Embed Size (px)
Citation preview
ContenidoINSTALACIÓN....................................................................................................................................2
Aspectos preliminares..............................................................................................................................................................2
Arranque del Live CD de pfSense.........................................................................................................................................2
Asignación de interfaces......................................................................................................................................................3
CONFIGURACIÓN..............................................................................................................................7
Configuración IP de Interfaces vía local...................................................................................................................................7
Interfaz WAN.......................................................................................................................................................................7
Interfaz LAN.........................................................................................................................................................................8
Interfaz OPT.........................................................................................................................................................................9
Configuración vía web inicial...................................................................................................................................................9
Conexión al servidor............................................................................................................................................................9
Información general del servidor.......................................................................................................................................10
Configuración IP.................................................................................................................................................................11
Establecimiento de la contraseña de administración........................................................................................................11
WebConfigurator...................................................................................................................................................................12
Main Dashboard................................................................................................................................................................12
Barra de menú principal....................................................................................................................................................13
INSTALACIÓNAspectos preliminaresExisten diversas formas de instalación de pfSense. Puede ver una lista de soporte en la página oficial en el siguiente enlace:
https://doc.pfsense.org/index.php/HOWTO_Install_pfSense
Este manual se centra únicamente en la instalación completa vía Live CD en el disco duro, usándolo como una única. Para instalaciones dual boot o multi boot consulte el apéndice.
Las ilustraciones del manual son tomadas de una instalación en máquina virtual por lo que algunas especificaciones menores pueden cambiar. La mayoría del hardware es soportado por la distribución. Para ver una lista de hardware compatible, consulte el siguiente enlace:
https://doc.pfsense.org/index.php/Hardware_requirements
Los recursos mínimos para una instalación completa son los siguientes:
2 Tarjetas de red.
2 Gb Disco duro.
1 Gb Memoria RAM.
300 MHz procesador.
Disco de instalación de pfSense. Puede descargarlo desde:
http://mirror.myip.be/pub/pfsense/downloads/
Eligiendo el tipo de archivo con extensión “.iso”.
Instalación
Arranque del Live CD de pfSense
Asegúrese de que su computadora pueda arrancar o bootear desde la CD/DVD-ROM.
Inserte el disco de instalación de pfSense en la unidad CD/DVD-ROM también conocida como unidad óptica.
Espere a que el Live CD de pfSense cargue los archivos hasta llegar al menú de la ilustración [1]. Presione 1 y luego ENTER. O elija otro tipo de instalación.
[1] Iniciando pfSense
Asignación de interfaces
Para continuar con la instalación debe elegir las funciones de las interfaces de red. Aquí se marcan las interfaces físicas (em0 y em1 para el ejemplo). Tenga en cuenta que los nombres de interfaces varían según el tipo y marca de tarjeta de red que posea [2].
[2] Identificación de interfaces y asignación de VLAN
Si usted está en una red con switches administrables y desea crear una VLAN para pfSense, puede elegir la opción mostrada en pantalla presionando y.
Escriba n para elegir no configurar una VLAN y seguir a la asignación de interfaces físicas.
La siguiente línea le permitirá definir qué interfaces serán designadas como WAN y LAN. Las interfaces están numeradas en orden ascendente desde 0 por cada tipo de interfaz.
[3] Asignación de la interfaz WAN
Escriba em0 o el nombre de la interfaz de su tarjeta de red [3]. Esta será la interfaz WAN o interfaz conectada a Internet para su servidor.
[4] Asignación de la interfaz LAN
Escriba em1 o el nombre de la interfaz de su tarjeta de red [4]. Esta será la interfaz LAN o interfaz conectada a su red interna. Es sobre esta interfaz en la que los módulos de su servidor podrán actuar para administrar dispositivos y red.
Adicionalmente, usted puede elegir una interfaz opcional u OPT para tener una red extra [5]. Esta opción se habilita únicamente si posee 3 o más tarjeta de red disponibles. En este manual sólo se usan las interfaces WAN y LAN sin una OPT.
[5] Opción de interfaz OPT
Presione ENTER para continuar sin la asignación de una interfaz OPT. O bien elija esta opción y configure las interfaces opcionales según la cantidad de tarjeta de red que posea.
En el siguiente menú podrá confirmar la asignación de interfaces [6], escriba y para confirmar o n para cancelar y reiniciar las opciones de configuración.
[6] Confirmación de configuración de interfaces
Una vez completada la configuración inicial, el siguiente menú presentará las opciones del Live CD [7]. Puede elegir usar las configuraciones para hacer una evaluación sobre el sistema o bien elegir realizar una instalación permanente en el disco duro.
La pantalla mostrará también las configuraciones de las interfaces, asignando direcciones IP automáticas por DHCP [7]. Estas opciones pueden ser configuradas más a delante.
[7] Menú principal de Live CD
Escriba 99 para elegir la opción de instalación en el disco duro. Luego, el siguiente menú le mostrará las opciones de configuración para la instalación [8]. Es recomendable usar la configuración por defecto.
[8] Opciones de configuración para la instalación
Desplácese hasta “<Accept these Settings>” y presione ENTER para continuar con las opciones por defecto; o bien configure manualmente cada parámetro.
[9] Opciones de instalación de pfSense
Este menú le permite elegir el tipo de instalación de pfSense [9]. Seleccione “<Quick/Easy Install>” para una instalación desatendida o elija “<Install pfSense>” para configurar manualmente las opciones de instalación. Recomendamos la instalación por defecto.
[10] Confirmar opciones de instalación por defecto
Elija “<OK>” para continuar con la instalación por defecto [10]. En la siguiente pantalla se le solicitará elegir el tipo de kernel a utilizar. Elija la opción estándar (“<Estándar Kernel>”).
Finalmente, el asistente de instalación le pedirá reiniciar el equipo bajo la opción <Reboot>. Hasta este punto la instalación permanente ha finalizado. Puede proceder a configurar su servidor.
CONFIGURACIÓNUna vez instalado, el servidor pfSense está listo para configurarse.
Configuración IP de Interfaces vía localAntes de poder configurar el servidor a través de la interfaz gráfica, lo primero que se debe establecer son las direcciones IP de las respectivas interfaces.
El menú principal local de pfSense permite elegir diversas opciones numeradas. Seleccione el número 2 escribiéndola en pantalla para la asignación y configuración de direcciones IP de las interfaces [11]. Recuerde que la interfaz WAN estará conectada a Internet y la LAN a su red a administrar.
[11] Menú principal para la selección de opciones de configuración del servidor
Interfaz WAN
Dentro de las opciones de configuración IP escriba el número de interfaz en pantalla según la interfaz que desee configurar (1 para la interfaz WAN y 2 para la interfaz LAN).
[12] Configurar interfaz WAN vía DHCP
La primera interfaz a configurar es la interfaz WAN [12] (escriba 1). Es recomendable configurarla para asignación de IPv4 vía DHCP en cuyo caso debemos escribir “y”, luego presionar ENTER para que el servidor
DHCP de su ISP le provea toda la configuración de Gateway y DNS [12]. Se hará la misma pregunta para la configuración de IPv6; si usted tiene una infraestructura con IPv6 configúrela en este momento.
Luego el asistente le pregunta si desea habilitar la configuración vía web o webConfigutator en esta interfaz. Escriba “y” para habilitar el webConfigurator y luego presione ENTER; de esta manera podrá acceder a su servidor a través de Internet mediante la interfaz WAN.
Interfaz LAN
Ingrese nuevamente al menú de configuración IP de interfaces escribiendo 2 y luego presionando ENTER. Para asignar la configuración a la interfaz LAN escriba 2 o el número que aparezca en la lista [13].
[13] Configurar interfaz LAN con dirección IP estática
En la primer entrada debe ingresar la dirección IPv4 para su interfaz LAN [13]. En este caso la red a utilizar es 172.16.1.0/24. La dirección para esta interfaz será 172.16.1.1, pero puede elegir una red diferente.
[14] Establecer la subred a utilizar
En esta sección debe establecer la subred para la interfaz [14]; la cual debe ser la misma red a administrar. La red a usar será 255.255.255.0 bajo el sufijo de red /24. Escriba 24 o el sufijo de red a utilizar.
[15] Asignación de dirección de Gateway
En esta línea se solicita la dirección de Gateway para la subred [15]; es recomendable que sea la misma dirección de la interfaz.
Luego, se solicita la configuración de IPv6. Si no posee una infraestructura IPv6, presione ENTER para continuar con la configuración.
La siguiente opción le permite configurar el servicio de DHCP para que la interfaz pueda asignar direcciones IP a los clientes de manera automática. Escriba “y” para activarlo o bien puede elegir no activarlo y asignar manualmente las direcciones a los hosts.
[16] Configuración de activación del servicio de DHCP en la interfaz LAN
Las siguientes líneas le permiten elegir el rango de direcciones a repartir por el servidor DHCP.
[17] Asignación del rango de direcciones para el servicio de DHCP
La primera línea le solicita la primera dirección del rango de direcciones a repartir por el servicio de DHCP. Se ha asignado al dirección inicial 172.16.1.10 reservando las comprendidas entre 172.16.1.1 – 172.16.1.9 para dispositivos agregados como el acces point o direcciones de administración. Escriba la dirección (172.16.1.10 para el caso) y luego presione ENTER.
La segunda línea le solicita la última dirección IP para el rango de direcciones del servicio de DHCP. Escriba la última dirección del rango DHCP. En este caso la dirección asignada es 172.16.1.254. Luego presione ENTER.
La configuración finaliza con un resumen de las configuraciones. Presione ENTER para continuar.
Interfaz OPT
La configuración de las interfaces opcionales es igual que las demás interfaces.
Una vez finalizada la configuración IP para las interfaces, el servidor está listo para acceder vía webConfigurator.
Configuración vía web inicial
Conexión al servidor
Conéctese al servidor de manera remota a través de otro equipo con interfaz gráfico y navegador web. Para esto necesita conectarse a la misma red LAN del servidor y activar la asignación por DHCP en la tarjeta de red del equipo. Una vez hecho esto, compruebe la conexión realizando un PING hacia la dirección IP de su servidor .
Si la conexión está establecida, vaya a su navegador de internet e inserte como URL la dirección IP del servidor correspondiente a la red LAN. En este caso la dirección es 172.16.1.1.
Su navegador abrirá la URL http://172.16.1.1/. [18]; este es el webConfigurator.
[18] Interfaz web inicial de ingreso a servidor pfSense
Debe iniciar la sesión de administrador en el webConfigurator. El usuario de administración o username para pfSense por defecto es “admin”; la contraseña o passwaord es “pfsense”. Presionamos en el botón Login. Será redirigido automáticamente a la página de configuración inicial [19].
[19] Inicio de página de configuración inicial
Presione el botón Next para comenzar la configuración [19].
Información general del servidor
La primera configuración que puede aplicar a su servidor es configuración general requerida. No olvide guardar un registro escrito de la información que proporcionará a continuación.
Las configuraciones generales del servidor tienen que ver con el direccionamiento IP y las interfaces, así como también el nombre de red del servidor entre otras configuraciones generales.
La primer solicitud es información general del servidor. Escriba el nombre de red para el servidor en la casilla Hostname, y en la casilla Domain el nombre de dominio DNS para su red [20]. Si lo desea, en las casillas Primary DNS Server y Secondary DNS Server, puede añadir las direcciones IP de su servidor DNS o dejar estas casillas en blanco para usar la configuración DHCP proporcionada. Presione Next para continuar.
[20] Configuración general del servidor
Luego se le solicitará la información del servidor de tiempo en línea en la casilla Time server hostname [21]. La dirección se establece automáticamente; o bien puede ingresar manualmente la dirección de su servidor de sincronización de tiempo preferido. En Timezone despliegue la pestaña y elija la zona horaria de su preferencia. Presione Next para continuar.
[21] Configuración del servidor de información de tiempo
Configuración IP
La siguiente opción es modificar la configuración IP para la interfaz WAN [22]. Por defecto estará establecido igual que las opciones configuradas en los pasos anteriores. Deje establecido en “SelectedType” como DHCP y desplácese hasta el final de la página sin modificar los demás valores; o bien, elija la configuración que mejor se adapte a sus necesidades. Presione el botón Next al final de la página para poder continuar.
[22] Opción de configuración IP para la interfaz WAN
Las siguientes son las opciones de configuración IP para la interfaz LAN [23], la cual deberá estar conectada a su red interna. Si desea continuar con la configuración ya establecida, presione el botón Next; o bien reconfigure las opciones.
[23] Opciones de configuración IP para interfaz LAN
Establecimiento de la contraseña de administración
Se le pedirá cambiar la contraseña administrativa del usuario admin para el servidor [24], recuerde que por defecto es pfsense. Luego presione Next.
[24] Establecimiento de la contraseña de administración
Presione el botón Reload para recargar el servidor con los cambios realizados. La página informará que se están realizando los cambios y que debe esperar hasta que sea redirigido a la página de Asistente completado [26].
[25] Solicitud de recargado de webConfigurator para efectuar los cambios
[26] Página de Asistente Completado
En la sección “Click here to continue on to pfSense webConfigurator” haga clic en el enlace incrustado en la palabra en azul “here” [26]. Será re direccionado a la página principal de configuración del webConfigurator [27].
WebConfigurator
Main Dashboard
El webConfigurator es un servidor http instalado en pfSense que sirve para configurarlo, monitorearlo y administrarlo. Se accede a él mediante la dirección IP de una de sus interfaces estando en la misma red.
Para el caso, la dirección es http://172.16.1.1. Recuerde que el usuario es admin y la contraseña es la establecida en la sección Establecimiento de la contraseña de administración del tema anterior.
Una vez logeado como administrador, el webConfigurator mostrará su página principal o Main Dashboard [27].
[27] Página de configuración principal del servidor o Main Dashboard
En esta página puede encontrar los accesos principales a las distintas configuraciones del servidor así como el estado de consumo de recursos:
Barra de menú principal
La barra de menú principal agrupa los accesos a los distintos módulos del sistema. Puede ser modificable en aspecto yendo a System > General Setup. En la sección Theme se pueden elegir visualizaciones del Main Dashboard. Recomendamos la visualización pfSense la cual agrupa la Main Bar al lado izquierdo todos los accesos ya desplegados [28].
Barra de menú principal Hostname y dominio del servidor
Estatus de Interfaces Estatus del servidor
[28] Main Bar estilo pfSense, agrupaciones desplegadas a la derecha.
La barra de menú principal Main Bar, contiene categorías de acceso a configuración:System: proporciona acceso a configuración general del sistema operativo.
Interfaces: son opciones de configuraciones globales y específicas de las interfaces.
Firewall: permite configurar las opciones de cortafuegos del servidor.
Services: brinda acceso a los distintos servicios instalados.
VNP: ofrece las configuraciones de los distintos protocolos de seguridad de tuneling para red.
Status: tal como su nombre en inglés lo indica, despliega todos los accesos a estados de los diversos módulos.
Diagnostics: contiene un conjunto de herramientas de diagnóstico de red para comprobar posibles errores de conexión, entre otras cosas.
Help: enlista una serie de enlaces de internet para con soporte en línea desde las distintas ayudas para pfSense, tales como foros, documentación oficial, solicitud de soporte de paga, etc.
Instalación de Paquetes
El servidor pfSense trae instalados algunos servicios básicos que puede usar. Sin embargo, para el perfil manejado de Seguridad, Administración y Filtrado; se necesitan ciertos módulos adicionales que descargar e instalar.
Para instalar módulos adicionales, ingrese al Gestor de Paquetes yendo a la sección System > Packages de la Main Bar. En la pestaña Installed Packages puede comprobar módulos adicionales que ya hayan sido
instalados. Diríjase a la pestaña Available Packages para obtener una lista descriptiva de los módulos disponibles para descargar e instalar.
[29] Gestor de Paquetes
Cuando seleccione el módulo, presione el botón Install a la derecha de la descripción.
Los módulos adicionales que se requieren para el perfil son:
Sistema de Detección de Intrusos: snort.
Proxy filtrado: squid.
Portal Cautivo: ya instalado por defecto en el sistema.
Ubique el paquete o módulo a instalar. En la parte de recha de la descripción en inglés, encontrará el botón de instalar. Debe presionarlo para iniciar la descarga e instalación del paquete.
El sistema le indicará que el paquete ha sido instalado con el mensaje “[paquete] installation completed.” [30].
[39] Paquete instalado
Puede ver el módulo instalado en la sección Services.
Si desea instalar software de terceros, pfSense no tiene un soporte oficial. Para ello deberá consultar la documentación sobre FreeBSD.
Instalación de portal cautivo
Lo primero que debemos hacer es ingresar al portal cautivo, en pfsense el portal cautivo ya viene instalado por defecto solo para configurarlo; entonces nos vamos a la pestaña services y a continacion damos clik en portal cautivo
Después de estar en portal cautivo lo activamos, seleccionando la Pestaña Enable captive portal para comenzar con la configuración básica.
Interface: Habilitamos la interfaz por donde correrá nuestro portal cautivo.
Maximum concurrent connections: Esta configuración limita el número de conexiones simultáneas al servidor HTTP, portal cautivo (S) del servidor. Esto no establece cuántos usuarios pueden iniciar sesión en el portal cautivo, sino la cantidad de usuarios puede cargar la página de portal o autenticar al mismo tiempo
Idle timeout:: es el tiempo de inactividad que se le da al usuario después de eso puede volver a ingresar
Hard timeout: decimos el tiempo en que la persona tiene permitido estar conectada a internet.
Las otras opciones las dejamos en blanco
After authentication Redirection URL: en esta opción definimos a donde es que queremos que sea la página de inicio de nuestro usuario después de autenticado, en este caso colocamos la página web de la alcaldía.
MAC filtering : deshabilitamos el filtrado por MAC para que los usuarios puedan loguearse solo con ingresar, o solo con una contraseña .
Per-user bandwitch restriction: habilitamos esta opción si queremos restringir el uso de ancho de banda a nuestros usuarios
Authentication : en este caso seleccionamos la segunda opción para que por medio de los usuarios que nosotros hemos creado en la base de datos de pfsense solo estos puedan ingresar a internet
Portal page contents : Aca ingresamos el contenido de lo que queramos que muestre a nuestros usuarios el portal cautivo. En nuestro caso se hicieron unas modificaciones con algunas pautas a seguir.
Authentication error page contents: Ingresamos lo que debe aparecer si hay un error de autenticación.
Al finalizar debemos recordarnos de siempre guardar los cambios es un punto bien obvio pero que a veces se pasa por alto.
Luego Como hemos seleccionado la opción de autenticación “user manager” debemos ir a la pestaña system y dar clic en “user manager” a continuación crearemos un nuevo usuario como se muestra en la imagen
Y esta es la pagina que nos mostrara cuando nos queramos conectar a internet
Configuración de squid
Después de haber instalado el paquete llamado squid; lo que debemos hacer es ingresar al servicio llamado proxy server, nos vamos a la pestaña services y a continuación damos clic en proxy server
En la Pestaña General, debes establecer los siguientes ajustes, la opción Proxy Interface Option debe estar ajustado a "la interfaz que se utilizara”.
Allow use ron interface: Si este campo está marcado, los usuarios conectados a la interfaz seleccionada en el campo "proxy interface 'se les permitirá usar el proxy, es decir, no habrá necesidad de añadir la subred del interfaz a la lista de subredes permitidas.
En este caso estamos configurando el servidor como un servidor proxy transparente, marque la opción de la casilla de verificación. "proxy transparente".
Se recomienda encarecidamente el registro esté habilitado en el servidor proxy, ya que le será muy útil si necesita solucionar problemas sobre algún tema o simplemente ver lo que están haciendo en Internet sus usuario, etc Marque la casilla "Logging Enabled".
Almacenar en la ubicación predeterminada "/var/squid/logs"
log rotate: se Define el número de días que los archivos de registro se mantendrán. La rotación se desactivará si se deja vacío.
Proxy report: este es el número de puerto de escucha del proxy
Visible hostname: se debe agregar un nombre de host visible para los usuarios a los que se les a bloqueado el acceso a las paginas web
Administrator email: dirección de correo electrónico del administrador
Lenguaje: escoger el lenguaje de su preferencia
Luego haga clic en la pestaña "Gestión de caché" en inglés... "Cache Mgmt", por defecto el tamaño de la caché en el disco duro está establecida en 100 MB, se recomiendo que aumente este valor, ya que dependerá, no sólo de como sea de grande el disco duro, sino también habrá que tener en cuenta las personas que lo utilizan, y lo que habrá que registrar,
Después de que se establezca deje el resto de la página con la configuración predeterminada y haga clic en Guardar.
Haga clic en la ficha Control de acceso siguiente, en el tipo de campo permita subredes en subredes requeridas (por ejemplo: 172.16.1.0/24), tenga en cuenta que si usted tiene más de una subred para acceder a este proxy es necesario especificar cada subred.
Desplácese hacia abajo hasta que vea "ACL Safeports and ACL SSLPorts" en estos campos que se tiene que escribir los puertos que quiera abrir para su servidor proxy, en nuestro caso utilizaremos el 80 y 443 que son los mas comunes y damos clic en Guardar.
Ahora, para las personas que quieren estrangular la velocidad de la que los usuarios acceden a Internet, haga clic en la pestaña Gestión de Trafic, y establece (en kilobytes) qué velocidad desea restringir a los usuarios.
Máximum download size: limite del tamaño total maximo de bajada
Máximum upload size: limite del tamaño total máximo de subida
Per-host throtling: Este valor especifica (en kilobytes por segundo) el acelerador de ancho de banda para las descargas que Los usuarios tendrán gradualmente. su velocidad de descarga aumenta de acuerdo a este valor. Se establece en 0 para deshabilitar el límite de ancho de banda.
Haga clic en Guardar una vez hecho.
Configuración de squidguard
Después de haber instalado el paquete llamado squidguard; lo que debemos hacer es ingresar al servicio llamado proxy filter, nos vamos a la pestaña services y a continuación damos clic en proxy filter.
Dentro del Proxy Filter para que el SquidGuard empiece a funcionar vamos al parámetro Enable, damos clic en el cuadrito y damos clic en Apply. Si todo lo anterior se hizo correctamente va a aparecer que el SquidGuard esta iniciado. Todo lo anterior se afirma en la siguiente imagen.
Para generar restricciones dentro del SquidGuard primero vamos a la pestaña “Targetcategories” para crear una nueva categoría. Para agregar la categoría debemos dar clic sobre el cuadrito con el signo +.
Name: el nombre de la categoría
Domain list: los dominios a los cuales se quiere restringir el acceso
Redirect: mensaje que aparecerá en la pantalla de los clientes que quieran accesar a sitios denegados.
Aquí se puede ver que la categoría se agregó correctamente
Luego vamos a crear una regla de grupo para aplicársela a la categoría creada en el paso anterior, para ello nos dirigimos a la pestaña “Groups ACL” y damos clic sobre el cuadrito que tiene un signo +.
Los parámetros a básicos a configurar son:
Name: Asignamos un nombre para la ACL.
Client (origen): dirección ip del equipo al cual le vamos a aplicar la ACL. Si queremos aplicársela a una red completa colocamos el ID de red con su respectiva mascara.
Target Rules: damos clic sobre el símbolo que aparece en color verde y buscamos la categoría creada anteriormente con el nombre que le asignamos en las opciones que aparecen al frente de la categoría que son
Access colocamos deny, esto va a denegarlos dominio que queremos restringir.
Guardamos los cambios.
Si se desea bloquear frases se hacen los mismos pasos pero en vez de bloquear por dominios se bloquean por expresiones
