !ar9ue la casilla de puerto est2tico en la p2gina y haga clic en Guardar" Aplicar ca%bios" Despu6s de
direcciones y pfSense entonces las direcciones 3& va p;blica sin necesidad de traduccin"
&ara desactivar co%pleta%ente <AT saliente? eli%inar todas las reglas 9ue est2n presentes cuando se utiliDa %anual
<AT de salida"
(1,
en algunas circunstancias"
con <AT en pfSense? y c%o evitar estos proble%as cuando sea posible"
B"C"(" FT&
FT& plantea proble%as tanto con <AT y firewalls debido al dise0o del protocolo" FT& fue dise0ado inicial%ente en la d6cada de (,B+? y el nivel actual de definicin de las especificaciones de la protocolo fue escrita en (,C>" Desde FT& se cre %2s de una d6cada antes de la <AT? y largo antes de servidores de seguridad son co%unes? 9ue hace algunas cosas 9ue son %uy <AT y cortafuegos hostil" pfSense utiliDa dos diferentes aplicaciones pro/y FT&? pftp/ y ftpsesa%e" pftp/ se utiliDa para todos
escenarios de <AT? %ientras aco%oda ftpsesa%e puente y de enruta%iento de direcciones 3& p;blicas"
one/iones
)@n
pfSense )"+? el servidor pro/y FT& y au/iliares relacionadas han sido eli%inados y toda esta funcionalidad se %aneMa a la perfeccin en un %2s
(>+
y el puerto a la direccin 3& original y el puerto especificado por el cliente FT&" &or ;lti%o? se per%ite el tr2fico
directa%ente"
@n el caso de un servidor detr2s de <AT? esto no suele ser un proble%a ya 9ue el servidor slo se !;sica para las cone/iones en el est2ndar de los puertos FT& y luego hacer las cone/iones de salida de nuevo
a los clientes"
ya 9ue el servidor escucha en un puerto cuando una transferencia de archivos se solicita? no el cliente" &or lo general? el %odo &AS' trabaMar2 para los clientes FT& detr2s de <AT sin usar pro/y o un trata%iento especial
en absoluto"
Si un servidor est2 detr2s de <AT? sin e%bargo? el tr2fico debe ser pro/y a la inversa? cuando a sus clientes intento de utiliDar el %odo &AS'" @l pro/y FT& puede %aneMar esta situacin? pero todas las lla%adas entrantes FT& las solicitudes se parecen provenir del siste%a de pfSense en lugar de los clientes" Al igual 9ue el situacin en la seccin anterior? cuando un cliente solicita el %odo &AS' el servidor tendr2 9ue dar
(>(
su direccin 3& y un puerto aleatorio para el cual el cliente puede intentar conectarse" Sa 9ue el servidor es
en una red privada? 9ue la direccin 3& y el puerto tendr2 9ue ser traducido y per%ite a trav6s de
el servidor de seguridad"
debe conectar" Las %is%as advertencias para los servidores en %odo &AS' se aplican a9u"
para escuchar en la 3& p;blica? y A.& &ro/y y otras personalidades de tipo no per%iten esto" U ayudante de FT& debe estar habilitado en la interfaD =A< en el puerto hacia adelante reside" U @l servidor debe estar usando el puerto )("
funcionar2? lo 9ue per%ite FT& para 9ue funcione correcta%ente" U Htilice A.&A '3& tipo
Debido a 9ue el pro/y FT& debe ser capaD de escuchar en el '3&? y &ro/y A.& y otras personalidades de tipo
no per%itir esto? debe utiliDar A.&A '3& con ninguna de las entradas +(:+( <AT aloMa%iento de servidores FT&" U Fabilitar el ayudante de FT& en la red =A<? donde la entrada se configura +(:+(
'aya a la interfaD donde la subred e/terna +(:+( resida? en el %en; de interfaces" @n un solo despliegue de =A<? se trata de interfaces =A<" #aMo FT& ayudante? aseg;rese de desactivar la
espacio de usuario de aplicacin pro/y FT& est2 %arcada" U A0adir una entrada al puerto para la cone/in de T & )(
@sto no es precisa%ente sencillo? pero la for%a de activar la ayuda de FT& para escuchar en una relacin (:(
<AT 3& es %ediante la adicin de una entrada de puerto para la cone/in con la %is%a 3& internas y e/ternas y el puerto T &
)(" @sto en realidad no agregar la configuracin de <AT se especifica? co%o el siste%a reconoce su
(>)
+(:+( entrada <AT? y si%ple%ente lanDa el pro/y FT& en 9ue la propiedad intelectual" @sto puede ser %2s recta
adelante en pfSense )"+? pero el co%porta%iento e/istentes se %antendr2n para la co%patibilidad hacia atr2s"
B"C")" TFT&
<or%a tr2fico T & y HD& iniciar cone/iones a hosts re%otos usando un puerto de origen al aDar en el rango de puertos ef%eros Jrango vara seg;n el siste%a operativo? pero entra dentro (+)1IA>>*>K? y el puerto de destino del protocolo en uso" Las respuestas del servidor al cliente 9ue revertir I la fuente puerto es el puerto del cliente de destino y el puerto de destino es el puerto del cliente de origen" As es co%o
respuestas ser2n blo9ueados debido a 9ue parecen ser el tr2fico no solicitado a trav6s de 3nternet"
TFT& no es un protocolo de uso general a trav6s de 3nternet" La ;nica situacin 9ue en ocasiones surge cuando se trata de un proble%a es con algunos tel6fonos 3& 9ue se conectan al e/terior de los proveedores de 'o3& a trav6s de 3nternet usando TFT& para tirar de configuracin y otra infor%acin" La %ayora de los proveedores de 'o3&
no lo re9uieren"
<o hay for%a de solucionar esta li%itacin en este %o%ento I TFT& no funcionar2 a trav6s de pfSense
(")" pfSense )"+ incluye un pro/y TFT& 9ue eli%ina esta li%itacin"
servidor" Hn solo cliente ta%bi6n puede conectarse a un n;%ero ili%itado de servidores fuera de &&T&"
@l ;nico trabaMo disponible todo es el uso de %;ltiples direcciones 3& p;blicas en el servidor de seguridad? uno por cada cliente a trav6s de <AT de salida o (:(? o utiliDar %;ltiples direcciones 3& p;blica e/terna en el servidor &&T&" @sto no es un
(>*
Debido a las %is%as li%itaciones G.@ se %encion anterior%ente? si activas el servidor &&T& en pfSense?
no se puede conectar a cual9uier servidor &&T& en 3nternet de los clientes <AT a la 3& =A< pfSense" @l trabaMo alrededor de esto ta%bi6n re9uiere el uso de %2s de una direccin 3& p;blica" &uede <AT clientes internos a otra 3& p;blica? y slo se suMeta a los %is%os por p;blicos
solucin"
intervencin" 'er Seccin )("A? NH&n&N &ara obtener %2s infor%acin sobre la configuracin y el uso de H&n&"
(>1
la regla de firewall se pongan en venta" Las cosas co%unes para verificar: U orregir la interfaD Jpor lo general =A<? o donde9uiera 9ue el tr2fico va a ingresar en el cuadro de pfSenseK" U orregir <AT 3&? 9ue debe ser accesible desde una interfaD en el router pfSense" U orregir rango de puertos? 9ue debe corresponder al servicio 9ue est2n tratando de avanDar"
aMustes" Hna regla de servidor de seguridad incorrecto ta%bi6n sera evidente al ver los registros del firewall JSeccin A"(+? N'isualiDacin de los registros del firewallNK" .ecuerde? 9ue el destino del servidor de seguridad regla debe ser la direccin 3& interna del siste%a de destino y no la direccin de la interfaD
9ue contiene el puerto para la cone/in" 'er Seccin B"1")? N<or%as para <ATN para %2s detalles"
en ese punto"
(>>
puerto 9ue est2 siendo enviado no coincide con el puerto en el 9ue el siste%a de destino est2 a la escucha"
&or eMe%plo? si el siste%a de destino se supone 9ue es %;sica para cone/iones SSF? pero el puerto adelante se introduMo por el puerto )* en lugar de ))? la peticin lo %2s probable es 9ue sea rechaDada" Hsted puede
por lo general la diferencia al tratar de conectar con el puerto en cuestin a trav6s de telnet" Hn %ensaMe
tales co%o one/in rechaDada indica algo? con frecuencia de acogida en el interior? se activa negarse
la cone/in"
C+C+ o CCCC"
Antes de tratar de evitar un filtro? consulte a su e9uipo de especialistas del 3S& para asegurarse de 9ue no est2 violando
sus reglas"
red" @sto es un error %uy co%;n cuando se prueba delante del puerto"
(>A
Si necesita delante del puerto de trabaMar interna%ente? v6ase Seccin B">? N.efle/in <ATN" Sin e%bargo?
Dividir el D<S JSeccin B">")? NSplit D<SNK @s una solucin %2s apropiada y elegante a este proble%a sin necesidad de depender de la refle/in <AT o hacia el puerto? y sera digno de su tie%po
no funciona? puede 9ue tenga 9ue ca%biar a un tipo diferente de '3&" &or eMe%plo? es posible 9ue necesite
utiliDar un tipo de pro/y A.& en lugar de un NotroN tipo '3&" uando la prueba? aseg;rese ta%bi6n de 9ue se est2 conectando a la adecuada '3&"
en el siste%a local"
aptura para obtener infor%acin sobre el uso de capturas de pa9uetes para diagnosticar proble%as de reenvo de puerto"
fue activado de la %anera correcta? y asegurarse de 9ue no son el reenvo de una a%plia ga%a de puertos"
<AT nor%as de refle/in ta%bi6n se duplican para cada interfaD presente en el siste%a? as 9ue si usted tiene una gran cantidad de delanteros del puerto y las interfaces? el n;%ero de reflectores puede f2cil%ente superar los l%ites de la
del siste%a" Si esto ocurre? una entrada se i%pri%e en los registros del siste%a"
La refle/in es per%itido" La for%a %2s co%;n de este proble%a se plantea es cuando usted tiene una web local
(>B
Si <AT refle/in est2 habilitado y la direccin e/terna se establece en c(al'(ier? ual9uier cone/in 9ue hacen aparece co%o su propia p2gina web" &ara solucionar este proble%a? edite el <AT del puerto hacia adelante para el puerto de ofender? y el ca%bio de direcciones e/terna a Direccin de interfa4 en su lugar"
Si real%ente necesita una direccin e/terna de c(al'(ier? A continuacin? <AT La refle/in no funciona para usted?
:pen'&<"
Hn indicio de una regla <AT saliente falta sera pa9uetes ver salir de la interfaD =A<
con una direccin de origen de una red privada" 'er aptulo )>? aptura de pa9uetes para obtener %2s detalles
(>C
router conectar subredes internas adicionales? debe definir una ruta est2tica para 9ue la red de
ser alcanDable"
N onfiguracin de rutas est2ticasN %uestra la ruta est2tica adecuado para el diagra%a anterior"
(>,
@nruta%iento
la direccin del router en esta red es accesible" @sta debe ser una direccin 3& dentro de la subred 3& de la interfaD elegida" aMustes de servidor de seguridad regla ta%bi6n puede ser re9uerido" @l valor por defecto LA< ;nica regla per%ite el tr2fico procedente de la subred LA<? por lo 9ue si %antiene esa nor%a? 9ue tendr2 9ue abrir la red de origen para incluir ta%bi6n a las redes accesibles a trav6s de rutas est2ticas de la LA<" La siguiente seccin describe un escenario co%;n con rutas est2ticas para 9ue ta%bi6n vosotros
revisin"
(A+
@nruta%iento
en la caMa %is%a interfaD en el Siste%a AvanDada la p2gina en los escenarios de enruta%iento asi%6trico
para evitar el tr2fico legti%o de ser retirados" @sto se su%a reglas de firewall 9ue per%ite todo el tr2fico entre las redes se definen en las rutas est2ticas con ninguna opcin estado &F" o%o alternativa? puede agregar las reglas del firewall se especifica ning(no co%o el tipo de @stado? el tr2fico de correspondencia entre lo local y lo subredes re%otas? pero 9ue general%ente no se reco%ienda debido a la co%pleMidad 9ue puede presentar y la %ayor probabilidad de errores" @n caso de necesidad de filtrar el tr2fico entre est2tica%ente enrutado subredes? se debe hacer en el router y no el servidor de seguridad desde el servidor de seguridad no est2 en condiciones de
y re%itir el pa9uete tal co%o est2 configurado" La redireccin 3 !& causa una ruta para ese destino a se a0adir2 a la tabla de enruta%iento del dispositivo de envo? y el dispositivo 9ue posterior%ente utiliDar2 ruta %2s directa para llegar a esa red" @sto no funcionar2 si su siste%a operativo est2 configurado para no per%itir
(A(
@nruta%iento
.edireccin 3 !& en su %ayora han in%erecida%ente recibido una %ala reputacin de algunos en la seguridad
co%unidad debido a 9ue per%iten la %odificacin de la tabla de enruta%iento de un siste%a" Sin e%bargo? no se el riesgo de 9ue algunos suponen? co%o para ser aceptado? el %ensaMe de redireccin 3 !& debe incluir la pri%era C bytes de datos del datagra%a original" Hna gran cantidad en condiciones de ver 9ue los datos y por lo tanto poder para forMar con 6/ito ilcito redirecciones 3 !& se encuentra en una posicin para lograr el %is%o resultado final en
servidor de seguridad? y uno para la interfaD en el interior" @ste es co%;n%ente un 7 *+ de subred de la =A<? con un segunda subred asignada a la interfaD interna" @n este eMe%plo se utiliDar2 un 7 *+ sobre la =A<? co%o se %uestra en Tabla C"(? N#locL =A< 3&N y un 7 ), de subred p;blica en una interfaD :&T interno co%o se %uestra
en Tabla C")? NDentro del blo9ue de 3&N" ((">+"B>"A17*+ Direccin 3& ((">+"B>"A>
((">+"B>"AA
Asignado a router del 3S& JpfSense puerta de enlace predeter%inada 3&K pfSense interfaD =A< 3&
(A)
@nruta%iento
%uestra de la =A< se configura co%o se %uestra en la Tabla C"(? N#locL =A< 3&N"
(A*
@nruta%iento
co%porta%iento de pfSense" Si su red contiene una subred privada co%o en este eMe%plo? esta es la e/acta configuracin deseada" @l tr2fico procedente de la red (,)"+")"()C7), :&T( es no traducidas por9ue la fuente se li%ita a (,)"(AC"("+7)1" @sta configuracin se %uestra en la Figura C"A? NSalida de configuracin <ATN" Si utiliDa direcciones 3& p;blicas en su LA<? eli%inar auto%2tica%ente
(A1
@nruta%iento
(A>
@nruta%iento
&ara per%itir el tr2fico de 3nternet a las direcciones 3& p;blicas en una interfaD interna? necesita a0adir reglas
en la =A< utiliDando la 3& p;blica co%o el destino" Figura C"C? Nlas reglas del firewall =A<N %uestra una regla 9ue per%ite FTT& a (,)"+")"(*+? una de las 3&s p;blicas en la interfaD interna? co%o se %uestra
C"*"(" .3&
.3& se puede configurar en Servicios .3&" &ara utiliDarlo: (" o%pruebe la casilla Fabilitar .3& )" Seleccione las interfaces .3& escuchar y enviar actualiDaciones de enruta%iento en *" Seleccione su versin .3& 1" uando se usa .3&v)? introduDca una contrase0a .3&v) si se utiliDa en la red" >" Faga clic en Guardar
.3& de in%ediato pondr2 en %archa y e%peDar a enviar y recibir actualiDaciones de enruta%iento en el especificado
interfaces"
C"*")" #G&
Hn pa9uete #G& usando :pen#SD :pen#G&D [http:77www"openbgpd"org\ est2 disponible" &ara instalarlo? visite Syste% &a9uetes y haga clic en el signo %2s a la derecha de :pen#G&D" Faga clic en Aceptar para
(AA
@nruta%iento
instalar el pa9uete" A continuacin? haga clic en el logotipo de pfSense en la parte superior iD9uierda? 9ue le llevar2 a la p2gina de inicio y volver a cargar los %en;s" Hsted encontrar2 :pen#G&D en el %en; Servicios" #G& es es una co%pleMo bestia? y describiendo de 9ue esta en detalle libro" fuera el onfiguracin 2%bito de aplicacin de
:^.eilly #G& libro es decir? c HTFC e tag c pfSenseI)+ y linL ode c AS) y ca%po c (BC, c ,*)> y creativa y creativeAS3< c +>,A++)>1C\ y lo reco%iendo para cual9uiera 9ue 9uiera i%ple%entar #G&"
recta hacia adelante si 9ue entender de esta pa9uete? 9ue se bas en [http:77www"a%aDon"co%7gp7product7+>,A++)>1C8
pfSense"
(AB
@nruta%iento
Destino Banderas Gateway Refs Use Netif Vencimiento predeterminado 10.0.2.2 UGS 0 53 le0 link 10.0.2.0/24 # 1 de la UC 0 0 le0
10.0.2.2 52:54:00:12:35:02 UHLW 2 35 796 le0
10.0.2.15 127.0.0.1 UGHS 0 0 lo0 127.0.0.1 127.0.0.1 UH 1 0 lo0 enlace 192.168.56.0/24 # 2 de la UC 0 0 le1
192.168.56.101 08:00:27:00: d4: 84 UHLW 1 590 le1 1197
Las colu%nas aparecen en estas pantallas indicar diversas propiedades de las rutas? y se e/plican siguiente"
C"1"("(" Destino
@l host de destino o de la red" La ruta por defecto para el siste%a es si%ple%ente aparece co%o Npredeter%inadoN"
De lo contrario? los anfitriones se enu%eran por su direccin 3& y las redes se %uestran con una direccin 3& y 3D.
%2scara de subred"
C"1"(")" Gateway
Hn gateway es el router 9ue los pa9uetes 9ue van a un destino especfico necesario para ser enviados" Si este colu%na %uestra un enlace? co%o el enlace ` (? luego de 9ue la red es directa%ente accesible desde la interfaD y no especiales de enca%ina%iento es necesario" Si un host es visible con una direccin !A ? entonces es un local de acogida puede llegar con una entrada en la tabla A.&? y los pa9uetes son enviados all directa%ente"
C"1"("*" #anderas
Fay un buen n;%ero de banderas de unos pocos? todos los cuales est2n cubiertos en la p2gina del %anual de Free#SD
netstat (1)? reproduce en el Tabla C"*? N#anderas tabla de rutas y significadosN con algunas %odificaciones" arta ( ) * # b #andera .TF_&.:T:( .TF_&.:T:) .TF_&.:T:* .TF_#LA QF:L@ .TF_#.:AD AST (AC
@nruta%iento
Generar nuevas rutas en el uso &rotocolo especificado por generar nuevas rutas en el uso reado din2%ica%ente por redirigir Destino re9uiere trans%isin por inter%ediario entrada de host Jneto de otra %aneraK protocolo v2lido para vincular la direccin traduccin !odificados din2%ica%ente Jpor redireccinK Fost o una red inalcanDable Agregar %anual%ente .uta ;til
.uta se gener co%o resultado
C"1"("1" .efs
@sta colu%na cuenta el n;%ero actual de los usos activos de una ruta deter%inada"
C"1"(">" Htilice
@ste contador es el n;%ero total de pa9uetes enviados a trav6s de esta ruta" @sto es ;til para deter%inar si un ruta se est2 utiliDando? ya 9ue continua%ente incre%ento en el fluMo de pa9uetes si esta ruta se utiliD"
C"1"("A" <etif
La interfaD de red utiliDada para esta ruta"
(A,
@nruta%iento
C"1"("B" @/pirar2
&ara las entradas din2%icas? este ca%po %uestra la duracin de esta ruta hasta 9ue caduca si no se utiliDa de nuevo"
el TTL en uno" uando un router recibe un pa9uete con un TTL de ( y el destino no es un red conectada local%ente? el enrutador devuelve un %ensaMe de error 3 !& I Tie%po para vivir superado I S descarta el pa9uete" @sto es para li%itar el i%pacto de los bucles de enruta%iento? 9ue de otro %odo
HD& en uso" @n este eMe%plo? va%os a tratar de encontrar la ruta a www"google"co%: #tracero(te 222.google.co! traceroute: Warning: www.google.com tiene varias direcciones, utilizando 74.125.95.99 traceroute para www.l.google.com (74.125.95.99), 64 saltos mximo, 40 paquetes de bytes
(B+
@nruta%iento
1 2 3 ms 4 5 6 7 8
conductor (172.17.23.1) 1.450 ms 1.901 ms 2.213 ms 172.17.25.21 (172.17.25.21) 4,852 ms 3.698 ms 3.120 ms BB1-g4-0-2.ipltin.ameritech.net (151.164.42.156) 3.275 ms 3.210 ms 3.215
151.164.93.49 (151.164.93.49) 8,791 ms 8.593 ms 8.891 ms 74.125.48.117 (74.125.48.117) 8,460 ms 39.941 ms 8.551 ms 209.85.254.120 (209.85.254.120) 10,376 ms 8.904 ms 8.765 ms 209.85.241.22 (209.85.241.22) 19,479 ms 20.058 ms 19.550 ms 209.85.241.29 (209.85.241.29) 20,547 ms 19.761 ms 209.85.241.27 (209.85.241.27) 20,131 ms 9 209.85.240.49 (209.85.240.49) 30,184 ms 72.14.239.189 (72.14.239.189) 21,337 ms 21.756 ms 10 iw en f99.google.com (74.125.95.99) 19.793 ms 19.665 ms 20.603 ms o%o puede ver? to% (+ saltos para llegar all? y la latencia en general au%enta con cada salto"
(B(
@nruta%iento
on 3&sec? traceroute no es tan ;til co%o con las configuraciones de enrutado co%o :pen'&<? ya 9ue el 3&sec
t;nel en s no tiene direcciones 3&" uando se eMecuta traceroute a un destino a trav6s de 3&sec? se le
ver un tie%po de espera para el salto 9ue es el t;nel 3&sec por esta raDn"
(B)
co%binar interfaces %;ltiples en un ;nico do%inio de difusin? donde dos puertos en el firewall act;an co%o si estuvieran en el %is%o switch? e/cepto el tr2fico entre las interfaces pueden ser controlados con
las reglas del cortafuegos" @sto se conoce co%;n%ente co%o cortafuegos transparente"
conectado los dos e/tre%os de un cable de cone/in en el %is%o interruptor" Si usted tiene una instalacin con dos pfSense interfaces? las interfaces de puente Muntos? a continuacin? conecte las dos interfaces en el %is%o interruptor 9ue han creado una capa de ) bucle" La cone/in de dos cables de cone/in entre dos switches ta%bi6n lo hace" switches gestionables e%plean Spanning Tree &rotocol JST&K para %aneMar situaciones co%o 6sta? por9ue a %enudo es deseable tener %;ltiples enlaces entre los switches? y usted no desee 9ue su red estar e/puesto al colapso total por alguien conectar un puerto de red a otra red puerto" ST& no est2 habilitado por defecto en todos los switches gestionados sin e%bargo? y casi nunca disponibles con switches no gestionables" Sin ST&? el resultado de una capa de ) bucle %arcos en la red crculo sin fin y la red ser2 co%pleta%ente deMar2 de funcionar hasta 9ue el laDo se 9uita" @n pocas palabras I puente tiene el potencial de derretirse por co%pleto por la red a la 9ue conectar
(B*
&uente
dos interfaces del servidor de seguridad deben estar en el %is%o do%inio de broadcast por otra raDn"
<ota
@/isten re9uisitos adicionales y restricciones al puente inal2%brico interfaces por la for%a en C+)?(( funciones" 'er Seccin (C"*? N.educcin y
(B1
&uente
Despu6s de a0adir esta regla? los clientes en el seg%ento de puente debe ser capaD de realiDar con 6/ito
,">")" A.&
A.& J aptulo )+? Firewall de redundancia 7 alta disponibilidadK no es co%patible con el puente en esta veD I pero? hay algunos hacLs %anual" Hso de A.& con las redes 9ue involucran puente General%ente no se reco%ienda? pero este tipo de instalacin ha trabaMado para un n;%ero de individuos" Gran cuidado se debe to%ar para %aneMar la capa ) bucles? 9ue son inevitables en una carpa b &uente escenario" uando dos seg%entos de red son un puente? 9ue est2n en vigor se fusionaron en uno %2s grande de red? co%o se e/plic anterior%ente en este captulo" uando A.& se a0ade a la %eDcla? eso significa 9ue hay
ser2 de dos vas entre los interruptores para cada interfaD respectiva? la creacin de un bucle"
switches gestionables puede %aneMar esto con Spanning Tree &rotocol JST&K? pero switches no gestionables no tienen defensas contra el bucle" Si no se controla? puede poner un laDo de una red de rodillas y hacen 9ue sea i%posible de pasar todo el tr2fico" Si ST& no est2 disponible? hay otros dos enfo9ues para el %aneMo de un puente en este escenario? si%ilar pero no tan elegante co%o ST&" A%bos %6todos
(B>
&uente
necesario ca%biar los archivos en el siste%a de pfSense? y no podra sobrevivir una copia de seguridad 7 restauracin? sin una consideracin especial" @stas t6cnicas son una secuencia de co%andos cron para gestionar el puente? o un gancho D@'D
para gestionar el puente" A%bos %6todos se describen en un puesto pegaMosa en el A.& 7 '3&
cubiertos en aptulo )+? Firewall de redundancia 7 alta disponibilidad" onfigure el puente de interfaD
tanto en la pri%aria y secundaria? con la descripcin %is%a interfaD" Si el puente se :&T( en el pri%ario? lo convierten en :&T( en el secundario" <o conecte a%bos puentes al %is%o tie%po hasta el final" Tendr2 9ue ser capaD de acceder a la pfSense =ebGH3 desde una interfaD de servidor de seguridad 9ue no sea la interfaD de puente" Hsted tendr2 9ue realiDar todos estos pasos? tanto para la pri%aria
y cortafuegos secundaria"
blo9ueo en esta situacin se controla %ediante el estableci%iento de las prioridades del puerto y los costos de ruta" @n un con%utador isco? la configuracin sera algo co%o esto: interfaz FastEthernet0 / 1 descripcin Firewall - Primaria - Puerto DMZ switchport access vlan 20 spanning-tree vlan 20 puertos con prioridad 64 no cdp enable interfaz FastEthernet0 / 2 Descripcin del servidor de seguridad - Copia de seguridad - Puerto DMZ switchport access vlan 20 spanning-tree vlan 20 costar 500 no cdp enable
Al dar el puerto principal de una prioridad %2s baMa de lo nor%al JA1 vs el valor predeter%inado ()CK? ser2 %2s susceptibles de ser utiliDados? especial%ente dado el coste de la ruta %2s alta J>++ vs el valor predeter%inado (,K del puerto"
1,C1"+"ht%l
(BA
&uente #!ostrar FastGt0ernet0 spanning-tree interfa4 6 1 Interfaz FastEthernet0 / 1 (puerto 13) en el Arbol 20 se BRP>S3&S&S> r(ta R(erto cost 19,R(erto de la prioridad 67 Designado raz tiene prioridad 32768, 0002.4b6e.xxxx direccin puente designado tiene prioridad 32768, 0002.b324.xxxx direccin puerto designado es el 3, el recorrido de costo 131 Temporizadores: edad mensaje 6, adelante retraso 0, mantenga oprimida 0 BPDU: 18411032 enviado, recibido 16199798 #!ostrar FastGt0ernet0 spanning-tree interfa4 6 2 Interfaz FastEthernet0 / 2 (puerto 14) en el rbol de expansin 20 se
#CA9GC
r(ta R(erto costarO "00,R(erto de la prioridad 128 Designado raz tiene prioridad 32768, 0002.4b6e.xxxx direccin puente designado tiene prioridad 32768, 0002.b324.xxxx direccin puerto designado es el 4, el recorrido de costo 131 Temporizadores: edad mensaje 6, adelante retraso 0, mantenga oprimida 0 BPDU: 434174 enviado, recibido 15750118 o%o puede ver? el puerto de la red pri%aria de interruptor de reenvo se debe ser? y la copia de seguridad est2 blo9ueando el puerto" Si el tr2fico deMa de fluir a trav6s del puerto principal? la copia de seguridad debera ca%biar a un estado de reenvo" a%bia de otros proveedores de apoyo una funcionalidad si%ilar" onsulte la docu%entacin del con%utador para obtener infor%acin sobre la configuracin de ST&" @n pfSense )"+? ST& se pueden configurar y %aneMar directa%ente en una interfaD de puente"
en consecuencia" A continuacin se presenta un eMe%plo 9ue puede ser utiliDado" Ta%bi6n est2 disponible para descarga [\ Fttp:77files"pfsense"org7%isc7bridgechecL"sh"
(BB
&uente
#! / Bin / sh # # CARP script de verificacin para salvar # # De eblevins en el foro # si ifconfig carp0 | / grep COPIA DE SEGURIDAD> / dev null 2> & 1, a continuacin, / Sbin / ifconfig bridge0 abajo ms / Sbin / ifconfig bridge0 hasta fi opiar el script en alguna parte? por eMe%plo? / Usr / bin / bridgecheck.sh" Los siguientes
co%ando descargar este archivo desde files"pfsense"org y gu2rdelo co%o / Usr / bin /
bridgecheck.sh" #)(scar-o 6 (sr 6 )in 6 )ridgec0ec1.s0 , 0ttp:66files.pfsense.org6!isc6)ridgec0ec1.s0 Luego hay 9ue hacer el script eMecutable eMecutando el siguiente co%ando" #c0!od J - 6 (sr 6 )in 6 )ridgec0ec1.s0
cron se eMecuta" <cron> <item> <minute> 0 </ min> <hora> * </ hora> <mday> * </ mday> <mes> * </ mes> <wday> * </ wday> <quin> raz </ OMS> <command> / usr / bin / bonita-n20 newsyslog </ command> </ Item> <item> <minute> 1,31 </ minuto>
(BC
&uente
<wday> * </ wday> <quin> raz </ OMS> <command> / usr / bin / bonita-n20 adjkerntz-a </ command> </ Item> A0adir bridgechecL"sh co%o una entrada de cron" Agregar el siguiente eMecutar el script cada %inuto" <item> * <minute> / 1 </ minuto> <hora> * </ hora> <mday> * </ mday> <mes> * </ mes> <wday> * </ wday> <quin> raz </ OMS> <command> / usr / bin / bridgecheck.sh </ command> </ Item> Aseg;rese de ca%biar tanto la pri%aria y la secundaria"
( %inuto" &or enci%a de la lnea 9ue dice </ Sistema>? Agregue la lnea siguiente" Ts0ellc!dF 6 s)in 6 ifconfig )ridge0 a)a.o T6 s0ellc!dF
Guarde los ca%bios en los archivos de configuracin" Ahora restaurar las configuraciones %odificadas para tanto la pri%aria y la secundaria" Los cortafuegos se reiniciar2 despu6s de restaurar la configuracin? y
cuando arran9ue una copia de seguridad 9ue debera ser plena%ente funcional"
(B,
&uente
coinciden con "tipo" "LINK_UP"; coinciden con "subsistema", "la carpa"; accin "/ usr / local / bin / carpup";
};
"sistema" "IFNET"; "tipo" "LINK_DOWN"; "subsistema", "la carpa"; / local / bin / carpdown";
A continuacin? cree dos archivos nuevos: / Usr / local / bin / carpup #! / Bin / sh / Sbin / ifconfig bridge0 hasta S: / Usr / local / bin / carpdown #! / Bin / sh / Sbin / ifconfig bridge0 abajo A continuacin? realice los scripts eMecutables: #c0!od a J - 6 (sr 6 local 6 )in 6 carp(p #c0!od a J - 6 (sr 6 local 6 )in 6 carpdo2n 5ue auto%2tica%ente traer2 el puente de arriba a abaMo cada veD 9ue se detecta un ca%bio de estado A.&"
para revisar el bridge0 interfaD? y la p2gina de estado A.& para verificar %aestro A.& o
estado de copia de seguridad" &uede eMecutar bridgechecL"sh de la lnea de co%andos? as co%o la verificacin de la interfaD estado usando ifconfig" La co%prensin del siste%a operativo subyacente Free#SD puede ser necesario
(C+
&uente
,">"*" !ultiI=A<
&uente? por su naturaleDa es inco%patible con %ultiI=A< en %uchos de sus usos" uando se utiliDa de transicin?
co%;n algo %2s 9ue pfSense ser2 la puerta de enlace predeter%inada para los anfitriones en el puente interfaD? y el router 9ue es lo ;nico 9ue puede dirigir el tr2fico de los anfitriones" @sto no
evitar 9ue el uso de %;ltiples interfaces =A< con otros en el %is%o servidor de seguridad 9ue no son
puente? 9ue slo afecta a los anfitriones en las interfaces de un puente en el 9ue usar algo 9ue no sea pfSense co%o su puerta de enlace predeter%inada" Si puente de %;ltiples interfaces internas Muntos y pfSense es la puerta de enlace predeter%inada para sus anfitriones en una interfaD de puente? entonces usted puede utiliDar de %;ltiples =A<
(C(
(+"(" .e9uisitos
Fay dos re9uisitos? los cuales se deben cu%plir para i%ple%entar las 'LA<"
(" C+)"(5 'LA< pueden ca%biar I cada interruptor decente logrado fabricados desde alrededor de el a0o )+++ es co%patible con C+)"(5 'LA< trunLing" <o se puede utiliDar con una 'LA< no ad%inistrado
interruptor"
)" Adaptador de red capaD de eti9uetado 'LA< I usted necesitar2 una tarMeta de red 9ue soporta el hardware @l eti9uetado 'LA< o cuenta con el apoyo del %arco de largo" Debido a 9ue cada %arco tiene una eti9ueta de 1 bytes agreg C+)"(5 en la cabecera? el ta%a0o del %arco puede ser de hasta (>)) bytes" Hna tarMeta de red al hardware de soporte 'LA< %arcos de %arcado o largo plaDo es necesario por9ue otros adaptadores no funcionar2n con los %arcos %2s grandes 9ue el %2/i%o de bytes nor%al de (>(C con (>++ @thernet !TH" @sto har2 9ue grandes %arcos
<ota
@l hecho de 9ue un adaptador se %uestra co%o contar con el apoyo del %arco de largo no garantiDa aplicacin especfica de su tarMeta de red de ese chipset soporta correcta%ente los %arcos de largo" .ealteL rl (4) <3 son los %ayores infractores" !uchos no tendr2n ning;n proble%a? pero algunos
no adecuada%ente soporta fra%es de largo? y algunos no aceptar2 eti9uetado C+)"(5
en todos los %arcos" Si encuentra proble%as al utiliDar una de las <3 9ue figuran en soporte de la estructura de largo? tratando de una interfaD de hardware con soporte 'LA< eti9uetado es reco%ienda" <o tene%os conoci%iento de ning;n proble%a si%ilar con las <3 9ue figuran en
(C)
interfaces @thernet con soporte de la estructura de largo: bfe (4)?CC (4)?fxp (4)?gema (4)?hme (4)?-le (4)?educacin no formal (4)?NVE (4)?rl (4)? sis (4)?sk (4)?ste (4)?tl (4)?tx (4)?vr (4)?xl (4)
(+")" Ter%inologa
@sta seccin cubre la ter%inologa 9ue necesitar2 entender para i%ple%entar con 6/ito las 'LA<"
(+")"(" TrunLing
TrunLing se refiere a un %edio de cu%plir con varias 'LA< en el puerto %is%o interruptor" Los %arcos
deMando a un puerto troncal est2n %arcados con una eti9ueta C+)"(5 en la cabecera? per%itiendo 9ue la relacionada dispositivo para diferenciar entre varias 'LA<" puertos troncales se utiliDan para conectar %;ltiples
interruptores? y para conectar todos los dispositivos 9ue son capaces de eti9uetado C+)"(5 y re9uieren el acceso a %;ltiples 'LA<s" @sto co%;n%ente se li%ita slo a la conectividad entre el router proporciona
las 'LA<? en este caso? pfSense? as co%o las cone/iones con otros switches 9ue contiene
'arias 'LA<"
(+")")" 'LA< 3D
ada 'LA< tiene un identificador asociado a 6l 9ue se utiliDa para la identificacin del tr2fico agreg" Se trata de un n;%ero entre ( y 1+,1" La 'LA< por defecto en los switches es la 'LA< (? y debe esta 'LA< <o se utiliDar2 al i%ple%entar 'LA< trunLing" @sto se discute %2s en Seccin (+"*? N'LA< y la seguridad N" Ade%2s de evitar el uso de la 'LA< (? puede elegir 9u6 n;%eros de las 'LA< 9ue desea utiliDar" Algunos se iniciar2 con la 'LA< ) y el incre%ento por uno hasta el n;%ero re9uerido de 'LA< 9ue se lleg" :tra pr2ctica co%;n es usar el tercer octeto de la subred 3& de la 'LA< co%o el 3D de 'LA<" &or eMe%plo? si utiliDa (+"+"(+"+7)1? (+"+")+"+7)1 y (+"+"*+"+7)1? es lgico utiliDar 'LA< (+? )+ y *+ respectiva%ente" @legir un es9ue%a de asignacin de 'LA< 3D
(C*
con la configuracin de interruptor? puede causar proble%as con el uso de &ortal autivo? y te obliga a usar
'LA< del puerto por defecto del tronco? 9ue deben evitarse co%o se analiDa en Seccin (+"*?
N'LA< y la seguridadN"
co%o 5in5" @sto puede ser ;til en grandes entornos 3S& y algunas otras redes %uy grandes" Triple
eti9uetado ta%bi6n es posible" pfSense no ad%ite 5in5 en este %o%ento? pero en )"+" @stos tipos de a%bientes general%ente necesitan el tipo de enruta%iento de poder 9ue slo un router de ga%a alta basados en AS3
puede soportar? y 5in5 agrega un nivel de co%pleMidad 9ue no es necesaria en la %ayora de entornos"
proble%as de seguridad 9ue deben tenerse en cuenta al dise0ar e i%ple%entar una solucin participacin de las 'LA<" 'LA< no son inherente%ente inseguro? pero puede salir de una %ala configuracin de su red vulnerables" Ta%bi6n ha habido proble%as de seguridad en las i%ple%entaciones de proveedores de con%utadores ^
de 'LA< en el pasado"
(C1
TrunLing &rotocolK? y D& J isco Descubre &rotocoloK sin eti9uetar en la 'LA< nativa? donde los interruptores utiliDar estos protocolos" &or lo general? la %eMor %anera de %antener ese tr2fico interno aislado de
slo tienen la eti9ueta de 'LA< nativa 9uita cuando canaliDacin de esta %anera y cuando se procesan
despu6s? 9ue el tr2fico puede ter%inar en una 'LA< diferente" @sto ta%bi6n se lla%a Nsalto de 'LA<N"
(C>
o%o se %enciona en la seccin anterior? el tr2fico sin eti9ueta en un puerto troncal se supone 9ue
la 'LA< nativa? lo 9ue ta%bi6n podra coincidir con una interfaD 'LA< asignado" Dependiendo de c%o el interruptor controla el tr2fico tal y co%o es visto por pfSense? %ediante la interfaD directa
eMe%plo %uestra c%o configurar dos 'LA<? 3D (+ y )+? con le2 co%o la interfaD principal" Las interfaces 'LA< se asignan co%o :&T( y :&T)" pfSense configuracin de la consola ***********************
(CA
Cerrar sesin SSH (solamente) Asignar interfaces Establecer la direccin IP LAN Reiniciar contrasea webConfigurator Restablecer los valores predeterminados de fbrica Reiniciar el sistema Sistema de Parada Ping acogida Shell PFtop Filtro de Registros Reiniciar webConfigurator pfSense desarrolladores Shell Actualizacin de la consola Desactivar Secure Shell (sshd) Mover el archivo de configuracin de dispositivo extrable
Ingrese una opcin: 1 interfaces vlidos son: le0 00:0 c: 29: d6: e7: CC (hasta) le1 00:0 c: 29: d6: e7: e6 (hasta) Le2 00:0 c: 29: d6: e7: f0 (hasta) plip0 0 Quieres crear VLANs por primera vez? Si no se va a utilizar VLAN, o slo para interfaces opcionales, debe
dicen que no aqu y utilizar el webConfigurator para configurar redes VLAN despus, si es necesario.
Quieres crear VLANs ahora [y | n]? / Capaz interfaces VLAN: le0 00:0 c: 29: d6: e7: CC (hasta) le1 00:0 c: 29: d6: e7: e6 (hasta) Le2 00:0 c: 29: d6: e7: f0 (hasta) Escriba el nombre de la interfaz principal para la nueva VLAN (o nada si ha terminado): Introduzca la etiqueta de VLAN (1 a 4094): 10
(CB
Capaz interfaces VLAN: le0 00:0 c: 29: d6: e7: CC (hasta) le1 00:0 c: 29: d6: e7: e6 (hasta) Le2 00:0 c: 29: d6: e7: f0 (hasta) Escriba el nombre de la interfaz principal para la nueva VLAN (o nada si ha terminado): Introduzca la etiqueta de VLAN (1 a 4094): 20 Capaz interfaces VLAN: le0 00:0 c: 29: d6: e7: CC (hasta) le1 00:0 c: 29: d6: e7: e6 (hasta) Le2 00:0 c: 29: d6: e7: f0 (hasta)
Escriba el nombre de la interfaz principal para la nueva VLAN (o nada si ha terminado):
VLAN interfaces: vlan0 etiquetas VLAN 10, la interfaz le2 vlan1 etiquetas VLAN 20, la interfaz le2 Si usted no sabe los nombres de las interfaces, puede optar por utilizar auto-deteccin. En ese caso, desconecte todos los interfaces de ahora, antes de golpear "a" para iniciar la deteccin automtica. Escriba el nombre de la interfaz LAN o 'a' para la deteccin automtica: le1 Escriba el nombre de la interfaz WAN o 'a' para la deteccin automtica: le0 Escriba el nombre de la interfaz opcional 1 o 'a' para la deteccin automtica (O nada si acabados): $lan0 Escriba el nombre de la interfaz opcional de 2 o 'a' para la deteccin automtica (O nada si acabados): $lan1 Escriba el nombre de la interfaz opcional de 3 o 'a' para la deteccin automtica (O nada si acabados): TenterF Las interfaces sern asignados de la siguiente manera:
(CC
Desea continuar [y | n]? / Un momento mientras recarga la configuracin de ... Despu6s de unos segundos? la configuracin volver2 a cargar y se le devuelve al %en; de la consola"
Al configurar las interfaces 'LA< en la consola? no le advierten sobre el reinicio de 9ue puede ser necesaria antes de 'LA< funcionar2" Algunos adaptadores de red o los controladores no funcionan correcta%ente con 'LA< hasta 9ue se reinicie el siste%a" @sto no sie%pre es necesario? pero no he%os sido capaD de encontrar la for%a de detectar cuando se necesiten" &ara estar en el lado seguro? reiniciar despu6s de 9ue su configuracin 'LA< inicial se reco%ienda" &ara adiciones 'LA< 'LA< futuro una veD 9ue se
(C,
(,+
Ahora? para asignar la 'LA< a las interfaces? haga clic en la ficha 3nterfaD de %isiones? a continuacin? haga clic en? y
en la lista desplegable de las asignaciones de interfaD disponibles? debera ver la nueva 'LA<" &or :&T(? escoMa la interfaD con el 3D de 'LA< (+" Faga clic de nuevo? y para :&T)? escoMa la interfaD con el 3D de 'LA< )+" uando haya ter%inado? 9ue se ver2 algo as co%o Figura (+">? N3nterfaD lista con
'LA< N
(,(
)" onfigure el puerto troncal I configurar el puerto de pfSense se conectar2 a un puerto troncal? eti9uetado de todas sus redes 'LA< en la interfaD"
*" onfigurar los puertos de acceso I configurar los puertos de su servidor interno va a utiliDar co%o el acceso
cadas potenciales"
(,)
sw (vlan) # salida
crear dos 'LA<: sw sw sw sw sw sw sw # $lan )ase de datos (vlan) # +BR ser$idor (vlan) # $tp de do!inio example.com (vlan) # $tp contraseUa Supe#Sec#e% (vlan) # $lan 10 no!)re ESe#)ido#es *M+E (vlan) # $lan 20 no!)re EM,)ilesE (vlan) # salida
eti9uetado" @sto se puede hacer as: sw sw sw sw # config(re ter!inal (config) # #a interfa4 FastGt0ernet0 - 2( (config-if) # s2itc0port tronco de !odo de (config-if) # s2itc0port dot1' tronco encaps(lacin
<ota
@n algunos nuevos con%utadores de isco 3:S? el iscoIpropietario de 3SL 'LA< %6todo de encapsulacin es obsoleto y ya no es soportada" Si el interruptor se
<o per%ita 9ue el dot1' encaps(lacin opcin de configuracin? slo es co%patible con C+)"(5 y usted no necesita preocuparse acerca de c%o especificar la encapsulacin"
(,*
la base de datos de 'LA<: #con.(nto de do!inio +BR e.e!plo el !odo de ser$idor #con.(nto $tp pass2d Supe#Sec#e% #con.(nto $lan 10 no!)re *M+ #con.(nto $lan 20 no!)re %el.fonos S configurar un puerto troncal para %aneMar de for%a auto%2tica cada 'LA<: #con.(nto del tronco ' - 2( en dot1' 1-7097 A continuacin? agregue los puertos a la 'LA<: #con.(nto $lan 10 '-1/! #con.(nto $lan 20 '-9/1'
'LA< co%o usted i%aginar 9ue necesitan" A" .einicie el interruptor para aplicar los ca%bios"
(,1
contiene varias 'LA<" (" @liMa la configuracin del interruptor )" @liMa !en; 'LA< """ *" @liMa asignacin de 'LA< de puerto 1" @liMa @dicin >" @ncuentra el puerto 9ue desea asignar A" @spacio prensa en la 'LA< por defecto hasta 9ue dice no
B" FaDte a un lado de la colu%na para cada una de las 'LA< en este puerto del tronco? y el espacio de prensa hasta 9ue
dice la eti9ueta" ada 'LA< en uso deben ser %arcados en el puerto troncal"
(,>
LA< virtuales J'LA<K )" @liMa !en; 'LA< """ *" @liMa asignacin de 'LA< de puerto 1" @liMa @dicin >" @ncuentra el puerto 9ue desea asignar A" @spacio prensa en la 'LA< por defecto hasta 9ue dice no B" FaDte a un lado de la colu%na de la 'LA< a la 9ue este puerto se le asignar2 C" @spacio prensa hasta 9ue se dice sin eti9uetar"
onfiguracin de 'LA< N" &uerto del switch ( ) * 1 > A B C @l %odo de 'LA< tronco el acceso el acceso el acceso el acceso el acceso el acceso el acceso 'LA< asignado 10 y 20? Agreg 10 sin eti9uetar 10 sin eti9uetar 10 sin eti9uetar 20 sin eti9uetar 20 sin eti9uetar 20 sin eti9uetar 20 sin eti9uetar
(,A
(,B
Despu6s de hacer clic en Aceptar? la p2gina se actualiDar2 con la configuracin de 'LA< C+)"(5? co%o se %uestra en Figura (+",? N onfiguracin por defecto C+)"(5N"
(,C
(,,
'LA<" Hna caMa 9ue contiene B %ediante la 'LA< se enva en ese puerto con la eti9ueta C+)"(5" 9 indica
el puerto es un %ie%bro de esa 'LA< y deMa el puerto sin eti9uetar" @l puerto troncal tendr2 9ue
<ota
<o ca%bie la configuracin del puerto 9ue est2 utiliDando para acceder al interruptor de interfaD web" Hsted %is%o blo9ueo? con el ;nico %edio de recuperacin en la GS(+CT est2 golpeando el restableci%iento de f2brica de botones por defecto I no tiene consola serie" &ara los interruptores 9ue tiene de serie consolas? tiene un cable de %de% nulo ;til en caso de 9ue desconectarse de la conectividad de red con el interruptor"
)++
Gestin desplegable? haga clic en &'3D !arco co%o se %uestra en Figura (+"(A? N&'3D !arcoN"
)+(
)+)
asignaciones en pfSense"
3:S" @n pri%er lugar? crear las 'LA<: consola consola consola consola consola # config (config) # $lan )ase de datos (config-vlan) # $lan 10 no!)re *M+ los !edios de co!(nicacin Gt0ernet (config-vlan) # $lan 20 no!)re %el.fonos los !edios de co!(nicacin Gt0ernet (config-vlan) # salida
)+*
LA< virtuales J'LA<K A continuacin? configurar un puerto troncal: consola consola consola consola (config) # &nterfa4 Gt0ernet 1 - 1 (config-if) # s2itc0port tronco de !odo de (config-if) # s2itc0port +#P> per!ite aUadir 1-7097 eti'(etado (config-if) # salida
&or ;lti%o? agregar los puertos a las 'LA<: consola (config) # &nterfa4 Gt0ernet 1 - 1' consola (config-if) # s2itc0port per!ite aUadir $lan 10 sin eti'(etar consola (config-if) # salida
)+1
captulo"
@ste captulo co%ienDa cubriendo cosas 9ue usted debe tener en cuenta al i%ple%entar cual9uier %ultiI=A<
)+>
fracaso" Debe tener en cuenta %;ltiples cone/iones desde el %is%o proveedor? ya 9ue slo una solucin para ancho de banda adicional? co%o la redundancia 9ue ofrece este despliegue es %ni%o"
)+A
logra %ediante el uso de una poltica de alg;n tipo? por lo general las reglas del firewall o una lista de control de acceso" @n pfSense? el ca%po de puerta de enlace disponible al %odificar o agregar reglas de firewall per%ite el uso de poltica de enruta%iento" @l ca%po Gateway contiene todas las interfaces =A< de su? %2s 9ue ninguna con%utacin por error o de la carga
<ota
.ecuerde 9ue todas las reglas de cortafuegos incluida la poltica de las reglas de enruta%iento se procesan en
piscina"
)+B
%onitor de 3& se encuentra en una interfaD =A< :&T? pfSense a0adir2 auto%2tica%ente una ruta est2tica para este
de destino para dirigir el tr2fico a cabo la correcta interfaD =A<" @sto significa 9ue cada =A< debe tener un ;nico %onitor de 3&" Hsted puede utiliDar el %is%o %onitor 3& en varios grupos? sie%pre y cuando se utiliDa en
la interfaD se %arca co%o hacia abaMo" N@specfica%ente? el siguiente co%ando ping se utiliDa para este
se detalla en Tabla (("(? NDiseccin de la vigilancia de pingN" :pcin de lnea de co%andos -T 5 -O -Q -C 5 -I 0.7 Funcin @spere > segundos Salir con 6/ito despu6s de recibir una respuesta pa9uete Silencioso de salida" Slo el resu%en de salida al co%ienDo y al de %eta" @nviar > pa9uetes @spere a +?B segundos entre el envo de cada pa9uete
)+C
dispositivo inter%edio <AT para pfSense ve cada puerta de enlace =A< co%o 3& ;nica"
<ota
A continuacin se supone 9ue est2 eMecutando pfSense (")"( o %2s reciente" Si est2 eMecutando una versin anterior? en algunas circunstancias? puede encontrar proble%as causados por
en entornos %ultiI=A<"
)+,
(("*"*")" 3&sec
3&sec es total%ente co%patible con %ultiI=A<" &ara cone/iones de sitio a sitio con :&T =A<
interfaces? una ruta est2tica se agrega auto%2tica%ente para el punto final del t;nel re%oto 9ue apunta a la :&T =A< gateway para garantiDar el cortafuegos enva el tr2fico a la interfaD correcta cuando se iniciar la cone/in" &ara las cone/iones %viles? el cliente sie%pre inicia la cone/in? y
(("*"*"*" :pen'&<
:pen'&< capacidades %ultiI=A< se describen en Seccin (>"B? N:pen'&< y !ultiI=A<N"
interfaD"
tres 3&s p;blicas por la =A<" @sto se trata en Seccin )+">? N!ultiI=A< con la carpaN"
en funcin de su tipo de cone/in a 3nternet" &ara cone/iones est2ticas de 3&? escriba la direccin 3& y
puerta de enlace"
)(+
co%o su servidor D<S? esto se traducir2 en un fracaso co%pleto de D<S de la red" Los %edios para conseguir esto vara dependiendo del tipo de =A< en uso"
)((
no se re9uiere? co%o la ruta predeter%inada del siste%a sie%pre reside en la interfaD =A<? pero a0adiendo no va a doler nada y deMa claro 9ue utiliDa el servidor D<S 9ue la =A<" Las rutas de este eMe%plo debe aparecer co%o Figura (("(? N@Me%plo de configuracin de rutas est2ticas para %ultiI
Figura (("(" @Me%plo de configuracin ruta est2tica para !ultiI=A< servicios D<S
en este captulo"
)()
=A< configuracin? pfSense se <AT todo el tr2fico de salir de la interfaD =A< a la 3& =A< direccin" La incorporacin del territorio palestino ocupado interfaces =A< se e/tiende esto a <AT el tr2fico deMando un :&T 3nterfaD =A< a la direccin 3& de dicha interfaD" Todo esto es %aneMado auto%2tica%ente a %enos avanDada
)(*
para lograr esto es agregar el puerto para la cone/in en la pri%era cone/in =A<? a continuacin? haga clic en el a
el derecho de 9ue la entrada para a0adir otro puerto hacia adelante sobre la base de 9ue uno" a%biar la interfaD a la
otra de salida <AT de configuracin de la interfaD especfica donde se configura la entrada de (:("
cone/iones en una for%a de round robin" @sto se hace sobre una base por cone/in"
Hna vigilancia 3& se configura para cada cone/in? 9ue se pfSense ping" Si los pings no?
la interfaD se puede %arcar co%o y retirado de todos los grupos hasta 9ue el ping 6/ito de nuevo"
en esta p2gina"
(("B"("(" <o%bre
@n el ca%po <o%bre? escribir un no%bre para el grupo de con%utacin por error de hasta (A caracteres de longitud" @sto se
el no%bre utiliDado para referirse a este grupo en el ca%po de puerta de enlace en las reglas del cortafuegos" @ste ca%po es obligatorio"
(("B"(")" Descripcin
Hsted puede entrar en una descripcin a9u para su consulta" @ste ca%po se %uestra en el e9uilibrador de carga
(("B"("*" Tipo
Seleccione &uerta de enlace en este cuadro desplegable"
)(1
(("B"("1" o%porta%iento
Seleccione el @9uilibrio de carga de a9u"
(("B"(">" &uerto
@ste ca%po aparece en gris cuando se utiliDa el e9uilibrio de carga de puerta de enlace"
(("B"("A" !onitor
@ste ca%po aparece en gris cuando se utiliDa el e9uilibrio de carga de puerta de enlace? ya 9ue slo 3 !& se puede utiliDar para supervisar puertas de enlace"
Si hace ping a esta direccin no? esta interfaD se %arca co%o hacia abaMo y ya no se utiliDa hasta 9ue se
interfaD"
Despu6s de a0adir la pri%era interfaD de la piscina? seleccione la segunda interfaD? seleccione su 3& supervisar y haga clic en A0adir a la piscina de nuevo" uando ter%ine de agregar interfaces a la piscina? haga clic en Guardar? luego apli9ue
a%bios"
)(>
la e/periencia" Los %edios sugeridos de trabaMar alrededor de esto es crear un grupo de con%utacin por error y directo el tr2fico destinado a estos sitios a la piscina de con%utacin por error en lugar de la piscina de e9uilibrio de carga"
La funcin de las cone/iones pegaMosa de pf se supone 9ue para resolver este proble%a? pero ha tenido proble%as en
el tr2fico de utiliDar una cone/in =A< especfica? a %enos 9ue no est2 disponible"
(("C"("(" <o%bre
@n el ca%po <o%bre? escribir un no%bre para el grupo de con%utacin por error de hasta (A caracteres de longitud" @sto se
el no%bre utiliDado para referirse a este grupo en el ca%po de puerta de enlace en las reglas del cortafuegos" @ste ca%po es obligatorio"
(("C"(")" Descripcin
Hsted puede entrar en una descripcin a9u para su consulta" @ste ca%po se %uestra en el e9uilibrador de carga pantalla de &iscinas? y no afecta a la funcionalidad" @s opcional? pero reco%endado para entrar
(("C"("*" Tipo
Seleccione &uerta de enlace en este cuadro desplegable" Todo el e9uilibrio de carga para %ultiI=A< utiliDa el tipo de puerta de enlace"
(("C"("1" o%porta%iento
Seleccione de con%utacin por error a9u"
(("C"(">" &uerto
@ste ca%po aparece en gris cuando se utiliDa el e9uilibrio de carga de puerta de enlace"
)(A
(("C"("A" !onitor
@ste ca%po aparece en gris cuando se utiliDa el e9uilibrio de carga de puerta de enlace? ya 9ue slo 3 !& se puede utiliDar para supervisar puertas de enlace"
Si hace ping a esta direccin no? esta interfaD se %arca co%o hacia abaMo y ya no se utiliDa hasta 9ue se
acceso de nuevo"
pings" Si la pri%era interfaD a0adida a la piscina falla? la segunda interfaD en la piscina se utiliDar2"
Aseg;rese de agregar las interfaces a la piscina por orden de preferencia" @l pri%ero en la lista Sie%pre se utiliDar2 a %enos 9ue falle? %o%ento en el 9ue las interfaces restantes en la lista son retrocedido
interfaD"
Despu6s de a0adir la pri%era interfaD de la piscina? seleccione la segunda interfaD? seleccione su 3& supervisar y haga clic en A0adir a la piscina de nuevo" uando ter%ine de agregar interfaces a la piscina? haga clic en Guardar? luego apli9ue
a%bios"
)(B
'aya a @stado @9uilibrador de carga y asegurar todas las cone/iones =A< %uestran co%o Nen lneaN
en @stado" Si no es as? verificar la configuracin 3& de vigilancia co%o se e/plic anterior%ente en este
captulo"
apagar el router"
Todos los escenarios de prueba descrito probable%ente ter%inar2 con el %is%o resultado" Sin e%bargo? hay algunas circunstancias en las 9ue tratar todas estas cosas de for%a individual se encuentra una culpa 9ue no se de otro %odo notado hasta 9ue un fallo real" Hno de los %2s co%;n es usar un %onitor de 3& asignado a su %de% DSL o por cable Jen algunos casos puede no ser consciente de 9ue su puerta de enlace 3& resideK" &or eso? cuando la lnea telefnica coa/ial o se desconecta? la si%ulacin de un proveedor falta %2s 9ue un error de @thernet o %de%? el %onitor de ping todava tiene 6/ito? ya 9ue es ping el %de%" De lo 9ue te diMe pfSense para supervisar? la cone/in sigue siendo hasta? por lo 9ue no deMar2 de %2s a;n si la cone/in es real%ente abaMo" @/isten otros tipos de fracaso 9ue de igual for%a puede
slo pueden detectarse %ediante pruebas de todas las posibilidades individuales para el fracaso"
de estado"
)(C
%is%o propsito" #;s9ueda de N4cu2l es %i direccin 3&N y encontrar2 nu%erosos sitios web 9ue
%ostrar lo 9ue la direccin 3& p;blica de la solicitud FTT& est2 viniendo" La %ayora de estos sitios tienden a
estar lleno de anuncios de spa%? por lo 9ue ofrecen varios sitios 9ue si%ple%ente le dice a su direccin 3&" FTT& sitios para encontrar su direccin 3& p;blica Uhttp:77www"pfsense"org7ip"php Uhttp:77files"pfsense"org7ip"php Uhttp:77cvs"pfsense"org7ip"php Uhttp:77www"bsdperi%eter"co%7ip"php FTT&S sitio para encontrar su direccin 3& p;blica Uhttps: 7 7 portal"pfsense"org 7 ip"php
Si se carga uno de estos sitios? y actualiDar su navegador en varias ocasiones? debe consultar a su ca%biar la direccin 3& si el e9uilibrio de carga de configuracin es correcta" <ota: si usted tiene cual9uier otra tr2fico de la red? es probable 9ue no vea a su ca%bio de direccin 3& en cada actualiDacin de la p2gina" ActualiDa la p2gina )+ o *+ veces y usted debe ver el ca%bio de 3& por lo %enos un par de veces" Si el 3& no ca%bia? trate de varios sitios diferentes? y aseg;rese de 9ue su navegador es en realidad su inter6s la p2gina de nuevo? y no regresar algo de su cach6 o el uso de una cone/in per%anente a el servidor" @li%inar %anual%ente el cach6 y tratando de %;ltiples navegadores web son cosas buenas para
antes de intentar solucionar los proble%as de configuracin del e9uilibrador de carga adicional" Hso de riDo? co%o se describe
en Seccin (B")"A? N'erificacin de balanceo de cargaN es una %eMor alternativa? ya 9ue garantiDa la cach6 y
destino" 'er Seccin C"1")? NHtiliDacin de tracerouteN para obtener %2s infor%acin sobre el uso de traceroute"
pero puede abrir ventanas o pesta0as adicionales en el navegador y de%ostrar a todos sus interfaces =A< al %is%o tie%po" La caracterstica Dashboard en pfSense )"+ Jta%bi6n disponible co%o un pa9uete beta (")K
)(,
Los gr2ficos de tr2fico ..D en @stado Los gr2ficos son ;tiles para la ..D largo plaDo e histrico evaluacin de su utiliDacin =A< individuales"
<ota
Su uso de ancho de banda no puede ser e/acta%ente igual distribuidos? ya 9ue las cone/iones si%ple%ente se dirigi en for%a de round robin sin tener en cuenta para el uso del ancho de banda"
el %edio a%biente" @sta seccin proporciona una orientacin sobre los obMetivos co%unes? y c%o se logra
con pfSense"
))+
el tr2fico destinado a una red especfica? co%o un proveedor de aplicaciones e/ternaliDadas? algunos especficos
protocolos utiliDados por las aplicaciones crticas? entre otras opciones" #aMa el tr2fico de prioridad co%;n incluye todo el tr2fico per%itido 9ue no coincide con la lista de tr2fico de alta prioridad" Hsted puede configurar su poltica de reglas de enruta%iento de tal %anera 9ue dirigir el tr2fico de alta prioridad a la alta calidad
servicios crticos? co%o 'o3&? y slo %ediante esa cone/in para los servicios"
obtener dos terceras partes del tr2fico total y =A<) recibir2 un tercio" La siguiente tabla %uestra algunos
las co%binaciones posibles y la distribucin porcentual en cada =A<" =A< casos * ) * 1 casos =A<) ) ( ( ( =A< de carga A+] AB] B>] C+] carga =A<) 1+] **] )>] )+]
))(
distribuidos por igual? aun9ue en la %ayora de los entornos 9ue resulta ser %2s o %enos distribuidos de la configurado con el tie%po" @sto ta%bi6n significa 9ue si una interfaD se ha cargado a su capacidad con un solo alto con el rendi%iento? cone/iones adicionales seguir2 siendo dirigido a esa interfaD" Lo ideal sera 9ue 9uisiera 9ue la distribucin de las cone/iones basadas en los pesos de interfaD y el rendi%iento actual de la interfaD" @sta%os estudiando las opciones para este escenario ideal para las versiones pfSense futuro?
aun9ue los %edios actuales de e9uilibrio de carga funciona %uy bien para la %ayora de todos los a%bientes"
)))
de interfaces fsicas 9ue se e/igen en el firewall" @n ese despliegue? la =A< todos residen en un
interfaD fsica en el servidor de seguridad? con la red interna JsK sobre otras interfaces fsicas"
solucionarlos"
))*
))1
proliferacin de la tecnologa '&<? los circuitos privados =A< eran la ;nica solucin para conectar varias ubicaciones" @stas tecnologas incluyen un punto a otro de circuitos dedicados? con%utacin de pa9uetes tecnologas co%o Fra%e .elay y AT!? y? %2s reciente%ente? !&LS J!ultiprotocol Label SwitchingK y fibra y cobre servicios basados en @thernet %etropolitanas" Si bien este tipo de conectividad =A< privadas ofrecen cone/iones fiables? baMa latencia? 9ue ta%bi6n son %uy costosas con recurrencia de cuotas %ensuales" La tecnologa '&< ha crecido en popularidad? ya 9ue proporciona la %is%o lugar seguro para la conectividad de sitio usando cone/iones de 3nternet 9ue son general%ente %ucho %enos
costoso"
))>
Algunos protocolos funcionan %uy %al con la latencia inherente a las cone/iones a trav6s de 3nternet"
co%partir archivos de !icrosoft JS!#K es un eMe%plo co%;n" @n subI(+ %s de latencia? se dese%pe0a bien" A los *+ %s o %2s? es lento? y en %2s de >+ %s es dolorosa%ente lenta? causando frecuentes se blo9uea al navegar por carpetas? guardar archivos? etc :btener un listado de directorio si%ple re9uiere nu%erosas cone/iones de ida y vuelta entre el cliente y el servidor? lo 9ue agrava considerable%ente el retraso cada veD %ayor de la cone/in" @n =indows 'ista y Server )++C? !icrosoft introduMo S!# )"+? 9ue incluye nuevas capacidades para abordar el proble%a descrito a9u" S!# )"+ per%ite el envo de %;ltiples acciones en una sola solicitud? as co%o la capacidad de las solicitudes de tuberas? es decir? el cliente puede enviar solicitudes adicionales sin esperar la respuesta de antes peticiones" Si su red utiliDa e/clusiva%ente 'ista y Server )++C o siste%as operativos %2s recientes de este no ser2 una preocupacin? pero dada la rareDa de estos entornos? lo cual suele ser una consideracin"
Dos eMe%plos %2s de los protocolos sensibles a la latencia son !icrosoft .e%ote DesLtop &rotocol
J.D&K y el 3 A de itri/" <o es una actuacin clara y la diferencia de respuesta con estos protocolos de entre los subI)+ %s tie%po de respuesta se encuentran tpica%ente en una red =A< privada? y el >+IA+ b
veces %s respuesta co%;n a las cone/iones '&<" Si los usuarios re%otos el trabaMo publicado en
e9uipos de escritorio 9ue utiliDan dispositivos de cliente ligero? habr2 una diferencia de rendi%iento notable entre un privadas =A< y '&<" Sa sea 9ue la diferencia de rendi%iento es lo suficiente%ente i%portantes co%o para Mustificar la e/pensas de una =A< privada variar2 de un entorno a otro" Fe trabaMado en fina entornos de cliente 9ue acept el i%pacto en el rendi%iento? y en otros en los 9ue se considera
inaceptable"
&uede haber otras aplicaciones de red en su entorno 9ue son sensibles a la latencia? donde la reduccin del rendi%iento de una '&< es inaceptable" : usted puede tener todas las ubicaciones dentro de un relativa%ente pe9ue0a 2rea geogr2fica con el %is%o proveedor de 3nternet? donde el rendi%iento de sus rivales '&< de cone/iones =A< privada" @l rendi%iento es una consideracin i%portante al planear una
solucin '&<"
))A
red? y puede ser desplegado de for%a 9ue re9uiere autenticacin adicional antes de
el acceso a los recursos de la red est2 per%itido" @sto se i%ple%enta en su %ayora los %is%os 9ue el acceso re%oto
'&<" @sto se trata en Seccin (C"A? Nla proteccin adicional para su red inal2%bricaN"
el %edio a%biente"
()")"(" 3nteroperabilidad
Si necesita una solucin para interoperar con un firewall o un router producto de otro proveedor? 3&sec suele ser la %eMor opcin ya 9ue se incluye con cada dispositivo '&< con capacidad" Ta%bi6n %antiene 9ue de ser encerrados en cual9uier servidor de seguridad particular? o una solucin '&<" &ara el sitio de la interoperabilidad? para conectividad de sitio? 3&sec suele ser la ;nica opcin" :pen'&< es interoperable con otros pocos cortafuegos envasados 7 soluciones '&<? pero no %uchos" La interoperabilidad en este sentido no es aplicable
adecuada para la cone/in a la '&<" La falta de autenticacin adicional puede ser una garanta riesgo de 9ue un siste%a de p6rdida? robo? o co%pro%etida 9ue contiene un %edio clave o certificado de 9uien tiene acceso al dispositivo puede conectarse a la '&<" Sin e%bargo? aun9ue no es ideal? no es tan grande
))B
riesgo 9ue pueda parecer" Hn siste%a co%pro%etido puede f2cil%ente tener instalado un capturador de teclado para capturar
la infor%acin de no%bre de usuario y contrase0a y f2cil derrotar a esa proteccin" @n el caso de p6rdida o siste%as de robo de claves 9ue contiene? si el disco duro no est2 cifrado? las claves se puede utiliDar para conectarse" Sin e%bargo la adicin de autenticacin de contrase0a no es de gran ayuda no sea? co%o suele ser el %is%o no%bre de usuario y contrase0a se utiliDa para iniciar sesin en el ordenador? y la %ayora de las contrase0as se %anipulable en cuestin de %inutos utiliDando hardware %oderno cuando se tiene acceso a un disco sin cifrar" ontrase0a la seguridad es ta%bi6n con frecuencia por los usuarios co%pro%etidos con notas sobre su ordenador port2til o en su ordenador port2til
opciones y puede ser difcil para los no iniciados" :pen'&< re9uiere el uso de certificados de de acceso re%oto en la %ayora de entornos? 9ue viene con su propia curva de aprendiDaMe y puede ser una ardua poco de %aneMar" 3&sec y :pen'&< son opciones preferibles en %uchos escenarios para otros
raDones e/puestas en este captulo? pero la facilidad de configuracin no es uno de sus puntos fuertes"
%ultiplatafor%a co%patible"
()")">"(" 3&sec
clientes 3&sec est2n disponibles para =indows? !ac :S G? #SD y Linu/ a pesar de 9ue no est2n incluidos en el siste%a operativo a e/cepcin de algunas distribuciones de Linu/" Hna buena opcin gratuita para =indows es la Do%ada suave cliente [http:77www"shrew"net7\" !ac :S G incluye soporte 3&sec? pero no la interfaD de usuario a%igable
para su utiliDacin" Fay opciones gratuitas y co%erciales disponibles con una interfaD gr2fica de usuario f2cil de usar"
))C
@l cliente de isco 3&sec incluye con el i&hone y el i&od Touch no es co%patible con pfSense 3&sec"
()")">")" :pen'&<
:pen'&< tiene clientes para =indows? !ac :S G? todos los #SD? Linu/? Solaris y
=indows !obile? pero el cliente no viene preIinstalado en cual9uiera de estos siste%as operativos"
()")">"*" &&T&
clientes &&T& se incluyen en todas las versiones de =indows desde =indows ,> :S. )? todos los !ac :S versin G? i&hone y i&od Touch? y los clientes est2n disponibles para todos y cada uno de los #SD
()")"A"(" 3&sec
3&sec utiliDa tanto el puerto HD& >++ y el protocolo @S& para funcionar" Algunos servidores de seguridad no %aneMan @S& tr2fico? as 9ue se trata de <AT? ya 9ue el protocolo no tiene n;%eros de puerto T & co%o y HD& 9ue lo hacen f2cil%ente rastreables por los dispositivos <AT" clientes 3&sec detr2s de <AT puede re9uerir <ATIT para la funcin? 9ue encapsula el tr2fico de pesetas a trav6s del puerto HD& 1>++" @n la actualidad? pfSense no es co%patible con <ATIT? para 9ue los clientes detr2s de <AT no puede funcionar en algunos casos" Fay una
()")"A")" :pen'&<
:pen'&< es la %ayora de firewalls de las opciones de '&<" &uesto 9ue utiliDa T & o HD& y se no se ve afectado por cual9uiera de las funciones de <AT co%unes? co%o la reescritura de los puertos de origen? es raro encontrar un cortafuegos 9ue no funcionar2 con :pen'&<" La ;nica dificultad es posible si el protocolo y puerto en uso est2 blo9ueado" @s posible 9ue desee utiliDar un puerto co%;n co%o HD& >* Jpor lo general D<SK? o T &
C+ Jnor%al%ente FTT&K o 11* Jpor lo general FTT&SK o para evadir la %ayora de filtrado de salida"
()")"A"*" &&T&
&&T& se basa en un canal de control 9ue se eMecutan en el puerto T & (B)* y utiliDa el protocolo G.@ para
trans%isin de datos" G.@ es con frecuencia blo9ueado o roto por los cortafuegos y dispositivos <AT" Ta%bi6n es
)),
suMeto a las li%itaciones <AT en %uchos firewalls incluyendo pfSense Jdescrito en Seccin (1"1?
NLi%itaciones &&T&K" &&T& funciona en %uchos a%bientes? pero los usuarios se encontrar2n con probabilidad lugares en los 9ue no funciona" @n algunos casos esto puede ser un proble%a i%portante la prevencin de la uso de &&T&" A %odo de eMe%plo? algunos proveedores de datos inal2%bricos *G asignar direcciones 3& privadas a los clientes? y no bien <AT tr2fico G.@? por lo 9ue el uso de &&T& a trav6s de *G i%posible en algunos
redes"
caracteres de longitud 9ue contiene una %eDcla de %ay;sculas y %in;sculas? n;%eros y s%bolos" cifrado :pen'&< se ve co%pro%etida si el &Q3 o claves co%partidas se dan a conocer"
()")"C" .esu%en
Tabla ()"(? NFunciones y caractersticas seg;n el tipo de '&<N %uestra una visin general de la
Tipo de '&<
liente A%plia%ente rypto !ultiI=A<I incluidos en interoperables gr2fica%ente la %ayora de siste%as seguro s operativos s <o s <o <o s s s n7a <o <o
)*+
()"*"(" 3&sec
.eglas para el tr2fico 3&sec 9ue llegan a la interfaD =A< se especifica de for%a auto%2tica per%ite co%o se describe en Seccin A">"(">? N3&secN" Tr2fico cerrada dentro de una cone/in 3&sec activa
controla a trav6s de nor%as definidas por el usuario en la pesta0a Servidor de seguridad de 3&sec en <or%as"
()"*")" :pen'&<
:pen'&< no agrega auto%2tica%ente las nor%as de interfaces =A<? pero lo agrega auto%2tica%ente
nor%as 9ue per%itan el tr2fico de los clientes autenticados? frente al co%porta%iento de 3&Sec y &&T&"
()"*"*" &&T&
&&T& agrega auto%2tica%ente nor%as 9ue per%itan T & (B)* y el tr2fico G.@ en el 3& =A<" Tr2fico de conectar clientes &&T& se controla a trav6s de nor%as definidas por el usuario en la pesta0a Servidor de seguridad de &&T& en
)*(
(*"("*" Fase (
Fay dos fases de la negociacin de un t;nel 3&sec" Durante la Fase (? los dos e/tre%os instalacin de un t;nel de un canal seguro entre los e/tre%os utiliDando 3nternet Security Association y Qey !anage%ent &rotocol J3SAQ!&K para negociar las entradas SA y las claves de ca%bio" @ste
)*)
3&sec
Ta%bi6n incluye la autenticacin? control de los identificadores y la co%probacin de las claves preI co%partida J&SQK o
certificados" uando se haya co%pletado la Fase ( los dos e/tre%os pueden interca%biar infor%acin de for%a segura? sino 9ue han
(*"("1" Fase )
@n la Fase )? los dos e/tre%os de negociar la for%a de codificar y enviar los datos para los anfitriones privado basado en polticas de seguridad" @sta es la parte 9ue construye el t;nel real 9ue se utiliDa para transferir datos entre los puntos finales y clientes cuyo tr2fico es %aneMado por los routers" Si la Fase ) se ha
entrar en su red y lograr el %is%o resultado final Jingeniera social? por eMe%ploK"
A continuacin se describen"
)**
3&sec
esperar la cone/in para entrar a trav6s de =A<? eliMa =A<" Si el t;nel debe utiliDar otro =A<? elegir cual9uier territorio palestino ocupado de interfaD =A< es necesario"
@ncryption StandardK se considera inseguro debido a su pe9ue0o ta%a0o >A bits clave? y nunca debe utiliDarse a %enos 9ue se ven obligados a conectar con un dispositivo re%oto 9ue slo es co%patible con D@S" La opciones restantes son considerados criptogr2fica%ente seguros" 4 u2l elegir depende de lo 9ue dispositivo 9ue se conecta a? y el hardware disponible en el siste%a" uando se conecta a dispositivos de terceros? *D@S Jta%bi6n lla%ada NTriple D@SNK es co%;n%ente la %eMor opcin ya 9ue puede ser la ;nica opcin co%patible con el otro e/tre%o" &ara los siste%as sin un acelerador de hardware de criptografa?
#lowfish y AST son las opciones %2s r2pido" uando se utiliDan siste%as con glxsb aceleradores? co%o co%o AL3G? eliMa .iMndael JA@SK para un %eMor rendi%iento" &ara los siste%as con hifn aceleradores? eligi *D@S o A@S para el %eMor funciona%iento"
(*")"1" &rotocolo
on 3&sec tiene la opcin de elegir AF J@ncabeDado autenticadosK o @S& J@ncapsulado arga de seguridadK" @n casi todas las circunstancias? debe utiliDar pesetas? ya 9ue es la ;nica opcin 9ue encripta el tr2fico" AF slo ofrece la garanta del tr2fico de vino de la fuente de confianDa y es
)*1
3&sec
seguro? aun9ue SFA( JSecure Fash Algorith%? .evisin (K es considerado el %2s fuerte de la
dos" SFA( re9uiere %2s ciclos de &H" @stos algorit%os hash ta%bi6n se puede referir con F!A JFash !essage Authentication odeK en el no%bre en algunos conte/tos? pero 9ue vara seg;n el uso
se produce"
y se intenta la renegociacin"
interfaD"
Tr2fico inicia desde el e/tre%o re%oto de una cone/in 3&sec se filtra con las reglas configuradas
en virtud de firewall .eglas? ficha 3&sec" A9u usted puede restringir lo 9ue los recursos se puede acceder por
los usuarios re%otos 3&sec" &ara controlar el tr2fico 9ue se puede trans%itir de redes locales para el control re%oto
3&sec '&< conectados dispositivos o redes? las nor%as relativas a la interfaD local donde el anfitrin reside
controlar el tr2fico Jpor eMe%plo? la conectividad de los hosts de la LA< se controlan con las nor%as de LA<K"
)*>
3&sec
viceversa" @ste tr2fico ta%bi6n puede ser regulada a trav6s de reglas de firewall? al igual 9ue con cual9uier otra red interfaD" Si %2s de un cliente se conecta a otro sitio de la %is%a controlada lugar? un sitio para hacer un t;nel sitio probable%ente ser2 %2s eficiente? por no %encionar %2s conveniente y
integrado de hardware"
se supone: @l sitio A <o%bre =A< 3& one/in de subred 3& de la LA< Louisville :ficina (B)")*"("* (,)"(AC"("+7)1 (,)"(AC"("( <o%bre =A< 3& one/in de subred 3& de la LA< Sitio # :ficina de Londres (B)"(A"("* (+"+"(+"+7)1 (+"+"(+"(
)*A
3&sec
configuracin? 9ue se %uestra en la Figura (*")? Nel sitio A del t;nel '&< onfiguracinN" Los ele%entos en negrita son obligatorios" Facer Aseg;rese de 9ue el cuadro Desactivar este t;nel no est2 %arcada" La configuracin de la interfaD debe ser probable :P>? &ero v6ase la nota anterior en el captulo sobre la seleccin de la interfaD adecuada si no est2 seguro" .ellene el
Dead &eer Detection JD&DK con algo de valor raDonable? tales co%o 60 segundos" Dependiendo de sus necesidades en un valor inferior puede ser %eMor? %2s co%o 10 o 20 segundos? pero una proble%2tica
=A< de cone/in en cual9uier lado puede hacer 9ue de%asiado baMa" &ara la subred local? es probable%ente
%eMor deMar esto co%o %one-in de s()red" Ta%bi6n puede ca%biar esto a Red y rellenar el valores propios? en este caso 192.168.1.0627? &ero deMando co%o %one-in de s()red se asegurar2 de
9ue si la red cada veD pasa a ser? este e/tre%o del t;nel seguir" Tenga en cuenta los otros final se debe ca%biar %anual%ente" La subred re%ota ser2 la red en el sitio #? en este caso
10.0.10.0627" @l portal de acceso re%oto es la direccin de la =A< en el Sitio #? 1M2.16.1.3" &or ;lti%o?
@scriba una descripcin para el t;nel" @s una buena idea poner el no%bre del sitio # de este cuadro? y algunas detalles sobre el propsito del t;nel ta%bi6n puede ayudar a la futura ad%inistracin" 'a%os a poner N G-a!ple%o
Cficina de #ondresN@n la descripcin de lo 9ue tene%os alguna idea de dnde ter%ina el t;nel"
La siguiente seccin controles Fase 3&sec (? o la autenticacin" Se %uestra en la Figura (*"*? NSitio La Fase ( onfiguracin N" Los valores predeter%inados son deseables para la %ayora de estas configuraciones? y si%plifica el proceso" @l aMuste %2s i%portante para hacerlo bien es la clave preIco%partida" o%o se %encion en la '&< infor%acin general? 3&sec utiliDando claves preIco%partidas se puede ro%per si una clave d6bil es utiliDado" Htilice una clave fuerte? por lo %enos (+ caracteres de longitud 9ue contiene una %eDcla de %ay;sculas y %in;sculas? n;%eros y
)*B
3&sec
s%bolos" La clave e/acta%ente el %is%o tendr2 9ue ser ingresado en la configuracin del t;nel para el sitio # %2s tarde? as 9ue lo desea? puede escribir o copiar y pegar en otro lugar" opia y pega puede
%uy ;til? sobre todo con una clave co%pleMa co%o a)c123 V/W9K X M'2Grt/99" Toda una vida aMuste ta%bi6n se puede especificar? de lo contrario el valor por defecto de 86700 se utiliDar2" A %edida 9ue se
utiliDando una clave preIco%partida y no certificados? deMe todas las casillas de certificado de vaco"
@n cuanto a la Fase ) JFigura (*"1? Nel sitio A la Fase ) onfiguracinNK? <o puede haber una variabilidad poco %2s" La
&rotocolo de eleccin podra ser P@ por slo pa9uetes autenticados o GSR para el cifrado" @S& es el
eleccin en casi todos los casos inusuales pocos" Los algorit%os de cifrado y algorit%os hash se pueden establecer para per%itir %;ltiples opciones? y a%bas partes negocian y acuerdan las aMustes" @n algunos casos puede ser una buena cosa? pero por lo general es %eMor li%itar esto a la opciones 9ue sabe 9ue estar en uso" &ara este eMe%plo? el algorit%o de cifrado slo algunos es *D@S? y el ;nico algorit%o de hash SFA( es seleccionado" &FS? o confidencialidad directa perfecta? puede ayudar a proteger contra ciertos ata9ues clave? pero es opcional" Hn valor de por vida ta%bi6n se puede especificar?
@n esta configuracin? se puede utiliDar la direccin 3& de LA< del router pfSense en el Sitio #? 10.0.10.1"
)*C
3&sec
Servidor de seguridad <or%as" '6ase el captulo de reglas de firewall para obtener infor%acin especfica sobre la adicin de las nor%as" @s posible 9ue
ser tan per%isiva co%o 9uieras? Jper%itir cual9uier protocolo desde cual9uier parteK? o restrictivas J&er%itir 9ue T & desde un host en el sitio # a un host deter%inado en el sitio A en un puerto deter%inadoK" @n cada
caso? aseg;rese de 9ue la direccin de origen JesK son las direcciones del sitio #? tales co%o 10.0.10.0627" La direcciones de destino debe ser el sitio de una red? 192.168.1.0627"
Ahora 9ue el sitio A est2 configurado? es hora de hacer frente a sitio #" .epita el proceso en el router de la web de #
probable%ente sea %eMor deMar esto co%o %one-in de s()red" Ta%bi6n puede ca%biar esto a Red y llenar
en los valores adecuados? en este caso 10.0.10.0627" La subred re%ota ser2 la red en el sitio A? en este caso 192.168.1.0627" @l portal de acceso re%oto es la direccin de la =A< en el Sitio A? 1M2.23.1.3" Descripcin del t;nel es una buena idea" 'a%os a poner N G-a!ple%o
)*,
3&sec
puede utiliDar la direccin 3& de LA< del router pfSense en el sitio A? 192.168.1.1"
Sitio A al sitio #" A0adir estas nor%as a la pesta0a Servidor de seguridad de 3&sec en <or%as" &ara %2s detalles?
ver Seccin (*"*? N3&sec y las reglas del firewallN" @sta veD? el origen del tr2fico sera Sitio
3&sec" Hsted debe ver una descripcin del t;nel? Munto con un icono indicador de su estado"
)1+
3&sec
Si no encuentra el icono? puede haber un proble%a de establecer el t;nel" @sto pronto? el %2s
raDn probable es 9ue el tr2fico no ha tratado de cruDar el t;nel" 3ntente hacer ping a un siste%a en el subred re%ota en el Sitio # desde el sitio A Jo viceversaK y ver si el t;nel se establece" !ira
Seccin (*"A? N&rueba de conectividad 3&secN para otros %edios de prueba de un t;nel" @n su defecto? la 3&sec registros ofrecer2 una e/plicacin" @llos se encuentran en @stado Siste%a de
.egistros en la ficha '&< 3&sec" Aseg;rese de co%probar el estado y los registros en a%bos sitios" &ara obtener %2s
solucin de proble%as? consulte la Seccin (*"C? NSolucin de proble%as de 3&secN %2s adelante en
este captulo"
sobre el t;nel? y por el otro e/tre%o" Sin e%bargo? si el router pfSense no es la puerta de enlace predeter%inada para una red dada? las %edidas de enca%ina%iento a continuacin? otros tendr2n 9ue ser to%adas"
o%o eMe%plo? i%agine 9ue el router pfSense es la puerta de enlace en el sitio #? pero no el sitio A? co%o se ilustra en la Figura (*",? Nun sitio a otro 3&sec uando pfSense no es la puerta de enlaceN" Hn cliente? & ( en el sitio # enva un ping a & ) en el sitio A" @l pa9uete de hoMas de & (? luego a trav6s de la web del router #? a trav6s del t;nel? el router pfSense en el sitio A? y en la & )" &ero lo 9ue sucede en el ca%ino de nuevo8 puerta de entrada & ) es otro router por co%pleto" La respuesta al ping ser2 enviado a la puerta de enlace siste%a y es %uy probable 9ue arroM a cabo? o peor a;n? se puede enviar el enlace a 3nternet y
circunstancias de cada caso" @n pri%er lugar? una ruta est2tica se poda entrar en la puerta de enlace 9ue redirigir2 el tr2fico destinado al otro lado del t;nel para el router pfSense" 3ncluso con esta ruta? las co%pleMidades adicionales se introducen por9ue este escenario resulta en el enruta%iento asi%6trico co%o se e/plica en Seccin C"(")? N#ypass reglas de firewall para el tr2fico en la interfaD de la %is%aN" @n caso de 9ue no funciona? una ruta est2tica puede ser a0adido a los siste%as cliente de for%a individual para 9ue conoDcan a enviar ese tr2fico directa%ente a la caMa de pfSense y no a trav6s de su puerta de enlace predeter%inada" A %enos 9ue haya slo un n;%ero %uy pe9ue0o de los eM6rcitos 9ue necesitan acceder a la '&<? se trata de un dolor de cabeDa gestin y deben evitarse" &or ;lti%o pero no %enos i%portante? en algunas situaciones puede ser %2s f2cil para 9ue el pfSense
)1(
3&sec
por cone/in 3&sec? pero el (?) 9ue debe hacer uno de los siguientes"
<ota
Tr2fico atravesar2 un t;nel 3&sec slo si coincide con una entrada e/istente SAD" @st2tica rutas nunca no enrutar el tr2fico a trav6s de una cone/in 3&sec? configurar rutas est2ticas
para el tr2fico 3&sec e/cepto en el caso del tr2fico iniciado desde pfSense en s J9ue
cada subred"
)1)
3&sec
Faga clic en el a la derecha de la pri%era cone/in a a0adir otra en funcin de 6sta" a%biar slo el
subred re%ota Ja la segunda subred 9ue desea conectarseK y establecer el &SQ a algo diferente
en cada lado"
)1*
3&sec
los 9ue se utiliDan en el lugar de aloMa%iento del t;nel %vil" @n este eMe%plo? 192.168.111.0$2# se
ser utiliDado? pero puede ser cual9uier subred no utiliDados 9ue usted desea" &or otra parte? no est2n obligados a especificar una direccin 3&" Los clientes pueden configurar para 9ue pase a trav6s de la direccin 3& local
)11
3&sec
el cliente 9ue se conecta" @sta ser2 una 3& privada donde el cliente est2 detr2s de <AT? y una 3& p;blica
donde uno es asignado directa%ente al cliente" Si se basa en el filtrado de 3& de origen en el interfaD 3&sec? tendr2 9ue especificar una direccin 3& para cada cliente para 9ue sie%pre sepa la 3& de origen y no va a ca%biar" Si no se especifica la 3& de origen ta%bi6n puede crear dificultades de enca%ina%iento? donde
el cliente est2 en una red local en conflicto con uno de sus redes internas"
opciones"
)1>
3&sec
configuracin co%patible" Hso de agresi$os para el %odo de negociacin 9ue per%iten utiliDar un a%plio
ga%a de tipos de identificadores? tales co%o el estilo de direccin de correo electrnico 9ue se utiliDan en este eMe%plo de configuracin"
Desde este lado debe tener una direccin est2tica? utiliDando 3i direccin &R !i identificador para la opcin deben ser seguros" @l algorit%o de cifrado? 3DGS y el algorit%o de hash S@P1 son seguros y
bien apoyado" Hn grupo clave de DF 2 es una tierra buena y segura? %edio ta%bi6n" Debido a la gran variacin en los tipos de cone/in 9ue se tratar2n? un %ayor valor de alrededor de D&D 120 segundo @s %2s probable 9ue garantiDar 9ue las cone/iones no se caen antes de tie%po" La vida se puede establecer %ucho %enor si lo desea? pero 86700 todava debe ser aceptable" <osotros va%os a usar Rreco!partida %la$e para el %6todo de autenticacin? ya 9ue en este eMe%plo? 9uere%os 9ue todos tengan individuales
el tr2fico cifrado es i%portante en este caso? el &rotocolo debe ser establecido para GSR" @l cifrado
algorit%os para la Fase ) se pueden establecer para las 9ue sea necesario" @s posible 9ue deter%inado software los clientes se co%portan %eMor 9ue los de%2s utiliDando diferentes algorit%os" Hna eleccin segura es por lo %enos al %o%ento del checL 3DGS? &ero otros pueden ser utiliDados" &ara los algorit%os hash? se puede elegir tanto S@P1 y 3D": slo uno de los dos" &FS es opcional? y dependiendo del software de cliente involucrado puede ser
%eMor deMar esta f(era" @l valor por defecto de por vida 3600 es probable%ente una buena idea a9u" Ahora haga clic en Guardar y seguir adelante"
)1A
3&sec
clientes se ha co%pletado"
clientes individuales" Desde '&< 3&sec? haga clic en la ficha de claves preIco%partidas" @sto %ostrar2 una lista de todos los
Actual%ente creado 3dentificador pares &SQ? co%o se ve en Figura (*"(B? N3&sec &reIShared QeyN Hsuario N
Lista N" o%o nos acaba de e%peDar? es probable vaco" &ara crear un nuevo par? haga clic en el botn"
)1B
3&sec
para co%pletar la configuracin de 3&sec JFigura (*"(,? NAplicar los ca%biosT Lista &SQNK"
)1C
3&sec
ser2 su red LA<" &ara %2s detalles? Seccin (*"*? N3&sec y las reglas del cortafuegosN"
el cliente sie%pre para la cone/in a =atchguard caMas de fuego ha visto resultados %i/tos ta%bi6n"
haga clic en el botn Agregar para co%enDar a configurar una nueva cone/in"
)1,
3&sec
Figura (*")+" Do%ada '&< suave Access !anager I Sin cone/iones Sin e%bargo?
La ventana de configuracin de '&< de sitio debe abrir? con varias pesta0as co%o en la figura (*")(? el N liente
onfiguracin: Ficha General N" Se debe co%enDar en la ficha General" A continuacin? entrar en el host co%o el pfSense aMa 3& =A<? o la direccin 3& de la interfaD pfSense elegido previa%ente para utiliDar 3&sec" @n nuestro eMe%plo? 1M2.23.1.3" @l puerto debe ser "00" onfiguracin auto%2tica debe ser Rersonas de !o$ilidad red(cida" &ara el %6todo de direccin? ca%bio 9ue a Gl (so del adaptador $irt(al / se les asignarO direccin" @n el ca%po direccin? eliMa una de 3& del rango 9ue decidirse antes" Hsare%os
)>+
3&sec
direccin 3& a9u para un servidor accesible a trav6s de este t;nel? para ayudar en la resolucin de no%bres <et#3:S y navegar por la red re%ota" Adicin de servidores D<S a9u no funcionen co%o se esperaba con !uchos 3S&" <or%al%ente? los servidores D<S para clientes 3&Sec se utiliDan co%o ;lti%o recurso" Si un no%bre no se resuelve a trav6s de servidores nor%ales del cliente D<S? los servidores adicionales pueden ser utiliDados" Desafortunada%ente? %uchos 3S& son Na%able%enteN 9ue prestan servicios 9ue resolver cual9uier ine/istente do%inios de una p2gina de destino lleno de publicidad" @n este escenario? los no%bres irresoluble nunca suceder y por lo tanto servidores adicionales no ser2n utiliDados" Htilice esta opcin con cautela? y la prueba por pri%era veD
!6todo para 3(t(a RSY en la parte superior? a continuacin? contin;e con la ficha de identidad local por debaMo? se %uestra
en Figura (*")1? N onfiguracin del cliente: Autenticacin? 3dentidad LocalN" @stablecer el tipo de identificacin a &dentificador de cla$e? S la clave 3D de cadena a uno de los identificadores de estilo de correo electrnico 9ue fue creado
)>(
3&sec
Faga clic en la ficha 3dentidad re%oto JFigura (*")>? N onfiguracin del cliente: Autenticacin? 3dentidad re%otoNK" @stablecer el tipo de identificacin a Direccin &RS de verificacin Hsar una direccin descubierto host re%oto"
@n la ficha de 'erificacin de &oderes? 9ue se %uestra en la Figura (*")A? N onfiguracin del cliente: Autenticacin? 'erificacin de &oderesN? llene en el ca%po de &reIShared Qey con la tecla 9ue va Munto con la direccin de correo electrnico introducido co%o
Fase ) seccin? co%o puede verse en Figura (*")C? N onfiguracin del cliente: Fase )N" @stableDca la Transfor%acin
)>)
3&sec
Algorit%o para esp-3des? @l algorit%o F!A es S@P1? &FS es con discapacidad? @l algorit%o de co%presin es con discapacidad? S la clave de la vida l%ite de tie%po es 3600"
&or ;lti%o? est2 la ficha Directiva? 9ue se %uestra en la Figura (*"),? N onfiguracin del cliente: &olticaN" ontrola lo 9ue tr2fico ser2 enviado en el t;nel" Desactive la opcin :btener Topologa auto%2tica%ente? haga clic en Agregar
botn"
@n la pantalla de entrada de topologa? se ve en la Figura (*"*+? N onfiguracin del cliente: &olticas? A0adir TopologaN? 9ue necesidad de especificar 9u6 subred estar2 en el otro e/tre%o del t;nel" @stablecer el tipo de &ncl(ir" &ara la direccin? entrar en la red detr2s de pfSense en el otro lado? y la %2scara de red 9ue va Munto con 6l" &ara nuestro eMe%plo? 9ue se 192.168.1.0 y 2"".2"".2"".0 ? respectiva%ente"
%uestra"
&ara conectarse a la '&<? haga clic una veD para seleccionarlo y? a continuacin? haga clic en onectar" La cone/in '&< de di2logo
van a aparecer y? a continuacin? haga clic en el botn onectar en all ta%bi6n" Si el t;nel est2 correcta%ente establecido? se indicar2 en la ventana" Figura (*"**? NT;nel onectadoN %uestra la
)>*
3&sec
con pfSense" Las instrucciones para configurar este cliente con pfSense se puede encontrar en el '&< puerta de enlace de apoyo [http:77www"thegreenbow"co%7vpn_gateway"ht%l\ @n la seccin de su sitio web" &ara obtener %2s infor%acin sobre la ad9uisicin y configuracin del cliente? visite su p2gina web [http:77 www"thegreenbow"co%\" @llos ofrecen una prueba gratuita de *+ das del cliente para a9uellos 9ue buscan evaluar
Sy%bian" o%o es co%patible con los est2ndares? sino 9ue ta%bi6n puede conectarse a los siste%as de pfSense"
)>1
3&sec
(*">")">" 3&Securitas
3&Securitas por Software Loboto%o [http:77www"loboto%o"co%7products73&Securitas7\ @s un
freeware cliente !ac :S G para 3&sec 9ue algunos usuarios han infor%ado de trabaMar con pfSense"
@sto debera funcionar con pfSense )"+? sin e%bargo? desde /auth se encuentra all"
por el ping no tratar2 de atravesar el t;nel" @sta sera la sinta/is para usar con una prueba apropiada: #ping-S T23 0A1 0ocalF T23 #emo%a 0A1F
uando el IP LAN Local es una direccin 3& en una interfaD interna dentro de la subred local definicin para el t;nel? y la IP remota LAN es una direccin 3& en el router re%oto en el subred re%ota lista para el t;nel" @n la %ayora de los casos esto es si%ple%ente la direccin 3& de la LA< de la
)>>
3&sec
respectivos routers pfSense" Teniendo en cuenta el eMe%plo de sitio a sitio %2s arriba? esto es lo 9ue tendra 9ue escribir para poner a prueba desde la consola del Sitio Hn router: #ping-S 192.168.1.1 10.0.10.1
Hsted debe recibir respuestas de ping a la direccin LA< del sitio #? si el t;nel est2 en %archa y de trabaMo correcta%ente" Si usted no recibe respuestas? pase a la seccin de solucin de proble%as JSeccin (*"C?
con frecuencia causa dificultades cuando se utiliDa en co%binacin con <AT" soporte de <ATIT se a0adi durante un tie%po en pfSense (")"*? e/cepto 9ue sac errores en el subyacente ipsecIherra%ientas de software 9ue las regresiones causado" Hna regresin i%portante fue 9ue la renegociacin con algunos terceros 3&sec dispositivos sera un fracaso" Despu6s de considerables esfuerDos para solucionar el proble%a? soporte de <ATIT se tir a eli%inar las regresiones y recibe (")"* liberado" Hna instant2nea (")"*I. ) con <ATIT est2 disponible
para a9uellos 9ue deseen utiliDarla? con la advertencia de 9ue puede causar proble%as de renegociacin"
los proble%as"
ayudar2 a la %ayora"
Dependiendo de las cone/iones a 3nternet en cada e/tre%o del t;nel? ta%bi6n es posible Jespecial%ente con los clientes %vilesK 9ue un router 9ue participan en un lado o el otro no controla correcta%ente 3&sec el tr2fico? sobre todo cuando se trata de <AT" Los proble%as son en general con el protocolo @S&" <AT Traversal J<ATITK encapsula @S& en el puerto HD& 1>++ para obtener el tr2fico en torno a estas cuestiones?
)>A
3&sec
@n el caso de un tie%po de espera de un cliente %vil? en pri%er lugar co%pruebe el estado del servicio en el @stado Servicios" Si se detiene el servicio? vuelva a co%probar 9ue &er%itir a los clientes %viles se co%prueba en '&< 3&sec?
lientes %viles ficha" Si el servicio est2 en eMecucin? co%pruebe los registros del cortafuegos J@stado .egistros del siste%a? ficha FirewallK para ver si la cone/in est2 siendo blo9ueada? y si es as? agregue una regla para per%itir el blo9ueo
tr2fico"
Seccin (*"1")? N@nruta%iento y consideraciones puerta de entradaN" pa9uetes blo9ueados en el 3&sec o enc0 interfaD de indicar 9ue el t;nel se ha establecido
pero el tr2fico est2 siendo blo9ueado por las reglas en la interfaD 3&sec" pa9uetes blo9ueados en la LA< o de otro tipo interfaD interna puede indicar 9ue una regla adicional puede ser necesaria en conMunto de reglas 9ue la interfaD de per%itir el tr2fico de la subred interna hacia el e/tre%o re%oto del t;nel 3&Sec" pa9uetes blo9ueados en la =A< o interfaces =A< :&T i%pedira un t;nel desde el estableci%iento" <or%al%ente esto slo sucede cuando el auto%2tico reglas '&< est2n deshabilitadas" Adicin de una regla para per%itir el protocolo @S& y el puerto HD& >++ desde 9ue direccin 3& re%ota debe per%itir 9ue el t;nel de establecer" @n el caso
de t;neles %viles? tendr2 9ue per%itir el tr2fico de cual9uier fuente para conectar a los puertos"
.eglas para la interfaD 3&sec se puede encontrar en firewall .egla%ento? en la ficha de 3&sec" o%;n errores incluyen el estableci%iento de una regla para per%itir slo el tr2fico T &? lo 9ue significa cosas co%o 3 !& ping y D<S no funcionara a trav6s del t;nel" 'er aptulo A? Servidor de seguridad &ara obtener %2s infor%acin sobre
no pasara hasta 9ue la subred se corrigi" Ta%bi6n podra haber un proble%a con la for%a en 9ue los pa9uetes est2n siendo derrotados" @Mecucin de un traceroute Jtracert
en =indowsK a una direccin 3& en el lado opuesto del t;nel puede ser esclarecedor" .epita la prueba de a%bos lados del t;nel" 'erifica en el Seccin (*"1")? N@nruta%iento y puerta de enlace de las consideracionesN seccin de este captulo para obtener %2s infor%acin" uando se utiliDa traceroute? ver2 9ue el tr2fico 9ue hace entrar y salir del t;nel 3&sec parece 9ue faltan algunos saltos inter%edios" @sto es
)>B
3&sec
nor%al? y parte de c%o funciona 3&Sec" Tr2fico 9ue no tiene debida%ente en entrar en un t;nel 3&sec
parecen salir de la interfaD =A< y la ruta hacia el e/terior a trav6s de 3nternet? lo 9ue apuntara a ya sea un proble%a de enruta%iento co%o pfSense no ser la puerta de enlace Jco%o en Seccin (*"1")? N@nruta%iento y consideraciones puerta de entrada NK? Hna subred incorrecta re%oto especificado en la definicin del t;nel? o
consideraciones puerta de entrada NK" Algunos dispositivos? incluso con una puerta de enlace predeter%inada se especifica? no utilice 9ue la puerta de enlace" @sto se ha visto en varios dispositivos integrados? incluyendo c2%aras 3& y algunas i%presoras" <o hay nada 9ue poda%os hacer al respecto 9ue? aparte de conseguir el software en
el dispositivo fiMo" Hsted puede verificar esto eMecutando tcpdu%p en la interfaD interna del servidor de seguridad conectado a la red 9ue contiene el dispositivo" Solucin de proble%as con tcpdu%p se trata en
Seccin )>">? NHso de tcpdu%p de la lnea de co%andosN? S un eMe%plo 3&sec especfica puede se encuentra en Seccin )>">"*")? Nt;nel 3&Sec no se conectaN" Si usted ve el tr2fico 9ue va de la dentro de la interfaD en el servidor de seguridad? pero no las respuestas 9ue vienen atr2s? el dispositivo no est2 bien de enruta%iento
)>C
3&sec
[ToSiteB]: INFO: solicitud IPsec SA para 172.16.3.41 en cola debido a que no se encuentran fase 1. INFORMACIN: comenzar el modo de proteccin de identidad. INFORMACIN: recibi Vendor ID: DPD INFORMACIN: recibi roto Microsoft ID: FRAGMENTACIN
)>,
3&sec
INFORMACIN: comenzar el modo de proteccin de identidad. INFORMACIN: recibi roto Microsoft ID: FRAGMENTACIN INFORMACIN: recibi Vendor ID: DPD
INFORMACIN: iniciar el modo agresivo. INFORMACIN: recibi roto Microsoft ID: FRAGMENTACIN INFORMACIN: recibi Vendor ID: DPD NOTIFICACIN: no pudo encontrar el pskey adecuada, tratar de conseguir uno por la direccin del otro extremo.
)A+
3&sec
INFORMACIN: comenzar el modo de proteccin de identidad. INFORMACIN: recibi roto Microsoft ID: FRAGMENTACIN INFORMACIN: recibi Vendor ID: DPD GRRCR: rec0a4ada enct/pe: D <apo/o n Z 1: RRB [ 1=: &nterca!)io <apo/o n Z 1: RRB [ 1= * 3DGS% %: PGS-% % ERROR: no hay propuestas adecuadas que se encuentran. ERROR: No se pudo obtener propuesta vlida. ERROR: no se pudo paquete pre-proceso. ERROR: fase 1 de negociacin fracas. @n este caso? la entrada de registro 9ue dice e/acta%ente cu2l era el proble%a: @ste lado se fiM para el *D@S encriptacin? y el lado re%oto se ha establecido para A@S" @stablecer tanto para valores coincidentes y vuelva a intentarlo"
)A(
3&sec
@ste error se puede corregir %ediante la creacin del grupo DF configuracin en a%bos e/tre%os del t;nel a una correspondiente valor"
este valor no coincide no se i%pri%e en el registro? en lugar podr2s ver un %ensaMe co%o este: [ToSiteB]: NOTIFICACIN: el paquete es retransmitido por 172.16.3.41 [500] (1).
Si detecta un error si%ilar al anterior? co%pruebe 9ue las claves preIco%partidas coinciden en a%bos e/tre%os"
INFORMACIN: comenzar el modo de proteccin de identidad. INFORMACIN: recibi Vendor ID: DPD INFORMACIN: recibi roto Microsoft ID: FRAGMENTACIN
GRRCR: fatal >C-RRCR9GSBP-G#GN&DC !ensa.e de notificacin\ fase 1 de)e ser eli!inado. .egistro de resultados de sitio #:
INFORMACIN: comenzar el modo de proteccin de identidad. INFORMACIN: recibi roto Microsoft ID: FRAGMENTACIN INFORMACIN: recibi Vendor ID: DPD
PD+GRBG>%&P: pares PGS:: trns_id coincidentes: !i 3DGS GRRCR: no se repite GRRCR: no e-iste (na pol]tica adec(ada '(e se enc(entran. GRRCR: no se p(do pa'(ete pre-proceso. @n estas entradas de registro? se puede ver 9ue la Fase ( co%plet con 6/ito JN3SAQ!&ISA establecido NK? pero no durante la Fase )" &or otra parte? afir%a 9ue no pudo encontrar un adecuado propuesta? y desde el sitio # registros pode%os ver 9ue esto se debi a los sitios 9ue se establece para los diferentes tipos de cifrado? A@S? por un lado y *D@S por el otro"
)A)
3&sec
garantiDar la configuracin de coincidir en a%bos lados" .egistro de salida desde el sitio A: [ToSiteB]: INFO: solicitud IPsec SA para 172.16.3.41 en cola debido a que no se encuentran fase 1. INFORMACIN: comenzar el modo de proteccin de identidad. INFORMACIN: recibi Vendor ID: DPD INFORMACIN: recibi roto Microsoft ID: FRAGMENTACIN
[ToSiteB]: ERROR: 172.16.3.41 renunciar a conseguir IPsec SA por falta de tiempo hasta que esperar. .egistro de resultados de sitio #:
INFORMACIN: comenzar el modo de proteccin de identidad. INFORMACIN: recibi roto Microsoft ID: FRAGMENTACIN INFORMACIN: recibi Vendor ID: DPD
GRRCR: no e-iste (na pol]tica '(e se enc(entran: 192.168.30.0627 ^0_ 192.168.32.0627 ^0_ * c(al'(ier proto dir * en GRRCR: >o se p(do o)tener prop(esta de resp(esta. GRRCR: no se p(do pa'(ete pre-proceso. Los errores indican 9ue las propuestas para la fase ) no estuvo de acuerdo? y todos los valores en la Fase ) seccin debe ser revisado? as co%o las definiciones de subred re%ota"
<ota
@n algunos casos? si una parte ha establecido en SL& f(era? S el otro lado tiene un conMunto de valores? el t;nel todava establecer y trabaMo" @l desaMuste se %uestra %2s arriba slo se puede ver si el desaMuste valores? por eMe%plo 1 vs ""
)A*
3&sec
e indicar los diversos proble%as 9ue se establece un t;nel con raDones por 9u6" Fay algunos? sin e%bargo? 9ue son un poco %2s oscuro" 20 de febrero racoon 10:33:41: Error: Error al paquete de pre-proceso. 20 de febrero 10:33:41 racoon: ERROR: No se pudo obtener sainfo.
@sto es %2s frecuente cuando las definiciones de subred local y 7 o re%oto de for%a incorrecta
especificadas? especial%ente si la %2scara de subred se establece incorrecta%ente en un lado" racoon: ERROR: El mensaje no debe ser encriptada.
3ndica 9ue puede haber un proble%a con el tr2fico 9ue llega desde el otro e/tre%o del t;nel" &ruebe a reiniciar el servicio de %apache en el router leMos a tu lado por la navegacin a @stado Servicios y
clic Reinicie Munto al %apache" racoon: ERROR: no puede iniciar el modo rpido, no hay ISAKMP-SA. &uede indicar un proble%a con el envo de tr2fico local en el t;nel re%oto? ya 9ue un 3SAQ!& Asociacin de Seguridad no se ha encontrado" &uede ser necesario reiniciar el servicio de racoon una o a%bas partes a aclarar esto" racoon: INFO: solicitud para el establecimiento de IPsec SA se puso en cola debido a que no se encuentran fase 1. @sto es nor%al? y general%ente se observa cuando un t;nel se estableci por pri%era veD" @l siste%a intentar2 en pri%er lugar co%pletar una fase de una cone/in con el otro lado y luego continuar" racoon: INFO: no compatible PF_KEY mensaje REGISTRO @sto no es da0ino ta%bi6n? y se encuentra tpica%ente en el registro poco despu6s de 9ue co%ience el de%onio racoon"
)A1
3&sec
La pri%era lnea se detiene el proceso de racoon e/istentes" Se inicia el segundo racoon en pri%er plano
J-FK? on la depuracin J-DK? @l au%ento de nivel de detalle J-VK? HtiliDando el archivo de configuracin / Var / etc / racoon.conf J-FK" orrer en el pri%er plano hace 9ue %uestre sus registros en su SSF perodo de sesiones? para 9ue pueda ver lo 9ue est2 sucediendo en tie%po real" &ara salir de %apache? pulse %trl% y el servicio se interru%pir2" Despu6s de ter%inar con la depuracin? tendr2 9ue e%peDar a racoon nor%al%ente" La for%a %2s sencilla de hacerlo es ver a @stado Servicios en la interfaD web y
<ota
@ste %6todo de depuracin es perMudicial para todos los 3&sec en el siste%a? cuando
%atar a racoon usted caer2 todas las cone/iones 3&sec" Debido al volu%en de registros 9ue se tienen 9ue ordenar a trav6s de %;ltiples cone/iones 3&sec activa? %ientras 9ue depurar un proble%a con uno de ellos es %2s f2cil si se puede desactivar los otros? %ientras 9ue solucin de proble%as" @n general? este %6todo de depuracin se realiDa slo cuando se lleva
de la produccin en co%binacin con e9uipos de nu%erosos vendedores N? y debera funcionar bien con cual9uier dispositivo capaD de 3&sec en la red" Dispositivos de cone/in de dos proveedores diferentes puede ser un proble%a? independiente%ente de los vendedores involucrados debido a las diferencias de configuracin entre los vendedores? en algunos casos errores en las i%ple%entaciones? y el hecho de 9ue algunos de ellos utiliDan e/tensiones propietarias" @n esta seccin se ofrece una orientacin general sobre la configuracin de 3&sec '&< con e9uipos de terceros? as co%o eMe%plos especficos sobre la configuracin de cortafuegos isco &3G y
opciones sobre pfSense? donde se le per%ite seleccionar %;ltiples opciones 9ue debe seleccionar por lo general slo
una de esas opciones y asegurar el otro lado se encuentra el %is%o" Los e/tre%os deben negociar
una opcin co%patible cuando se seleccionan varias opciones? sin e%bargo? 9ue es con frecuencia una fuente de proble%as cuando se conecta a dispositivos de terceros" onfigurar los dos e/tre%os de lo 9ue usted cree son
)A>
3&sec
negociacin" Dependiendo de la situacin? los registros de un e/tre%o puede ser %2s ;til 9ue los
desde el e/tre%o opuesto? por lo 9ue es bueno para co%probar y co%parar a%bas" Se encuentra el pfSense lado proporciona una %eMor infor%acin en algunos casos? %ientras 9ue en otras ocasiones el otro dispositivo proporciona %2s ;til de registro" Si la negociacin fracasa? deter%inar si se trataba de la fase ( o ) 9ue fall y bien revisar la configuracin en consecuencia? co%o se describe en Seccin (*"C? N3&sec
eMe%plo de sitio a sitio de configuracin en este captulo" 'er Seccin (*"1"(? NSitio de eMe%plo de sitio web
configuracin N Hn sitio para la configuracin de pfSense" con sysopt permiso ipsec ISAKMP habilitar fuera ! --- Fase 1 ISAKMP direccin de la identidad ISAKMP una poltica de cifrado 3DES ISAKMP poltica de un hash SHA poltica de ISAKMP un grupo 2 ISAKMP poltica de un curso de la vida 86400 ISAKMP poltica de una autenticacin previa al compartir
! --- Fase 2 cripto ipsec transformar-set 3dessha1 esp-3des-sha-esp hmac PFSVPN lista de acceso IP permiten 10.0.10.0 255.255.255.0 192.168.1.0 255.255.255.0 Mapa cripto-dyn mapa 10 IPSec ISAKMP mapa cifrado dyn-10 direccin mapa partido PFSVPN cripto-mapa mapa din 10 que se pares 172.23.1.3 Mapa cripto-dyn mapa 10 que se transforman-set 3dessha1 mapa cifrado mapa dyn-10 que la asociacin de seguridad-3600 segundo curso de la vida Mapa cripto-dyn mapa de interfaz fuera ! --- No nat-para asegurar las rutas a travs del tnel Nonat lista de acceso IP permiten 10.0.10.0 255.255.255.0 192.168.1.0 255.255.255.0 nat (interior) 0 Nonat lista de acceso
3&sec
onfiguracin de las revisiones %2s recientes del siste%a operativo para dispositivos &3G y ASA es si%ilar a la de la
los %2s vieMos? pero tiene algunas diferencias significativas" @n el eMe%plo siguiente sera para el uso de una &3G B"/y corriendo :S o C"/? o un dispositivo de ASA? co%o el sitio # en el eMe%plo de sitio a sitio anterior en este captulo" 'er Seccin (*"1"(? Nde la web a la configuracin del sitio de eMe%ploN para el correspondiente
Hna configuracin del sitio" ISAKMP cifrado permiten exterior ! --- Fase 1 cripto poltica ISAKMP 10 autenticacin previa al compartir Encriptacin 3DES hash SHA el grupo 2 86.400 de por vida tnel grupo 172.23.1.3 tipo ipsec-L2L tnel grupo 172.23.1.3 ipsec-atributos XyZ9 abc123 pre-compartida-clave% $ 7qwErty99 ! --- Fase 2 cripto ipsec transformar-set 3dessha1 esp-3des-sha-esp hmac cripto outside_map mapa discurso del 20 de partido PFSVPN mapa cifrado outside_map 20 pares conjunto 172.23.1.3 cripto outside_map mapa 20 establece transformar-set 3dessha1 mapa cifrado outside_map interfaz externa ! --- No nat-para asegurar las rutas a travs del tnel nat (interior) 0 Nonat lista de acceso
)AB
3&sec
el grupo 2 ISAKMP criptografa de clave XyZ9 abc123% $ 7qwErty99 direccin 172.23.1.3 no xauth! --- Fase 2
access-list 100 permit 192.168.1.0 0.0.0.255 IP 10.0.10.0 0.0.0.255 access-list 100 IP permiten 10.0.10.0 192.168.1.0 0.0.0.255 0.0.0.255
cifrado 3DES IPSec transformar-set-SHA esp-3des-sha-esp hmac mapa cifrado PFSVPN 15 IPSec ISAKMP conjunto de pares 172.23.1.3 conjunto transformar-set 3DES-SHA coincidir con la direccin 100 ! --- Asignar el mapa de cifrado para la interfaz WAN interfaz FastEthernet0 / 0 cripto mapa PFSVPN ! --- No Nat-por lo que este trfico se realiza a travs del tnel, no de la WAN ip nat dentro de la fuente FastEthernet0 interfaz de ruta, mapa Nonat / 0 sobrecarga access-list 110 deny ip 192.168.1.0 0.0.0.255 0.0.0.255 10.0.10.0 lista de acceso IP 110 permite 10.0.10.0 0.0.0.255 cualquier mapa de rutas Nonat permiso de 10 coincidir con la direccin IP 110
)AC
d6cada" Ta%bi6n puede proporcionar los servicios de pasarela a un servidor interno de &&T&"
&ara una discusin general de los distintos tipos de redes privadas virtuales disponibles en pfSense y sus pros y sus contras?
la seguridad" &&T& se utiliDa %ucho? pero no es la solucin de '&< %2s seguras disponibles"
sus usuarios"
cone/iones? slo una %29uina interna se pueden conectar si%ult2nea%ente a un servidor &&T& en la
)A,
&&T& '&<
De 3nternet" Hn %illar de %29uinas se pueden conectar si%ult2nea%ente a un %illar de diferentes servidores &&T&?
pero slo una veD en un ;nico servidor" @l ;nico trabaMo disponible todo es de uso %;ltiple 3&s p;blicas en el cortafuegos? uno por cliente? o para usos %;ltiples 3&s p;blicas en el e/terior &&T&
direccin 3&"
@stas dos li%itaciones son capaces de ser trabaMados en torno en la %ayora de entornos? sin e%bargo la fiMacin esta es una gran prioridad para la versin )"+ de pfSense" @n el %o%ento de escribir esto? el trabaMo de desarrollo
9ue est2 sucediendo para eli%inar esta li%itacin? aun9ue no se sabe si tendr2 6/ito"
rango de direccin a distancia es general%ente una parte de la subred LA<? co%o (,)"(AC"("()C7)C J+"()C a trav6s de +"(1*K" A continuacin? seleccione una direccin 3& fuera del rango de la direccin del servidor? tales co%o
<ota
@sta subred no tiene 9ue estar contenido dentro de una subred e/istentes en el router"
)B+
&&T& '&<
(1">")" Autenticacin
Hsted puede autenticar a los usuarios de la base de datos de usuarios locales? oa trav6s de .AD3HS" .AD3HS per%ite conectarse a otro servidor de su red para proporcionar autenticacin" @sto puede ser usado
para autenticar usuarios de &&T& de !icrosoft Active Directory Jv6ase Seccin )1"(? N.AD3HS
Autenticacin con =indows Server NK as co%o nu%erosos servidores .AD3HS de otro tipo 9ue puedan"
Si se usa .AD3HS? consulte el uso de un servidor .AD3HS para la autenticacin y la caMa de relleno en el
Servidor .AD3HS y el secreto co%partido" &ara la autenticacin utiliDando la base de datos de usuarios locales? deMe 9ue casilla sin %arcar" Hsted tendr2 9ue agregar a los usuarios en la ficha de usuario de la '&< &&T& pantalla a %enos 9ue utilice .AD3HS" 'er Seccin (1">"A? NA0adir usuarioN a continuacin para obtener %2s detalles sobre la construccinI
en el siste%a de autenticacin"
)B(
&&T& '&<
servidor .AD3HS 9ue es e%pleado" Adicin de usuarios a pfSense incorporado en &&T& siste%a de usuarios es %uy f2cil" @n pri%er lugar? haga clic en '&< &&T&?
y luego en la pesta0a Hsuarios" Se le presentar2 con una pantalla de usuarios vaca co%o se %uestra en Figura (1"*?
NLos usuarios de &&T& TabN" Faga clic en el botn para a0adir un usuario"
si lo desea"
)B)
&&T& '&<
)B*
&&T& '&<
one/iones NK"
)B1
&&T& '&<
Siguiente"
@scriba un no%bre para la cone/in en no%bre de la e%presa? al igual 9ue en la Figura (1"((? N one/in
3ntroduDca la direccin 3& =A< del router re%oto pfSense baMo el no%bre de host o direcciones 3&? al igual 9ue
Figura (1"()? NLa cone/in de hostN? y haga clic en Siguiente? haga clic en FinaliDar JFigura (1"(*? NAcabado
la cone/in NK"
Ahora tiene un &&T& entrada de acceso telefnico 9ue funciona co%o cual9uier otro DailIup" Hna solicitud de el no%bre de usuario y contrase0a? al igual 9ue en la Figura (1"(1? N one/in de di2logoN? se %ostrar2 cuando la cone/in inicial se intenta" Lo %eMor es no conectar todava? sin e%bargo" ancelar este cuadro de di2logo si
)B>
&&T& '&<
N&ropiedades de la cone/inNK"
Faga clic en la ficha de seguridad JFigura (1"(A? NFicha SeguridadNK" #aMo 'erificar %i identidad co%o sigue? aseg;rese de 9ue .e9uerir contrase0a asegurado 9ue se eliMa" Aseg;rese ta%bi6n de 9ue .e9uerir cifrado de datos
%2s %ientras espera a 9ue las otras opciones para el tie%po de espera? as 9ue lo %2s probable es 9ue desee seleccionar RRBR a9u para evitar 9ue la de%ora y cual9uier co%plicacin 9ue pueda surgir de la %etodologa auto%2tica de =indows"
De for%a predeter%inada? esta cone/in se enviar2 todo el tr2fico a trav6s de la cone/in &&T& co%o su puerta de enlace" @sto puede o puede no ser conveniente? dependiendo de la configuracin deseada" @ste co%porta%iento es configurables? sin e%bargo" &ara ca%biar esto? haga doble clic en &rotocolo 3nternet JT & 7 3&K y haga clic en el botn :pciones avanDadas" Ahora desactive Hsar puerta de enlace predeter%inada en la red re%ota co%o en la figura (1"(C? N.e%ote Gateway !arcoN? a continuacin? haga clic en Aceptar en todas las ventanas abiertas" on esta opcin sin %arcar?
)BA
&&T& '&<
Ahora la cone/in &&T& slo enviar2 el tr2fico destinado a la subred a trav6s de la '&<" Si necesidad de enrutar el tr2fico de for%a selectiva? vea Seccin (1"(+? N&&T& enruta%iento trucosN"
)BB
&&T& '&<
Faga clic en Hsar %i cone/in a 3nternet J'&<K JFigura (1"))? N onectar con '&<NK"
rear" Hna pantalla co%o Figura (1")>? NLa cone/in est2 listoN debe aparecer lo 9ue indica 9ue la
cone/in se ha creado"
)BC
&&T& '&<
haga clic en el icono indicador de cone/in de red en la bandeMa del siste%a? y haga clic en onectar o Desconectar" Faga clic derecho sobre la cone/in '&< 9ue se acaba de crear? a continuacin? haga clic en &ropiedades co%o se %uestra
)B,
&&T& '&<
a%bie a la ficha de seguridad JFigura (1")B? N onfiguracin de '&< de SeguridadNK" #aMo verificar %i identidad
de la siguiente %anera? aseg;rese de 9ue .e9uerir contrase0a asegurado 9ue se eliMa" Aseg;rese ta%bi6n de 9ue los datos re9uieren
la %eMor %anera de desactivar &rotocolo de 3nternet versin A JT &73&vAK en este %o%ento" @l tipo de '&< desplegable por defecto P(to!Otica" Lo 9ue esto real%ente significa es Nprobar cosas hasta 9ue
algo funciona" N&&T& es lo ;lti%o 9ue =indows intentar2? y habr2 un retraso de hasta
)C+
&&T& '&<
*+ segundos o %2s %ientras espera a 9ue las otras opciones para el tie%po de espera? as 9ue lo %2s probable es 9ue desee seleccionar
RRBR a9u para evitar 9ue el retraso y las co%plicaciones 9ue pudieran surgir de la auto%2tica de =indows
%etodologa"
Al igual 9ue con =indows G&? esta cone/in se enviar2 todo el tr2fico a trav6s de la cone/in &&T& co%o su puerta de enlace" @sto puede o puede no ser conveniente? dependiendo de la configuracin deseada" Si 9uiere todo el tr2fico para cruDar el t;nel? pase el resto de esta seccin" De lo contrario? haga clic en 3nternet
)C(
&&T& '&<
necesidad de enrutar el tr2fico de for%a selectiva? vea Seccin (1"(+? N&&T& enruta%iento trucosN"
)C)
&&T& '&<
(1"A"*" =indows B
@l cliente &&T& procedi%iento de configuracin en la versin de lanDa%iento J.T!K de =indows B es pr2ctica%ente id6ntica para =indows 'ista"
(1"A"1" !ac :S G
Abra &referencias del Siste%a? a continuacin? haga clic en 'er .ed" Faga clic en el signo %2s en la parte inferior de la lista
de los adaptadores de red para agregar una nueva cone/in? 9ue puede verse en Figura (1"*+? NAgregar
)C*
&&T& '&<
)C1
&&T& '&<
@sto le llevar2 de nuevo a la pantalla de red donde haya ter%inado la configuracin de la '&< &&T&
cone/in" .ellene el no%bre de la direccin del servidor de cuenta? y eliMa %2/i%o J()C bitsK para ifrado" Hn eMe%plo se %uestra en la Figura (1"*)? N onfiguracin de cone/in &&T& '&<N" A continuacin?
'&< %ientras est2 conectado? %ar9ue esta casilla" Faga clic en Aceptar cuando haya ter%inado"
)C>
&&T& '&<
editor y despl2cese hacia abaMo para OpptpP" <pptp> <n_pptp_units>16</ N_pptp_units> <pptp_subnet>28</ Pptp_subnet>
o%o se puede ver arriba? la configuracin predeter%inada para (A clientes en un 7 )C de subred se encuentra en esa seccin" on el fin de per%itir a %2s clientes? debe aMustar tanto el n;%ero de cone/in y la subred" @n el siguiente eMe%plo? no sera de *) cone/iones de clientes? y un blo9ue de *) direcciones 3& 9ue se utiliDa" Tenga en cuenta 9ue esto no es una subred tradicionales en s? sino un %edio de especificar un rango dentro de una
%2s grande de la red" &or eso? todas las direcciones 3& en la NsubredN definicin se pueden utiliDar" <pptp> <n_pptp_units>%2</ N_pptp_units> <pptp_subnet>2&</ Pptp_subnet>
)CA
&&T& '&<
&&T&"
Direcciones 3& a los clientes? se le pegan con la eleccin de otra opcin '&<"
)CB
&&T& '&<
servidor .AD3HS"
de tal %anera 9ue los usuarios no est2n autoriDados para ser conectado"
subred utiliDando las '&<? co%o se e/plica en Seccin 1")"1? N onfiguracin de la interfaD LA<N"
)CC
&&T& '&<
@n pri%er lugar? el cliente &&T& debe asignar una direccin est2tica en el perfil de usuario" @sto se puede hacer
utiliDando el builtIin de autenticacin? oa trav6s de .AD3HS" @sta direccin est2tica debe estar fuera de la
si 9uieres ta%bi6n el acceso a la ruta de un sitio de terceros a trav6s del t;nel '&< ta%bi6n"
@stos co%andos se pueden escribir en una lnea de co%andos? pero son %2s a gusto en un archivo por lotes? co%o en
este eMe%plo: @ Echo off route add 192.168.210.0 mscara 255.255.255.0 route add 10.99.99.0 mscara 255.255.255.0 route add 1&2.16.1.0 mscara 255.255.252.0 pausa 192.168.1.126 192.168.1.126 192.168.1.126
@n ese eMe%plo? 192.168.1.126 es la direccin 3& est2tica asignada a este particular? el cliente &&T&
no%bre de usuario" @stos co%andos de la ruta 9ue los tres subredes especificadas a trav6s de la cone/in &&T&?
ade%2s de la subred para la cone/in en s" La pausa es opcional? pero puede ayudar a asegurar 9ue todas las rutas se han a0adido con 6/ito" @l archivo por lotes se tienen 9ue eMecutar cada veD 9ue el
se establece la cone/in"
<ota
@n =indows 'ista y =indows B? estos co%andos deben ser eMecutados co%o Ad%inistrador" Si ha creado un acceso directo a este archivo por lotes? sus propiedades pueden ser alterado por lo 9ue sie%pre se eMecuta de esa %anera" Alternativa%ente? usted puede hacer clic derecho sobre el
)C,
&&T& '&<
o%o se observa en Figura (1"*>? N&&T& .egistrosN? cada inicio de sesin y cierre de sesin deben registrarse con un
fecha y hora y no%bre de usuario? y cada entrada ta%bi6n se %ostrar2 la direccin 3& asignada a la &&T&
cliente"
),+
co%o un cliente 9ue se conecta a los servidores 9ue se eMecutan en los servidores de seguridad en los lugares re%otos"
Fay dos tipos de %6todos de autenticacin 9ue se pueden utiliDar con :pen'&<: clave co%partida y G">+," &ara la clave co%partida? se genera una clave 9ue se utiliDar2 en a%bos lados" G">+, se describe
cliente
),(
:pen'&<
est2 en peligro? o el acceso debe ser revocado por cual9uier otra raDn? si%ple%ente puede revocar esa certificado de cliente" <o hay %2s clientes se ven afectados"
on &Q3? por una parte una autoridad de certificacin J AK se crea" @ste A entonces todos los signos de la persona certificados en su &Q3" certificado de la A se utiliDa en los servidores :pen'&< y clientes verificar la autenticidad de los certificados utiliDados" certificado de la A se puede utiliDar para verificar la fir%a en los certificados? pero no para fir%ar los certificados" Fir%a de los certificados re9uiere la clave privada del A Jca.key cuando se utiliDa easyIrsa? discutido %2s adelante en este captuloK" La privacidad de los particulares A clave es lo 9ue garantiDa la seguridad de la &Q3" ual9uier persona con acceso a la clave privada de la A puede generar certificados para ser utiliDados en la &Q3? por lo 9ue debe %antenerse segura" @sta clave no es
para generar una clave co%partida o certificados para su uso con :pen'&<" Las secciones posteriores describen c%o
clave? vaya a Diagnsticos o%andos y eMecutar el siguiente co%ando: #open$pn - gen1e/ - secreto 6 t!p 6 s0ared.1e/ A continuacin? para %ostrar la clave? eMecute lo siguiente: #cat 6 t!p 6 s0ared.1e/ La clave se ver2 algo co%o esto: # # 2048 bits clave esttica OpenVPN # ----- BEGIN clave esttica OpenVPN V1 ----6ade12d55caacbbc5e086ccb552bfe14
),)
:pen'&<
4ca7f08230b7e24992685feba9842a03
44ee824c6ac4a30466aa85c0361c7d50 19878c55e6f3e7b552e03a807b21bad5 ce0ca22d911f08d16b21ea1114e69627 f9e8a6cd277ad13b794eef5e1862ea53 e7b0cba91e8f120fa983bdd8091281f6 610bf8c7eb4fed46875a67a30d25896f 0010d6d128ad607f3cbe81e2e257a48a 82abfca3f8f85c8530b975dca34bcfe4 69f0066a8abd114f0e2fbc077d0ea234 34093e7d72cc603d2f47207585f2bdec ed663ad17db9841e881340c2b1f86d0a 45dc5b24823f47cc565196ceff4a46ca 34fc074959aa1ef988969cfdd6d37533 e5623222373d762a60e47165b04091c2
FIN ----- OpenVPN esttica clave V1 ----opiar la clave y pegarla en la configuracin de :pen'&<" Despu6s de copiar la clave? usted 9uerr2 eli%inarlo" &ara ello? eMecute: #r! 6 t!p 6 s0ared.1e/
directa%ente en pfSense"
Si usted prefiere 9ue se eMecute en una %29uina virtual? el Ferra%ientas pfSense dispositivo virtual [http:77
),*
:pen'&<
Los despliegues &Q3 %2s graves de este tipo 9ue se eMecuta en un siste%a dedicado de
fsica%ente lugar seguro 9ue no est2 conectado a cual9uier red en todo? con las teclas de copiado seg;n sea necesario con al%acena%iento e/trable" @n la %ayora de pe9ue0a o %ediana no sea viable? y rara veD hacer" Tenga en cuenta 9ue un co%pro%iso de la &Q3 co%pro%ete la integridad de todo su infraestructura de :pen'&<? por lo 9ue %antener en un siste%a garantiDado adecuada%ente el nivel de riesgo en
su red"
.SA" &ara instalarlo? si%ple%ente eMecuta lo siguiente desde un s%bolo del perodo de sesiones SSF del siste%a: #)(scar-o - 0ttp:66files.pfsense.org6!isc6eas/rsa-set(p.t-t 5 6 )in 6 s0 @sto descargar2 los archivos? e/traer? y 9uitar el archivo descargado" Despu6s de hacer esto? se le solicitar2 9ue eMecute el siguiente paso de for%a %anual" opiar y pegar la ;lti%a lnea 9ue aparecen a generar los certificados"
<ota
Si usted ha pasado por este proceso anterior%ente? repitiendo este acabar2 con todos los los certificados e/istentesX #cd 6 root6eas/rsa7pfsense a a. 6 RFSG>SG_R9>_3G_F&RSB La pri%era le pedir2 su ubicacin y organiDacin de la infor%acin? para ser utiliDado cuando se genera la autoridad de certificacin y los certificados de inicial? y co%o por defecto cuando la creacin de certificados adicionales en el futuro" A continuacin? crear su entidad e%isora de certificados? un certificado de servidor? y un certificado de cliente" @stos archivos se pueden encontrar en el / Root / easyrsa4pfsense/keys / de la gua"
),1
:pen'&<
con :pen'&<"
for%a es utiliDar el co%ando cat en una sesin SSF y copiar el resultado" &or eMe%plo? para obtener el contenido del certificado de la A? eMecute: #cat 6 root6eas/rsa7pfsense61e/s6ca.crt
opia y pega la salida en el cuadro de certificado de A" 45u6 certificado de archivos para entrar en cada uno
),>
:pen'&<
N opia de seguridad f2cil de .SAN" @l pa9uete de copia de seguridad es obMeto de %ayor an2lisis en Seccin >"A? NArchivos de copia de seguridad y Directorios con el pa9uete de copia de seguridad N"
se sigue 9ue el pa9uete easyrsa1pfsense %aneMa de for%a auto%2tica" @stas %edidas son aplicables a Los siste%as #SD y Linu/? aun9ue el proceso en =indows es b2sica%ente el %is%o" Si utiliDa =indows? se refieren a la LAME.txt en el easy-rsa carpeta para obtener %2s infor%acin? y ta%bi6n puede siga estos pasos en su %ayor parte" &ara e%peDar? descargar y e/traer de :pen'&< http:77 openvpn"net" Dentro de la carpeta e/trada se encuentra el easy-rsa carpeta" &ara =indows? despu6s de eMecutar la instalacin de :pen'&<? se encuentra el easy-rsa carpeta en la C: \ Program
),A
:pen'&< exportacin KEY_EMAIL = ""/0!ns! 1 local ost" &uede editar estos para 9ue coincida con su ubicacin? organiDacin y correo electrnico? aun9ue ta%bi6n se pueden deMar
co%o es 9ue si 9uieres 9ue tu los certificados 9ue se crean utiliDando esta infor%acin" Guardar vars despu6s de
(>")")"*")" rea tu A
@n pri%er lugar? vars eMecutar source para cargar las variables de entorno f2cil de .SA" A continuacin? eMecute" 7 leanIall para garantiDar usted est2 co%enDando con un %edio a%biente li%pio" Hna veD creada la entidad e%isora? nunca haga funcionar la li%pieDa todos los
ya 9ue se eli%inar2 su A y certificados de todos" #$ars f(ente #. 6 #i!pie4a de todos los # Ahora ya est2 listo para eMecutar" 7 #uildIca? el co%ando 9ue crea la entidad e%isora" Tenga en cuenta los ca%pos son
ya se rellenar2 con lo 9ue ha entrado en vars con anterioridad" Hsted puede si%ple%ente presionar @nter en cada
del siste%a" #. 6 (ild-ca Generar un poco la clave privada RSA 1024 .....................................++++++ .....++++++ escritura nueva clave privada a 'ca.key' ----Ests a punto de pedir que introduzca la informacin que se incorporarn en su solicitud de certificado. Lo que usted est a punto de entrar es lo que se llama un nombre completo o una DN. Hay muy pocos campos, pero que pueden dejar algunas en blanco Para algunos campos no habr un valor predeterminado, Si introduce '.', El campo se dejar en blanco. ----Nombre Pas (cdigo de 2 letras) [EE.UU.]: Estado o Provincia Nombre (nombre completo) [Kentucky]: Nombre de la localidad (por ejemplo, de la ciudad) [Louisville]: Nombre de la organizacin (por ejemplo, de la empresa) [pfSense]: Unidad organizativa Nombre (por ejemplo, la seccin) []: Nombre comn (por ejemplo, su nombre o nombre de host de su servidor) []: Correo electrnico [pfSense @ localhost] Direccin: #
),B
:pen'&<
....+.++*++*++*
en su solicitud de certificado. Lo que usted est a punto de entrar es lo que se llama un nombre completo o una DN. Hay muy pocos campos, pero que pueden dejar algunas en blanco Para algunos campos no habr un valor predeterminado, Si introduce '.', El campo se dejar en blanco. ----Nombre Pas (cdigo de 2 letras) [EE.UU.]: Estado o Provincia Nombre (nombre completo) [Kentucky]: Nombre de la localidad (por ejemplo, de la ciudad) [Louisville]: Nombre de la organizacin (por ejemplo, de la empresa) [pfSense]: Unidad organizativa Nombre (por ejemplo, la seccin) []: Nombre comn (por ejemplo, su nombre o nombre de host de su servidor) []: se#)ido# Correo electrnico [pfSense @ localhost] Direccin:
),C
:pen'&<
Por favor ingrese los siguientes extra atributos para ser enviado con la peticin del certificado Un desafo clave []: Un opcional nombre de la empresa []: Mediante la configuracin de / home/cmb/easyrsa4pfsense/openssl.cnf Comprobar que la solicitud coincide con la firma Firma ok El nombre completo del sujeto es el siguiente countryName: IMPRIMIR: 'EE.UU.' stateOrProvinceName: IMPRIMIR: 'Kentucky' localityName: IMPRIMIR: "Louisville" organizationName: IMPRIMIR: "pfSense ' commonName: IMPRIMIR: 'servidor' EmailAddress: IA5String: "pfSense @ localhost ' Los certificados habrn de ser certificadas hasta el 18 de enero 2019 07:18:22 GMT (3650 das) Firma el certificado? [Y / n]: /
1 de cada 1 solicitudes de certificados certificado, nos comprometemos? [Y / n] / Escriba una base de datos con las nuevas entradas Actualizacin de Base de Datos #
),,
:pen'&<
Para algunos campos no habr un valor predeterminado, Si introduce '.', El campo se dejar en blanco. ----Nombre Pas (cdigo de 2 letras) [EE.UU.]: Estado o Provincia Nombre (nombre completo) [Kentucky]: Nombre de la localidad (por ejemplo, de la ciudad) [Louisville]: Nombre de la organizacin (por ejemplo, de la empresa) [pfSense]: Unidad organizativa Nombre (por ejemplo, la seccin) []: Nombre comn (por ejemplo, su nombre o nombre de host de su servidor) []: cm' Correo electrnico [pfSense @ localhost] Direccin: Por favor ingrese los siguientes extra atributos para ser enviado con la peticin del certificado Un desafo clave []: Un opcional nombre de la empresa []: Mediante la configuracin de / home/cmb/easyrsa4pfsense/openssl.cnf Comprobar que la solicitud coincide con la firma Firma ok El nombre completo del sujeto es el siguiente countryName: IMPRIMIR: 'EE.UU.' stateOrProvinceName: IMPRIMIR: 'Kentucky' localityName: IMPRIMIR: "Louisville" organizationName: IMPRIMIR: "pfSense ' commonName: IMPRIMIR: "CMB" EmailAddress: IA5String: "pfSense @ localhost ' Los certificados habrn de ser certificadas hasta el 18 de enero 2019 07:21:04 GMT (3650 das) Firma el certificado? [Y / n]: /
1 de cada 1 solicitudes de certificados certificado, nos comprometemos? [Y / n] / Escriba una base de datos con las nuevas entradas Actualizacin de Base de Datos # Tendr2 9ue repetir este proceso para cada cliente 9ue se despleg" &ara los usuarios a0adidos en el futuro? puede eMecutar esta de nuevo en cual9uier %o%ento"
*++
:pen'&<
'&< de acceso con :pen'&<? con las opciones %2s co%unes y una configuracin %ni%a"
(>"*"(")" &rotocolo
Seleccione T & o HD& a9u" A %enos 9ue haya una raDn 9ue usted debe utiliDar T &? tales co%o la capacidad de bypass %uchos firewalls %ediante la eMecucin de un servidor :pen'&< en el puerto T & 11*? 9ue puedes usar HD&" @s Sie%pre es preferible utiliDar los protocolos de cone/in al t;nel de tr2fico" T & es la cone/in orientado? con entrega garantiDada" ual9uier p6rdida de pa9uetes son retrans%itidos" @sto puede sonar co%o un buena idea? pero el rendi%iento se degrada significativa%ente en las cone/iones de 3nternet %uy cargado? o con la p6rdida de pa9uetes constante? debido a las retrans%isiones de T &" on frecuencia se tienen el tr2fico T & en el t;nel" uando usted tiene T & envuelto alrededor de T &? cuando un pa9uete se pierde? tanto la p6rdida de pa9uetes T & e/terior e interior ser2 retrans%itido" sucesos poco frecuentes de esto ser2 i%perceptible? pero la p6rdida recurrente? el rendi%iento significativa%ente inferior al si se utiliDa HD&" Hsted real%ente no desea la p6rdida de pa9uetes encapsulados de tr2fico '&< a retrans%itido" Si el tr2fico dentro del t;nel re9uiere la entrega confiable? se utiliDa un protocolo
o rara%ente ca%bia? no usar esta opcin ofrece una %eMora de la seguridad %in;scula"
*+(
:pen'&<
aun9ue es ;til en co%binacin con opciones personaliDadas para algunos hacLs co%o el uso de puente"
opciones de configuracin N para obtener infor%acin sobre c%o agregar el resto de las subredes"
restantes subredes"
Slo puede enviar el tr2fico al servidor Jy de cual9uier red conectada para el 9ue tiene una rutaK"
(>"*"("(+" riptografa
A9u es donde puede seleccionar el siste%a de cifrado de cifrado 9ue se utiliDa para esta cone/in" @l valor predeter%inado es #FI # ? 9ue es #lowfish ()C bits de cifrado de blo9ues de encadena%iento" @sto es por defecto de :pen'&<? y es
*+)
:pen'&<
una buena eleccin para la %ayora de los escenarios" Hna situacin co%;n en el 9ue lo desea? puede ca%biar esta es cuando se utiliDa un acelerador de cifrado de hardware? co%o glxsb integrado en el hardware AL3G? o una hifn tarMeta" @n estos casos? usted ver2 un %ayor rendi%iento %ediante el uso de un hardware
cifrado acelerado" &or AL3G u otro hardware con glxsb? @liMa PGS-% %-128" &or
hifn hardware? opt por cual9uiera de los *D@S o A@S opciones" 'er Seccin (>"(+"*? N@l uso de hardware
aceleradores criptogr2ficos N &ara obtener %2s infor%acin sobre el uso de aceleradores criptogr2ficos"
NLa generacin de claves y certificados :pen'&<N discute estas opciones con %2s detalle"
(>"*"("(*"(" ertificado de A
&egue el certificado de A a9u Jca.crt cuando se utiliDa easyrsaK"
(>"*"("(*"1" DF par2%etros
&egue el DF par2%etros a9u Jdh1024.pem cuando se utiliDa easyrsaK"
(>"*"("(*">" .L
.L est2 en la lista de revocacin de certificados" Si alguna veD tiene 9ue revocar el acceso a una o %2s de sus certificados? un archivo de .L &@! se crea 9ue se pegan a9u" @ste archivo se lla%a crl.pem
*+*
:pen'&<
cuando se utiliDa easyrsa" @ste archivo es una lista co%pleta de todos los certificados revocados? por lo 9ue el contenido de este ca%po se sustituye? no ane/ados? al revocar certificados"
&ara !icrosoft entornos de Active Directory? este debe especificar su D<S de Active Directory
servidores para la resolucin de no%bre propio y la autenticacin cuando se conecta a trav6s de :pen'&<"
no%bres" &or lo general? bien para salir de este a ning(no a aceptar por defecto de =indows"
*+1
:pen'&<
(>"*"("(B" Descripcin
3ntroduDca una descripcin para esta configuracin del servidor? para su referencia"
con :pen'&<"
*+>
:pen'&<
de configuracin" clientes conectados recibir2 una direccin 3& dentro de esta subred? y el e/tre%o del servidor
de la cone/in ta%bi6n recibe una direccin 3& de esta subred? donde el cliente dirige el tr2fico de subredes enca%inado a trav6s de la cone/in :pen'&<" o%o sie%pre la hora de elegir subredes internas para una sola ubicacin? esta subred debe ser 3D. resu%ibles con las subredes internas" @n el eMe%plo red (B)"*(">1"+7)1 representado a9u utiliDa para LA<? y (B)"*(">>"+7)1 para :pen'&<" @stos dos redes se resu%en con (B)"*(">1"+7)*? haciendo rutas %2s f2ciles de %aneMar" 3D.
eMe%plo"
9ue es 1M2.31."".0627"
U !6todo de autenticacin I baMando la p2gina un poco antes de pasar una copia de seguridad? es necesario
*+A
:pen'&<
especificado a9u" subredes adicionales se puede especificar con el r(ta opcin personaliDada descrito en Seccin (>"(+? NLas opciones de configuracinN" U certificado de A I pegar el ca.crt archivo de f2cil rsa a9u" U ertificado de Servidor I pegar el server.crt archivo de f2cil rsa a9u" U lave de servidor I pegar el server.key archivo de f2cil rsa a9u" U DF par2%etros I pegar el dh1024.pem archivo de f2cil rsa a9u"
U lDo co%presin I a %enos 9ue esta '&< es usado con una alta velocidad? cone/in de baMa latencia co%o una red local cableada o inal2%brica? tendr2 9ue %arcar esta casilla para per%itir lDo
:pciones de configuracin N &ara obtener %2s infor%acin sobre las opciones disponibles"
uando ter%ine de configurar las opciones co%o desee? haga clic en Guardar para ter%inar la configuracin del servidor"
pfSense se iniciar2 el servidor :pen'&< tan pronto co%o haga clic en Guardar"
*+B
:pen'&<
soluciones 9ue son susceptibles a ata9ues de fuerDa bruta" @sto supone una falta de aguMeros de seguridad en :pen'&< s? 9ue hasta la fecha tiene un historial de seguridad slida trayectoria"
del siste%a" La %is%a instalacin de :pen'&< puede funcionar co%o cliente o servidor? por lo 9ue slo hay una rutina de instalacin" Funciona co%o se indica en los datos su%inistrados? 9ue se cubiertos en la siguiente seccin" @n esta seccin se ofrece un panora%a general de la instalacin en varias co%;n
siste%as operativos"
cliente es total%ente co%patible y estable con la versin )"+"/ 9ue se eMecutan en pfSense" La instalacin es %uy sencillo? si%ple%ente aceptar todos los valores predeter%inados" La instalacin crear2 una nueva frea Local one/in en el siste%a de tonel interfaD" @sta interfaD se conectar2 cuando el '&< est2 conectado? y si no %uestran co%o desconectado" Sin configuracin de esta interfaD es
<ota
@n =indows 'ista y =indows B con HA JHser Account ontrolK activado?
derecho 9ue debe hacer clic en el icono de :pen'&< GH3 y haga clic en @Mecutar co%o ad%inistrador
para 9ue funcione" &uede conectarse sin derechos ad%inistrativos? pero no puede agregar la la ruta necesaria para dirigir el tr2fico en la cone/in :pen'&<? deM2ndolo inutiliDable" Ta%bi6n puede aMustar las propiedades del acceso directo para iniciar el progra%a sie%pre co%o ad%inistrador" @sta opcin se encuentra en la ficha o%patibilidad del acceso directo
propiedades"
pasado con 6/ito" :tra opcin de interfaD gr2fica de usuario es el cliente de 'iscosidad co%erciales disponibles en http:77
*+C
:pen'&<
www"viscosityvpn"co%" @n el %o%ento de escribir estas lneas? 9ue cuesta HSD Z , por un solo esca0o" Si se utiliDa :pen'&< con frecuencia? la viscosidad es un cliente %ucho %2s agradable y bien vale la pena el costo"
A%bos TunnelblicL y viscosidad son f2ciles de instalar? sin opciones de configuracin durante la
la instalacin"
de la infor%acin"
archivo de configuracin"
para el usuario 2"!(!3 es jdoe.crt y la clave es jdoe.key" opiar ca.crt?nom'(! d! usua(io. Crt y
creado" @sto se puede hacer con cual9uier editor de archivos de te/to sin for%ato? co%o el #loc de notas en =indows" La
*+,
:pen'&<
cliente dev tun udp proto a distancia o"!n."n.!xam"l!.com 119# ping 10 resolv-retry infinita nobind persist-key persisten-tun ca ca.crt cert nom'(! d! usua(io. Crt clave nom'(! d! usua(io. Clave tirar 3 verbo comp-lzo La a distancia lnea especifica el host y el puerto del servidor re%oto :pen'&<" Hna direccin 3& o F5D< se puede especificar a9u" La proto lnea especifica el protocolo utiliDado por el :pen'&<
cone/in" a%bie esta lnea por proto tcp si elige T & en lugar de HD& para su
servidor :pen'&<" La ca?cert? S cla$e lneas deber2n %odificarse en consecuencia para cada cliente"
en un archivo Dip? o autoIe/trable con cre%allera para la e/traccin auto%2tica de C: \ Archivos de programa \ OpenVPN
\ Config" @sto debe ser trans%itida con seguridad para el usuario final? y nunca debe ser pasado por alto
*(+
:pen'&<
Faga clic en el signo %2s en la parte inferior derecha de la pantalla &referencias de cone/in y haga clic en <uevo? co%o se %uestra en la Figura (>">? N'iscosidad Agregar cone/inN"
@n la pri%era pantalla de configuracin JFigura (>"A? N onfiguracin de 'iscosidad: GeneralNK? escriba un no%bre para su cone/in? la direccin 3& o no%bre de host del servidor :pen'&<? el puerto 9ue se utiliDa?
y el protocolo" De verificacin Fabilitar la co%patibilidad de D<S si ha especificado servidores D<S en el servidor
valores por defecto" Faga clic en la ficha Funciones de red para continuar"
*((
:pen'&<
tr2fico a trav6s de la '&<? %ar9ue esta casilla" Las pesta0as de configuracin restante puede no tenerse en cuenta
en casi todas las configuraciones" uando ter%ine? haga clic en Guardar para ter%inar de agregar el nuevo :pen'&<
de configuracin"
Ahora tendr2s tu acaba de agregar la configuracin de :pen'&< se %uestra en la pantalla &referencias" ierre la pantalla &referencias? haga clic en el candado en la barra de %en;s? y el no%bre de la '&<
Al hacer clic en 6l? y hacer clic en Detalles? co%o se %uestra en la Figura (>"((? N%en; de viscosidadN? se puede ver
*()
:pen'&<
la sobrecarga inicial es %ayor de lo 9ue ser2 despu6s de haber sido vinculado durante alg;n tie%po" Ade%2s? el
tpico de tr2fico '&< tendr2 %ayor ta%a0o de los pa9uetes de A1 bytes pings? haciendo 9ue el total de gastos
a9u para ayudar a deter%inar el proble%a" '6ase ta%bi6n Seccin (>"((? NSolucin de proble%as :pen'&<N"
con todo lo de%2s a la iD9uierda en valores predeter%inados" U Direccin de billar I 3ngrese 1M2.31."".0630 a9u"
*(*
:pen'&<
U ontrol re%oto de la red I 3ngrese 10.0.10.0627 a9u" U clave co%partida I &egar en la clave co%partida para esta cone/in a9u" 3nstrucciones en la generacin de claves co%partidas se proporciona en Seccin (>")"(? NLa generacin de claves co%partidasN" U Descripcin I 3ntroduce algo a9u para describir la cone/in"
@so es todo lo 9ue debe estar configurado para el servidor :pen'&< para funcionar en este escenario"
3& es din2%ica" Destino es el Direccin :P>? S el puerto de destino es 1197 en este caso"
Figura (>"(A? Nsitio :pen'&< eMe%plo de regla de firewall sitio de la =A<N %uestra la regla de firewall utiliDados
del lado del servidor" U Descripcin I 3ntroduce algo a9u para describir la cone/in"
Despu6s de rellenar los ca%pos? haga clic en Guardar" La configuracin del cliente es co%pleta" <ing;n firewall nor%as son necesarias en el lado del cliente por9ue el cliente slo inicia las cone/iones salientes" La
*(1
:pen'&<
<ota
on acceso re%oto configuraciones de &Q3? con frecuencia no define las rutas y
otras opciones de configuracin en la configuracin del cliente? sino %2s bien i%pulsar los opciones desde el servidor al cliente" on despliegues clave co%partida? debe definir rutas y otros par2%etros en a%bos e/tre%os? seg;n sea necesario Jco%o se describi anterior%ente? y %2s adelante en Seccin (>"(+? N&ersonaliDar las opciones de configuracinNK? <o puede e%puMar a
clientes? tienes 9ue co%probar deshabilitar todas las reglas '&< agreg auto%2tica%ente en Siste%a AvanDada Jv6ase Seccin ()"*? N.eglas del cortafuegos y redes privadas virtualesN antes de hacer esto para e/a%inar las ra%ificacionesK" A continuacin? asignar la interfaD de :pen'&< en una interfaD :&T y configurar en consecuencia" @n esta seccin
describe c%o llevar a cabo tanto el filtrado y <AT para los clientes :pen'&<"
*(>
:pen'&<
9ue es necesario? ya 9ue :pen'&< se debe configurar estos aMustes en la tun0 interfaD"
Faga clic en Guardar para aplicar estos ca%bios" @sto no hace nada para ca%biar la funcionalidad de :pen'&<?
si%ple%ente hace 9ue la interfaD disponible para regla de firewall y <AT fines"
utiliDando la cone/in :pen'&<? necesita habilitar avanDada de salida <AT y especificar una Salida <AT regla para su direccin de subred Alberca JsK" 'er Seccin B"A? N<AT SalienteN de
*(A
:pen'&<
redes 9ue utiliDan una subred LA< (,)"(AC"("+7)1 9ue usted necesita para conectarse a trav6s de una '&< sitio a sitio?
no pueden co%unicarse a trav6s de '&< con <AT Jo puente? co%o se e/plica en Seccin (>",? N one/iones :pen'&< puenteN? &ero 9ue real%ente slo deber2n utiliDarse para clientes %viles y no sitio para cone/iones de sitioK" Los hosts de una subred (,)"(AC"("+7)1 nunca llegar al otro e/tre%o de la '&< para co%unicarse con la subred (,)"(AC"("+7)1 a distancia? debido a 9ue la red es sie%pre tratadas co%o locales" Sin e%bargo? con <AT? usted puede hacer la funcin de e/tre%o re%oto? co%o si se tratara de usar
<ota
@sto funciona bien para %uchos protocolos? pero para algunos 9ue son co%;n%ente deseables a trav6s de cone/iones '&<? principal%ente S!# 7 3FS para co%partir archivos entre =indows los eM6rcitos? no funcionar2 en co%binacin con <AT" Si est2 usando un protocolo 9ue
utiliDando la %is%a subred" Despu6s de asignar la tonel interfaD para una interfaD opcional en a%bos lados? co%o
se describe en Seccin (>"A"(? Nla asignacin de interfaD y configuracinN? +(:+( <AT se puede aplicar"
*(B
:pen'&<
*(C
:pen'&<
@n la configuracin de :pen'&< en a%bos lados? en la red a distancia debe ser especificado co%o el
subred 3& traducida? no co%o (,)"(AC"("+7)1" @n este eMe%plo? la red re%ota en el sitio A es
en a%bos lados? las redes ser2n capaces de co%unicarse utiliDando las subredes traducido"
o internos de subred"
3& (")"*"1"
*(,
:pen'&<
locales 1.2.3.7 &ara las cone/iones con 3& din2%ica? un no%bre de host co%o alternativa se puede especificar" Los siguientes %uestra un eMe%plo para openvpn"e/a%ple"co% no%bre de host" open$pn.e-a!ple.co! locales
archivo de configuracin ser2 la siguiente" 1.2.3.4 remoto 1194 4.3.2.1 remoto 1194
&ara los clientes configurados en pfSense? la pri%era a distancia est2 configurado por las opciones dadas en el
*)+
:pen'&<
Figura (>")(" @Me%plo est2tica de las rutas de :pen'&< lient en :&T =A<
utiliDar el perodo de investigacin con la A.& locales opcin de configuracin a %edida" @n (")"/ pfSense? el :pen'&<
configuracin no se puede sincroniDar con el servidor de seguridad secundaria? por lo 9ue debe introducir %anual%ente 9ue en a%bos servidores de seguridad" @l estado de la cone/in no se conserva entre los hosts? de %odo 9ue los clientes deben volver a conectar despu6s de con%utacin por error? pero :pen'&< detectar2 el error de cone/in y vuelva a conectar dentro de un
%inuto %2s o %enos de con%utacin por error" A.& se discute en aptulo )+? Firewall de redundancia y Alto Disponibilidad"
opcin de utiliDar puntee interfaces y clientes puente directa%ente en su LA< o de otro interno
red" @sto puede hacer 9ue los clientes re%otos parecen estar en su red local" Sin e%bargo? el pfSense
GH3 no fue dise0ado para dar cabida a tales escenarios" <o ha sido un truco usado por algunos personas? pero tiene proble%as significativos" Hna opcin ;til estar2 disponible en alg;n %o%ento I de verificacin http:77doc"pfsense"org7inde/"php7:pen'&<_#ridging para la infor%acin %2s reciente sobre :pen'&<
puente"
*)(
:pen'&<
provoc el error"
opciones de configuracin" @n el eMe%plo siguiente se agrega una ruta para (+">+"+"+7)1" r(ta 10."0.0.0 2"".2"".2"".0 &ara a0adir varias rutas? separadas con un punto y co%a: 10."0.0.0 2"".2"".2"".0 r(tab r(ta 10.2"7.0.0 2"".2"".2"".0
La r(ta opcin de configuracin se utiliDa para a0adir rutas a nivel local" &ara un servidor :pen'&< configuracin con &Q3? ta%bi6n puede e%puMar rutas adicionales a los clientes" &ara i%pulsar las vas de
(+">+"+"+7)1 y (+")>1"+"+7)1 a todos los clientes? utilice la siguiente opcin de configuracin personaliDada"
p(s0 Ero(te 10."0.0.0 2"".2"".2"".0E e!p(.ar Ela r(ta 10.2"7.0.0
2"".2"".2"".0 E
son un riesgo en redes no confiables" &ara ello? agregue la opcin personaliDada siguientes: p(s0 Eredirect-gate2a/ DGF1E
*))
:pen'&<
Ta%bi6n puede escribir esto co%o una opcin personaliDada en el cliente %ediante el uso de redirecciona!iento de p(erta de enlace
DGF1 sin especificar e!p(.e" J<ota: la opcin es las letras NdefNSeguido por el dgito?
no la letra NLN"K
opcin co%o de$ t(n0" ada cliente y el servidor :pen'&< necesita usar un dispositivo ;nico? por lo 9ue la siguiente configuracin posterior :pen'&< especificara de$ t(n1? @l incre%ento de un para cada servidor adicional o cliente"
@sto puede ser una direccin 3&? tales co%o locales 1.2.3.7? : un no%bre de do%inio co%pleto? tales co%o: !/open$pn.d/ndns.org locales
@sto se utiliDa sobre todo en escenarios %ultiI=A<? co%o se describe en Seccin (>"B? N:pen'&< y !ultiI
*)*
:pen'&<
(" Falta? puerta de enlace predeter%inada incorrecta o ignorado I Si el dispositivo no tiene una puerta de enlace predeter%inada?
o tiene uno 9ue apunta a algo distinto de pfSense? no sabe c%o llegar adecuada%ente
de nuevo a la red re%ota en la '&<" Algunos dispositivos? incluso con una puerta de enlace predeter%inada se especifica? no usar esa puerta de enlace" @sto se ha visto en varios dispositivos integrados? incluyendo 3&
c2%aras y algunas i%presoras" <o hay nada 9ue poda%os hacer al respecto 9ue? aparte de conseguir el
software en el dispositivo fiMo" Hsted puede verificar esto eMecutando tcpdu%p en el interfaD en el interior del servidor de seguridad conectado a la red 9ue contiene el dispositivo" Solucin de proble%as con tcpdu%p
se trata en Seccin )>">? NHso de tcpdu%p desde la lnea de co%andoN" Si usted ve el tr2fico 9ue va a cabo dentro de la interfaD en el firewall? pero no las respuestas 9ue vienen atr2s? el dispositivo no est2 correcta%ente
enruta%iento del tr2fico de su respuesta Jo podra ser 9ue el blo9ueo a trav6s de un servidor de seguridadK"
)" !2scara de subred incorrecta I Si la subred en uso en un e/tre%o es (+"+"+"+7)1 y el otro es (+")>1"+"+7)1? y un host tiene una %2scara de subred incorrecta de )>>"+"+"+ o 7 C? 9ue nunca ser2 capaD de co%unicarse a trav6s de la '&<? ya 9ue piensa 9ue la subred re%ota '&< es parte de los locales
openvpn ser2 diferente? es el 3D del proceso del proceso de :pen'&< hacer la cone/inK" openvpn [32194]: UDPv4 vnculo remoto: 1.2.3.4:1194 openvpn [32194]: La conexin entre pares iniciado con 192.168.110.2:1194 openvpn [32194]: inicializacin secuencia completa Si no ve el vnculo remoto y Pares de conexin iniciada !ensaMes al tratar de conectar? la causa es probable 9ue sea incorrecta configuracin del cliente? por lo 9ue el cliente es no intentar conectar con el servidor correcto? incorrecto o reglas de blo9ueo de firewall del cliente cone/in"
*)1
:pen'&<
configurado correcta%ente" Si est2 utiliDando una configuracin de clave co%partida y no &Q3? aseg;rese de 9ue usted no est2 el uso de Ne%puMarN los co%andos en veD agregar rutas a a%bos e/tre%os el uso de NrutaN opciones de personaliDacin? co%o
red re%ota"
el tr2fico se est2 iniciando? el progreso a la tonel interfaD en dicho servidor de seguridad? entonces el tonel interfaD
en el servidor de seguridad a distancia? y final%ente dentro de la interfaD en el servidor de seguridad a distancia" Deter%inar dnde el tr2fico se ve y donde no se puede ayudar en gran %edida en la reduccin de hasta dnde est2 el proble%a
*)>
for%a de salir de la interfaD LA< del siste%a de pfSense" De la %is%a %anera? el tr2fico va desde la LA< a 3nternet JsubirK tiene la for%a al salir de la =A<"
Fay colas de tr2fico? y el tr2fico de las nor%as de darles for%a" Las colas son el ancho de banda en y las prioridades est2n real%ente asignados" nor%as de tr2fico configuracin de control de la cantidad de tr2fico se le asigna en las colas" .eglas para el trabaMo for%ador de %anera si%ilar a las reglas del firewall? y per%itir 9ue se pongan en venta si%ilares caractersticas" Si un pa9uete coincide con una regla %odelador? se le asignar2 en las colas especificado
eMe%plos co%unes 9ue han de%ostrado ser populares entre nuestros usuarios"
*)A
Traffic Shaper
pero a;n puede ser desriable si el ancho de banda de salida disponible es %uy utiliDado"
la calidad de la lla%ada" pfSense puede prioriDar el tr2fico de lla%adas por enci%a de otros protocolos? y garantiDar 9ue el pide hacerlo a trav6s de claridad sin ro%per? incluso si usted es el strea%ing de vdeo de alta definicin de Fulu? al %is%o tie%po" @n lugar de la lla%ada ruptura? la velocidad de las transferencias de otros se
%o%ento del Muego a;n debe ser casi tan r2pido co%o si el resto de su cone/in se espera"
*)B
Traffic Shaper
for%ador en pfSense )"+ ha sido reescrito para hacer frente a estas li%itaciones"
*)C
Traffic Shaper
*),
Traffic Shaper
ta%bi6n de cabeDa del enlace de red subyacente AT! se utiliDa en la %ayora de las i%ple%entaciones de &&&o@" Seg;n algunos c2lculos? entre la cabeDa del caMero auto%2tico? &&&o@? 3& y T &? puede perder
y servidores de AsterisL" Si usted tiene un proveedor diferente? puede elegir Nen`rico? : anular
**+
Traffic Shaper
este valor con el ca%po de direcciones %ediante la introduccin de la 3& de su tel6fono 'o3& o un alias 9ue contiene las direcciones 3& de todos sus tel6fonos"
Ta%bi6n puede elegir la cantidad de ancho de banda para garantiDar a sus tel6fonos 'o3&" @sto
varan en funcin de la cantidad de tel6fonos 9ue tiene? y cu2nto ancho de banda de cada sesin se utiliDan"
**(
Traffic Shaper
por segundo"
Las opciones restantes se co%ponen de varios conocidos protocolos &)&? %2s de )+ en total" o%pruebe
**)
Traffic Shaper
***
Traffic Shaper
el rendi%iento es un i%pedi%ento para la capacidad de las personas a trabaMar" @n una casa? strea%ing %ulti%edia puede ser %2s i%portante? y otros servicios puede ser baMada" Fabilitar la opcin para la creacin de redes :tros
y se trata nor%al%ente? en lugar de penaliDado por la regla p)p atchAll por defecto"
**1
Traffic Shaper
cone/iones? debe borrar los estados" Diagnstico &ara ello? visite @stados? haga clic en el botn de reinicio ficha @stados? visita %esa Firewall de @stado? a continuacin? haga clic en .establecer"
cada cola de lista por su no%bre? su uso actual? y algunas estadsticas de los de%2s"
**>
Traffic Shaper
utiliDado por el progra%ador de la configuracin e%pleada por pfSense en (")"/? y probable%ente debera ser cero"
por su cuenta"
asignados" ada cola se le asigna una prioridad? de +IB" uando hay una sobrecarga de tr2fico? el %ayor n;%ero se prefieren las colas Jpor eMe%plo? BK sobre las colas de n;%eros %2s baMos Jpor eMe%plo (K" ada la cola se le asigna un l%ite de ancho de banda duro? o un porcentaMe de la velocidad total del enlace" La colas ta%bi6n se pueden asignar otros atributos 9ue controlan c%o se co%portan? co%o ser de baMa retrasar o evitar la congestin 9ue tiene ciertos algorit%os aplicados" Las colas pueden ser %odificados por
va a cortafuegos Traffic Shaper? y haciendo clic en la ficha olas" Hna lista de reglas se parecen? co%o 9ue en Figura (A",? NShaper colas de tr2fico de la listaN
**A
Traffic Shaper
colas de edicin no es para los d6biles de coraDn" &uede ser una tarea co%pleMa y con resultados de gran alcance?
pero sin conoci%iento profundo de los valores involucrados? lo %eMor es seguir con las colas
generado por el asistente y %odificar su configuracin? en lugar de tratar de hacer otros nuevos desde cero"
Al ver la lista de las colas? cada cola se %ostrar2n Munto con los indicadores asociados a la cola? su prioridad? asignar ancho de banda? y el no%bre" &ara editar una cola? haga clic en? y para eli%inar cola? haga clic en" Hsted no debe tratar de eli%inar una cola si a;n est2 siendo referenciado por una regla"
&ara reordenar las colas en la lista? %ar9ue la casilla al lado de la cola para ser trasladado? a continuacin? haga clic en el
botn en la fila 9ue debe estar por debaMo de las colas reubicados" Al pasar el ratn %2s puntero? una barra gruesa aparecer2 para indicar 9ue las nor%as se insertan" @l orden
de las colas es estricta%ente cos%6tica" &ara a0adir una nueva cola? haga clic en la parte inferior de la lista"
(")"/" pfSense
La configuracin de ancho de banda debe ser una fraccin del ancho de banda disponible en la cola de los padres? pero ta%bi6n se debe establecer con la conciencia de las colas de vecinos" Al utiliDar porcentaMes? el total de todas las colas en uno de los padres dado 9ue no puede superar el (++]" uando se utiliDa l%ites absolutos?
los totales no pueden e/ceder el ancho de banda disponible en la cola de los padres"
La prioridad puede ser cual9uier n;%ero entre +IB" olas con un %ayor n;%ero son preferibles cuando hay una sobrecarga? por lo 9ue situar las colas en consecuencia" &or eMe%plo? el tr2fico de 'o3& debe ser de las %2s altas prioridad? por lo 9ue se debe establecer en un B" &eerItoIpeer tr2fico de la red? 9ue se puede retrasar en favor
**B
Traffic Shaper
@l no%bre de una cola debe estar entre (I(> caracteres y no puede contener espacios" La %ayora de los
convencin co%;n es co%enDar con el no%bre de una cola con la letra N9N para 9ue pueda ser %2s
identificar f2cil%ente en el conMunto de reglas" Fay seis diferentes opciones de &rogra%ador 9ue se pueden establecer para una cola dada: U &oner en cola por defecto
Selecciona esta cola por defecto? el 9ue se encargar2 de todos los pa9uetes sin igual" ada
interfaD debe tener una y slo una de colas por o%isin" U A Q 7 baMo retardo de cola JA QK
&or lo %enos una cola por cada interfaD debe tener esta serie" <or%al%ente? esto se reserva para I co%o el
no%bre lo indica I pa9uetes A Q 9ue necesitan ser tratadas de for%a especial con una prioridad alta" U Deteccin Te%prana al ADar J.@DK
Hn %6todo para evitar la congestin en un enlace? sino 9ue activa%ente intenta garantiDar 9ue la cola se no se llenan" Si el ancho de banda est2 por enci%a del %2/i%o dado por la cola? las gotas se producir2" Ade%2s? las gotas se puede producir si el ta%a0o %edio de la cola se acerca al %2/i%o" &a9uetes perdidos se eligen al aDar? por lo 9ue el ancho de banda %2s en el uso de una cone/in deter%inada? es %2s probable es ver las gotas" @l efecto neto es 9ue el ancho de banda es li%itado de %anera Musta? fo%entando un e9uilibrio" .@D slo debe usarse con cone/iones T & ya T & es capaD de %aneMar
pa9uetes perdidos? y puede volver a enviar cuando sea necesario" U Deteccin Te%prana al ADar entrada y de salida J.3:K
&er%ite .@D con entrada 7 salida? 9ue se traducir2 en un pro%edio de colas de haber sido %antenido y
coteMarse con los pa9uetes entrantes y salientes" U <otificacin e/plcita de congestin J@ <K
$unto con la .@D? 9ue per%ite el envo de %ensaMes de control del acelerador 9ue si las cone/iones a%bos e/tre%os @ < apoyo" @n lugar de deMar caer los pa9uetes co%o .@D nor%al%ente lo hace? se establece una bandera en el pa9uete 9ue indica la congestin de la red" Si la otra parte ve y obedece a la bandera?
la velocidad de la transferencia en curso se reducir2" U Se trata de una cola de padres &er%ite a esta cola para ser elegido co%o uno de los padres de otras colas" La curva de Servicio JscK es donde usted puede aMustar los re9uisitos de ancho de banda para esta cola" U %(
**C
Traffic Shaper #urstable l%ite de ancho de banda Ud &laDo para la e/plosin de ancho de banda? se especifica en %ilisegundos" J&or eMe%plo? (+++ c ( segundoK U %) <or%al l%ite de ancho de banda &or eMe%plo? usted necesita %( ancho de banda dentro d tie%po? pero un %2/i%o nor%al de %)" @n el
tie%po inicial establecido por d? %) no est2 %arcada? slo %(" Despu6s d ha e/pirado? si el tr2fico sigue estando por enci%a
%)? 9ue se for%a" &or lo general? %( y D se deMan en blanco? por lo 9ue slo se co%prueba %)" ada uno de estos valores se puede establecer para los siguientes usos: U L%ite superior
Ancho de banda %2/i%o per%itido para la cola" 'a a hacer difcil la li%itacin de ancho de banda" @l %( par2%etro a9u ta%bi6n se puede utiliDar para li%itar e/plosin" @n el plaDo d no obtendr2 %2s
los ca%bios"
**,
Traffic Shaper
y restablecer el for%ador a los valores predeter%inados? haga clic en 5uitar asistente" La pr/i%a veD 9ue visite firewall Traffic Shaper? el asistente se iniciar2 de nuevo"
&ara editar una regla? haga clic en? y para eli%inar? haga clic en regla" Las reglas se pueden %over hacia arriba o hacia abaMo una fila en haciendo clic para subir o para baMar" &ara reordenar varias reglas en la lista? visita la casilla Munto a las reglas 9ue deber2n ser trasladados? a continuacin? haga clic en el botn de la fila 9ue debe estar por debaMo de las nor%as reubicados" Las nor%as se %over2 por enci%a de la fila elegida" Hsted puede hacer una nueva nor%a basada en otra regla e/istente? haga clic en Munto a la fila con el regla 9ue desea copiar" Se le presenta una pantalla de edicin de reglas preIllenado con
los detalles de la nor%a e/istente" &ara agregar una nueva regla en blanco? haga clic en la parte inferior de la lista"
*1+
Traffic Shaper
ada regla tiene varios criterios de coincidencia 9ue ayudar2 a garantiDar 9ue el tr2fico adecuado se ali%enta
en las colas adecuadas" Antes de configurar las opciones de igualar? sin e%bargo? las colas de destino debe ser definido" Debe establecer tanto una cola de salida y una cola de entrada" Los pa9uetes 9ue coincidan con esta nor%a de la direccin de salida caer2 en la cola de salida? y los pa9uetes 9ue coincidan con esta regla en la direccin entrante caer2n en la cola de entrada" @l ca%ino del pa9uete se establece %ediante la eleccin
Servidor de seguridad" &or ahora nos centrare%os en 9u6 se establecera estos en lugar de la for%a" 45u6 ca%pos para establecer
@n este eMe%plo? para 9ue coincida con el tr2fico FTT&? deMe el rango de puertos de origen establecida en %(al'(ier? S establecer el
.ango de puerto de destino a FTT&" .ara veD es necesario establecer un puerto de origen? ya 9ue suelen ser
elegido al aDar"
@l tr2fico se va e%pareMado dentro y fuera de for%a predeter%inada? pero puede utiliDar la opcin de direccin para
li%itar este co%porta%iento" .ecuerde? sin e%bargo? 9ue esto se establece desde la perspectiva del cortafuegos"
3& Tipo de Servicio JT:SK Nbits de precedenciaN se puede utiliDar para capturar los pa9uetes 9ue han sido %arcadas
de %aneMo especial" Fay tres configuraciones disponibles a9u? y cada uno de ellos puede tener uno de tres valores" Los tres ca%pos indican una solicitud de retardo baMo? alto rendi%iento o alta confiabilidad"
&ara cada uno de estos? s significa 9ue la bandera debe ser establecido" <o significa 9ue la bandera no debe ser fiMado" <o les i%porta significa 9ue se tendr2 en cuenta"
Hn subconMunto de las banderas T & 9ue ta%bi6n se pueden co%parar" Vstos indican diversos estados de una cone/in Jo la falta de ellaK" &ueden ser e%pareMado en el si o no se establece e/plcita%ente? se aclar? o bien
J<o i%portaK" U SS< I SincroniDar n;%eros de secuencia" 3ndica 9ue un nuevo intento de cone/in"
U A Q I 3ndica aceptacin de los datos" o%o se se0al anterior%ente? estas son las respuestas para 9ue el
conocer los datos del re%itente se recibi en Aceptar" U F3< I 3ndica 9ue no hay %2s datos del re%itente? el cierre de una cone/in"
U .ST I restablecer la cone/in" @ste indicador se establece cuando en respuesta a una solicitud para abrir una cone/in en un puerto 9ue no tiene ning;n de%onio de escucha" Ta%bi6n se puede aMustar por el software de servidor de seguridad para la espalda
cone/iones no deseadas"
*1(
Traffic Shaper
U &SF I 3ndica 9ue los datos deben ser e%puMados o enroMecida? incluidos los datos en este pa9uete? por pasar los datos a la aplicacin"
U H.G I 3ndica 9ue el ca%po de urgencia es i%portante? y este pa9uete debe ser enviado antes
algunos errores co%unes 9ue la gente caiga sobre? 9ue se tratan en esta seccin"
9ue otros puertos deben utiliDar para llegar a ellos? lo 9ue significa un caos para los ad%inistradores de red intentando para rastrear el tr2fico basado en el puerto solo" @n (")"/? pfSense no tiene %anera de e/a%inar la los pa9uetes para contar lo 9ue el progra%a de tr2fico parece ser? por lo 9ue se ve obligado a confiar en los puertos" @sta es la raDn por puede ser una buena idea utiliDar la regla de &)& atchall? y 7 o establecer reglas para cada tipo de tr2fico 9ue
(A"C")" 4&or 9u6 no es el tr2fico a los puertos abiertos por H&n& correcta%ente cola8
Tr2fico per%itido en el de%onio H&n& va a ter%inar en la cola predeter%inada" @sto sucede por9ue las reglas generadas din2%ica%ente por el de%onio de H&n& no tiene ning;n conoci%iento de las colas a %enos 9ue H&n& est2 configurado para enviar el tr2fico en una cola especfica" Dependiendo de lo 9ue han con H&n& en su entorno? esto puede ser el tr2fico de baMa prioridad co%o #ittorrent? o de alta prioridad tr2fico co%o consolas de Muegos o progra%as de chat de voD co%o SLype" La cola se puede establecer por ir a
*1)
Traffic Shaper
(A"C"*" 4 %o puedo calcular cu2nto ancho de banda para asignar a las colas de confir%acin8
@ste es un te%a co%pleMo? y la %ayora de las personas pasar por alto 9ue ya slo adivinar un valor lo suficiente%ente alto"
&ara una e/plicacin %2s detallada con las fr%ulas %ate%2ticas? co%probar la Traffic Shaping seccin de los foros pfSense [http:77foru%"pfsense"org7inde/"php7board?\ )A"+"ht%l") Fay una pegaMosa %ensaMe en ese foro 9ue describe el proceso con gran detalle? y ta%bi6n hay una descarga
cola se %aneMa"
)http:77foru%"pfsense"org7inde/"php7board?
)A"+"ht%l
*1*
utiliDa T &"
!ientras pfSense ha sustituido de ga%a alta? alta balanceadores de carga de los costos co%erciales incluyendo #ig3&? isco LocalDirector? y %2s en entornos de produccin seria? (")"/ pfSense no es tan tan potente y fle/ible de estas soluciones" <o es adecuado para instalaciones 9ue re9uieren fle/ible de segui%iento y configuracin de e9uilibrio" &ara el control de T &? si%ple%ente co%prueba 9ue el especifica el puerto T & est2 abierto" @n el caso de un servidor web? el servidor no puede devolver cual9uier respuestas FTT&? o los inv2lidos? y no hay %anera de deter%inar esto" &ara grandes o co%pleMos despliegues? nor%al%ente se desea una solucin %2s potente" Sin e%bargo? para las necesidades b2sicas? el
funcionalidad disponible en traMes de pfSense innu%erables sitios %uy bien" Actual%ente esta%os revisando las opciones para un e9uilibrador de carga %2s capaD para la versin )"+"
la configuracin del servidor virtual 9ue usar2 este grupo" U Descripcin I :pcional%ente? escriba una descripcin %2s larga para el grupo de a9u"
*11
U Tipo I @sto en caso de incu%pli%iento de Ser$idor? 5ue es lo 9ue necesita%os para esta configuracin" U o%porta%iento I Seleccione G'(ili)rio de carga para e9uilibrar la carga entre todos los servidores en la piscina? o
%on!(tacin por error utiliDar sie%pre el pri%er servidor de la piscina a no ser 9ue no? entonces recurrir a posteriores
servidores"
U &uerto I @ste es el puerto de los servidores est2n escuchando en el interior" @sto puede ser diferente de la
puerto e/terno? 9ue se define %2s adelante en la configuracin del servidor virtual"
U !onitor I @sto define el tipo de %onitor de usar? 9ue es co%o el e9uilibrador deter%ina
si los servidores est2n arriba" Seleccin de B%R har2 9ue el e9uilibrador de conectar con el puerto antes
se define en el puerto? y si no puede conectarse a dicho puerto? el servidor se considera abaMo" @leccin &%3R en ca%bio? supervisar los servidores definidos por el ping? y les %arca de por si
9ue no responden a los pings" U !onitor 3& I @ste ca%po no es aplicable con el balanceador de carga del servidor y aparece en gris"
U Direccin 3& del servidor I A9u es donde puede rellenar la direccin 3& interna de los servidores en la piscina"
servidor de la piscina haciendo clic en su direccin 3& y haciendo clic en 5uitar de la piscina"
Despu6s de rellenar todos los ca%pos 9ue desee? haga clic en Guardar" ontinuar con la configuracin del servidor virtual
la p2gina se discute a continuacin" U <o%bre I @scriba un no%bre para el servidor virtual a9u" @sto es si%ple%ente para su referencia"
U Descripcin I :pcional%ente? escriba una descripcin %2s larga para el servidor virtual a9u" @sto ta%bi6n es
disponibilidad y personalidades A.&? consulte aptulo )+? Firewall de redundancia 7 alta disponibilidad"
*1>
U &uerto I @ste es el puerto del servidor virtual escuchar" &uede ser diferente del puerto servidores est2n escuchando en el interior"
U Servidor 'irtual &ool I A9u es donde puede seleccionar el grupo configurado previa%ente" La cone/iones a la direccin 3& y el puerto se define en esta pantalla ser2 dirigido a las direcciones 3& y
inaccesibilidad si todos los servidores de la piscina se han reducido" Despu6s de rellenar los ca%pos correcta%ente? haga clic en @nviar y luego en Aplicar ca%bios"
%2s infor%acin sobre las reglas del cortafuegos? consulte aptulo A? Servidor de seguridad"
*1A
*1B
*1C
T & %onitor" Despu6s de rellenar todos los ca%pos correcta%ente? haga clic en Guardar"
servidores definidos en el Ser$idores 2e) piscina" &ara el servidor de &ool de Down? esta configuracin utiliDa
una de las 3&s de los servidores de la Ser$idores 2e) piscina por falta de otra opcin" @n este caso? si los dos servidores de la piscina se han reducido? el servidor virtual es inaccesible" Despu6s de rellenar la
*1,
'aya a Servidor de seguridad Alias y haga clic para a0adir un alias" Figura (B"1? NAlias de servidores webN %uestra el alias utiliDado para este eMe%plo de configuracin? 9ue contiene los dos servidores web"
Faga clic en Guardar despu6s de entrar en el alias? y en Aplicar ca%bios" A continuacin vaya al servidor de seguridad <or%as y en la ficha de la interfaD en la 9ue se inici el tr2fico de cliente J=A<? en este casoK? haga clic en" Figura (B">? NA0adir regla de firewall para servidores webN %uestra un frag%ento de la regla de firewall agreg para esta configuracin" Las opciones no se %uestran a la iD9uierda en su defecto? a un lado de la descripcin"
*>+
*>(
un color a%arillento" Despu6s de cinco %inutos han pasado? el estado ca%biar2 a verde"
si se utiliDan %onitores de 3 !&? podr2s ver el estado de actualiDacin de cone/in y el servidor se eli%inar2
de la piscina"
<head> <title> 0.12 </ title> </ Head> <body> <p> 192.168.33.12 - Server 2 </ p> </ Body>
*>)
</ HTML> uando se proceda a probar el e9uilibrio de carga? tendr2 9ue configurar cada servidor para devolver un
&2gina de especificar su no%bre de host? direccin 3&? o a%bos? para 9ue sepa 9u6 servidor est2n golpeando" Si usted no tiene cone/iones pegaMosa habilitado? recibir2 un servidor diferente cada veD 9ue solicitud de una p2gina con curl Jcon la e/cepcin del escenario descrito en Seccin (B"*")? Ndesigual
e9uilibrio NK"
c%o solucionarlos"
cone/iones"
*>*
y eliMa la opcin de %en; de la consola 8" @n el s%bolo del siste%a? intente telnet al puerto del servidor
debe estar escuchando en" &or eMe%plo? para probar un servidor web en el eMe%plo anterior en este captulo?
se conectar2 de in%ediato" @l siguiente es un eMe%plo de un error de cone/in" #telnet 192.168.33.12 80 Tratando de 192.168.33.12 ... telnet: conectarse a la direccin 192.168.33.12: La operacin ha agotado el tiempo telnet: No se puede conectar a un host remoto S a9u es un eMe%plo de una cone/in e/itosa" #telnet 192.168.33.12 80 Tratando de 192.168.33.12 ... Conectado a 192.168.33.12. Carcter de escape es'^]'.
Hsted encontrar2 probable%ente 9ue falla la cone/in? y tendr2 9ue solucionar a;n %2s en el servidor"
*>1
@ste captulo incluye ta%bi6n los %edios sugerido de for%a segura con capacidad de acceso inal2%brico e/terno puntos? y c%o i%ple%entar de for%a segura un punto de acceso inal2%brico" la cobertura en profundidad de C+)"(( se encuentra fuera de el alcance de este libro" &ara a9uellos 9ue buscan infor%acin tales? reco%iendo el libro C+)"(( .edes inal2%bricas: The Definitive Guide [http:77www"a%aDon"co%7gp7product7+>,A(++>)*8
es decir? c HTFC e tag c pfSenseI)+ y linL ode c AS) y ca%po c (BC, c ,*)> y creativa y creativeAS3< c +>,A(++>)*\"
a las interfaces del Lernel? en este caso la especificacin de un controlador de red" Los controladores se enu%eran en orden
*>>
=iIfi
de la frecuencia de uso con pfSense? con base en la lista de correo y %ensaMes en los foros ya 9ue el proyecto de creacin"
&ara obtener %2s infor%acin detallada sobre tarMetas de apoyo? y la %2s actualiDada infor%acin? consulte
(C"(")"*" wi J1K
Lucent Fer%es? 3ntersil &.3S! y 3@@@ C+)"(( Spectru%)1 conductor I soporta tarMetas basadas en Fer%es Lucent? 3ntersil &.3S!I33? 3ntersil &.3S!I)">? s%bolo 3ntersil &ris%I*? y
el procesador A!D B,c,*+ controlador con 3ntersil Jantes FarrisK chipset &.3S! de radio"
interfaD"
*>A
=iIfi
(C")"(" 3nterface de
Si a;n no lo ha asignado a su interfaD inal2%brica? ver a las interfaces Asignar" Faga clic en
Agregar para agregar una interfaD :&T para su red inal2%brica? o seleccionarlo co%o =A<? si se desea" Figura (C"(?
N3nterfaD de asignacin I =A< inal2%bricaN %uestra una tarMeta Atheros asignado co%o =A<"
Guardar"
%uestra un eMe%plo de esto? en la 9ue configura el SS3D asdf? Hna red inal2%brica 9ue no e/iste"
*>B
=iIfi
*>C
=iIfi
en el %is%o do%inio de broadcast" @s posible 9ue desee hacer esto si tiene dispositivos o aplicaciones 9ue
debe residir en el %is%o do%inio de broadcast para funcionar correcta%ente" @sto se discute con %ayor profundidad
dispositivo conectado" @sto es nor%al%ente deseable I es slo c%o salvar las obras" on la tecnologa inal2%brica? la ;nica %anera 9ue esto puede funcionar si est2 detr2s de todos los dispositivos 9ue la tarMeta inal2%brica presentar la %is%a
Direccin !A de la red inal2%brica" @sto se e/plica en profundidad por el conocido e/perto inal2%brica
$i% Tho%pson en un puesto de la lista de correo [http:77lists"freebsd"org7piper%ail7freebsdIcurrent7)++>I :ctober7+>A,BB"ht%l\"( o%o un eMe%plo? cuando '!ware &layer? =orLstation o Server configurado para salvar a una interfaD inal2%brica? 9ue traduce auto%2tica%ente la direccin !A para 9ue de la tarMeta inal2%brica" &or9ue no hay %anera de traducir si%ple%ente una direccin !A en Free#SD? y por la for%a en puente en las obras de Free#SD? es difcil ofrecer soluciones provisionales si%ilar a lo 9ue ofrece '!ware" @n alg;n punto de pfSense puede contribuir a ello? pero no est2 en la
inal2%brica en su red" @sta seccin cubre los escenarios %2s co%;n%ente i%ple%entados"
(http:77lists"freebsd"org7piper%ail7freebsdIcurrent7)++>I:ctober7+
>A,BB"ht%l
*>,
=iIfi
causar proble%as"
*A+
=iIfi
recursos de la red"
los clientes inal2%bricos re9uieren" Algunas aplicaciones y dispositivos se basan en e%isiones de funcionar" AirTunes de Apple? co%o un eMe%plo? no funcionar2 a trav6s de dos do%inios de broadcast? por lo 9ue si
han AirTunes en la red inal2%brica y desea utiliDar en un siste%a en el cable
de red? debe puente de la redes cableadas e inal2%bricas" :tro eMe%plo son los servidores de %edios
utiliDado por los dispositivos co%o Gbo/ *A+ y &laystation *" @stos se basan en %ultidifusin o difusin
tr2fico 9ue slo puede funcionar si sus redes al2%bricas e inal2%bricas en puente" @n la casa de %uchos entornos de red 9ue tendr2 aplicaciones o dispositivos 9ue re9uieren su cable e inal2%bricas redes para salvarse" @n la %ayora de las redes corporativas? no hay aplicaciones 9ue re9uieren puente" 4 u2l elegir depende de los re9uisitos de las aplicaciones de red 9ue utilice? as
trans%isin de do%inio"
*A(
=iIfi
red"
@sto est2 suMeto a ca%bios significativos con cada nueva versin de Free#SD" Hna al da lista de conocidos dispositivos inco%patibles y la infor%acin %2s reciente sobre co%patibilidad inal2%brica se puede encontrar en
http:77www"pfsense"org7apco%pat"
de las opciones deben estar fa%iliariDados si ha configurado otros routers inal2%bricos antes? y algunos opciones pueden ser nuevos? a %enos 9ue haya usado un poco de e9uipo inal2%brico de calidad co%ercial" <o hay docenas de %aneras de configurar los puntos de acceso? y todos ellos dependen de su entorno" @n este caso?
cubri%os aMuste pfSense co%o una base a la A& 9ue utiliDa el cifrado =&A) con A@S" @n este eMe%plo?
@/a%ple o necesidades de acceso inal2%brico para algunos ordenadores port2tiles en la sala de conferencias"
*A)
=iIfi
c%odo de usar 9ue en la descripcin del lugar" &fSense Si va a %aneMar %;ltiples puntos de acceso?
debe haber alguna %anera de distinguir? co%o N=LA<ad%inN y N=LA<salesN" 'a%os a
@/a%ple o red"
identificable? sin e%bargo? ;nica para su configuracin" Siguiendo con el eMe%plo? esto puede ser lla%ado %onfRoo!"
port2tiles propiedad de la co%pa0a 9ue son capaces de C+)"((g? lo 9ue se %arca esta opcin"
*A*
=iIfi
3nternet? a %enudo es %2s seguro para desactivar esto" @n nuestro escenario? la gente en la sala de conferencias puede necesidad de co%partir archivos de ida y vuelta directa%ente entre ordenadores port2tiles? por lo 9ue este se 9uedar2 activada"
para 9ue sea %2s f2cil para los asistentes a la reunin para encontrar y utiliDar el servicio"
ya 9ue sus bandas de frecuencias no se solapen entre s" Hsted puede especificar P(to decirle a la tarMeta a
elegir un canal adecuado? sin e%bargo? esta funcionalidad no funciona con algunas tarMetas de red inal2%bricas"
Si usted elige P(to y las cosas no funcionan? eliMa un canal especfico en su lugar" &ara esta red? ya 9ue no hay otros a su alrededor? va%os a seleccionar el canal 1"
una contrase0a de una cadena %uy larga de caracteres he/adeci%ales" Al igual 9ue con la eleccin entre C+)"((by C+)"((g? algunos dispositivos %2s antiguos slo soportan =@& o =&A? pero %2s %odernos inal2%brica
=&A Gestin de Rre-S0ared Ye/" &ara utiliDar =&A) b A@S? seg;n lo deseado para la red inal2%brica sala de conferencias? siste%a =&A pares
de PGS"
*A1
=iIfi
<ota
&ara utiliDar =&A) en un cliente inal2%brico de =indows G&? debe tener un controlador inal2%brico
9ue soporta =&A)" Si usted est2 usando wiIfi de configuracin de =indows G& interfaD? con el fin de asociar a una =&A) punto de acceso en eMecucin? tendr2 9ue actualiDar el & a =indows G& S&* o instalar el parche de !icrosoft Qnowledge
para algo %2s 9ue %antener aleMados a los solicitantes de 3nternet sin conoci%ientos t6cnicos"
TQ3& JTe%poral Qey 3ntegrity &rotocolK? 9ue for%a parte de A@S? se convirti en un sustituto de =@& despu6s de 9ue se haba roto" Se utiliDa el %is%o %ecanis%o subyacente co%o =@&? y por lo tanto es vulnerable a algunos ata9ues si%ilares" .eciente%ente? estos ata9ues son cada veD %2s pr2ctico" @n el %o%ento de escribir este artculo no es tan f2cil de ro%per co%o =@&? pero nunca se debe todava lo utiliDan %enos 9ue haya dispositivos 9ue no son co%patibles con =&A o =&A) A@S usando" =&A y =&A) en co%binacin con
pero no son necesarias para un funciona%iento nor%al en la %ayora de entornos" uando haya ter%inado
*A>
=iIfi
sea necesario" Desde nuestros usuarios sala de conferencias tendr2 acceso a 3nternet y acceso a otra red
recursos? una regla de per%iso por defecto va a estar bien en este caso" &ara crear la regla? vaya al servidor de seguridad .eglas? y haga clic en la ficha de la interfaD inal2%brica J onf.oo% para este eMe%ploK" Agregar una regla para pasar el tr2fico de cual9uier protocolo? con una direccin de origen de la subred onf.oo%? y cual9uier destino" &or
%2s infor%acin sobre c%o crear reglas de firewall? consulte aptulo A? Servidor de seguridad"
*AA
=iIfi
nor%as relativas a la interfaD de pfSense para per%itir slo el tr2fico '&< de los clientes inal2%bricos"
Figura (C">" <or%as para per%itir 9ue slo 3&sec desde inal2%brica
*AB
=iIfi
Figura (C"A" <or%as para per%itir 9ue slo :pen'&< desde inal2%brica
Figura (C"B" <or%as para per%itir 9ue slo &&T& desde inal2%brica
red interna"
*AC
=iIfi
y configurar reglas de firewall para per%itir el acceso a 3nternet? pero no la red interna"
son cosas adicionales 9ue usted debe considerar en la configuracin de su punto de acceso"
red inal2%brica"
los ata9ues intencionales de otros usuarios de telefona %vil? as co%o los no intencionales? co%o los gusanos"
*A,
=iIfi
los usuarios legti%os? pero un l%ite de cinco cone/iones deben ser raDonables" Si lo desea? para especificar %2/i%o estado de las entradas por siste%a en todos sus reglas de firewall? pero tenga en cuenta 9ue algunos protocolos se re9uieren decenas o cientos de cone/iones para funcionar" FTT& y FTT&S puede re9uerir nu%erosas cone/iones para cargar una sola p2gina web en funcin del contenido de la p2gina y la
el acceso a los siste%as 9ue no controlan? y definir una poltica 9ue se adapte a su entorno"
descanso" Despu6s de desconectar y volver a conectar a un par de veces? puede ser necesario ree%plaDarlas"
*B+
=iIfi
varias %arcas y %odelos? es %2s probable 9ue sea un proble%a con la configuracin o relacionado con el hardware 9ue el dispositivo cliente"
antena de nuevo" &ara las tarMetas %iniI& 3? si slo tiene un cable fle/ible en el uso y hay dos internos conectores? intente conectar con el otro conector interno en la tarMeta" Ta%bi6n puede intentar ca%biar el anal o el aMuste de la potencia de trans%isin en la configuracin de la interfaD inal2%brica" &ara %iniI TarMetas & 3? verifi9ue 9ue los e/tre%os rotos de los conectores del cable fle/ible fr2giles donde se conectan a la %iniI
*B(
(,"(" Li%itaciones
La aplicacin de portal cautivo en pfSense tiene algunas li%itaciones" @sta seccin cubre
ellas? y las for%as co%unes de trabaMo alrededor de ellos sie%pre 9ue sea posible"
%;ltiples subredes 3& re9uieren la funcionalidad de portal cautivo? tendr2 9ue utiliDar un router dentro de su
instalar el portal cautivo co%o se ilustra en la Figura (,"(? N&ortal autivo en varias subredesN"
no es posible"
cuadro de portal? seleccione una interfaD? y cargar una p2gina FT!L con el contenido de su portal co%o se describe en Seccin (,">"()? N&ortal de contenidos de la p2ginaN" @s posible 9ue desee especificar una configuracin adicional
de la interfaD? eliMa la autenticacin local? y cargar una p2gina FT!L con el contenido de su portal
*B)
&ortal autivo
co%o se describe en Seccin (,">"()? N&ortal de contenidos de la p2ginaN" @s posible 9ue desee especificar adicionales
opciones de configuracin co%o se detalla en Seccin (,">? N:pciones de configuracinN" A continuacin? configure su
los usuarios locales en la ficha Hsuarios de los Servicios &ortal autivo p2gina"
siga los %is%os procedi%ientos 9ue la creacin de un portal con autenticacin local? llenando el
infor%acin adecuada para su servidor .AD3HS" Lea la siguiente seccin para obtener infor%acin sobre
(,">"(" 3nterfaD
A9u se selecciona la interfaD de portal cautivo se eMecutar2n en" @sto no puede ser una interfaD de puente? y
in%ediata%ente"
*B*
&ortal autivo
redirigir2 a esta H.L en lugar de la 9ue original%ente intentado acceder" Si este ca%po se deMa en blanco?
per%itidos y los inicios de sesin anterior en virtud de ese no%bre de usuario ser2 desconectado"
direccin !A "
(,">"," Autenticacin
@sta seccin le per%ite configurar la autenticacin? si se desea" Si se deMa sin autenticacin
seleccionado? los usuarios slo tendr2 9ue hacer clic a trav6s de la pantalla de su portal de acceso" Si usted re9uiere autenticacin? puede utiliDar el gestor de usuarios locales o la autenticacin .AD3HS" Hsuario
para el gestor de usuario local se configuran en la ficha Hsuarios de los Servicios &ortal autivo
*B1
&ortal autivo
p2gina" los usuarios de .AD3HS se definen en el servidor .AD3HS" &ara a9uellos con un !icrosoft Active
Directorio de la infraestructura de red? .AD3HS se puede utiliDar para autenticar usuarios del portal cautivo
de Active Directory con !icrosoft 3AS" @sto se describe en Seccin )1"(? N.AD3HS Autenticacin con =indows Server N" @/isten nu%erosos servidores .AD3HS otros 9ue ta%bi6n pueden ser utiliDado" cuentas .AD3HS puede tener la posibilidad de enviar la infor%acin de uso para cada usuario de la
servidor .AD3HS" onsulte la docu%entacin de su servidor .AD3HS para obtener %2s infor%acin"
y la clave privada"
*B>
&ortal autivo
</ HTML>
servidor .AD3HS de los registros de las indicaciones de por 9u6 se neg el acceso? y asegurar el servidor de seguridad puede co%unicarse con el servidor .AD3HS"
*BA
&ortal autivo
ese conseMo"
*BB
sincroniDacin de la configuracin? cada uno de los cuales se e/plican en este captulo" A %enudo esto es
si%ple%ente se refiere co%o la carpa? aun9ue t6cnica%ente A.& es slo una parte de la solucin co%pleta"
solucin de redundancia abierto para co%partir las direcciones 3& entre un grupo de dispositivos de red" Si%ilares soluciones ya e/istentes? principal%ente el est2ndar del 3@TF para 'irtual .outer .edundancy &rotocol J'..&K" Sin e%bargo isco recla%aciones '..& est2 cubierto por su patente sobre su Fot Standby .outer &rotocolo JFS.&K? y diMo a los desarrolladores de :pen#SD? 9ue sera hacer valer sus patentes" &or lo tanto? el los desarrolladores de :pen#SD ha creado un nuevo protocolo libre? abierto para lograr el %is%o resultado sin infringir las patentes de isco" A.& se dispuso en octubre de )++* en :pen#SD?
Actual%ente el %aestro" Si un fallo de cual9uier interfaD de red es detectada? el firewall de ;lti%a designado
<ota
Debido a 9ue cada %ie%bro del grupo A.& debe tener una direccin 3& en una subred? ade%2s de
la direccin 3& A.&? por lo %enos tres direcciones 3& disponibles se re9uieren para cada interfaD? y %2s direcciones 3& para los %ie%bros del grupo adicional" @sto ta%bi6n se aplica a la interfaD =A<? as 9ue aseg;rese de tener al %enos tres disponibles 3& enrutable Las direcciones de su 3S&" @l blo9ue %2s pe9ue0o enrutable 9ue incluye * direcciones 3&
*BC
donde el tr2fico %ulticast no funcionar2 correcta%ente Jalgunos interruptores de blo9ueo o ruptura de %ultidifusinK" Hsted puede utiliDar cual9uier interfaD activa para el envo de actualiDaciones pfsync? sin e%bargo se reco%ienda la utiliDacin de una interfaD dedicada por raDones de seguridad y rendi%iento" pfsync no ad%ite ninguna tipo de autenticacin? as 9ue si usted usa otra cosa 9ue una interfaD dedicada? es posible
para cual9uier usuario con acceso a la red local a los estados insertar en su servidor de seguridad secundaria" @n baMa
entornos de rendi%iento 9ue no son de seguridad paranoica? el uso de la interfaD LA< para este fin es aceptable" Ancho de banda necesario para esta sincroniDacin de estado pueden variar significativa%ente de un %edio a%biente a otro? pero podra ser tan alta co%o (+] del rendi%iento atravesar el firewall
corte de red"
A") a B"/? e incluye un pfsync %2s reciente" Sie%pre revise la gua de actualiDacin en todos los vinculados liberacin anuncios antes de actualiDar a ver si hay alguna consideracin especial para los usuarios A.&"
*B,
Firewall de redundancia 7 Alta Disponibilidad a una interfaD LA< dos y el despliegue de =A<? con la interfaD de pfsync ser usado ;nica%ente para sincroniDar los estados de configuracin y seguridad entre los servidores de seguridad pri%aria y secundaria"
la 3& de pr/i%a co%o interfaD 3& del servidor de seguridad secundario" Hsted puede asignar estos co%o se desee? lo 9ue la eleccin
y las direcciones a trav6s (+"+"AA"(+ (+"+"AA"() se utiliDar2 co%o las direcciones 3& =A<" Direccin 3& (+"+"AA"(+ (+"+"AA"(( (+"+"AA"() Hso A.& 3& co%partida &ri%aria firewall 3& de la =A< Secundaria firewall 3& de la =A<
Hso A.& 3& co%partida &ri%aria firewall 3& de la LA< Secundaria firewall 3& de la LA<
*C+
Firewall de redundancia 7 Alta Disponibilidad co%o la subred pfsync" Slo dos perodos de investigacin se utiliDar2? pero voy a usar un 7 )1 para ser coherentes con los
otra interfaD interna JLA<K" &ara el ;lti%o octeto de las direcciones 3&? eleg el ;lti%o octeto %is%o
co%o el servidor de seguridad 3& de la LA< de la coherencia" Direccin 3& (B)"(A"(") (B)"(A"("* Hso &ri%aria firewall 3& de la LA< Secundaria firewall 3& de la LA<
*C(
tr2fico presente en su red? usted puede co%enDar a 1" De lo contrario? se establece en el 'F3D disponible siguiente
en la red" La frecuencia de publicidad debe establecerse de acuerdo a la funcin de esta %29uina en
del grupo" Sa 9ue 6ste ser2 el %aestro? 9ue debe establecerse en 0" @n el siste%a de copia de seguridad? esto debe
se 1 o superior" &or la descripcin? escriba algo relevante co%o :P> &R %PRR" Faga clic en
*C)
Firewall de redundancia 7 Alta Disponibilidad Despu6s de guardar la LA< 3& A.&? podr2s ver a%bas personalidades en la lista? co%o en la Figura )+"1? N'irtual 3& lista N" Faga clic en Aplicar ca%bios y luego a%bos 3&s A.& se activa"
la direccin" 'aya a Servidor de seguridad <AT? y haga clic en la ficha de salida" Seleccione la opcin de habilitar !anual de salida <AT J<AT avanDada de salidaK? a continuacin? haga clic en Guardar"
Hna regla 9ue parece 9ue se <AT el tr2fico de LA< a la =A< 3&" &uede aMustar esta nor%a a trabaMar con la direccin 3& en lugar del A.&" Faga clic en el a la derecha de la regla" @n la traduccin
seccin? seleccione la =A< A.& direccin 3& de la Direccin desplegable" a%biar la descripcin
%encionar 9ue esta regla <AT LA< a la =A< A.&" o%o referencia? se puede co%parar
su configuracin de salida regla de <AT para los de la Figura )+">? N@ntrada de salida <ATN
Despu6s de hacer clic en Guardar en la regla de <AT? y haga clic en Aplicar ca%bios? las nuevas cone/iones deMando la =A< ahora se traducir2 a la 3& A.&" &uede confir%ar esto con un sitio web 9ue %uestra la direccin 3& desde la 9ue est2 siendo visitada? co%o http:77www"pfsense"org7ip"php " Ta%bi6n debe ver la salida de esta aMustada regla <AT en la lista? co%o en la figura )+"A?
el servidor de seguridad pri%aria y de copia de seguridad" 'aya a las interfaces :&T( para configurar esta
opcin" Si usted no tiene una interfaD :&T( sin e%bargo? usted tendr2 9ue asignar en 3nterfaces JAsignarK Jv6ase Seccin 1"*"(?
NAsignar interfacesNK"
Slo unas pocas opciones es necesario establecer? co%o se %uestra en Figura )+"B? Npfsync 3nterfaD de configuracinN" La interfaD tiene 9ue estar habilitado y 9ue ayudara a utiliDar pfs/nc por su no%bre" Fay 9ue establecido para una direccin 3& est2tica? y teniendo en cuenta la direccin decidida anterior%ente para el lado pri%ario de pfsync?
1M2.16.1.2627"
*C*
co%o puerta de entrada" 5ue la propiedad intelectual es especfico para el servidor de seguridad pri%aria? por lo 9ue necesita para ca%biar a una 3& A.&
de con%utacin por error a trabaMar para sus siste%as de cliente DF &" 'aya a Servicios Servidor DF &" a%bie el ca%po &uerta de enlace de 192.168.1.1? La
co%partida A.& LA< 3&" AMuste el punto de con%utacin por error 3& a la actual direccin 3& del siste%a de copia de seguridad? 192.168.1.3" @sto per%itir2 9ue el servicio DF & en a%bos siste%as para %antener un conMunto co%;n
*C1
configuracin de la %is%a 9ue la pri%aria? y luego debe ser seguro para conectar las cone/iones de red"
A continuacin? debe acceder a la interfaD web y pasar por el asistente de configuracin? tal co%o se hiDo en el pri%ario" onfigurar la 3& =A<? y establecer la contrase0a de ad%inistrador para el %is%o valor 9ue el
en el pri%ario"
Ta%bi6n tendr2 9ue configurar la interfaD de sincroniDacin co%o en Seccin )+"1")"1? Npfsync onfigurarN? &ero
interfaD pfsync N
@n el servidor de seguridad ;nico %aestro? vaya a Servidor de seguridad de 'irtual 3&? y haga clic en la ficha onfiguracin de A.&"
o%pruebe SincroniDar habilitado? y recoger pfs/nc co%o sincroniDar la interfaD" &ara el pfsync
sincroniDacin entre pares 3&? escriba la direccin 3& para la interfaD de pfsync el siste%a de copia de seguridad? 1M2.16.1.3"
.evise todas las casillas restantes en la pantalla? e introduDca el perodo de investigacin del siste%a de copia de seguridad de pfsync de nuevo en
*C>
Firewall de redundancia 7 Alta Disponibilidad SincroniDar con la propiedad intelectual" &or ;lti%o? introduDca la contrase0a =ebGH3 ad%in en la contrase0a de siste%as re%otos caMa" Faga clic en Guardar cuando haya ter%inado"
uando la configuracin de sincroniDacin se guardan en la pri%aria? auto%2tica%ente copiar2 los configuracin de la pri%aria a la copia de seguridad para cada opcin seleccionada en la p2gina de onfiguracin de A.&" @ste incluye la configuracin adecuada de salida <AT para la carpa? las reglas del cortafuegos para la interfaD pfsync? e incluso las personalidades A.&" Dentro de los *+ segundos? la sincroniDacin de la configuracin inicial debera haber ter%inado"
La configuracin del servidor DF & no est2n sincroniDados? lo 9ue los ca%bios en el siste%a de copia de seguridad se
necesario establecer el perodo de investigacin A.& co%o puerta de entrada? y utiliDar las pri%arias de la direccin 3& LA< co%o la
DF & pares de con%utacin por error? co%o en Seccin )+"1")">? N!odificacin del servidor DF &N"
Si la configuracin de sincroniDacin de la pri%aria a la copia de seguridad? entonces usted sabe 9ue la interfaD de sincroniDacin
est2 conectado y funcionando correcta%ente" Si no? puedes ir a diagnsticos &ing? escoger el pfsync
interfaD? e intentar hacer ping a la pfsync direccin 3& del siste%a de oposicin" Si eso no funciona? co%pruebe 9ue est2 utiliDando un cable de cone/in y 7 o tener una luD de enlace en la interfaD pfsync
de a%bos siste%as"
La pareMa A.& ahora se activa? pero todava tendr2 9ue co%probar el estado y la prueba de 9ue la con%utacin por error est2 funcionando correcta%ente" Salte a Seccin )+"A? Nla funcionalidad de con%utacin por error de 'erificacinN para el resto"
<ota
Hsted no debe configurar la sincroniDacin desde el servidor de seguridad de copia de seguridad para el %aestro cortafuegos" @/isten protecciones 9ue se deben evitar este laDo de la sincroniDacin de causar da0o? pero se desordenan los registros con %ensaMes de error y nunca debe
el seg%ento de la D!E"
*CA
Hso A.& 3& co%partida &ri%aria firewall 3& de la LA< Secundaria firewall 3& de la LA<
*CB
Hso A.& 3& co%partida &ri%aria cortafuegos 3& D!E Secundaria cortafuegos 3& D!E
cortafuegos 3& LA< es elegida para la coherencia" Direccin 3& (B)"(A"(") (B)"(A"("* Hso &ri%aria firewall 3& de la LA< Secundaria firewall 3& de la LA<
configuracin de <AT"
one/in =A<"
@s necesario a0adir una regla en la parte superior de las reglas del firewall para todas las interfaces internas 9ue dirigir2
tr2fico para todas las redes locales a la puerta de enlace predeter%inada" La parte i%portante es la puerta de entrada tiene 9ue ser
*CC
Firewall de redundancia 7 Alta Disponibilidad predeter%inado para esta regla y no una de las cone/iones de con%utacin por error o e9uilibrio de carga" @l destino de
esta regla debe ser la red local LA<? o un alias 9ue contiene todas las redes a nivel local accesible"
co%o puede verse en la Figura )+",? NDiagra%a de !ultiI=A< A.& con Dona de distensinN"
ondicin $urdica y Social A.& JfailoverK p2gina" Ahora debe aparecer correcta%ente"
&iscina de con%utacin por error? co%o en Figura )+"(+? N ondicin $urdica y Social de con%utacin por
*C,
Las pruebas pueden incluir: U Desconecte el cable de LA< o =A< U Sa9ue el enchufe de ali%entacin de la pri%aria U Desactivar A.& en la pri%aria
U &ruebe con cada siste%a individual Japagar copia de seguridad? de ali%entacin y apague el
el pri%arioK U Descargar un archivo o tratar de strea%ing de audio 7 vdeo durante la con%utacin por error U &ruebe con un ping continuo a un host de 3nternet durante la con%utacin por error
@n esta seccin se describe este tipo de configuracin? 9ue es co%;n en grandes redes? 3S& y
*,+
el apropiado no%bre de interfaD de optar por esta red interna? en lugar de LA<"
*,(
Firewall de redundancia 7 Alta Disponibilidad no deberan nunca re9uerir acceso directo desde 3nternet? y por lo tanto est2n %enos suMetos a co%pro%iso 9ue los servidores web"
anterior%ente en este captulo? una interfaD dedicada para este propsito se reco%ienda"
<ota
Seg%entos 9ue contienen los servidores de bases de datos nor%al%ente no tienen 9ue ser p;blico acceso? y por lo tanto sera %2s co%;n el uso privado subredes 3&? pero la eMe%plo ilustrado a9u se pueden utiliDar independiente%ente de la funcin de las dos internas
subredes"
lanDando %uchos conceptos a los lectores al %is%o tie%po" Ahora 9ue tiene una co%prensin de redundancia de hardware con pfSense? esta seccin cubre la capa de dos ele%entos de dise0o 9ue deben considerar al planear una red redundante" @n este captulo se asu%e una i%ple%entacin del siste%a dos?
de desplegar dos interruptores para cada interfaD J9ue no sea la interfaD pfsync dedicadoK"
@l diagra%a de enrutado 3& est2 centrada en la red? no se incluye la infraestructura de con%utacin" La Figura )+"()? NDiagra%a del A.& redundante con switchesN ilustra la for%a en 9ue el %edio a%biente
*,)
Firewall de redundancia 7 Alta Disponibilidad con cual9uier tipo de interruptor" @n caso de superar el uso? o cuando e/isten %;ltiples intercone/iones entre
los interruptores? se debe tener cuidado para evitar la capa ) bucles" Hsted necesitar2 un switch ad%inistrado 9ue se capaD de utiliDar Spanning Tree &rotocol JST&K para detectar y blo9uear los puertos 9ue de otra %anera interruptor de crear bucles" uando se usa ST&? si un vnculo activo %uere? por eMe%plo? Fallo del interruptor? a continuacin? una copia de seguridad
de la redundancia en una escala %2s a%plia: U ada seg%ento redundante debera tener el poder aislado" U Los siste%as redundantes debe estar en interruptores separados" U Hso de %;ltiples bancos de H&S y generadores" U Htilice los proveedores de potencia? entrando en los lados opuestos del edificio cuando sea posible" U 3ncluso una configuracin %ultiI=A< no es garanta de disponibilidad de 3nternet" U @l uso de %;ltiples tecnologas de cone/in a 3nternet JDSL? able? T(? fibra? wiIfiK"
U Si cual9uiera de las dos co%pa0as utiliDan el %is%o polo 7 t;nel 7 ruta? a%bos podran ser eli%inados en la
al %is%o tie%po"
*,*
Firewall de redundancia 7 Alta Disponibilidad U Tener copias de seguridad de refrigeracin? enfriadores redundante o una port2til 7 acondicionador de aire de e%ergencia" U onsidere la posibilidad de colocar el segundo grupo de e9uipos redundantes en otra habitacin? otro piso? o otro edificio"
U Tener un duplicado de instalacin en otra parte de la ciudad o en otra ciudad" 4&or 9u6 co%prar uno cuando se puede
co%prar dos por el doble del precio8 U Fe odo de aloMa%iento es barato en !arte? pero la latencia es asesino"
intervencin" Los detalles del proceso se pueden encontrar en Seccin ,">")? N A.&N"
9ue tienen configuraciones co%patibles" A %enudo? ayuda a ca%inar a trav6s de la configuracin de eMe%plo? haga doble co%probar todos los aMustes correctos" .epita el proceso a los %ie%bros copia de seguridad? y el reloM para los lugares donde la configuracin deben ser diferentes en las copias de seguridad" Aseg;rese de revisar la A.& estado JSeccin )+"A"(? N o%probar el estado A.&NK S garantiDar la A.& est2 habilitado en todos los cl;ster
%ie%bros"
Los errores relativos a la carpa se registrar2 en estado .egistros del siste%a? en la pesta0a Siste%a" o%pruebe los registros en cada siste%a i%plicados para ver si hay alg;n %ensaMe en relacin con sincroniDacin G!L.& ?
correcta%ente"
*,1
puede 9ue tenga 9ue consultar con el ad%inistrador de esa red para encontrar un blo9ue libre de 'F3Ds"
la interfaD J'LA<? LA<? =A<? T&:K antes de 9ue pueda ser utiliDado"
9ue otros"
Si A.& no funciona correcta%ente cuando se ve este error? podra deberse a una configuracin falta de coincidencia" Aseg;rese de 9ue para un '3&? 9ue la %2scara de subred 'F3D? la contrase0a y la direccin 3& 7
todo el partido"
Si la configuracin parece ser correcta y A.& sigue sin funcionar? %ientras 9ue la generacin de este error %ensaMe? entonces puede haber varias instancias de A.& en el %is%o do%inio de broadcast" @s posible 9ue necesidad de desactivar A.& y supervisar la red con tcpdu%p J aptulo )>? aptura de pa9uetesK
para co%probar si hay otras carpas o tr2fico A.&Ico%o? y aMustar su 'F3Ds adecuada%ente"
*,>
Firewall de redundancia 7 Alta Disponibilidad Si A.& est2 funcionando correcta%ente? y aparece este %ensaMe cuando el siste%a arranca? puede ser
en cuenta" @s nor%al 9ue este %ensaMe sea visto en el arran9ue? sie%pre y cuando A.& contin;a
para funcionar correcta%ente J!AST@. %uestra pri%aria? copia de seguridad %uestra #A QH& para el estadoK"
&roducto? tales co%o @SG? consulte Seccin )+"(+">? N&roble%as en el interior de %29uinas virtuales J@SGKN"
%aestro" Hsted puede co%probar desde el shell o de diagnstico o%ando" #ifconfig carp0 carp0: banderas = 49 mtu <UP,LOOPBACK,RUNNING> 1500 inet 10.0.66.10 mscara de red 0xffffff80 carpas: BACKUP vhid un advbase un advskew 240 @n ese caso? usted debe aislar ese servidor de seguridad y realiDar pruebas de hardware adicional"
configuraciones son necesarias: (" Activar el %odo pro%iscuo en el con%utador virtual" )" Fabilitar NLos ca%bios de direccin !A N" *" Fabilitar Ntrans%ite forMadoN"
Ade%2s? hay un error en la funcionalidad de con%utador virtual de '!ware? donde el tr2fico de %ultidifusin se colocado de nuevo al siste%a de envo en %;ltiples tarMetas de red fsicos est2n conectados a un con%utador virtual" A.& no pasa por alto tr2fico? ya 9ue en una red 9ue funciona nor%al%ente 9ue nunca suceder? y lo ve co%o otro host 9ue afir%a ser el %aestro" &or lo tanto a%bos servidores de seguridad sie%pre estar atascado en el %odo de copia de seguridad" Fay algunos parches est2n probados para proporcionar una solucin alternativa para
*,A
Firewall de redundancia 7 Alta Disponibilidad A.& en esta situacin? y '!ware ha sido notificado del fallo del con%utador virtual? por lo 9ue no puede ser un proble%a en el futuro"
en la copia de seguridad" U @l =ebGH3 debe estar en el %is%o puerto en todos los nodos" U @l =ebGH3 debe utiliDar el %is%o protocolo JFTT& o FTT&SK en todos los nodos" U Hsted debe per%itir el tr2fico al puerto =ebGH3 en la interfaD 9ue est2 sincroniDando con" U La interfaD pfsync debe estar activado y configurado en todos los nodos"
U @li%inar todos los caracteres especiales de todo tipo 9ue se est2n sincroniDando: las reglas <AT? Las reglas de firewall? direcciones 3& virtuales? etc ya no debera suponer un proble%a? pero si tiene
dificultades? es una buena cosa para probar" U Aseg;rese de 9ue slo el nodo de sincroniDacin principal tiene las opciones de sincroniDacin habilitada" U Aseg;rese de 9ue no hay una direccin 3& se especifica en el SincroniDar a la propiedad intelectual en el nodo de copia de seguridad"
9ue tiene una nor%a co%o la 9ue se %enciona en Seccin )+">"*? N onfiguracin del FirewallN
*,B
su red" @s activado por defecto en la interfaD LA<? y con el defecto de la LA< 3& (,)"(AC"("(? el rango de alcance predeter%inado sera a trav6s de (,)"(AC"("(,, (,)"(AC"("(+" @n su defecto configuracin? pfSense asigna su 3& LA< co%o la puerta de enlace y servidor D<S si el reenviador D<S
)("("(" onfiguracin
&ara %odificar el co%porta%iento del servidor DF &? vaya a Servicios Servidor DF &" Desde all se puede
alterar el co%porta%iento del servidor DF &? Munto con las asignaciones est2ticas de 3& y algunas opciones relacionadas
interfaD"
*,C
Servicios
entornos de este co%porta%iento no es deseable" on la opcin Denegar clientes desconocidos conMunto? slo
clientes con asignaciones est2ticas definidas recibir2n contratos de arrenda%iento? 9ue es una pr2ctica %2s segura? pero es
<ota
@sto proteger2 contra los usuarios de baMo conoci%iento y las personas 9ue casual%ente enchufe dispositivos" Tenga en cuenta? sin e%bargo? 9ue un usuario con conoci%ientos de su red podra codificar una direccin 3&? %2scara de subred puerta de enlace? y D<S 9ue a;n les dar2 acceso" Ta%bi6n podra alterar 7 parodia de su direccin !A para 9ue coincida con un cliente v2lido y a;n obtener una concesin" uando sea posible pareMa? con esta configuracin de las entradas A.& est2ticas? de control de acceso en un interruptor 9ue li%itar2 las direcciones !A de los puertos de con%utacin deter%inadas para au%entar la seguridad y apagar o deshabilitar puertos interruptor 9ue usted debe saber
no estar en uso"
La direccin 3& de la interfaD 9ue se est2 configurando ta%bi6n se %uestra? Munto con su %2scara de subred" &or debaMo de esa lnea de la ga%a disponible de direcciones 3& para 9ue la %2scara de subred se i%pri%e? 9ue
puede ayudar a deter%inar 9u6 direcciones de inicio y finaliDacin de usar para el rango de conMunto DF &"
se est2 configurando"
se enva al cliente"
*,,
Servicios
y estos ca%pos se deMan en blanco? pfSense pasar2 lo 9ue los servidores D<S est2n asignados a
en virtud del siste%a onfiguracin general" Si desea utiliDar servidores D<S personaliDado en lugar de la auto%2tica opciones? llene las direcciones 3& de hasta dos servidores D<S a9u" J'6ase Seccin )1")? N ontenido gratuito Filtrar con :penD<S N para un eMe%plo"K @n las redes con servidores =indows? especial%ente las e%pleo de Active Directory? se reco%ienda utiliDar los servidores de D<S del cliente" uando se utiliDa
el reenviador D<S en co%binacin con la carpa? especifi9ue el perodo de investigacin A.& en esta interfaD a9u"
)("("("A" Gateway
La opcin de puerta de enlace ta%bi6n se puede deMar en blanco si pfSense es la puerta de enlace para la red" @n caso de 9ue no sea el caso? escriba la direccin 3& de la puerta de entrada a ser utiliDado por clientes en esta interfaD"
uando se utiliDa A.&? co%plete el perodo de investigacin A.& en esta interfaD a9u"
tie%po"
siguiente" @sta debe ser la verdadera direccin 3& del otro siste%a en esta subred? no una co%partida A.&
direccin"
<ota
uando se utiliDa A.& est2tico? tenga cuidado para garantiDar 9ue todos los siste%as 9ue necesitan
esta opcin? sobre todo el siste%a 9ue se utiliDa para conectarse a la pfSense =ebGH3"
1++
Servicios
de ese ca%po? y escriba las direcciones 3& de hasta dos servidores <T&"
Los aMustes se perder2n si se navega fuera de esta p2gina sin guardar pri%ero"
desde el punto de vista de arrenda%iento DF &? 9ue se e/pone %2s adelante en este captulo"
De los cuatro ca%pos de esta pantalla? slo la direccin !A es necesario" Al entrar slo el !A direccin? se agreg a la lista de clientes conocidos para su uso cuando la opcin Denegar clientes desconocidos se establece" Fay un enlace al lado del ca%po de la direccin !A 9ue se copia la direccin !A de la & se utiliDa para acceder a la =ebGH3" @sto se proporciona para su conveniencia? en co%paracin con la obtencin de la !A
1+(
Servicios
<ota
La direccin !A se puede obtener de un s%bolo del siste%a en la %ayora de las platafor%as" @n
#asados en H<3G o H<3GIpor igual trabaMo? siste%as operativos? incluyendo !ac :S G? escribiendo
Nifconfig-aN!ostrar2 la direccin !A de cada interfaD" @n =indowsI las platafor%as basadas en Nipconfig 6 allN!ostrar2 la direccin !A " @l !A
direccin ta%bi6n puede a veces encontrarse en una pegatina en la tarMeta de red? o cerca de la tarMeta de red para los adaptadores integrados" &ara los hosts en la %is%a subred? el !A se puede deter%inar haciendo ping a la direccin 3& de la %29uina y luego eMecutar EPrp
-P E"
@l ca%po de direccin 3& es necesaria si esta ser2 una asignacin de 3& est2tica en lugar de slo infor%ar a la
servidor DF & 9ue el cliente es v2lido" @sta direccin 3& es real%ente una preferencia? y no una reserva"
Asignacin de una direccin 3& a9u no evitar2 9ue otra persona utiliDando la %is%a direccin 3&" Si esta direccin 3& est2 en uso cuando este cliente solicita un contrato de arrenda%iento? en lugar recibir2 una de la piscina en general" &or esta raDn? el pfSense =ebGH3 no le per%ite asignar direcciones 3& est2ticas
@l no%bre de host configurado a9u se utiliDar2n durante el registro de direcciones de DF & en el pro%otor de D<S"
La descripcin es cos%6tico? y su disposicin para ayudar a rastrear toda la infor%acin adicional acerca de esta entrada" &odra ser el no%bre de la persona 9ue utiliDa el & ? su funcin? la raDn
necesitaba una direccin est2tica? o el ad%inistrador 9ue ha agregado la entrada" Ta%bi6n puede deMarse en blanco"
Faga clic en Guardar para ter%inar de editar la asignacin est2tica y volver a la p2gina de configuracin del servidor DF &"
su estado se debe tal co%o se eMecuta? co%o en Figura )("(? Nde%onio DF & @stado del servicioN" La botones en el lado derecho le per%iten reiniciar o detener el servicio de servidor DF &" @l reinicio debe no ser2 necesario 9ue pfSense se reiniciar2 auto%2tica%ente el servicio cuando los ca%bios de configuracin se realiDan 9ue re9uieren un reinicio" Detener el servicio ta%bi6n es probable 9ue nunca sea necesario? co%o el servicio
1+)
Servicios
)("("*" Arrenda%ientos
&uede ver los actuales contratos asignados a Diagnstico DF & concede" @sta pantalla %uestra la direccin 3& asignada? la direccin !A se asigna a? el no%bre de host Jsi los hayK 9ue el cliente
enviado co%o parte de la solicitud de DF &? el inicio y el final del contrato de arrenda%iento? si la %29uina
botn en la parte final de una lnea" @sta opcin no est2 disponible para las concesiones activas o est2tico? slo para fuera de lnea o contrato de arrenda%iento e/pire"
1+*
Servicios
el servidor DF & en el otro lado? o puede ayudar a distinguir cuando las solicitudes se origin"
La opcin de pro/y peticiones al servidor DF & en =A< subred se li%ita a lo 9ue dice" Si se activa?
pasar2 las peticiones de los clientes DF & en esta interfaD con el servidor DF & 9ue asigna el Direccin 3& a la interfaD =A<" Alternativa%ente? usted puede llenar en la direccin 3& del servidor DF &
asistente para el redireccionador de D<S para la funcin" Ta%bi6n puede utiliDar los servidores D<S configurados est2tica%ente con configurado din2%ica%ente interfaces =A<? des%arcando la opcin N&er%itir la lista del servidor D<S 9ue se
se ree%plaDa por DF & 7 &&& =A< NcaMa en el Siste%a &2gina general de la instalacin"
@n versiones anteriores? pfSense inicial%ente trat el pri%er servidor D<S configurado cuando se trata de resolver un no%bre D<S? y se traslad posterior%ente a configurar los servidores D<S si el fracaso de la pri%era
de resolver" @sto podra causar grandes retrasos si uno o %2s de los disponibles los servidores D<S
inalcanDable" @n pfSense (")"* y finales de este co%porta%iento se ha ca%biado para consultar todos los servidores D<S
a la veD? y el ;nico de la pri%era respuesta recibida se utiliDa y se al%acena en cach6" @sto da lugar a %ucho
%2s r2pido servicio de D<S? y puede ayudar a suaviDar los proble%as 9ue se derivan de los servidores D<S 9ue est2n
1+1
Servicios
@sto slo funciona para las %29uinas 9ue especifican un no%bre de host en sus peticiones DF &"
%yspace"co% y www"%yspace"co%"
1+>
Servicios
<ota
<o se reco%ienda para uso estricta%ente ree%plaDar la funcionalidad de D<S co%o un %edio
de blo9uear el acceso a deter%inados sitios" Fay innu%erables %aneras de evitar esto" @s ser2 evitar 9ue los usuarios no t6cnicos? pero es %uy f2cil de recorrer para los 9ue tienen %2s
aptitud t6cnica"
si los clientes est2n utiliDando pfSense co%o un servidor D<S o el servidor de =indows en s"
@n un entorno de Active Directory? los siste%as sie%pre deben utiliDar su servidor D<S de =indows co%o su servidor D<S principal para las funciones din2%icas de registro de no%bres correcta%ente" @n los entornos con un solo servidor D<S de =indows? usted debe per%itir 9ue el pro%otor de D<S con un ree%plaDo para su do%inio de Active Directory y pfSense utiliDar co%o servidor D<S secundario para el interior %29uinas" @sto asegura la resolucin de D<S Ja e/cepcin de Active DirectoryK no tiene una sola punto de falla? y la p6rdida del ;nico servidor no significar2 una interrupcin co%pleta de 3nternet" La p6rdida de un solo servidor en un entorno por lo general tienen consecuencias i%portantes? pero los usuarios ser2 %2s probable 9ue te deMe en paD para solucionar el proble%a si es 9ue a;n puede consultar su lolcats?
de la infor%acin"
1+A
Servicios
cone/iones de acceso 3& din2%ica? %2s co%;n%ente utiliDado para conectarse a una '&<? servidor web? o por correo servidor"
<ota
@sto slo funciona en su interfaD =A< pri%ario" Las interfaces no pueden :&T
utiliDar el construido en el cliente D<S din2%ico" Ta%bi6n puede registrarse slo una din2%ica De no%bres D<S" pfSense )"+ ad%ite co%o diferentes servicios de D<S din2%ico a %edida 9ue deseo? per%ite el registro del territorio palestino ocupado =A< 3&? y per%ite el registro de su 3& real del p;blico en a%bientes donde pfSense recibe una 3& privada de la =A< y
<AT es ascendente"
nivel de servicio sin costo alguno? y algunos ofrecen servicios adicionales de alta calidad a un coste"
Hna veD 9ue usted decida sobre un proveedor? visite su sitio web? inscribirse para una cuenta y configurar un no%bre de host" Los procedi%ientos de este varan para cada proveedor? pero no tienen instrucciones de sus sitios web" Despu6s de
configurar el no%bre de host con el proveedor? a continuacin? configurar pfSense con los aMustes"
)("1"("*" !G
Hn registro !G J!ail @/changerK registro es el n;%ero de servidores de correo de 3nternet para saber dnde entregar el correo para su do%inio" Algunos proveedores de D<S din2%ico le per%itir2 configurar el D<S din2%ico a trav6s de su cliente" Si el suyo no? escriba el no%bre de host del servidor de correo 9ue reciben correo electrnico de 3nternet para
1+B
Servicios
el no%bre de host es e/a%ple"dyndns"org? lo 9ue per%ite co%odn har2 h" e/a%ple"dyndns"org JA"e/a%ple"dyndns"org? b"e/a%ple"dyndns"org? etcK resolver el %is%o e/a%ple"dyndns"org"
)(">" S<!&
La .ed de &rotocolo si%ple de ad%inistracin [Fttp:77en"wiLipedia"org7wiLi7Sn%p\ JS<!&K de%onio le per%itir2 controlar de for%a re%ota algunos par2%etros del siste%a pfSense" @n funcin de la opciones elegidas? se puede %onitorear el tr2fico de red? los fluMos de la red? las colas de &F? y el siste%a general infor%acin? tales co%o &H? %e%oria y uso del disco" La i%ple%entacin de S<!& utiliDada por pfSense es bsn%pd? 9ue por defecto slo tiene las bases de gestin %2s b2sicos de la infor%acin J!3#K disponibles? y se e/tiende por los %dulos cargables" ( Ade%2s de 9ue el de%onio S<!&? ta%bi6n puede enviar capturas a un servidor S<!& para ciertos eventos" @stos varan en funcin de los %dulos cargados" &or eMe%plo? la red de ca%bios de estado de vnculos generar2 una tra%pa si tiene el %dulo !3# 33 cargado"
de verificacin Fabilitar" Hna veD Fabilitar se ha co%probado? a continuacin? las otras opciones se pueden ca%biar"
(http:77people"freebsd"org7
a harti 7 bsn%p 7
1+C
Servicios
no%bre? una direccin de correo electrnico? un n;%ero de tel6fono? o lo 9ue sea necesario"
1+,
Servicios
)(">"*" !dulos
Los %dulos cargables disponible a9u per%itir 9ue el de%onio S<!& para entender y responder a
las consultas de infor%acin del siste%a %2s" ada %dulo de carga se consu%en %2s recursos"
&or lo tanto? garantiDar 9ue slo los %dulos 9ue se utiliDar2n real%ente se cargan"
)(">"*"(" !3#33
@ste %dulo proporciona infor%acin especificada en la nor%a 2rbol !3# 33? 9ue abarca redes de infor%acin e interfaces" Despu6s de haber cargado este %dulo ser2? entre otras cosas? le per%ite consultar infor%acin de interfaD de red incluyendo el estado? el hardware y las direcciones 3&? el
)(">"*")" <etgraph
@l %dulo <etGraph proporciona infor%acin <etGraphIrelacionados? tales co%o no%bres de nodo <etGraph
)(">"*"*" &F
@l %dulo de F& da acceso a una gran cantidad de infor%acin sobre fondos de pensiones" @l 2rbol !3# cubre los aspectos de la
procesos? tipos de al%acena%iento y uso? los dispositivos conectados del siste%a? e incluso instalar software"
otras interfaces"
)("A" H&n&
Hniversal &lug and &lay [http:77en"wiLipedia"org7wiLi7Hpnp\ JH&n&K es un servicio de red 9ue per%ite 9ue el software y los dispositivos a configurar uno al otro al conectar a una red" @sto incluye
1(+
Servicios
la creacin de sus delanteros propios puertos <AT y las nor%as de firewall" @l servicio de H&n& en
pfSense? 9ue se encuentra en Servicios H&n&? per%itir2 a los e9uipos cliente y otros dispositivos tales co%o un Muego
consolas para per%itir de for%a auto%2tica el tr2fico necesarios para llegar a ellos" Fay %uchos progra%as populares y los siste%as 9ue soportan H&n&? co%o SLype? uTorrent? %3. ? clientes de %ensaMera instant2nea? &layStation *?
y Gbo/ *A+"
H&n& utiliDa el Si%ple Service Discovery &rotocol JSSD&K para la deteccin de redes? 9ue utiliDa el puerto HD& (,++" @l de%onio H&n& utiliDado por pfSense? %iniupnpd? ta%bi6n utiliDa el puerto T & )(C,"
&uede 9ue tenga 9ue per%itir el acceso a estos servicios con las reglas del cortafuegos? especial%ente si usted tiene
conMeturas y de investigacin involucrados para encontrar el adecuado y la configuracin de puertos? pero slo funciona con H&n& y
re9uiere poco esfuerDo ad%inistrativo" adelante !anual de puerto para dar cabida a estas situaciones tienden ser de%asiado per%isiva? lo 9ue podra e/poner a los servicios 9ue no deben estar abiertos a trav6s de 3nternet"
Los delanteros del puerto son ta%bi6n sie%pre? en H&n& puede ser te%poral"
Fay controles de acceso en la configuracin del servicio H&n&? lo 9ue ayudar2 a blo9uear 9ui6n y 9u6 se le per%ite hacer %odificaciones" !2s all2 de los controles integrados de acceso? ade%2s puede controlar el acceso con reglas de firewall" uando est2 bien controlada? H&n& ta%bi6n puede ser un poco %2s de seguridad al per%itir 9ue los progra%as para recoger y escuchar en los puertos al aDar? en lugar de sie%pre
)("A")" onfiguracin
@l servicio H&n& se configura por la navegacin a los servicios H&n&" Fabilitar el servicio %arcando la casilla @nable H&n&" uando haya ter%inado de realiDar los ca%bios necesarios? 9ue son se describe en el resto de esta seccin? haga clic en Guardar" @l servicio H&n& continuacin? se iniciar2
auto%2tica%ente"
)("A")"(" 3nterfaces
@sta configuracin le per%ite elegir las interfaces en los 9ue H&n& es per%itido escuchar" !2s de
una interfaD puede ser elegido presionando
Anulacin de la seleccin de una interfaD funciona del %is%o %odo? %antenga pulsado trl %ientras haces clic en para eli%inar la seleccin"
1((
Servicios
Si una interfaD se tiende un puente a otro? H&n& slo debe ser seleccionado en el NpadreN de interfaD? no
el 9ue se tiende un puente" &or eMe%plo? si usted tiene :&T( puente de LA<? slo habilitar H&n&
de la LA<"
en la pesta0a Firewall"
el tie%po de actividad" Al activar esta opcin har2 9ue el infor%e del tie%po de funciona%iento real del siste%a en su lugar"
1()
Servicios
elegido? debe establecer reglas para per%itir el acceso" Las reglas son for%uladas con el siguiente for%ato:
"o(t4"o(t <allo54d!n,> <!xt!(nal (ang!6> 78478$97:;> <int!(nal
negar 192.168.1.1627 80 80
Figura )("*" H&n& pantalla de estado 9ue %uestra los e9uipos cliente con los puertos re%iti
1(*
Servicios
uando el servicio se est2 eMecutando ta%bi6n debe aparecer al e/plorar la red con un H&n&
conscientes del siste%a operativo co%o =indows B o =indows 'ista? co%o lo de%uestra Figura )("1? NpfSense siste%a co%o se ve por =indows B cuando se navega por N<etworL" &uede hacer clic en los router icono y haga clic en 'er p2gina web del dispositivo para abrir la =ebGH3 en su navegador por defecto" Si hace clic derecho en el router y haga clic en &ropiedades? ta%bi6n %ostrar2 la versin de pfSense y la propiedad intelectual
Figura )("1" siste%a de pfSense co%o se ve por =indows B en su navegacin por la .ed
debe ser la direccin de broadcast de la subred? o en algunos casos haciendo c(al'(ier ser2 necesario" onsulte a su servidor de seguridad en los registros de estado .egistros del siste%a? en la ficha servidor de seguridad? para ver si el tr2fico est2 siendo
blo9ueado" &reste especial atencin a la direccin de destino? ya 9ue puede ser diferente de lo esperado" !2s proble%as con las consolas de Muegos ta%bi6n pueden ser aliviados por la con%utacin de salida %anual
<AT y per%itir puerto est2tico" 'er Seccin B"A")? Npuerto est2ticoN para %2s detalles"
)("B" :pen<T&D
La :pen<T&D [http:77www"openntpd"org7servicio\ es un &rotocolo de red Tie%po [http:77 en"wiLipedia"org 7 wiLi 7 <etworL_Ti%e_&rotocol\ J<T&K de%onio 9ue escuchar2 las peticiones de los clientes y les per%itir2 sincroniDar su reloM con el del siste%a de pfSense" &or eMecutando un servidor local de <T& y usarlo para sus clientes? reduce la carga en la parte inferior del estrato servidores y puede asegurar 9ue sus siste%as sie%pre se puede llegar a un servidor de hora" Antes de delegar esta tarea a su siste%a de pfSense? es una buena pr2ctica para asegurarse de 9ue tiene un reloM preciso y
1(1
Servicios
<o hay %ucho para configurar el servidor :pen<T&D? disponible en Servicios :pen<T&D" !ar9ue la casilla &er%itir? seleccin de interfaces 9ue se debe escuchar a? y haga clic en Guardar" !2s de
una interfaD puede ser elegido presionando
Anulacin de la seleccin de una interfaD funciona del %is%o %odo? %antenga pulsado trl %ientras haces clic en para eli%inar la seleccin"
@l servicio se iniciar2 de in%ediato? sin e%bargo? habr2 un retraso de varios %inutos antes de 9ue dar2 servicio a las peticiones <T&? ya 9ue el servicio se asegura de su tie%po es correcta antes de responder a las solicitudes" :pen<T&D registros se %antienen en estado de .egistros del siste%a? en la ficha :pen<T&D" :pen<T&D ha
%uy poco de registro? a %enos 9ue haya un proble%a del servicio no generar2 ninguna de las entradas de registro"
adaptadores integrados probable es 9ue necesitan un cable =:L conectado entre el <3 y un encabeDado de =:L
en la placa base"
=:L tiene %uchos usos potenciales" &or lo general? estaciones de trabaMo y los servidores se %antienen funcionando a causa de servicios 9ue prestan? los archivos o i%presoras 9ue co%parten? o por conveniencia" Hso de =:L per%itira estos a per%anecer apagado? y ahorrar energa" Si un servicio se re9uiere? el siste%a puede ser despertado cuando sea necesario" :tro eMe%plo sera si alguien tiene acceso re%oto a un siste%a? pero el usuario la apague" Hso de =:L la %29uina puede ser despertado? y puede ser a continuacin?
e/tensiones 9ue proporcionan una cierta seguridad e/tra? pero no universal%ente co%patibles"
el siste%a de direccin !A en el for%ato de xx: xx: xx: xx: xx: xx" Al hacer clic en @nviar?
pfSense trans%itir2 un !agic &acLet =:L a la interfaD elegida? y si todo ha ido co%o previsto? el siste%a debe despertar" Tenga en cuenta 9ue los siste%as to%ar2 alg;n tie%po para arrancar" @s
puede ser de varios %inutos antes de 9ue el siste%a de destino est2 disponible"
1(>
Servicios
introducir la direccin del siste%a !A en el for%ato de xx: xx: xx: xx: xx: xx" Hna descripcin puede
Ta%bi6n se consignar2 para su posterior consulta? por eMe%plo? N&at & N o NSue servidorN" Faga clic en Guardar cuando ter%inado y 9ue ser2 devuelto a la p2gina principal de =:L y la nueva entrada debe ser visible
en la lista de los siste%as de al%acenado" La direccin !A se destac co%o un enlace" Hsted ser2 llevado volver a la p2gina =:L? con el interfaD del siste%a y la direccin !A precargada en el for%ulario" Faga clic en
1(A
Servicios
9ue el siste%a de pfSense enviar2 a los clientes &&&o@ para usar co%o puerta de entrada" 3ntroduDca una direccin 3& direccin en el cuadro Direccin re%ota 2rea de distribucin y 9ue se utiliDar2 Munto con la %2scara de subred
definido en su %o%ento para definir la red utiliDada por los clientes &&&o@"
Las opciones restantes son para la autenticacin %ediante .AD3HS" Si desea pasar la autenticacin peticiones a un servidor .AD3HS? co%plete la infor%acin en la %itad inferior de la pantalla" Si en ca%bio prefiere usar autenticacin local? a continuacin? Guardar la configuracin y haga clic en la ficha de usuario agregar usuarios locales" Faga clic para a0adir un usuario y luego rellenar el no%bre de usuario? contrase0a? y una opcional
direccin 3&"
'er Seccin )1"(? Nde autenticacin .AD3HS con =indows ServerN para obtener infor%acin sobre la configuracin
hasta .AD3HS en un servidor =indows? pero puede utiliDar cual9uier servidor .AD3HS 9ue desees"
1(B
de la lista" onsulte la seccin siguiente para saber c%o configurar los registros para el orden inverso"
1(C
Siste%a de segui%iento
prefieren"
@l aMuste 9ue viene? <;%ero de entradas de registro para %ostrar el resultado? slo controla la cantidad de lneas de registro se %uestran en cada ficha" La actual registros puede contener %2s datos? por lo 9ue este puede ser aMustado hacia arriba o hacia abaMo un poco
si es necesario"
<or%al%ente? todos los pa9uetes blo9ueados por defecto del firewall regla de rechaDo se registra" Si no deseas
para ver estas entradas de registro? desactive los pa9uetes de registro blo9ueados por la opcin de la regla por defecto"
@l filtro !ostrar troncos opcin controla la salida de la ficha Servidor de seguridad de registros" uando se activa? la salida no ser2 interpretado por el analiDador de registro? y en su lugar se %ostrar2 en su pri%a for%ato" A veces esto puede ayudar en la solucin de proble%as? o si necesita ayuda en el registro de pri%as dar2 infor%acin de un t6cnico %2s de lo 9ue nor%al%ente se ve en el registro de salida por defecto del firewall" La pri%a los registros son %2s difciles de leer e interpretar 9ue la analiDa los registros? por lo 9ue este es tpica%ente no se controla la %ayora de
de la 6poca"
Faga clic en Guardar cuando haya ter%inado de hacer ca%bios" Las opciones restantes en esta pantalla son
1(,
Siste%a de segui%iento
ayudar a diagnosticar los eventos 9ue ocurren Musto antes de reiniciar el router"
Algunas polticas de la e%presa o legislativos dictan cu2nto tie%po deben %antenerse los registros de firewalls y si%ilares dispositivos" Si su organiDacin re9uiere la retencin de registros a largo plaDo? tendr2 9ue configurar un syslog
reco%ienda"
@l servidor syslog es tpica%ente un servidor 9ue es directa%ente accesible desde su siste%a de pfSense una interfaD local" 3nicio de sesin ta%bi6n pueden ser enviados a un servidor a trav6s de una '&<? pero necesitan algo e/tra configuracin Jv6ase Seccin (*"1"1? NpfSenseIinici tr2fico e 3&secNK Hsted no debe enviar syslog datos directa%ente a trav6s de su cone/in =A<? co%o lo es de te/to plano y podra contener sensibles
de la infor%acin"
!ar9ue las casillas para las entradas del registro 9ue desea copiar al servidor syslog" Hsted puede elegir para iniciar sesin de for%a re%ota los eventos del siste%a? eventos cortafuegos? los eventos del servicio DF &? autoridades &ortal? eventos '&<
y todo lo de%2s" Aseg;rese de hacer clic en Guardar cuando haya ter%inado de hacer ca%bios"
Si usted no tiene un servidor syslog? es bastante f2cil de configurar una" 'er Seccin )1"*? NServidor Syslog en =indows con Qiwi Syslog N para obtener infor%acin sobre la configuracin de Qiwi Syslog en =indows" asi cual9uier siste%a H<3G o H<3G 9ue puede ser utiliDado co%o un servidor syslog" Free#SD se describe en el
192.168.1.1 con la direccin 3& de su servidor de seguridad? vuelva a colocar 9ons!2o E2!cuti.o<;=; con el no%bre de host de su servidor de seguridad? y ree%plaDar 9ons!2o E2!cuti.o<(t(.!xam"l!.com con el no%bre de host de D<S y do%inio de su servidor de seguridad" So uso 192.168.1.1 en estos eMe%plos? ya 9ue se reco%ienda hacer esto
1)+
Siste%a de segui%iento
@n pri%er lugar? es probable 9ue necesite una entrada en / Etc / hosts 9ue contiene la direccin y el no%bre de su cortafuegos? as: 192.168.1.1 9ons!2o E2!cuti.o<;=; 9ons!2o E2!cuti.o<(t(.!xam"l!.com
Luego hay 9ue aMustar los indicadores de inicio de syslogd para 9ue acepte %ensaMes de syslog desde el servidor de seguridad" @ditar
/ Etc / rc.conf y a0adir esta lnea si no e/iste? o a0adir esta opcin a la lnea ya e/istente para
el aMuste: syslogd_flags = "-un 192.168.1.1 " &or ;lti%o? tendr2s 9ue a0adir algunas lneas a / Etc / syslog.conf 9ue las capturas de las entradas de registro de esta %29uina" DebaMo de las entradas e/istentes? a0ada las siguientes lneas: ! * + * +9ons!2o E2!cuti.o<;=; *.* / Var / log /9ons!2o E2!cuti.o<;=;. Log @sas lneas se restablecer2n los filtros del progra%a de acogida y? a continuacin? establecer una serie de filtro para el servidor de seguridad JHtiliDar su no%bre corto co%o entr en / Etc / hostsK" Si est2 fa%iliariDado con syslog? usted puede buscar en / Etc / syslog.conf en el router pfSense y ta%bi6n el filtro de registros de diversos servicios en archivos separados de registro en el servidor syslog"
Despu6s de estos ca%bios ser2 necesario reiniciar syslogd" @n Free#SD esto es slo un si%ple
co%ando: #6 Gtc 6 rc.d 6 s/slogd reiniciar Ahora debera ser capaD de %irar en el archivo de registro en el servidor de syslog y ver 9ue rellenar con entradas del registro de la actividad 9ue ocurre en el servidor de seguridad"
el uso de %e%oria? uso de espacio de interca%bio y el uso del disco" Los contadores de la p2gina de actualiDacin cada pocos segundos de for%a auto%2tica? por lo 9ue actualiDar la p2gina no es necesario"
1)(
Siste%a de segui%iento
no la hay"
@n la parte inferior de la i%agen? se puede ver la cone/in LA<" Dado 9ue se trata de un interfaD nor%al
con una direccin 3& est2tica? slo con el Muego habitual de los ele%entos se %uestran"
Si el estado de una interfaD dice 9ue Nninguna co%pa0aN? entonces por lo general significa 9ue el cable no est2 conectado o el dispositivo en el otro e/tre%o est2 funcionando %al de alguna %anera" Si los errores se %uestran? son nor%al%ente de naturaleDa fsica: el cableado o errores en el puerto" @l sospechoso %2s co%;n es el cable? y
1))
Siste%a de segui%iento
!uchos gr2ficos se pueden ver en el estilo inversa o el estilo absoluto" on estilo inversa? el gr2fico se divide por la %itad horiDontal%ente y el tr2fico de entrada se %uestra va desde el centro?
1)*
Siste%a de segui%iento
y el tr2fico de salida se %uestra baMando desde el centro" on un estilo absoluto? los valores se superpuestos"
@n Figura ))">? NGr2fico del tr2fico =A<N? Se puede ver 9ue es un gr2fico (A horas inversa de tr2fico en
de la =A<? 9ue ha tenido un uso %2/i%o de ("B1!bit 7 s pro%edio durante un perodo de ( %inuto"
1)1
Siste%a de segui%iento
ancho de banda utiliDado? infor%a el n;%ero de pa9uetes por segundo JppsK pasado"
especificado? o %ediante DF &K" Se %uestran en estas gr2ficas son el tie%po de respuesta de la puerta de entrada en %ilisegundos? as co%o un porcentaMe de pa9uetes perdidos" ual9uier p6rdida en el gr2fico indica la conectividad
))">"A" onfiguracin
Las gr2ficas ..D puede ser personaliDado para adaptarse %eMor a sus preferencias" Hsted puede incluso desactivar si usted prefiere utiliDar alguna solucin gr2fica e/terna en su lugar" Faga clic en Guardar cuando ter%ine de hacer los
ca%bios"
1)>
Siste%a de segui%iento
la vista al ver pftop" &ulse h para ver una pantalla de ayuda 9ue e/plica las opciones disponibles"
1)A
Siste%a de segui%iento
Los usos %2s co%unes son el uso del + al C para seleccionar diferentes puntos de vista? el espacio para una in%ediata actualiDacin? y 9 para salir"
pa9uete en el punto (")K per%ite la visualiDacin si%ult2nea de %;ltiples gr2ficos de tr2fico en una sola p2gina"
1)B
<ota
@stos pa9uetes de pfSense son diferentes a los pa9uetes de Free#SD puertos 9ue
los sitios web 9ue han sido visitadas por los usuarios detr2s del pro/y" Algunos otros eMe%plos de pa9uetes disponibles J9ue no son S9uid relacionadosK son los siguientes:
U Ancho de banda de los %onitores 9ue %uestran el tr2fico por direccin 3&? tales co%o frecuencia? #andwidthD? <T:&? y
DarLstat"
U Servicios adicionales co%o un servidor D<S? servidor TFT&? Free.AD3HS y FreeSwitch Ja 'o3&
1)C
&a9uetes
U Siste%a de utilidades co%o <HT para el segui%iento de un H&S? lcdproc para el uso de una pantalla L D? y phpsysinfo" U &opular de terceros utilidades co%o n%ap? iperf y arping" U @nruta%iento #G&? edicin de ron? <agios y los agentes de Eabbi/? y %uchos? %uchos otros"
Al escribir estas lneas hay %2s de >+ diferentes pa9uetes disponibles? de%asiados para cubrirlos todos en este libroX Si desea ver la lista co%pleta? 9ue estar2 disponible dentro de su pfSense
&ara cone/iones est2ticas de 3&? co%pruebe 9ue trabaMan los servidores D<S se registran en el siste%a General
onfiguracin de la p2gina" &ara a9uellos con cone/iones asignada din2%ica%ente? asegurar los servidores asignados por su 3S& est2n funcionando" @s posible 9ue desee anular estos servidores asignados din2%ica%ente con
1),
&a9uetes
siste%as" Hsted ta%bi6n debe %antener los pa9uetes instalados a lo estricta%ente necesario para su i%ple%entacin"
indicando las versiones antiguas y nuevas" Faga clic para actualiDar o reinstalar el pa9uete"
:tra opcin sera volver a instalar para volver a instalar slo el cdigo G!L co%ponentes GH3 de un pa9uete? 9ue se puede hacer haciendo clic en Munto a la entrada de pa9uetes" A %enos 9ue se le indi9ue por un desarrollador? no debe usar esta opcin? ya 9ue puede perder las actualiDaciones de los binarios 9ue la ;lti%a interfaD gr2fica de usuario
1*+
&a9uetes
el siste%a"
Algunos pa9uetes e/peri%entales sobrescribir los archivos distribuidos con el siste%a base" @stos pa9uetes no se puede desinstalar? ya 9ue al hacerlo se ro%pera el siste%a base restante" La entrada de pa9uetes a;n puede %ostrar el icono de desinstalacin? pero todava estar2 presente despu6s de su intento de e/traccin" &a9uetes con esta peculiaridad se eti9uetar2 co%o tal en su ca%po de descripcin" Si se actualiDa el siste%a? 9ue se sobreponen a los ca%bios realiDados por estos pa9uetes? por lo 9ue este es un %edio posible de desinstalacin" Tenga %ucho cuidado con cual9uier pa9uete 9ue no se puede desinstalar? por lo general
1*(
o Active Directory"
entornos de red" La %ayora de entornos de instalar 3AS en uno de sus controladores de do%inio"
1*)
y la <3 se instalar2" @s posible 9ue tenga 9ue proporcionar el D del servidor para la instalacin de
polticas se configurar2"
entre a9u" @scriba el no%bre de a%istad ya la direccin de pfSense? a continuacin? haga clic en Siguiente"
DeMa clienteIproveedor establecido en RPD&9S estOndar? S rellenar un secreto co%partido? co%o se %uestra en
Figura )1"*? NA0adir nuevo cliente .AD3HS I Secreto co%partidoN" @ste secreto co%partido es lo 9ue
1**
Sa ha finaliDado la configuracin del <3 " Hsted puede ver el cliente .AD3HS 9ue acaba de agreg 9ue en Figura )1"1? Nde venta del cliente de .AD3HSN"
parte de este libro 9ue describe el servicio 9ue desea utiliDar con .AD3HS para %ayor orientacin" .AD3HS se puede utiliDar para &ortal autivo JSeccin (,"1? N onfiguracin del &ortal Hsar .AD3HS Autenticacin NK? el servidor &&T& JSeccin (1">")? NautenticacinNK? S el servidor &&&o@
Grupo de Active Directory para per%itir el acceso '&<? y ta%bi6n ofrecen capacidades %2s avanDadas? co%o
1*1
Servicio de autenticacin 3nternet JlocalK en la parte superior iD9uierda de la consola !! y haga clic en &ropiedades"
A continuacin? haga clic en la ficha &uertos" &uede especificar varios puertos separ2ndolos con co%as J o%o se %uestra en Figura )1">? N<3 &uertosNK" @l puerto (C() debe ser uno de los puertos configurados para
Autenticacin" Si est2 utiliDando la funcionalidad de ad%inistracin de cuentas .AD3HS? as? el puerto (C(* debe ser
pfSense no coincide"
es una gran opcin gratuita en la integracin :penD<S [http:77www"opendns"co%\" @n pri%er lugar usted necesita
configurar su red para utiliDar los servidores D<S de :penD<S para todas las consultas recursivas" (
(<ota: So
soy de ninguna %anera afiliado con :penD<S? slo un usuario %uy satisfecho de sus servicios en %;ltiples lugares? y he tenido nu%erosas
la gente %e las gracias por 9ue %e refiero a ellos" @llos real%ente tienen una oferta i%presionante"
1*>
consultas recursivas a los servidores de :penD<S" 'oy a e/plicar c%o hacerlo con =indows
servidor de D<S"
1*A
1*B
1*C
el cliente de actualiDacin"
1*,
Despu6s de agregar la red a su cuenta? usted lo ver2 en su lista de redes co%o la de Figura )1"()? N.ed agregado con 6/itoN"
La red est2 ahora listo para usar :penD<S? aun9ue todava tienen 9ue configurar el deseado
configuracin? en la parte inferior de esta pantalla JFigura )1"(1? NGestin de do%inios individualesNK"
:penD<S ofrece una serie de opciones de configuracin de otros lo 9ue le per%ite un gran control sobre D<S de la red" Su sitio contiene una serie de artculos base de conoci%ientos y el apoyo detalla algunas de las posibilidades? y toda la funcionalidad est2 bien descrito en todo el gestin de la interfaD" Hsted no tiene 9ue parar en slo filtrado de contenidos I revisar todo lo de%2s
:penD<S tiene para ofrecer? ya 9ue puede ser capaD de poner a buen uso"
sin tener en cuenta 9ue para %ayor claridad" onsulte Seccin A">"("(? N.egla de Lucha contra el blo9ueoN para %2s infor%acin"
11+
11(
varias posibilidades para hacer un t;nel D<S a trav6s de ese conMunto de reglas? con las cone/iones '&<? el puerto SSF e/pedicin? y %2s" &ero si usted per%ite 9ue todo el tr2fico a trav6s de su servidor de seguridad? 9ue sie%pre va a ser una posibilidad" orrecta%ente blo9ueado %29uinas de usuario final en co%binacin con el anterior proporciona
3nicio de sesin con Syslog NK" &ara usuarios de =indows? Qiwi Syslog servidor) es una buena opcin libre para
recogida de los registros de su instala pfSense" Se puede instalar co%o un servicio de registro a largo plaDo recogida? o correr co%o una aplicacin %2s cortos necesidades a largo plaDo" @s co%patible con el servidor y el versiones de escritorio de =indows )+++ y versiones posteriores" La instalacin es %uy sencillo? y no
re9uieren una configuracin %ucho %2s" Se puede encontrar ayuda en su docu%entacin despu6s de la instalacin"
fa%iliariDado pa9uetes de Free#SD ta%bi6n se puede utiliDar" 3nstalacin del software de esta %anera no es para el sin e/periencia? ya 9ue podra tener efectos secundarios no deseados? y no se reco%ienda ni ad%ite" !uchas partes de Free#SD no se incluyen? por lo 9ue la biblioteca y otras cuestiones se pueden encontrar" pfSense no incluye un co%pilador en el siste%a base por %uchas raDones? y co%o tal software no puede ser
construida a nivel local" Sin e%bargo? puede instalar los pa9uetes de pa9uetes preIconstruidos de Free#SD repositorio"
)http:77www"Liwisyslog"co%7
11)
software" Dicho esto? tener en cuenta los recursos 9ue ser2n consu%idos por el software a0adido"
por pfSense"
Ta%bi6n ha habido casos donde el software se ha instalado %2s p2ginas web 9ue no son
protegidos por el proceso de autenticacin de pfSense" &rueba de cual9uier software instalado para asegurar 9ue el acceso
11*
para Free#SDISTA#L@ antes de intentar instalar un pa9uete: #seten$ RP%YPNGS&BG * ftp:66ftp.free)sd.org6p()6Free SD6ports6i3866pac1ages-M-sta)le6 #p1g_add-r fl(.o B%R : usted puede proporcionar una direccin H.L co%pleta de un pa9uete: #p1g_add-r ftp:66ftp.free)sd.org6p()6Free SD6ports6i3866pac1ages-M-sta)le6#atest6iftop.t)4 @l pa9uete debe descargar e instalar? Munto con las dependencias necesarias" Ta%bi6n es posible construir un pa9uete personaliDado en otro e9uipo 9ue eMecuta Free#SD y luego copiar 7 instalar el archivo de pa9uete generado en un siste%a de pfSense" Debido a la co%pleMidad de este te%a? no ser2 tratado a9u"
111
ciertas situaciones es %eMor para capturar en una interfaD especfica? y en otros? 9ue eMecutan varias
<o%bres N enu%era algunos no%bres de interfaD 9ue pueden surgir? dependiendo de su configuracin" <o%bre real 7 fsica ng+ """ ng<x> enc+ tun+ """ tonel<x> lo+ <o%bre descriptivo
=A< J=A< &&&o@ o &&T&K? o clientes &&T&
11>
aptura de pa9uetes
duda? pruebe con %;ltiples interfaces y filtro de las direcciones 3& o puertos en cuestin"
de captura %ediante el uso de filtros de visualiDacin en =iresharL? pero filtrado adecuada%ente en el %o%ento de la captura es
preferible %antener el ta%a0o del archivo de captura" Los filtros se discutir2 %2s adelante en este captulo"
si%plicidad? 9ue slo puede ofrecer algunas opciones li%itadas para filtrado de tr2fico deseado? 9ue puede co%plican la tarea en funcin del nivel de tr2fico en su red y las necesidades de filtrado" Dicho esto? para %uchas personas es suficiente y hace el trabaMo" Si usted se siente li%itado por las opciones disponibles?
11A
aptura de pa9uetes
pa9uetes? lo 9ue li%ita este a A1 bytes o hacerlo resultar2 en un archivo de captura %ucho %2s pe9ue0os 9ue todava pueden
tienen datos suficientes para solucionar proble%as" @l cuadro de onde deter%ina cu2ntos pa9uetes para capturar antes de detenerse" Si no li%ita la captura de cual9uier %anera? tenga en cuenta 9ue esto puede
ser %uy NruidosoN y puede 9ue tenga 9ue au%entar este %ucho %2s grande 9ue el valor predeter%inado de 100"
@l nivel de detalle de la opcin slo afecta a la salida co%o se %uestra en la captura ha ter%inado" Lo hace
no ca%biar el nivel de detalle en el archivo de captura? si usted elige para descargarlo cuando est6 ter%inado"
@n general no se reco%ienda co%probar b;s9uedas inversas D<S cuando se realiDa una captura de co%o 9ue retrasar2 la salida co%o D<S inversa se lleva a cabo" Ta%bi6n es co%;n%ente %2s f2ciles de solucionar
durante la visualiDacin de direcciones 3& en lugar de no%bres de host y D<S inverso a veces puede ser ine/acta"
archivo para su posterior visualiDacin" @l resultado 9ue se %uestra en el %arco de los pa9uetes capturados se %uestran en el estilo de tcpdu%p est2ndar"
es desalentador para el usuario no iniciado" @l binario de tcpdu%p en Free#SD B") soporta *A diferentes
banderas de lnea de co%andos? las posibilidades ili%itadas con las e/presiones de filtro? y su p2gina de %anual? proporcionando slo un breve resu%en de todas sus opciones? es casi un *+ i%presos C">/(( Np2ginas" Despu6s de aprender &ara usarlo? usted ta%bi6n debe saber c%o interpretar los datos 9ue proporciona? 9ue puede re9uerir un an2lisis en profundidad
Hna revisin co%pleta de la captura de pa9uetes y la interpretacin de los resultados est2 fuera del alcance de este libro" De hecho? libros enteros se han escrito sobre este te%a solo" &ara a9uellos con sed durante %2s de conoci%ientos b2sicos en este 2%bito? algunas reco%endaciones para la lectura adicionales
11B
aptura de pa9uetes
Al final de este captulo" @sta seccin tiene por obMeto proporcionar una introduccin a este te%a? y te vas con el conoci%iento suficiente para solucionar proble%as b2sicos"
)>">"("(" I3 bandera
La -I bandera especifica la interfaD en la 9ue tcpdu%p va a escuchar" &uede utiliDar la interfaD de Free#SD no%bre a9u? co%o fxp0?Em0?rl0? @tc
la adicin de la carga a los servidores D<S" So prefiero usar sie%pre -N por9ue eli%ina el retraso
entre la captura de un pa9uete y su pantalla 9ue es causada por realiDar la b;s9ueda inversa" Ta%bi6n
11C
aptura de pa9uetes
Las direcciones 3& suelen ser %2s f2ciles de leer y de entender 9ue sus registros &T." @sa es una cuestin
de preferencia personal? sin e%bargo? y en entornos 9ue conoDco donde s6 9ue el &T.
registros los no%bres de host real de los dispositivos? 9ue se puede eMecutar sin capturas -N para %ostrar los no%bres de host" :tra raDn para usar -N? Aun9ue nunca se debe capturar en cual9uier entorno en el 9ue se trata de
de for%a re%ota una preocupacin? es si usted 9uiere ser NastutoN" Hno de los %edios de deteccin de captura de pa9uetes es
)>">"("*" I= bandera
tcpdu%p per%ite guardar archivos de captura en for%ato pcap? para su posterior an2lisis o an2lisis en otro
del siste%a" @sto se hace co%;n%ente con los productos de lnea de co%andos slo co%o pfSense lo 9ue el archivo puede se copian en un host 9ue eMecute =iresharL [http:77www"wiresharL"org\ o de otra red gr2fica analiDador de protocolos y revisado all" Al guardar un archivo utiliDando -W? Los cuadros no se 9ue aparecen en su ter%inal? ya 9ue de otro %odo lo son" J'6ase Seccin )>"A? NHtiliDacin de =iresharL con
)>">"("1" IS bandera
De for%a predeter%inada? cuando se captura a un archivo? tcpdu%p slo se graban los pri%eros A1 bytes de cada fotogra%a" @sto es suficiente para obtener el encabeDado 3& y el protocolo para la %ayora de los protocolos? pero li%ita la utilidad de capturar archivos" Al utiliDar el -S bandera? se puede decir tcpdu%p 9u6 parte de la tra%a a la captura? en
bytes" @sto se conoce co%o la longitud de co%ple%ento" #andera -S 500 -S 0 Descripcin aptura de los pri%eros >++ bytes de cada fra%e aptura de cada cuadro en su totalidad
)>">"(">" I bandera
&uede indicar tcpdu%p para capturar un cierto n;%ero de fotogra%as y luego la salida %ediante el -C
bandera" @Me%plo de uso: tcpdu%p saldr2 despu6s de capturar (++ i%2genes especificando -C 100"
11,
aptura de pa9uetes
consola" @sta opcin no afecta a los detalles al%acenados en un archivo de captura cuando se utiliDa el -W interruptor? sino 9ue har2 9ue el proceso de infor%ar el n;%ero de pa9uetes capturados cada (+ segundos"
)>">"("C" @Ibandera
<or%al%ente tcpdu%p no %uestra toda la infor%acin de capa de enlace" @specificar -E para %ostrar la fuente
y el destino las direcciones !A y 'LA< infor%acin de la eti9ueta para el tr2fico con la eti9ueta C+)"(9
'LA<"
1>+
aptura de pa9uetes #tcpd(!p-ni G!0-e-c " tcpdump: salida detallada suprimida, v uso-o-vs para decodificar el protocolo completo de escucha en Em0, enlace de tipo EN10MB (Ethernet), la captura de tamao 96 bytes
5 paquetes capturados
1>(
aptura de pa9uetes #tcpd(!p-ni G!0 red 192.168.1 @l co%ando siguiente es un eMe%plo 9ue captura el tr2fico hacia o desde cual9uier e9uipo con una (+"/// direccin 3&" #tcpd(!p-ni G!0 neto 10
Los eMe%plos se captura todo el tr2fico desde o hacia la red especificada" Ta%bi6n se puede especificar
src o dst la %is%a 9ue con de acogida filtros para capturar el tr2fico slo se inicia por o destinadas a la especficos de las redes" #tcpd(!p-ni G!0 neto src 10 Ta%bi6n es posible especificar una %2scara 3D. co%o argu%ento para neta" #ni tcpd(!p-G!0 red 1M2.16.0.0612 src
tcp o udp para especificar el protocolo? y src o dst para especificar una fuente o puerto de destino" )>">")"*"("(" apture todos tr2fico FTT& #tcpd(!p-ni G!0 tcp p(erto 80 )>">")"*"(")" apture todos los D<S de tr2fico apture todos los D<S de tr2fico Jgeneral%ente HD&? pero algunas consultas utiliDar T &K" #tcpd(!p-ni G!0 el p(erto "3
1>)
aptura de pa9uetes
o tcp" @specificar vrrp ta%bi6n capturar el tr2fico de A.& co%o el uso de dos el %is%o protocolo 3& n;%ero" Hn uso co%;n de la proto Directiva es filtrar el tr2fico A.&" Debido a 9ue el
no%bres nor%ales protocolo son palabras reservadas? 9ue debe ser escapado con una o dos barras invertidas? en funcin de la c2scara" @l int6rprete de co%andos disponibles en pfSense re9uiere dos barras invertidas para escapar de estas no%bres de protocolo" Si recibe un error de sinta/is? co%pruebe 9ue el no%bre del protocolo est2 correcta%ente escapado"
La captura siguiente le %ostrar2 todas las carpas y el tr2fico en la '..& Em0 interfaD? 9ue puede ser ;til para asegurar el tr2fico A.& se envan y se reciben en la interfaD especificada" #tcpd(!p-ni G!0 proto , , $rrp
latidos de %ultidifusin se saturan su salida de la captura? puede e/cluir de la siguiente %anera" #$rrp tcpd(!p-ni G!0 no proto , ,
)>">")">")" !ostrar todos los FTT& tr2fico hacia y desde %;ltiples hosts
&ara %ostrar todo el tr2fico FTT& desde los hosts (,)"(AC"("(( y (,)"(AC"("(>? utilice el siguiente
1>*
aptura de pa9uetes
tcpdump: salida detallada suprimida, v uso-o-vs para decodificar el protocolo completo de escucha en en1, enlace de tipo EN10MB (Ethernet), la captura de tamao 96 bytes
2 paquetes capturados 80 paquetes recibidos por el filtro 0 paquetes perdidos por el kernel
1>1
aptura de pa9uetes #tcpd(!p-ni $lan0 p(erto B%R "900 tcpdump: salida detallada suprimida, v uso-o-vs para decodificar el protocolo completo de escucha en vlan0, enlace de tipo EN10MB (Ethernet), la captura de tamao 96 bytes
@n este caso? ve%os un pa9uete de llegar de la =A<? por lo 9ue lo est2 haciendo tan leMos" Tenga en cuenta 9ue el pri%era parte del protocolo de enlace T &? un pa9uete con slo SS< Jla S se %uestraK? nos est2 alcanDando" Si el puerto de avanDar es trabaMar podr2s ver un pa9uete SS< A Q en respuesta al SS<" Sin retorno tr2fico visible? podra ser una regla de firewall o el siste%a de destino puede ser inalcanDable Japagado? no escuchando en el puerto especificado? firewall de host blo9ueando el tr2fico? etc"K
!irando el tr2fico interno? ve%os 9ue la cone/in se fue dentro de la interfaD? y el direccin 3& local fue traducido correcta%ente" Si esta direccin local coincide con lo 9ue se esperaba? a continuacin? tanto en el puerto para la cone/in y la regla de firewall est2n funcionando correcta%ente? y la conectividad a los locales & debe ser confir%ada por otros %edios" Si no ve salida alguna? entonces no es un proble%a con la regla de firewall o el puerto para la cone/in puede haber sido %al definido" &ara este eMe%plo? !e haba desconectado el & "
1>>
aptura de pa9uetes
tcpdump: salida detallada suprimida, v uso-o-vs para decodificar el protocolo completo de escucha en vr0, enlace de tipo EN10MB (Ethernet), la captura de tamao 96 bytes 19:11:11.542976 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: la fase 1 que agr 19:11:21.544644 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: la fase 1 que agr @ste intento de t;nel tiene una &SQ no coincidentes? observe la for%a en 9ue los intentos de pasar a la fase )? pero luego se detiene: #tcpd(!p-ni $r0 0ost 192.168.10.6
tcpdump: salida detallada suprimida, v uso-o-vs para decodificar el protocolo completo de
escucha en vr0, enlace de tipo EN10MB (Ethernet), la captura de tamao 96 bytes 19:15:05.566352 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: la fase 1 que agr 19:15:05.623288 IP 192.168.10.6.500> 192.168.10.5.500: ISAKMP: fase 1 agr I Ahora la fase ( est2 bien? pero hay un desaMuste en la fase ) de la infor%acin" @n repetidas ocasiones se intenta la fase ) de tr2fico? pero no ver2 ning;n tr2fico en el t;nel" #tcpd(!p-ni $r0 0ost 192.168.10.6
tcpdump: salida detallada suprimida, v uso-o-vs para decodificar el protocolo completo de
escucha en vr0, bytes 19:17:18.447952 que agr 19:17:18.490278 19:17:18.520149 que agr
enlace de tipo EN10MB (Ethernet), la captura de tamao 96 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: la fase 1 IP 192.168.10.6.500> 192.168.10.5.500: ISAKMP: fase 1 agr I IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: la fase 1
Final%ente? despu6s de un t;nel en pleno funciona%iento con el tr2fico en a%bos sentidos la Fase ( y Fase ) han ter%inadoX #tcpd(!p-ni $r1 0ost 192.168.10.6
tcpdump: salida detallada suprimida, v uso-o-vs para decodificar el protocolo completo de
bytes 21:50:11.238263 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: la fase 1 que agr 21:50:11.713364 IP 192.168.10.6.500> 192.168.10.5.500: ISAKMP: fase 1 agr I 21:50:11.799162 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: la fase 1 que agr
1>A
aptura de pa9uetes
@n versiones anteriores a la liberacin (")"*? antes de tcpdu%p funciona en la interfaD 3&sec 9ue haba para establecer dos variables sysctl 9ue el control de lo 9ue es visible a tcpdu%p" Si est2 utiliDando versin (")"* o %2s reciente? tcpdu%p funcionar2 sin ninguna %anipulacin adicional"
@n el siguiente eMe%plo? una %29uina a un lado del t;nel con 6/ito el envo de un eco 3 !&
peticin JpingK a la cara oculta? y recibir respuestas" #net.enc.o(t.ipsec_)pf_!as1 s/sctl-2 * 0-00000001 net.enc.out.ipsec_bpf_mask: 0000000000 -> 0x00000001 #net.enc.in.ipsec_)pf_!as1 s/sctl-2 * 0-00000001 net.enc.in.ipsec_bpf_mask: 0000000000 -> 0x00000001 #tcpd(!p-ni enc0 ADVERTENCIA:: tcpdump enc0: sin direccin IPv4 asignada tcpdump: salida detallada suprimida, v uso-o-vs para decodificar el protocolo completo de escucha en enc0, enlace de tipo ENC (OpenBSD encapsulado IP), el tamao de captura de 96 bytes 22:09:18.331506 (autntico, confidencial): 0x09bf945f SPI: IP 10.0.20.1> 10.0.30.1: Solicitud de eco ICMP, id 14140, ss 0, longitud 64 22:09:18.334777 (autntico, confidencial): SPI 0x0a6f9257:
IP 192.168.10.6> 192.168.10.5: IP 10.0.30.1> 10.0.20.1: Respuesta de eco ICMP, id 14140, ss 0, longitud 64 (ipip-proto-4)
22:09:19.336613 (confidencial autntico): 0x09bf945f SPI: IP 10.0.20.1> 10.0.30.1: Solicitud de eco ICMP, id 14140, ss 1, longitud 64 22:09:19.339590 (autntico, confidencial): SPI 0x0a6f9257:
IP 192.168.10.6> 192.168.10.5: IP 10.0.30.1> 10.0.20.1: Respuesta de eco ICMP, id 14140, ss 1, longitud 64 (ipip-proto-4)
Si el tr2fico no estaba debida%ente entrar en el t;nel? no se ve ninguna salida" Si hay un firewall o asunto interno de enruta%iento en el lado opuesto? puede ver el tr2fico 9ue sale? pero devolver nada"
1>B
aptura de pa9uetes
de configuracin para encontrar el proble%a" #tcpd(!p-ni G!0 neta de 10 o neto 192\168 o red 1M2.16.0.0612
archivo se %uestra"
o%o se observa en la Figura )>")? N aptura de =iresharL 'erN? una lista 9ue resu%e los pa9uetes en la captura archivo se %ostrar2 en la lista de los %eMores? con un pa9uete por la lnea" Si hay de%asiados? puede filtrar los resultados %ediante el cuadro de filtro en la barra de herra%ientas" Al hacer clic en un pa9uete? los cuadros inferiores se %ostrar los detalles de lo 9ue contena en su interior" @l pri%er panel inferior %uestra un desglose de la estructura de los pa9uetes? y cada uno de estos ele%entos se puede a%pliar para %2s detalles" Si el pa9uete es de un protocolo de apoyo? en algunos casos puede interpretar los datos y %ostrar los detalles %2s" La panel inferior %uestra una representacin he/adeci%al y AS 33 de los datos contenidos en el pa9uete" 'iendo la captura de esta %anera? es f2cil ver el fluMo de tr2fico con detalle tanto o tan poco co%o
1>C
aptura de pa9uetes
en la captura"
<ota
5ue co%;n%ente se ven errores en =iresharL para las su%as de co%probacin incorrecta" @sto es por9ue la %ayora de tarMetas de red a0adir la su%a de co%probacin en el hardware directa%ente antes de ponerlo en la ala%bre" @sta es la ;nica e/cepcin a la nota anterior diciendo lo 9ue usted ve en un pa9uete captura es lo 9ue est2 en el ala%bre" @l tr2fico enviado desde el siste%a donde la captura se to%a tendr2 las su%as de co%probacin incorrecta en el 9ue se realiDan en el hardware? aun9ue el tr2fico 9ue viene desde un siste%a re%oto debe tener sie%pre las su%as de co%probacin correcta" &uede desactivar la co%probacin de descarga para asegurarse de 9ue est2n viendo el tr2fico co%o el anfitrin es ponerlo en el cable? aun9ue por lo general esto es algo 9ue si%ple%ente ignoran" @n caso de usted necesita para verificar las su%as de co%probacin? lo nor%al es 9ue 9uieres capturar el tr2fico de otro
la p6rdida de pa9uetes en una direccin cuando varias lla%adas al %is%o tie%po se activa" @stos pa9uetes de captura ayud a convencer al distribuidor de un proble%a en su red? y encontr 9ue fiMa y una calidad de servicio proble%a de configuracin de su lado" Al ver una captura de pa9uetes 9ue contiene tr2fico de .T&? haga clic en
1>,
aptura de pa9uetes
y Hbuntu"
on el fin de utiliDar esta t6cnica? SSF debe estar habilitado en el siste%a de pfSense y 9ue usted necesita utiliDar una clave SSF Jv6ase Seccin 1">")? NSecure Shell JSSFKNK" La pri%era clave se debe cargar en sshIagent o generados sin una contrase0a? por9ue la redireccin no se le per%itir2 entrar en una contrase0a" Hsar sshIagent es %uy reco%endable? ya 9ue cual9uier clave sin una palabra de paso es %uy
inseguridad"
Antes de intentar esta t6cnica? aseg;rese de 9ue puede conectarse a su router utiliDando pfSense una clave SSF sin necesidad de teclear la contrase0a" La pri%era veD 9ue se conecte? se le le pide 9ue guarde la clave de host? por lo 9ue ta%bi6n debe hacerse antes de intentar iniciar =iresharL" Hsted
puede co%enDar a sshIagent desde una ventana de ter%inal o depsito de este %odo: #e$al Iss0-agentc Agente pid 29047 #ss0-add Introduzca contrasea para / home / jim / .ssh / id_rsa: Identidad agreg: / home / jim / .ssh / id_rsa (/ home / jim / .ssh / id_rsa) A continuacin? iniciar una sesin SSF? co%o de costu%bre: #ss0 root D192.1 !.1.1 La autenticidad de host '192 .168.1.1 (192.168.1.1) no puede ser establecida. huella digital de claves DSA es 9e: c0: b0: 5a: b9: 9b: f4: ec: 7f: 1d: 8a: 2d: 4a: 49:01:1 B. Est seguro que desea continuar la conexin (s / no)? s
Advertencia: Permanentemente agreg .168.1.1 '192 '(DSA) a la lista de hosts conocidos.
*** Bienvenidos a pfSense-1.2.3 de pfSense ExCo-rtr *** [...] Despu6s de haber confir%ado 9ue la cone/in SSF funciona? inicie la captura re%ota de la siguiente %anera: #:ires0ar1-1-i T<ss0 root D192.1 !.1.1 tcpd(!p-i )#0 -9-2 - no el p(erto B%R 22= uando la parte de la direccin 3& es la direccin de su siste%a de pfSense" @l Nno tcp p(erto 22N parte se e/cluye el tr2fico de su sesin de SSF? 9ue de lo contrario va a tapar la salida de la captura" Lo anterior est2 escrito en la Nfiesta al estilo deN la sinta/is? pero puede funcionar con otros shells" Hsted puede aMustar el
1A+
aptura de pa9uetes
tcpdu%p argu%entos para la interfaD? y agregar e/presiones adicionales? pero el -U y -W - se necesarias para 9ue se escribe la salida a stdout? y escribe cada pa9uete 9ue llega" '6ase ta%bi6n la onfiguracin de captura 7 Tubos [http:77wiLi"wiresharL"org7 aptureSetup7&ipesp2gina\ en el =iresharL wiLi de otras t6cnicas relacionadas"
archivos en lugar de la consola" &ara ver la salida en la consola? utilice la -C opcin" Si bien no est2 disponible en una instalacin de pfSense stocL? fluMo T & se puede agregar desde el s%bolo del
lnea %ediante la instalacin del pa9uete de Free#SD" Se trata de un pe9ue0o pa9uete con ninguna dependencia? lo 9ue la instalacin
no debe da0ar el siste%a" &ara instalar fluMo T & en pfSense? eMecute el co%ando siguiente desde una concha pfSense: #p1g_add-r fl(.o B%R #refrito
Si est2s teniendo proble%as con una cone/in FT& de una red LA<? usted puede supervisar el control
canal en el lado =A<? as: #fl(.o B%R-i-c $lan0 1M2.1M.11.9 0ost / el p(erto 21 flujo TCP [13899]: escucha en vlan0 010.000.073.005.23747-172.017.011.009.00021: 172.017.011.009.00021-010.000.073.005.23747: contrasea. 010.000.073.005.23747-172.017.011.009.00021: 172.017.011.009.00021-010.000.073.005.23747: 010.000.073.005.23747-172.017.011.009.00021: fieldtech USUARIO 331 Por favor, especifique la PASO abc123 230 Nombre de xito. PUERTO 10,0,73,5,194,240
010.000.073.005.23747-172.017.011.009.00021: NLST 172.017.011.009.00021-010.000.073.005.23747: 150 Aqu viene la lista de directorios. 172.017.011.009.00021-010.000.073.005.23747: 226 Directorio de enviar en Aceptar. o%o se puede ver en esta salida? es f2cil de controlar el fluMo de protocolos de control de te/to sin for%ato co%o FT&" Hsted puede ver los co%andos y la salida en a%bas direcciones? y lo %2s i%portante 9ue puede ver 9ue el pro/y FT& hiDo su trabaMo y traducido el co%ando &:.T al utiliDar la 3& =A< direccin de pfSense lugar? lo 9ue per%ite el %odo activo para 9ue funcione correcta%ente" Si en lugar de ver la
LA<
1A(
aptura de pa9uetes
direccin 3& 9ue aparece en el co%ando &:.T? usted sabra 9ue co%probar la configuracin de pro/y FT& o ca%biar al %odo &AS' en el cliente"
Despu6s de haber fluMo T & todo ha sido %uy ;til en %i e/periencia? y hace un buen co%ple%ento
tcpdu%p para cuando se desea centrarse en el contenido de los pa9uetes en lugar de su estructura"
habilidades de solucin de proble%as %ucho %eMor si usted aprende las posibilidades con %ayor profundidad"
.edes de o%putadoras: &rotocolos de 3nternet en Accin [Fttp:77www"a%aDon"co%7gp7
product7+1B(AA(CA18 es decir? c HTFC e tag c pfSenseI)+ y linL ode c AS) y ca%po c (BC, c ,*)> y creativa y creativeAS3< c +1B(AA(CA1\ por $eanna !atthews Tcpdu%p Filtros [Fttp:77www"whitehats"ca7%ain7%e%bers7!aliL7%aliL_tcpdu%p_filters7 \ !aliL_tcpdu%p_filters"ht%l por $a%ie franc6s Tcpdu%p Filtros avanDados [http:77acs"lbl"gov7 a Mason 7 tcpdu%p_advanced_filters"t/t\ &or Sebastien =ains Tcpdu%p Filtros [Fttp:77www"cs"ucr"edu7 a %arios 7 tcpdu%p"pdf et6reo\ de !arios 3liofotou Free#SD Fo%bre &age de tcpdu%p [http:77www"freebsd"org7cgi7%an"cgi8 9uery c tcpdu%p y propsito c + e seLtion c + e %anpath c Free#SD B")I.@L@AS@ e for%at c ht%l\
1A)
A"(" Siste%a de
@l %en; Siste%a contiene opciones para el propio siste%a? generales y opciones avanDadas? el fir%ware
actualiDaciones? pa9uetes adicionales? y las rutas est2ticas" AvanDada onfiguracin avanDada del siste%a para el servidor de seguridad? hardware? SSF? SSL certificados? y %uchos otros" 'er Seccin 1">? N onfiguracin avanDada :pciones N"
ActualiDar o ca%biar la versin del fir%ware del siste%a" J&or eMe%plo? actualiDacin de pfSense
(")") a (")"*K" 'er Seccin *"B"*"(? NAu%entar el uso de la =ebGH3N" onfiguracin general del siste%a? co%o el no%bre de host? do%inio? servidores D<S? etc 'er Seccin 1"1? N:pciones de configuracin generalesN" Adicional de software addIons para pfSense para a%pliar su funcionalidad" 'er aptulo )*? &a9uetes" @l asistente de configuracin le gua a trav6s del proceso de realiDacin de la base la configuracin inicial" 'er Seccin 1")? NAsistente de configuracinN" Las rutas est2ticas 9ue pfSense saber c%o llegar a las subredes no locales a trav6s de local routers accesible" 'er Seccin C"(? Nrutas est2ticasN"
A")" 3nterfaces
asignado"
@l %en; tiene ele%entos de interfaces para las interfaces de asignacin? y un ele%ento para cada interfaD
=A< y LA< aparecer2 sie%pre? %ientras 9ue otros aparecen co%o :&TG o el no%bre 9ue han sido
deter%inado"
1A*
Asignar interfaces a las funciones de lgica Jpor eMe%plo? LA<? =A<? :&TK?
y crear o %antener las 'LA<" 'er Seccin 1"*"(? NAsignar
3nterface N"
onfigurar la interfaD LA<" 'er Seccin 1"*"*? NLA<
3nterface N"
onfigure las interfaces opcionales adicionales" 'er
N3ntroduccin a la pantalla de .eglas de cortafuegosN" onfiguracin basada en los calendarios previstos regla" 'er Seccin A",? NTie%po .eglas de base N" onfigurar de tr2fico 7 alidad de Servicio J5oSK aMustes" 'er aptulo (A? Traffic Shaper" onfigurar direcciones 3& virtuales 9ue per%iten %aneMar pfSense el tr2fico de %2s de una direccin 3& por cada interfaD? general de las reglas <AT o de con%utacin por error A.&" 'er Seccin A"C? N3&s virtualesN"
1A1
Gua de %en;s
A"1" Servicios
@l %en; Servicios contiene los ele%entos 9ue le per%iten controlar los diferentes servicios prestados por los de%onios eMecut2ndose en pfSense" 'er aptulo )(? Servicios" &ortal cautivo ontrola el &ortal autivo servicio 9ue te per%ite dirigir a los usuarios a una pri%era web para la autenticacin antes de per%itir el acceso a 3nternet de la p2gina" 'er aptulo (,? &ortal autivo" onfigura pfSense incorporada en el al%acena%iento en cach6 de resolucin D<S" 'er .el6 DF & Servidor DF & Seccin )("*? ND<S ForwarderN" onfigura el servicio de retrans%isin de DF & 9ue pro/y peticiones DF & de un seg%ento de red a otro" 'er Seccin )(")? NDF & .elayN" onfigura el servicio DF & 9ue proporciona direccin 3& auto%2tica configuracin para los clientes en las interfaces internas" 'er Seccin )("(? NDF & Servidor N"
D<S forwarder
D<S din2%ico
onfigura los servicios de D<S din2%ico JDynD<SK? 9ue se actualiDar2 un %ando a @9uilibrador de carga distancia siste%a cuando este router =A< de pfSense direccin 3& ha ca%biado" 'er Seccin )("1? ND<S din2%icaN" :LS. Servidor &&&o@
onfigura el e9uilibrador de carga? 9ue en %odo Gateway e9uilibrio
cone/iones de salida a trav6s de %;ltiples enlaces =A<? o en %odo de servidor se e9uilibrio de las cone/iones entrantes a trav6s de servidores %;ltiples" 'er aptulo (B? Servidor de e9uilibrio de carga" onfigura :pti%iDado estado de los vnculos de enruta%iento? una %alla de enlace din2%ico de%onio? 9ue soporta redes inal2%bricas de %alla" onfigurar el servidor &&&o@ 9ue per%iten pfSense para aceptar y autenticar las cone/iones de los clientes &&&o@" 'er Seccin )(",? N&&&o@ Servidor N" onfigura el de%onio de enruta%iento .3&" 'er Seccin C"*"(? N.3&N" onfigura el Si%ple <etworL !anage%ent &rotocol JS<!&K de%onio para per%itir la recoleccin de la red basado en las estadsticas de este router" 'er Seccin )(">? NS<!&N" onfigurar el Hniversal &lug and &lay JH&n&K 9ue puede configurar auto%2tica%ente las reglas de <AT y firewall para los dispositivos 9ue co%patibles con el est2ndar H&n&" 'er Seccin )("A? NH&n&N"
.3& S<!&
H&n&
1A>
onfigurar el de%onio del servidor de tie%po de red &rotocolo" 'er Seccin )("B? N:pen<T&DN" onfigurar =aLe on LA< servicios 9ue le per%iten despertar re%ota%ente cliente de acceso desde el siste%a de pfSense & " 'er Seccin )("C? N=aLe on LA< N"
A">" '&<
@l %en; '&< contiene ele%entos relacionados con las redes privadas virtuales J'&<K? incluyendo 3&Sec? :pen'&< y &&T&" 'er aptulo ()? .edes privadas virtuales" 3&sec onfiguracin de t;neles '&< 3&sec? 3&sec opciones %viles y los usuarios? y los certificados" 'er aptulo (*? 3&sec" :pen'&< :pen'&< configurar servidores y clientes? as co%o la configuracin especfica del cliente" 'er aptulo (>? :pen'&<" &&T& onfigurar &&T& servicios y usuarios? o el rel6" 'er aptulo (1? &&T& '&<"
!AST@. 7 estado del respaldo" 'er Seccin )+"A"(? N A.& o%pruebe estado N" DF & arrenda%ientos
'er una lista de todas las concesiones DF & asignada por el router" Hsted
Ta%bi6n puede eli%inar los arrenda%ientos en lnea? enviar =aLe on LA< a las solicitudes siste%as en lnea? o crear arrenda%ientos est2tica de las entradas actuales" 'er Seccin )("("*? NArrenda%ientosN"
!uestra el estado de los filtros de recarga peticiones 9ue son Jo fueronK pendientes" @l filtro se vuelve a cargar cada veD 9ue se aplican los ca%bios"
Si no hay ca%bios se han hecho? esta pantalla slo debe infor%ar 9ue una actualiDacin se ha co%pletado"
1AA
Le per%ite ver el estado del hardware de las interfaces de red? e9uivale a utiliDar ifconfig en la consola" 'er Seccin ))"*? N@stado de la interfaDN" &untos de vista el estado de cual9uier configurar t;neles 3&sec" 'er aptulo (*? 3&sec" &untos de vista el estado de las piscinas del e9uilibrador de carga" &ara una carga de puerta de enlace de e9uilibrio? ver Seccin ((","(? N&rueba de con%utacin por errorN" &ara el servidor balanceo de carga v6ase Seccin (B")">? N'isualiDacin de e9uilibrador de carga estado N" 'er los registros de deter%inados pa9uetes de apoyo" 'er el estado de las colas de tr2fico" 'er Seccin (A"A? N!onitoreo de las colasN"
Servicios Siste%a de
'er un gr2fico de datos para las estadsticas del siste%a? tales co%o ancho de banda utiliDado? uso de la &H? los estados de firewall? y as sucesiva%ente" 'er Seccin ))">? N..D Gr2ficos N" !onitorear el estado de los servicios del siste%a y el pa9uete y 7 o servicios" 'er Seccin ))"1? N@stado del servicioN" Hn ataMo de vuelta a la p2gina principal del router 9ue pfSense %uestra infor%acin general del siste%a" 'er Seccin ))")? NSiste%a de ondicin $urdica y Social N"
'er los registros del siste%a y los servicios del siste%a co%o el
firewall? DF &? '&<? etc 'er Seccin ))"(? NSiste%a de .egistrosN" 'er un gr2fico din2%ico en tie%po real el tr2fico de S'G basada en una interfaD" 'er Seccin ))"B? Nlos gr2ficos de tr2ficoN"
A"B" Diagnstico
'er una lista de los delanteros puerto activo H&n&" 'er Seccin )("A? NH&n&N" 'er una lista de todas las redes inal2%bricas disponibles en la actualidad en el rango" 'er Seccin (C")"1? NListado inal2%brica disponible redes y la intensidad de la se0al N"
1AB
'er una lista de los siste%as co%o se ve a nivel local por el router" La lista incluye una direccin 3&? direccin !A ? no%bre de host? y la interfaD de la 9ue el siste%a fue visto" opia de seguridad y restaurar archivos de configuracin" 'er Seccin >")? N.ealiDacin de opias de seguridad en la =ebGH3 N? Seccin >">"(? N.estauracin de la =ebGH3 N? S Seccin >">")? N.estauracin de la Fistoria de configuracinN" @Mecutar co%andos de shell o el cdigo de &F&? y carga y descarga de archivos el siste%a de pfSense" Htilice con precaucin"
#acLup 7 .estore
valores predeter%inados @ditar un archivo en el siste%a de pfSense" de f2brica .establece la configuracin por defecto" Tenga en cuenta? sin e%bargo? 9ue esta no altera el siste%a de archivos o desinstalar los pa9uetes? slo los ca%bios aMustes de configuracin" Apague el router y desconectar la ali%entacin cuando sea posible" Slo visible en la <ano#SD JintegradoK de la platafor%a" &er%ite la clonacin de la divisin de trabaMo sobre la rebanada de suplentes? y elegir cu2l de ellos debe usarse para arrancar el router"
@nviar tres peticiones de eco 3 !& a una direccin 3&? enviado a trav6s de un
elegido interfaD" <o es co%patible con %ultiI=an" .einicie el router pfSense" Dependiendo del hardware? esto podra tardar varios %inutos" !uestra el contenido de la tabla de enruta%iento del siste%a" 'er Seccin C"1"(? N.utas de visinN" 'er los estados de firewall activo" 'er Seccin ))"A"(? N'iendo en la =ebGH3N" TraDar la ruta 9ue to%an los pa9uetes entre el router y un pfSense siste%a re%oto" 'er Seccin C"1")? NHtiliDacin de tracerouteN"
.ealiDar una captura de pa9uetes para inspeccionar el tr2fico? a continuacin? ver o descargar
1AC
Rndice
S%bolos
+(:+( <AT? (1+? (1+ J'6ase ta%bi6n el <AT? +(:+(K
Hn
A &3? BC :pciones avanDadas? AA Alias? (+C onfiguracin? (+C Los @M6rcitos? (+C @9uilibrio de carga y? *>+ .edes? (+, &uertos? (+, HtiliDando? (+,
Alt9 Jv6ase el Traffic ShapingK
Aparato? 1 DF & Server? > D<S? 1 Sniffer? > '&<? 1 Auto onfig#acLup pa9uete? ,+ Auto%2tica de salida <AT 'er salida <AT? auto%2tica? (*1
@l acceso SSF? AB ActualiDaciones del siste%a? >( Acceso =ebGH3? AA #G&? (AA #ittorrent? **)?1(( #lo9ue .edes #ogon? A(? ((A ActualiDacin de la lista de #ogon? ((B #lo9ue de redes privadas? A(?((A bns%pd? 1+C !en; de inicio? BC Frontera &rotocolo de puerta de enlace? (AA #order .outer? * &uente? (B* apa ) Loops? (B* =ireless y? *>C Difusin de do%inio? (B* A.& y? *,> La co%binacin? (B1 definido? (> DF & y? 1+1 .egistros y? ((* !;ltiples interfaces? ()* 'LA<s y? (C) =ireless y? *>C?*A+ &ortal autivo? *B) &uente y? (B> &2ginas de? *B> Li%itaciones? *B) .AD3HS y? *B* #asados en el tie%po las reglas y? ()A Solucin de proble%as? *BA 'LA<s y? (C1 =ireless y? *AA A.&? ()>?*BC &uente y? (B>? *,1 @Me%plo de configuracin? *B, 3&sec y? )** La redundancia de capa )? *,) 1A,
#
opias de seguridad? C, Auto onfig#acLup pa9uete? ,+ onfiguracin de la Fistoria? ,A !anual%ente en =ebGH3? ,+ .estauracin a partir de? ,> !eMores &r2cticas opias de seguridad? C, .eglas de cortafuegos? (() .egistros? ((1 !ultiI=A< a%inos ircuito? )+> Docu%entacin de redes? ((* Los seg%entos de red? (>
Rndice !ultiI=A< y? )(+ :pen'&< y? *)( aptura de pa9uetes? 1>* onfiguracin? *C> &ruebas? *C, Solucin de proble%as? *,1 Sin <AT? *,+ 3D. <otacin? (+ .esu%en? () tapar? 1(C oILocation? ((* Despliegues co%unes? * o%pact Flash? B?B?*> Los re9uisitos de ta%a0o? )+ config"/%l Jv6ase el archivo de configuracinK onfiguracin :pciones avanDadas? AA :pciones generales? AA Archivo de configuracin? >+? C1?C, @dicin %anual? C1 Hbicacin? C1 Traslado al puerto HS# 7 Floppy? BA Los l%ites de cone/in? ()+ !en; de la consola? B* &roteccin con contrase0a? A, Filtrado de contenidos? 1*>? 1*> J'6ase ta%bi6n el D<S? :penD<SK Aceleracin criptogr2fica? B)?B) J'6ase ta%bi6n el hardware? aceleracin criptogr2ficaK .ango de direcciones? *,, &uente y? (B1 A.& y? *C1?*CA?*C, @li%inar de arrenda%iento? 1+* Denegar desconocidos clientes? *,C Servidores D<S? *,, D<S din2%ico? 1+( on%utacin por error? 1++ Gateway? 1++ 3nterfaD de Seleccin? *,C Arrenda%iento Ti%es? 1++ Arrenda%ientos J'erK? 1+* .egistros? 1+* @l arran9ue en red? 1+( Servidores <T&? 1+( Asignaciones est2ticas? 1+(? 1+* ondicin $urdica y Social? 1+) Servidores =3<S? *,, D!E? (1* definido? (A D<S? >A?AA? C) &er%itir el ree%plaDo din2%ico? AA D<S Forwarder? 1+1 !ultiI=A< y? )+, D<S din2%ico? 1+A !ultiI=A< y? )(+ :penD<S? 1*> Dividir el D<S? (1B? 1+> Descarga de pfSense? )B
@
easyIrsa? ),*? ),* J'6ase ta%bi6n el :pen'&<? easyIrsaK @dge .outer? * @l filtrado de salida? (+( =ireless y? *B+ @%bedded? B? B) Descarga? )B .e9uisitos de hardware? )+ 3nstalacin? *>
D
Denegar por defecto? ((C &uerta de enlace predeter%inada? (+?(+ J'6ase ta%bi6n la puerta de enlaceK La contrase0a por defecto? >> Denegacin de Servicio? (+)? ()( Desarrollador de Shell? BA DF & .elay? 1+1 DF & Server? >>? *A>? *,C
1B+
Rndice 3nstalacin con '!ware? 11 <ano#SD? C &a9uetes y? 1)C .estauracin de copias de seguridad a F? ,B Los puertos serie Jver los puertos serieK Apagado? B> SincroniDacin de la hora y? BA !oderniDacin? >)
F
Los valores de f2brica? B1 Filtro de los @stados? (++? (++ J'6ase ta%bi6n @stados HnidosK Firewall? (++ #lo9uearon el tr2fico de paso de las .eglas? (*( onfiguracin de reglas? ((C Denegar por defecto? ((C Desactivar? B( Deshabilitar Scrub? B( La li%itacin de cone/iones? ()+ !;ltiples subredes? ()1 :pciones de opti%iDacin? B( Artculo archivo Jte%poralK? CA :pciones de .egla? ((C Accin? ((C .egla de planificacin? ())?()> Solucin de proble%as? (*) &roteccin contra virus? ()+ Servidor de seguridad de los @stados? (++?(++ J'6ase ta%bi6n @stados HnidosK La frag%entacin de #orrar bits DF? B( FT&? B+ 3nstalacin co%pleta? )C
Gateway? (+? )(* &uente y? (B>? (C( lientes y? C* &or defecto? (+ definido? (AC DF & y? 1++ DF & con la carpa y? *C1 .eglas de cortafuegos? ()) A.& y? *CC 3&sec y? ((C .edirecciones 3 !&? (A( 3&sec y? )1(? )>C @9uilibrio de carga de tipo Jv6ase el e9uilibrio de cargaK !onitoreo de la alidad? 1)> :&T =A< y? (A? A> &oltica de enruta%iento y? )+B &iscinas? )+B &uerto Delanteros? (>A &&&o@? 1(B &&T&? )BA &&T& .utas? )CC 3gual en las =A< %;ltiples? )+, .utas est2ticas? (>, =A<? A1 :pciones generales? AA Los gr2ficos? 1)*?1)B
F
Siste%a de &arada? 1AC Desde la consola? B1 Fardware? (C o%patibilidad? (C Aceleracin criptogr2fica? B)?B)? )*1?)*1? *+* J'6ase ta%bi6n el '&<K Dispositivo de votacin? A, TarMetas de red? (C apaD alt9? *)C?*)C J'6ase ta%bi6n el Traffic ShapingK apaD de 'LA<? (C)?(C)?(C)?(C) 1B(
G
$uegos <AT y? (>1 Traffic Shaping y? *)B?*** H&n& y? 1((
Rndice J'6ase ta%bi6n 'LA<K =ireless? *>> :pciones? B) .e9uisitos? (, Seleccin? )+ Di%ensiona%iento? )( Solucin de proble%as? 1B =iIfi &unto de Acceso apaD? *A( Ayuda? (B Alta disponibilidad? *BC?*BC J'6ase ta%bi6n el A.&K Suave do%ada? )1, T;neles %viles? )11 !ultiI=A< y? )(+? )** !;ltiples subredes? )1) aptura de pa9uetes? 1>> T;neles paralelos? )1) SL&? )*> Fase (? )*) Fase )? )** SAD? )*) Asociacin de Seguridad? )*) &oltica de Seguridad? )*) Hn sitio a otro? )*A S&D? )*) Ter%inologa? )*) &ruebas de conectividad? )>> Dispositivos de terceros? )A> isco 3:S? )AB isco &3G A"/? )AA isco &3G B"/7C"/? )AA @l tr2fico de pfSense? )1* Solucin de proble%as? )>A?1>> =ireless y? )*1?*AB 3&vA? AC
3
<3 ? 1*) @l filtrado de entrada? A(?(+( 3nstalacin? )B T6cnicas alternativas? 1) 3nstalacin sencilla? *) .ecuperacin de instalacin? >+ .escate de instalacin? ,C @n el disco duro? *) Solucin de proble%as? 11 !oderniDacin? >( 3nterfaD de Asignacin? *(?A1 @stado de la interfaD? 1)) 3&sec? B+? ((C? (*1? ))>? )*) A.& y? )** Software de liente? ))C o%paracin? )*+ !uerto de deteccin de pares? )*> DF? )*> D&D? )*> :pciones de cifrado? )*1 Firewall de a%istad? )), .eglas de cortafuegos? )*> Los algorit%os hash? )*1 3nterfaD de Seleccin? )** ursos de la vida? )*1 Los clientes %viles? )1,
Q
<;cleo? *1 Qernel Ti%ecounter? B, laves 3&sec? )*B :pen'&<? ),) SSF? AB =&A? *A1 Qiwi Syslog servidor? 11)
L
LA<
onfiguracin? A)?A>
1B)
Rndice LA< del router? * @9uilibrio de carga? *11 Gateway? )+B?)(1 Servidor? *11 ondicin $urdica y Social? *>) one/iones pegaMosa? AC?*1A Solucin de proble%as? *>* 'erificacin? *>) .egistros? 1(C DF &? 1+* Firewall? B>?C*? ((*? ()C? (*) 3&sec? )1(?)>,?)A* :pen'&<? *))?*)1 &&T&? )C, LDo de co%presin? *+>
<
<AT? (*1 (:(? (1+ onfiguracin? (1( .eglas de cortafuegos? (1A FT& y? (>) !ultiI=A< y? )(1 <AT refle/in y? (1B Los riesgos? (1( =A< 3& y? (1* Auto%2tico de salida? (*1 La eleccin de una configuracin? (1, FT& y? (>+ !odo Activo? (>( Li%itaciones? (>+ !odo pasivo? (>( G.@ y? (>* De entrada Jver Delanteros &uertoK De salida? C*?(1C &or defecto? (*1 Discapacitante? (1, &uerto est2tico? (1, &uerto Delanteros? (*> onfiguracin? (*> FT& y? (>) Los servicios locales y? (*> Los riesgos? (*> @l desvo del tr2fico? (*, &&T& y? (>* &rocesa%iento de pedidos? (11 &rotocolo de co%patibilidad? (>+ .efle/in? B)? (1A TFT& y? (>* Solucin de proble%as? (>>?1>1 <AT refle/in? (1A?(1A J'6ase ta%bi6n el <AT? .efle/inK <etGraph? 1(+ La seg%entacin de redes? (> onceptos de redes? C <T& cliente? >B 1B*
!
Segui%iento? 1(C?1(C J'6ase ta%bi6n el Siste%a de !onitoreoK !ultiI=A<? )+> La agregacin de ancho de banda? ))+ &uente y? (C( A.& y? *CA 3&sec y? )(+? )** Los servicios locales y? )+, !onitor de &3? )+B <AT y? )(* @n un palillo? ))) :pen'&< y? *(, Servicio de segregacin? ))+ asos @speciales? )() #asados en el tie%po las reglas y? ()A Traffic Shaping y? *)C Solucin de proble%as? ))* Desigual osto 7 ancho de banda? ))( 'erificacin? )(B o%patibilidad con '&<? )*+ !;ltiples subredes? ()1
Rndice <T& Server? 1(1 Generacin de ertificados? ),1 ertificado de servidor? ),C Hso? ),A Filtrado de tr2fico? *(> Firewall de a%istad? )), .eglas de cortafuegos? *+)? *+B .ed Local? *+) &uerto local? *+) LDo de co%presin? *+> !ultiI=A< y? )(+? *(,? *)+ Salida <AT? *(A 3nfraestructura de clave p;blica? *+* @Me%plo de acceso re%oto? *+> De red re%ota? *+) :pciones de enruta%iento? *)) ertificado de servidor? *+* Servidor de claves? *+* laves co%partidas? ),)? *+* Sitio al eMe%plo de la web? *(* @specificacin de 3nterfaD? *)* @specificacin de la direccin 3&? *)* 3& est2tica? *+) T & vs HD&? *+( Solucin de proble%as? *)* =ireless? *AB :&T? (A? (A J'6ase ta%bi6n 3nterfaces opcionalesK 3nterfaces opcionales? (A? A> co%o =A< adicional? (A? (A J'6ase ta%bi6n el !ultiI=A<K Asignacin? *(?A1 .eglas de cortafuegos en? (+A &or wiIfi? *A+?*A, Traffic Shaping y? *)C Siste%a operativo de deteccin? ((,
:
Hno a uno <AT? (1+?(1+ J'6ase ta%bi6n el <AT? +(:+(K :pen<T&D? 1(1 :pen'&<? (B(?))>?),( Direccin &ool *+) !6todo de autenticacin? *+* &uente? *)( ertificado de A? *+* A.& y? *)( ertificados Generacin? ),* ifrado? *+) De instalacin del cliente? *+C ertificados? *+, Archivo de configuracin? *+, Software de liente? )), Free#SD? *+, Linu/? *+, !ac :S G? *+C =indows? *+C lienteIaIcliente de la co%unicacin? *+) o%paracin? )*+ o%presin? *+> onfiguracin? *+( .L? *+* Aceleradores criptogr2ficos? *)* :pciones personaliDadas? *+>? *)) &uerta de enlace predeter%inada? *)) DF clave? *+* :pciones de DF &? *+1 3& din2%ica? *+( easyIrsa? ),* opia de seguridad de claves? ),> ertificados de cliente? ),, opia de llaves? ),> rear A? ),B DF clave? ),C
&
p+f? ((, &)& J&eerIv6ase red punto a puntoK &a9uetes? 1)C
1B1
Rndice Auto onfig#acLup? ,+ Los archivos de copia de seguridad Jpa9ueteK? ,C #G&? (AA @n desarrollo? 1*( a partir de Free#SD? 11) Ta%a0o del hardware? )> 3nstalacin? 1), .einstalacin? 1*+ fluMo T &? 1A( Desinstalacin? 1*( !oderniDacin? 1*+ 'iendo disponible? 1), aptura de pa9uetes? 11> De Shell? 11B Desde =ebGH3? 11A 3nterfaD de Seleccin? 11> aptura re%ota en tie%po real? 1A+ tcpdu%p? 11B fluMo T &? 1A( on la solucin de proble%as? 1>1 'ista en el =ebGH3? 11B &asivo de deteccin de siste%a operativo? ((, ontrase0a? >> pcap? 11, .edes peerItoI&eer? (+*?**) Traffic Shaping y? *)B Servidor de seguridad de per%etro? * &3F? >+ 'ersiones pfSense? > pfsync? *BC pftop? B>?1)A &F& Acceso Shell? BA physdisLwrite? *> &ing? B> &Q3? ),( J'6ase la infraestructura de claves p;blicasK J'6ase ta%bi6n la infraestructura de clave p;blicaK &latafor%as? A &uerto Delanteros? (*>?(*> J'6ase ta%bi6n el <AT? &ort ForwardsK &&&o@? >A?>C? >,?A>? C) !ultiI=A< y? )+,? )(* Servidor? 1(B &&T&? ((C?))>?)A, Adicin de usuarios? )B) onfiguracin del cliente? )B1 @l au%ento de los l%ites? )CA !ac :S G? )C* Hsar puerta de enlace predeter%inada )BA =indows B? )C* =indows 'ista? )BB =indows G&? )B1 Software de liente? )), o%paracin? )*+ onfiguracin? )B+ Firewall de a%istad? )), .eglas de cortafuegos y? )A,?)B( Li%itaciones? )A, !ultiI=A< y? )(+? )A, .AD3HS y? )B( .edirigir? )CB Trucos de enruta%iento? )CC Solucin de proble%as? )CB =ireless? *AC &&T& JTipo de =A<K? >C? A+?A>? C) !ultiI=A< y? )+,? )(* Las direcciones de 3& privadas? , &rivate 'LA<? (C1 Direcciones 3& p;blicas? , 3nfraestructura de clave p;blica? ),( &'LA<? (C1
5
5in5? (C1 alidad de servicio Jv6ase el Traffic ShapingK alidad de servicio Jv6ase el Traffic ShapingK olas? *)A
.
.AD3HS? )B(? *B*? 1(B =indows Server? 1*) Al aDar de deteccin te%prana? **C 1B>
Rndice .einiciar? 1AC Desde la consola? B1 .edundancia? *BC? *BC J'6ase ta%bi6n el A.&K .F (,(C subredes? ,?, J'6ase ta%bi6n el luMo de direcciones 3&K .3&? (AA @nruta%iento? (>, Asi%6trica? (A+ .edirecciones 3 !&? (A( !;ltiples subredes? ()1 &rotocolos? (AA 3& p;blica? (A) .utas est2ticas? (+ Filtrado? B+ Solucin de proble%as? (AB 'iendo? (AB ..D gr2ficos? 1)*
S
S &? AB? AB J'6ase ta%bi6n el SSFK opias de seguridad y? ,1 opia de Seguridad Jv6ase el S &K Secure Shell Jver SSFK onsola serie Fabilitacin? AA Los clientes de consola serie? 1( &uertos serie? 1( Servicio de @stado? 1)* Servicios? *,C Asistente para la instalacin? >> Acceso Shell? B> Do%ada 3&sec suave? )1,?)1, J'6ase ta%bi6n el 3&sec? los clientes %vilesK Apagado Jver Siste%a AltoK Servicio si%ple protocolo de descubri%iento? 1(( dnico punto de fallo? *,* S<!&? 1+C &rotocolo Spanning Tree? (BA
Dividir el D<S? (1B? (1B J'6ase ta%bi6n el D<SK 3%itan Tr2fico &revencin? ((A SSD& Jv6ase el protocolo si%ple de descubri%iento de servicioK SSF? AB? BA?1A+ opias de seguridad y? ,1 a%bio de puerto? AB sshIagent? 1A+ T;nel? CB Los @stados? (++? 1)A @stablecer los l%ites %2/i%os? B( :pciones de segui%iento? ()( 'iendo? 1)A A.& est2tico? 1++ &uerto est2tico? (1,? (1, J'6ase ta%bi6n el <AT? de salida? puerto est2ticoK .utas est2ticas? (+? (+ J'6ase ta%bi6n el enruta%iento? rutas est2ticasK one/iones pegaMosa? *1A? *1A J'6ase ta%bi6n el e9uilibrio de carga? SticLy cone/ionesK ST&? (BA alculadora de subred? (* !2scara de subred? (+?(+ J'6ase ta%bi6n la notacin 3D.K Superredes? ()? () J'6ase ta%bi6n el 3D. de resu%enK :pciones de Soporte? (B Las inundaciones SS<? ()( syslog? 1)+?11) Siste%a de segui%iento? 1(C @stado del siste%a? 1)(
T
T & #anderas? (),? *1( tcpdu%p? 11>?11> J'6ase ta%bi6n el pa9uete de apturaK Filtros? 1>( fluMo T &? 1A( TFT&? (>* 1BA
Rndice Servidor? 1)C Te%a? AA Software de terceros? 1*) SincroniDacin de la hora? BA Eonas de tie%po? >B? BB Tinydns? 1? 1 J'6ase ta%bi6n el D<SK .uta de segui%iento? (B+ Los gr2ficos de tr2fico? 1)*? 1)*? 1)B J'6ase ta%bi6n la ..D gr2ficosK Traffic Shaping? *)A A Q? **C oncepto e/plicado? *)A Asistente para la configuracin? *), @ <? **C <otificacin e/plcita de congestin? **C $uegos? *)B? *** Fardware? *)C FFS Jv6ase la curva Mer2r9uica Feria de ServicioK $er2r9uica curva Feria de Servicio? **B Li%itaciones? *)C Speed LinL? **+ #aMo retardo? **C :tras aplicaciones? **1 .edes peerItoI&eer? *)B?**) aMa de la pena? **( &rioridades? **B &rocesa%iento de pedidos? *)A &ropsitos? *)A olas @dicin? **A Segui%iento? **> Al aDar de deteccin te%prana? **C .:$:? **C .eglas? *1+ Servicio de la curva? **C Solucin de proble%as? *1) Aguas arriba de congestin? *)B 'o3&? **+ Lla%adas de 'o3&? *)B Solucin de proble%as &ortal autivo? *BA A.&? *,1 Firewall? (*) Fardware? 1B 3nstalacin? 11 Acceso a 3nternet? C( 3&sec? )>A?1>> @9uilibrio de carga? *>* !ultiI=A<? ))* <AT? (>>? 1>1 :pen'&<? *)* &&T&? )CB @nruta%iento? (AB Traffic Shaping? *1) H&n&? 1(1 =ebGH3? C+ =ireless? *B+ oncentracin de enlaces? (C*
H
ActualiDar Desde la consola? BA ActualiDacin del fir%ware? >(?>( J'6ase ta%bi6n la instalacin? actualiDacinK H&n&? 1(+ onfiguracin? 1(( Las preocupaciones de seguridad? 1(( ondicin $urdica y Social? 1(* Traffic Shaping y? *1) Solucin de proble%as? 1(1
'
'3& Jver direcciones 3& virtualesK 'irtual 3&? ()1?(>B A.& y? *C( LA< virtuales J'LA< verK 'irtualiDacin? 11 A.& y? *,A Qernel te%poriDador? C+ virusprot? ()(
1BB
Rndice 'LA<? (C) &uerto de Acceso? (C1 onfiguracin de la consola? (CA onfiguracin de =ebGH3? (C, Fardware? (C) &adres de interfaD? (C* &rivada? (C1 5in5? (C1 .e9uisitos? (C) De Seguridad? (C1 3nterruptor de configuracin? (,( isco at:S? (,1 isco 3:S? (,) Dell &ower onnect? )+* F& &ro urve? (,1 <etgear? (,A oncentracin de enlaces? (C* 'LA< HtiliDar predeter%inado 'LA<? (C> 3nterruptor de cuestiones? (CA 'LA< 3D? (C* 'LA<( uso? (C>
'oD sobre 3& J'o3& verK
=
=aLe on LA<? 1+*? 1(> =A<
onfiguracin? >C?A1
'o3&? (*1?1)C S3&? (1, S3& &ro/y? 1)C TFT& y? (>* Traffic Shaping y? *)B '&<? ))> Autenticacin? ))B Auto%2tica de reglas? B) La eleccin? ))B Software de liente? ))C o%paracin? )*+ riptogr2fica%ente segura? )*+ Firewall de a%istad? )), Li%itaciones? ))> @l acceso re%oto? ))A @nruta%iento? (B( Seguro de @nlace? ))B Hn sitio a otro? ))>
definido? (A Direccin !A ? >C !TH? >C &&&o@? >, &&T& 3S&? A+ 3& est2tica? >, Tipos? >C =A< del router? 1 web onfigurator Jv6ase =ebGH3K =ebGH3? (? >> AntiIblo9ueo de la .egla? B+? ((> a%bio de puerto? AA one/in a? >> FTT& 7 FTT&S? AA #lo9ueada? C> &ara restablecer una contrase0a? B1 @l reinicio? BA .estringir el acceso? ((> Solucin de proble%as? C+ =@&? *A1 =ireless? *>> &unto de Acceso? *A( anal? *A1 liente de estado? *AA DF & y? *A> ifrado? *A1 .eglas de cortafuegos? *A> SS3D? *A* @st2ndar =ireless? *A* o%o =A<? *>A &uente? *>C @leccin de puente o enca%ina%iento? *A( Los conductores? *>> 1BC
Rndice &untos de acceso e/terno? *>, 3&sec y? )*1? *AB &roteger con '&<? *AA Asegure hotspot? *AC ondicin $urdica y Social? *>B Solucin de proble%as? *B+ Gire routers en puntos de acceso? *>, 'isualiDacin de redes disponibles? *>C =iresharL aptura de pa9uetes? 1>C =:L J=aLe on LA< verK =&A? *A1
G
G">+,? ),(?),( J'6ase ta%bi6n la infraestructura de clave p;blicaK Archivo G!L de configuracin Jver archivo de configuracinK G!LI.& de sincroniDacin? *B,
1B,