Etiquetas

pfSense - LAN & DMZ

Introducción 

En esta práctica, exploraremos cómo configurar y gestionar una red local (LAN) y una Zona Desmilitarizada (DMZ) utilizando pfSense como firewall y servidor DHCP. Este ejercicio está diseñado para familiarizarte con la creación de redes segmentadas, esenciales para separar servicios internos de los expuestos a usuarios externos, asegurando la seguridad y funcionalidad de la infraestructura.

Trabajaremos con dos servidores virtuales que desempeñarán roles distintos en nuestra topología de red:

  1. Windows Server 2025: Ubicado en la red LAN, simulará un entorno interno protegido, típico para tareas como la administración de dominios o recursos compartidos.
  2. Ubuntu Server 24.04: Ubicado en la DMZ, será responsable de ofrecer servicios accesibles para pruebas, como un servidor web o FTP.

El objetivo principal será configurar pfSense para gestionar el tráfico entre ambas redes, proporcionando parámetros de red a través de DHCP, asignando IPs estáticas a los servidores, y asegurando una correcta comunicación según las mejores prácticas de seguridad.

Objetivos de la práctica

  1. Configurar dos redes en pfSense:

    • Una red LAN para la infraestructura interna.
    • Una red DMZ para los servidores que ofrecen servicios expuestos a pruebas o usuarios externos.

  2. Habilitar y configurar el servidor DHCP en pfSense:

    • Establecer rangos de direcciones dinámicas para ambas redes.
    • Validar las direcciones IP asignadas a los dispositivos mediante el panel de DHCP Leases.

  3. Asignar IPs estáticas a los servidores para garantizar consistencia en sus configuraciones y evitar que estas cambien.

  4. Verificar la conectividad y funcionalidad de ambas redes, asegurándonos de que los parámetros de red (puerta de enlace, máscara de subred y DNS) se configuran correctamente.

Tecnologías empleadas

pfSense

Actuará como el núcleo de la red, administrando las configuraciones de firewall, reglas de tráfico, y asignaciones DHCP para ambas redes. Además, garantizará que la comunicación entre la LAN y la DMZ esté controlada.

Windows Server 2025

Servirá como representación de un servidor interno típico, configurado dentro de la red LAN para mantenerlo aislado de posibles amenazas externas.

Ubuntu Server 24.04

Se utilizará en la red DMZ, representando un entorno seguro pero expuesto, ideal para alojar servicios de prueba. La DMZ proporciona una capa de seguridad adicional, asegurando que cualquier compromiso de estos servicios no afecte la red interna.

DHCP

El servidor DHCP integrado de pfSense se encargará de asignar direcciones IP dinámicas a los dispositivos de ambas redes, simplificando su configuración inicial.

Importancia de esta práctica

En entornos reales, segmentar redes mediante la creación de zonas como LAN y DMZ es fundamental para mejorar la seguridad y el rendimiento de la infraestructura. A través de esta práctica, aprenderás conceptos esenciales como:

  • Separación de redes para mitigar riesgos y mejorar la gestión.
  • Gestión de direcciones IP dinámicas y estáticas, una habilidad clave en la administración de sistemas.
  • Interacción entre redes con políticas de tráfico definidas, simulando escenarios del mundo real.

Al finalizar esta práctica, tendrás una comprensión práctica y teórica sobre cómo diseñar y configurar una red segura y funcional utilizando herramientas modernas y ampliamente utilizadas como pfSense. 

¿Qué es una LAN en pfSense?

En el contexto de pfSense, una LAN (Local Area Network) es una red local configurada para conectar dispositivos y recursos internos en un entorno cerrado y seguro. La LAN es una de las interfaces principales de pfSense, diseñada para manejar las comunicaciones internas de una red y garantizar que los dispositivos conectados puedan interactuar entre sí sin exponerse directamente a amenazas externas, como el tráfico de internet o redes no confiables.

La LAN en pfSense es, por defecto, una red confiable (trusted network) que se encuentra protegida por las reglas de firewall preconfiguradas. Estas reglas iniciales suelen bloquear todo el tráfico entrante desde redes externas (como la WAN) y permitir el tráfico saliente hacia internet, lo que garantiza la seguridad de los dispositivos internos.

Características de una LAN en pfSense

  1. Seguridad predeterminada:

    • pfSense configura automáticamente reglas de firewall que permiten el tráfico interno y bloquean accesos externos no autorizados a la LAN.
    • Esto asegura que los dispositivos de la LAN estén protegidos frente a amenazas provenientes de internet o de otras redes.

  2. Conectividad local:

    • Los dispositivos conectados a la LAN pueden comunicarse entre sí sin restricciones (por ejemplo, compartir archivos, impresoras o servicios locales).

  3. Gestión de direcciones IP:

    • pfSense puede actuar como un servidor DHCP (Dynamic Host Configuration Protocol) para la LAN, asignando automáticamente direcciones IP a los dispositivos dentro de un rango predefinido.
    • También permite asignar IPs estáticas a dispositivos específicos, garantizando que ciertos servicios siempre utilicen la misma dirección IP.

  4. Acceso a internet:

    • Por defecto, pfSense permite que los dispositivos en la LAN accedan a internet a través de la interfaz WAN, utilizando NAT (Traducción de Direcciones de Red) para ocultar las IPs internas.

  5. Control de tráfico:

    • pfSense permite definir reglas personalizadas para la LAN, como restricciones de acceso a ciertos servicios o la priorización del tráfico de ciertas aplicaciones (QoS - Calidad de Servicio).

Configuración de una LAN en pfSense

Cuando se configura una LAN en pfSense, el proceso incluye los siguientes pasos clave:

  1. Asignación de la interfaz de red:

    • pfSense requiere que una interfaz física o virtual sea designada como la LAN.
    • Esta interfaz estará conectada a un switch, punto de acceso, o directamente a los dispositivos de la red interna.

  2. Definición de parámetros de red:

    • Se establece una dirección IP para la LAN (generalmente una dirección privada, como 192.168.1.1).
    • Se configura la máscara de subred (por ejemplo, 255.255.255.0) para definir el rango de direcciones disponibles en la red.

  3. Habilitación del servidor DHCP (opcional):

    • Se configura el servidor DHCP de pfSense para asignar automáticamente direcciones IP a los dispositivos de la LAN.
    • Esto incluye establecer un rango de direcciones (por ejemplo, 192.168.1.100-192.168.1.200) y especificar parámetros adicionales como puerta de enlace predeterminada, DNS, y tiempo de concesión.

  4. Reglas de firewall para la LAN:

    • pfSense permite personalizar completamente las reglas de firewall para controlar cómo los dispositivos de la LAN se comunican con otras redes (por ejemplo, la WAN o una DMZ).
    • Por defecto, las reglas permiten que todo el tráfico de la LAN acceda a internet.

Beneficios de usar una LAN en pfSense

  1. Control centralizado:

    • pfSense permite administrar toda la red interna desde una interfaz gráfica, simplificando la gestión.

  2. Seguridad avanzada:

    • Al definir reglas de firewall personalizadas, puedes restringir el acceso a recursos internos o controlar el tráfico según sea necesario.

  3. Escalabilidad:

    • Una LAN configurada en pfSense puede crecer fácilmente añadiendo más dispositivos, subredes o funcionalidades (como VLANs).

  4. Integración con otras redes:

    • La LAN de pfSense puede conectarse de forma segura con otras redes, como una WAN o una DMZ, asegurando que cada segmento esté correctamente aislado.

¿Qué es una DMZ?

Una DMZ (Zona Desmilitarizada), en el contexto de redes informáticas, es un segmento de red aislado que actúa como una zona intermedia entre la red interna confiable (LAN) y redes externas no confiables, como internet. Su propósito principal es alojar servicios y servidores accesibles desde el exterior, mientras se minimiza el riesgo de que estos comprometan la seguridad de la red interna.

En una arquitectura con DMZ, los recursos expuestos (como servidores web, FTP, DNS, o correo electrónico) están separados físicamente o lógicamente de la red interna. Esto asegura que, incluso si un atacante compromete un servidor en la DMZ, no pueda acceder directamente a la LAN o a sus recursos críticos.

Características principales de una DMZ

  1. Aislamiento de la red interna:

    • La DMZ está separada de la LAN mediante un firewall (como pfSense), lo que restringe la comunicación entre ambas redes.
    • Solo se permiten conexiones específicas y controladas desde la DMZ hacia la LAN.

  2. Exposición controlada:

    • Los servicios alojados en la DMZ están diseñados para ser accesibles desde redes externas (internet), pero con reglas de seguridad estrictas.
    • Ejemplos típicos de servicios en la DMZ incluyen:
      • Servidores web.
      • Servidores FTP.
      • Servidores DNS públicos.
      • Proxies inversos.

  3. Reglas de tráfico específicas:

    • El tráfico entre la DMZ, la LAN y la WAN se controla mediante un firewall.
    • Por ejemplo, un servidor web en la DMZ puede aceptar conexiones entrantes desde internet (WAN), pero no puede iniciar conexiones hacia la LAN.

  4. Mitigación de riesgos:

    • Si un servidor en la DMZ es comprometido, las medidas de aislamiento protegen la red interna, limitando el alcance del ataque.

Arquitectura de una DMZ

La DMZ se puede implementar de varias maneras dependiendo del nivel de seguridad requerido y la cantidad de redes involucradas. Las arquitecturas más comunes incluyen:

1. DMZ de un solo firewall

  • Un único firewall (como pfSense) tiene interfaces separadas para la LAN, WAN y DMZ.
  • Las reglas del firewall controlan el tráfico entre estas redes.
  • Es una configuración económica y sencilla, pero con un punto único de falla.

2. DMZ de doble firewall

  • Utiliza dos firewalls:
    • Uno externo, entre la WAN y la DMZ.
    • Uno interno, entre la DMZ y la LAN.
  • Ofrece mayor seguridad, ya que un atacante necesita comprometer ambos firewalls para acceder a la red interna.

3. DMZ virtual

  • Se utiliza en entornos virtualizados con VLANs (Redes Locales Virtuales).
  • Las VLANs segmentan las redes lógicamente en lugar de físicamente, utilizando un único firewall o switch.

DMZ en pfSense

pfSense es una herramienta ideal para implementar una DMZ gracias a su flexibilidad y capacidad de gestionar múltiples interfaces de red. Para configurar una DMZ en pfSense, se realiza lo siguiente:

  1. Asignar una interfaz de red:

    • Se conecta una interfaz física o virtual a la red DMZ.
    • Esta interfaz se configura con una dirección IP (por ejemplo, 192.168.2.1) y una subred diferente a la de la LAN.

  2. Configurar reglas de firewall:

    • Se crean reglas específicas para controlar el tráfico:
      • Permitir acceso desde la WAN hacia servicios específicos en la DMZ (por ejemplo, HTTP/HTTPS al servidor web).
      • Bloquear el tráfico no autorizado entre la DMZ y la LAN.
      • Permitir tráfico desde la DMZ hacia internet (WAN) para actualizaciones o descargas necesarias.

  3. Habilitar el servidor DHCP en la DMZ:

    • Opcionalmente, pfSense puede actuar como servidor DHCP para la DMZ, asignando direcciones IP dinámicas a los servidores en esta red.

  4. Aislamiento completo:

    • Se asegura que los dispositivos de la DMZ no puedan comunicarse directamente con la LAN, a menos que sea estrictamente necesario y esté controlado mediante reglas específicas.

Ejemplo práctico de una DMZ

Escenario: Una pequeña empresa

  • La empresa necesita alojar un sitio web público y un servidor FTP para clientes, pero también quiere proteger su red interna.
  • Configuración:
    • LAN: Red interna (192.168.1.0/24) con equipos de oficina y servidores privados.
    • DMZ: Red separada (192.168.2.0/24) que aloja:
      • Un servidor web en 192.168.2.100.
      • Un servidor FTP en 192.168.2.101.
    • WAN: Conexión a internet.

En este caso, pfSense configuraría:

  • Reglas para permitir acceso HTTP/HTTPS desde internet hacia el servidor web.
  • Reglas para permitir tráfico FTP desde internet hacia el servidor FTP.
  • Bloqueo total de tráfico desde la DMZ hacia la LAN.

Beneficios de una DMZ

  1. Mayor seguridad:

    • Si un servidor expuesto en la DMZ es comprometido, el atacante no puede acceder directamente a la LAN.

  2. Flexibilidad para servicios públicos:

    • Permite alojar servicios accesibles desde internet sin exponer toda la red interna.

  3. Cumplimiento normativo:

    • Muchas regulaciones de seguridad, como PCI DSS, recomiendan o requieren el uso de DMZ para segmentar redes.

  4. Facilidad de gestión:

    • pfSense permite configurar y monitorear la DMZ de manera sencilla a través de su interfaz gráfica.

Diferencias entre la LAN y la DMZ

La siguiente imagen muestra de forma gráfica el tráfico permitido y denegado por el firewall.

No obstante, si se quiere aumentar aún más la seguridad de la red interna frente a un ataque proveniente de la DMZ, se pueden ubicar dos firewalls.

Una DMZ es una solución estratégica para separar y proteger los recursos críticos de una red interna, al tiempo que se permite la exposición controlada de servicios externos. Aprender a implementarla con herramientas como pfSense es esencial para gestionar redes seguras y eficientes en entornos modernos.

La estructura de red empleada para este proyecto es la siguiente.







Enviar entrada por correo electrónico
Labels:

Comentarios

Publicar un comentario

Entradas populares