Avance del Proyecto de Migración de un Equipo de Seguridad

Autor:

Mario Enrique Santos Méndez

Ingeniero José Medina

Proyectos

Universidad de Guayaquil

Facultad de Ciencias Matemáticas y Físicas

Carrera de Ingeniería en Networking y Telecomunicaciones

2017-2018 (Ciclo II)

 Introducción

Tomando como referencia el cuadrante de Garnet del año que paso (2017), se define como líder

en equipos de comunicación a Fortinet, Palo Alto Network y a Check Point.

Cuadrante de Garent
Desafiantes Líderes

Fortinet
Cisco

Palo Alto Network

Sonywall Check Point

Juniper Network
Huawei
Barracuda Network

Hillstone Network

Niche Player Visionarios

Como nuestra PYME consta de 500 empleados, es idóneo implementar la migración de un

equipo de seguridad de bajo costo, así evitara el gasto elevado de un firewall-hardware por lo

que la propuesta se centra en implementar pfSense.

PfSense es un sistema operativo en donde su función se centra en dar el servicio de firewall,

ya que es Open Source (Código Abierto) no tiene costo de adquisición.

Como todo equipo de Seguridad (Firewall) necesita su configuración, pfsense no se queda

atrás, como no es un equipo físico (hardware) si no más bien un software necesita un grado de

complejidad más alto a nivel de configuración, pero una de las ventajas que nos ofrece es que
posee una interfaz gráfica web, que podemos acceder a ella por medio de la dirección ip que se

nos otorga al servidor.

A continuación, mencionaremos una de las principales características que nos ofrece este

software

o Plataforma basada en el Sistema Operativo FreeBSD.

o Firewall con soporte de estados, inspección de paquetes y NAT.

o Proxy Web caché con filtro de contenidos y Portal cautivo.

o Soporte multi-WAN con balanceo de carga y redundancia ante fallas.

o Servicio VPN IPSec y SSL.

o Servicios de red múltiples (DNS, DHCP, NTP, SNMP,

o Reportes gráficos y estadísticas de tráfico de paquetes y navegación Web en tiempo

real. Funcionalidades diversas de red (routing, VLAN, Bridges, Traffic Shaping,

Portchannel, IPv6).

o Alta disponibilidad.

o Extensible a mucho más

Además de ser un firewall ofrece otros servicios

Firewall

Pfsense se puede configurar como un cortafuego permitiendo y denegando determinado tráfico

de redes tanto entrante como saliente a partir de una dirección ya sea de red o de host de origen

y de destino, también haciendo filtrado avanzado de paquetes por protocolo y puerto.

Servidor VPN

Pfsense se puede se puede configurar como un servidor VPN usando protocolos de tunneling

tales como IPSec, PPTP, entre otras.

Servidor de Balanceo de Carga

Pfsense puede ser configurado como servidor de balanceo de carga tanto entrante como

saliente, esta característica es usada comúnmente en servidores web, de correo, de DNS.

También para proveer estabilidad y redundancia en él envió de tráfico a través del enlace WAN

evitando los cuellos de botella.

Portal Cautivo

Este servicio consiste en forzar la autenticación de usuarios redirigiéndolos a una página

especial de autenticación y/o para aceptar los términos de uso, realizar un pago etc. para poder

tener acceso a la red. El portal cautivo es usado comúnmente para control de accesos a la red

en los puntos de accesos inalámbricos de los hoteles, restaurantes, parques y kioscos.

Tabla de Estado

PFSense es un stateful firewall, el cual como característica principal guardad el estado de las

conexiones abiertas en una tabla. La mayoría de los firewalls no tienen la capacidad de

controlar con precisión la tabla de estado. Pfsense tiene un enorme número de características

que permiten una granularidad muy fina para el manejo de la tabla de estado.

Servidor DNS y reenviador de cache DNS

Pfsense se puede configurar como un servidor DNS primario y reenviador de consultas de

DNS.

Servidor DHCP

Tambien funciona como servidor de DHCP, se puede también implementar VLAN desde

Pfsense.
Servidor PPPoE

Este servicio es usado por los ISP para la autenticación de usuarios que puedan ingresar a

internet, por una base local o via radius.

Enrutamiento Estático

Pfsense funciona como un enrutador ya que entrega direccionamiento IP y hace el nateo hacia

afuera.

Redundancia

Pfsense permite configurar dos o más cortafuegos a través del protocolo CARP (Common

Address Redundancy Protocol) por si uno de los cortafuegos se cae el otro se declara

cortafuegos primario.

Reportes y Monitoreo

A través de los graficos RDD Pfsense muestra el estado de los siguientes componentes:

o Utilización de CPU

o Rendimiento Total

o Estado del Firewall

o Rendimiento individual por cada interface

o Paquetes enviados y recibidos por cada interface

o Manejo de tráfico y ancho de banda.

Pfsense se puede instalar sobre cualquier equipo que tenga como mínimo:

o 500mhz (CPU),

o 256mb (Ram),

o 1Gb de Almacenamiento
 o Dos tarjetas de red

Ahora detallaremos el presupuesto estimado de la adquisición de este software de

comunicación, sabiendo que como es un software podemos instalarlo sobre una maquina que

puede funcionar como servidor, pero con los siguientes requerimientos para su buen

funcionamiento tanto en disponibilidad, estabilidad y eficacia.

Para ello se hará la implementación de un servidor tipo torre PowerEdge T630 de la marca

DELL en donde se detallará sus características:

Rendimiento versátil y eficiente

Obtener tiempos de respuesta rápidos con el último procesador Intel® Xeon® de la familia de

productos E5-2600 v4, memoria DDR4 y siete ranuras de E/S.

Capacidad ampliada, capacidad sin precedentes

Con soporte para hasta un 50 por ciento más de discos duros que las generaciones anteriores,

el PowerEdge T630 ofrece nuevas capacidades para pequeñas y medianas empresas y oficinas

remotas que ejecutan el correo electrónico y la mensajería, las imágenes médicas, la

virtualización del escritorio y del servidor y la representación gráfica que cuida el

presupuesto. Admite hasta 32 discos duros de 2,5" o 18 discos duros de 3,5", el T630 puede

almacenar más buzones de correo de mayor tamaño que pueden reducir significativamente su

costo por buzón de correo. Las configuraciones de almacenamiento flexible le permiten

satisfacer los requerimientos de cargas de trabajo exigentes, mientras que una gran cantidad de

espacio en disco permite la expansión rentable en el servidor.

Almacenamiento rápido, conocimiento rápido

Hasta cuatro SSD Express Flash PCIe NVMe y la controladora RAID PowerEdge de 12 GB

opcional (PERC9) hacen que el PowerEdge T630 sea ideal para una amplia variedad de cargas
de trabajo de uso intensivo de IOP, como las bases de datos, la planificación de recursos

empresariales (ERP) y el soporte de decisiones.

Para una mayor aceleración de las aplicaciones, el T630 puede aprovechar el SanDisk® DAS

Caché opcional para obtener un acceso aún más rápido a los datos. El almacenamiento en el

servidor por niveles y opciones de RAID multimodo también ayudan a optimizar

el almacenamiento virtual para VMware® vSAN™ y Microsoft Storage Spaces.

Potente aceleración de GPU

Desde el procesamiento gráfico hasta la implementación de escritorios virtuales, la

compatibilidad hasta para cuatro

aceleradores de GPU opcionales permite obtener más rendimiento y capacidad.

En conclusión, para la implementación de la migración de un equipo de seguridad que en este

caso es un sistema operativo tendremos el gasto del servidor que usaremos como base para

levantar este firewall, por lo que el gasto estimado por la adquisición de las misma radica en lo

siguiente;

EQUIPOS (HDWR-SFWR) CANTIDAD PRECIO TOTAL

POWEREDGE T630 1 $3099 $3099

PFSENSE 1 $0 $0

$3099