Práctica 6: Configuración de un firewall de red con pfSense#


Objetivo#

El alumno realizará la instalación y configuración de una máquina virtual pfSense con los servicios de red NAT, DHCP, DMZ y Port Forwarding para permitir que otras máquinas tengan salida a Internet, así como que otros dispositivos de Internet tengan acceso a servicios en la DMZ.

Elementos de apoyo#

Recursos de instalación

Videos de teoría

Videos de configuración

Documentación

Restricciones#

  • La fecha límite de entrega es el lunes 17 de abril de 2023 a las 23:59 horas ¹
  • Esta actividad debe ser entregada en equipo de acuerdo al flujo de trabajo para la entrega de tareas y prácticas
  • Crear una nueva rama llamada practica-6
  • Utilizar la carpeta docs/practicas/practica-6/Equipo-ABCD-EFGH-IJKL-MNOP-QRST para entregar la práctica
    • Donde Equipo-ABCD-EFGH-IJKL-MNOP-QRST representa el nombre del equipo que debió anotarse previamente en la lista del grupo
  • Crear un merge request en el repositorio de tareas para entregar la actividad

Warning

  • ¹: Se ajustó la fecha de entrega para compensar los días en los que la Facultad de Ciencias estuvo en paro activo 🟥⬛

Introducción#

PfSense versión Community Edition es una plataforma de la compañía Netgate, desarrollada en el sistema FreeBSD UNIX con licencia de código libre, que proporciona servicios como firewall, router, red privada virtual (VPN por sus siglas en inglés), sistema de prevención/detección de Intrusos (IPS/IDS) y DNS entre otros.

Procedimiento#

Se presentan los pasos para elaborar la configuración de un NAT, forwarder de DNS, DHCP y red DMZ utilizando la plataforma pfSense con base en la topología de red que se muestra a continuación:

Diagrama de interfaces de red en VirtualBox
🟠 Red DMZ - Conexiones que se manejan en la red internal network de VirtualBox
🔵 Red LAN - Conexiones que se manejan en la red host-only de VirtualBox
🟢 Red WAN - Conexiones que se manejan en la red NAT Network de VirtualBox
🔴 Red Externa - Conexiones que salen desde el equipo físico hacia Internet

Warning

  • Crear un snapshot de la máquina virtual pfSense y exportar la configuración inicial a XML antes de realizar la configuración de los servicios de red

Seguir los pasos listados en cada página para configurar cada componente de la práctica:


Entregables#

  • Archivo README.md

    • Explicación de la topología de red utilizada
    • Procedimiento de configuración de NAT, Alias, Port Forwarding, servicio DHCP y servicio DNS
    • Contraseña Redes-2023-2 para pfSense
    • El nombre de host debe ser pfSense-ABCD-EFGH-IJKL-MNOP-QRST.local
    • Procedimiento para reservar una dirección IP en el servidor DHCP
    • Explicación de las bitácoras generadas
    • Explicación de las reglas configuradas
    • Visualizar la configuración de pfSense al conectarse via SSH:
      • Reglas PF (pfctl -sr)
      • Tablas (pfctl -s Tables)
      • Estados de NAT (pfctl -ss)
      • Reglas de NAT (pfctl -s NAT)
    • Conclusiones sobre las capturas de tráfico de red
  • Carpeta files

    • Capturas de tráfico en formato PCAP para los servicios solicitados
    • pfSense
      • Archivos de configuración XML de pfSense (inicial y final)
      • Estados del pfsense donde se indiquen las conexiones de NAT (EN TEXTO)
      • Bitácoras de pfSense (EN TEXTO)
    • Para los equipos en la red WAN (Alpine), LAN (Debian) y DMZ (CentOS)
      • Tabla ARP
      • Tabla de rutas
      • Salida de los comandos de configuración de red
      • Salida de los comandos de resolución DNS
      • Pruebas de conectividad con PING: red local, hacia otras redes y hacia Internet
    • Pruebas de conectividad del cliente WAN (alpine) al servidor DMZ (CentOS) utilizando la redirección de puertos

Conclusiones#

  • ¿Qué tipo de política de firewall se utiliza en la práctica: permisiva o restrictiva?, ¿cuál se considera mejor?. Justifica tu respuesta.

Extra#

Elaboren un video donde expliquen la topología de red utilizada, la configuración del firewall, los servicios de red instalados en CentOS y las pruebas de conectividad entre los equipos de todas las redes y hacia Internet.

  • Subir el video a YouTube
  • Agregar la referencia de este video al archivo README.md
- [Video de la topología de red utilizada 📼](https://youtu.be/0123456789ABCDEF)