Práctica 6: Configuración de un firewall de red con pfSense#

---

Objetivo#

El alumno realizará la instalación y configuración de una máquina virtual pfSense con los servicios de red NAT, DHCP, DMZ y Port Forwarding para permitir que otras máquinas tengan salida a Internet, así como que otros dispositivos de Internet tengan acceso a servicios en la DMZ.

Elementos de apoyo#

Recursos de instalación

• Imagen ISO de pfSense 💽
• Imagen ISO de Alpine Linux 💽
• Compactar y exportar una máquina virtual de VirtualBox 📝

Videos de teoría

• Protocolo ARP 📼
• Protocolo DHCP 📼
• Protocolo DNS 📼

Videos de configuración

• Configuración manual de direcciones IP en GNU/Linux 📼
• Configuración persistente de direcciones IP en GNU/Linux 📼

Documentación

• Guía de instalación de pfSense 📚
• Guía de configuración de pfSense 📚
• Guía de configuración de interfaces de pfSense 📚
• Guía de configuración de firewall de pfSense 📚
• Guía de configuración de NAT de pfSense 📚
• Guía de configuración de ruteo de pfSense 📚
• Guía de configuración de DHCP de pfSense 📚
• Guía de configuración de DNS de pfSense 📚
• Guía de diagnóstico de pfSense 📚
• Guía de resolución de problemas de pfSense 📚
• Guía de respaldo de pfSense 📚

Restricciones#

• La fecha límite de entrega es el lunes 17 de abril de 2023 a las 23:59 horas ¹
• Esta actividad debe ser entregada en equipo de acuerdo al flujo de trabajo para la entrega de tareas y prácticas
• Crear una nueva rama llamada practica-6
• Utilizar la carpeta docs/practicas/practica-6/Equipo-ABCD-EFGH-IJKL-MNOP-QRST para entregar la práctica
  • Donde Equipo-ABCD-EFGH-IJKL-MNOP-QRST representa el nombre del equipo que debió anotarse previamente en la lista del grupo
• Crear un merge request en el repositorio de tareas para entregar la actividad

---

Introducción#

PfSense versión Community Edition es una plataforma de la compañía Netgate, desarrollada en el sistema FreeBSD UNIX con licencia de código libre, que proporciona servicios como firewall, router, red privada virtual (VPN por sus siglas en inglés), sistema de prevención/detección de Intrusos (IPS/IDS) y DNS entre otros.

Procedimiento#

Se presentan los pasos para elaborar la configuración de un NAT, forwarder de DNS, DHCP y red DMZ utilizando la plataforma pfSense con base en la topología de red que se muestra a continuación:

Diagrama de interfaces de red en VirtualBox
🟠 Red DMZ - Conexiones que se manejan en la red internal network de VirtualBox
🔵 Red LAN - Conexiones que se manejan en la red host-only de VirtualBox
🟢 Red WAN - Conexiones que se manejan en la red NAT Network de VirtualBox
🔴 Red Externa - Conexiones que salen desde el equipo físico hacia Internet

Seguir los pasos listados en cada página para configurar cada componente de la práctica:

• Configuración de redes en VirtualBox

• Instalación del firewall pfSense

• Configuración del firewall pfSense

• Instalación del cliente Alpine

• Configuración de red del cliente Debian

• Configuración de red del servidor CentOS

• Configuración de servicios de red en el servidor CentOS

• Configuración del servicio DHCP en pfSense

• Pruebas de conectividad

---

Entregables#

• Archivo README.md

  • Explicación de la topología de red utilizada
  • Procedimiento de configuración de NAT, Alias, Port Forwarding, servicio DHCP y servicio DNS
  • Contraseña Redes-2023-2 para pfSense
  • El nombre de host debe ser pfSense-ABCD-EFGH-IJKL-MNOP-QRST.local
  • Procedimiento para reservar una dirección IP en el servidor DHCP
  • Explicación de las bitácoras generadas
  • Explicación de las reglas configuradas
  • Visualizar la configuración de pfSense al conectarse via SSH:
    • Reglas PF (pfctl -sr)
    • Tablas (pfctl -s Tables)
    • Estados de NAT (pfctl -ss)
    • Reglas de NAT (pfctl -s NAT)
  • Conclusiones sobre las capturas de tráfico de red

• Carpeta files

  • Capturas de tráfico en formato PCAP para los servicios solicitados
  • pfSense
    • Archivos de configuración XML de pfSense (inicial y final)
    • Estados del pfsense donde se indiquen las conexiones de NAT (EN TEXTO)
    • Bitácoras de pfSense (EN TEXTO)
  • Para los equipos en la red WAN (Alpine), LAN (Debian) y DMZ (CentOS)
    • Tabla ARP
    • Tabla de rutas
    • Salida de los comandos de configuración de red
    • Salida de los comandos de resolución DNS
    • Pruebas de conectividad con PING: red local, hacia otras redes y hacia Internet
  • Pruebas de conectividad del cliente WAN (alpine) al servidor DMZ (CentOS) utilizando la redirección de puertos

---

Conclusiones#

• ¿Qué tipo de política de firewall se utiliza en la práctica: permisiva o restrictiva?, ¿cuál se considera mejor?. Justifica tu respuesta.

Extra#

Elaboren un video donde expliquen la topología de red utilizada, la configuración del firewall, los servicios de red instalados en CentOS y las pruebas de conectividad entre los equipos de todas las redes y hacia Internet.

• Subir el video a YouTube
• Agregar la referencia de este video al archivo README.md

- [Video de la topología de red utilizada 📼](https://youtu.be/0123456789ABCDEF)

---