pfSense - SNAT & DNAT

Introducción 

En esta práctica, aprenderemos a configurar SNAT (Source Network Address Translation) y DNAT (Destination Network Address Translation) en pfSense, estableciendo reglas y políticas específicas para gestionar el tráfico entre tres zonas de red: LAN, DMZ y WAN. Este ejercicio te permitirá comprender y aplicar técnicas de traducción de direcciones de red, esenciales para el control y la seguridad del tráfico en redes modernas.

El objetivo principal será garantizar que las tres zonas de red interactúen según las siguientes restricciones:

1. La DMZ debe ser accesible desde la LAN y desde la WAN.
2. Los dispositivos de la DMZ pueden acceder a internet (WAN), pero no deben tener acceso directo a la red interna (LAN).
3. Las reglas de DNAT configurarán pfSense para redirigir solicitudes entrantes desde la WAN y la LAN hacia servicios específicos alojados en el servidor de la DMZ.

Estas configuraciones permiten un control estricto del tráfico, manteniendo la seguridad y funcionalidad de los servicios mientras se limita el alcance de posibles ataques.

Objetivos de la práctica

1. Configurar SNAT (Source NAT) en pfSense para permitir que:

   • La DMZ acceda a la WAN con direcciones traducidas correctamente.
   • La LAN acceda a la WAN y a la DMZ de manera segura.

2. Configurar DNAT (Destination NAT) en pfSense para redirigir tráfico desde:

   • La WAN hacia servicios específicos en la DMZ.
   • La LAN hacia servicios específicos en la DMZ, controlando la accesibilidad.

3. Implementar reglas de firewall:

   • Establecer políticas que cumplan con las restricciones de conectividad entre LAN, DMZ y WAN.
   • Asegurar que el tráfico entre zonas solo fluya según lo permitido.

4. Probar las configuraciones:

   • Acceder desde la LAN y la WAN a los servicios alojados en la DMZ.
   • Verificar que la DMZ no pueda acceder a la LAN, pero sí a internet.

Tecnologías empleadas

pfSense

Actuará como el centro de control para las configuraciones de NAT y las reglas de firewall. Es la herramienta clave para gestionar la comunicación entre las tres zonas de red.

SNAT (Source NAT)

Es un tipo de traducción de direcciones de red que modifica la dirección de origen de los paquetes salientes. En este caso:

• La DMZ utilizará SNAT para salir a internet con la dirección pública de la WAN.
• La LAN utilizará SNAT para acceder a internet y a la DMZ.

DNAT (Destination NAT)

Es un tipo de NAT que modifica la dirección de destino de los paquetes entrantes. En esta práctica:

• Se configurará DNAT para redirigir tráfico entrante desde la WAN y la LAN hacia servicios específicos alojados en el servidor de la DMZ.

Reglas de firewall

El firewall de pfSense se utilizará para implementar políticas que aseguren que las restricciones y accesos requeridos se cumplan:

• Permitir tráfico desde la WAN a la DMZ para servicios específicos.
• Permitir tráfico desde la LAN a la DMZ.
• Bloquear tráfico desde la DMZ hacia la LAN.

Escenario de red

Topología de red:

1. LAN (192.168.1.0/24): Red interna segura que contiene dispositivos locales como PCs y servidores administrativos.
2. DMZ (192.168.2.0/24): Zona desmilitarizada donde se alojan servicios accesibles desde internet (WAN) y la red interna (LAN).
3. WAN: Conexión a internet y entrada de tráfico externo hacia la DMZ.

Restricciones de conectividad:

• La LAN debe tener acceso total a la DMZ para gestionar los servicios allí alojados.
• La DMZ debe ser accesible desde la WAN para proporcionar servicios públicos (por ejemplo, web o FTP).
• La DMZ puede acceder a la WAN para obtener actualizaciones o comunicarse con recursos externos.
• La DMZ no debe tener acceso a la LAN, salvo en los casos controlados mediante DNAT.

Importancia de esta práctica

Configurar correctamente SNAT y DNAT es fundamental para el funcionamiento y la seguridad de una red moderna. Las redes segmentadas como LAN y DMZ son comunes en entornos empresariales, y comprender cómo configurar NAT y reglas de firewall en pfSense te ayudará a:

• Gestionar tráfico de manera eficiente entre redes.
• Proteger recursos internos al limitar accesos no autorizados.
• Implementar servicios públicos sin comprometer la seguridad de la red interna.

Resultados esperados

Al finalizar esta práctica, tendrás configurado un entorno donde:

1. Los servicios en la DMZ serán accesibles desde la WAN y la LAN utilizando reglas de DNAT.
2. La DMZ podrá acceder a internet mediante SNAT.
3. El tráfico estará estrictamente controlado por las reglas de firewall, asegurando que la DMZ no pueda acceder a la LAN directamente.

Esta práctica te proporcionará una experiencia práctica en la configuración avanzada de pfSense y el uso de NAT para implementar redes seguras y funcionales.

SNAT: ¿Qué es SNAT en pfSense?

El SNAT (Source Network Address Translation), o Traducción de Direcciones de Red de Origen, es una técnica utilizada en pfSense (y otros firewalls) para modificar la dirección IP de origen de los paquetes que salen de una red. En pfSense, SNAT se configura para que los dispositivos de redes internas (como LAN o DMZ) puedan comunicarse con redes externas (como internet) utilizando la dirección IP pública asignada a la interfaz WAN.

La función principal de SNAT es garantizar que el tráfico de redes privadas que utiliza direcciones IP no enrutables (como las de los rangos 192.168.x.x o 10.x.x.x) pueda viajar a través de internet. Esto se logra reemplazando la IP privada de origen de los paquetes por la IP pública de la interfaz WAN.

¿Cómo funciona SNAT en pfSense?

Cuando un dispositivo de la red interna envía un paquete hacia una red externa, pfSense realiza los siguientes pasos:

1. Recepción del paquete:

   • El paquete proviene de un dispositivo en una red interna (por ejemplo, LAN o DMZ) con una dirección IP privada, como 192.168.1.10.

2. Modificación de la dirección de origen:

   • pfSense modifica la dirección IP de origen del paquete, reemplazándola con la dirección IP pública asignada a la interfaz WAN de pfSense.

3. Envío del paquete al destino:

   • El paquete, con su dirección de origen traducida, se envía al destino externo (por ejemplo, un servidor web en internet).

4. Recepción de la respuesta:

   • Cuando el servidor externo responde, el paquete de retorno llega a la interfaz WAN de pfSense con la dirección IP pública como destino.

5. Reescritura de la dirección de destino:

   • pfSense utiliza su tabla de seguimiento de conexiones (state table) para identificar al dispositivo interno que inició la conexión.
   • Reescribe la dirección IP de destino del paquete de respuesta con la dirección IP privada original del dispositivo interno.

6. Entrega del paquete al dispositivo interno:

   • El dispositivo interno recibe el paquete como si estuviera comunicándose directamente con el servidor externo.

Ventajas del SNAT en pfSense

1. Conexión a internet para redes privadas:

   • Permite que dispositivos con direcciones IP privadas accedan a internet a través de la dirección IP pública de la interfaz WAN.

2. Ocultación de direcciones internas:

   • Las direcciones IP internas de los dispositivos no son visibles desde internet, lo que añade una capa de seguridad.

3. Escalabilidad:

   • Un solo SNAT puede permitir que múltiples dispositivos de una red interna compartan una misma dirección IP pública para conectarse a internet.

4. Simplicidad:

   • Es fácil de configurar en pfSense y funciona de manera automática en muchas configuraciones predeterminadas.

Ejemplo práctico de SNAT en pfSense

Escenario:

• Red interna (LAN): 192.168.1.0/24.
• Dispositivo interno: 192.168.1.10.
• Dirección IP pública asignada a la interfaz WAN de pfSense: 203.0.113.1.

Proceso:

1. El dispositivo interno, 192.168.1.10, envía un paquete al servidor web 198.51.100.10.
2. pfSense, al recibir el paquete en su interfaz LAN, reemplaza la dirección IP de origen (192.168.1.10) por la dirección IP pública de la interfaz WAN (203.0.113.1).
3. El paquete modificado se envía al servidor web 198.51.100.10.
4. El servidor web responde al paquete, enviándolo a la dirección 203.0.113.1.
5. pfSense, al recibir el paquete en su interfaz WAN, consulta su tabla de estados para identificar que el tráfico pertenece a 192.168.1.10.
6. Reescribe la dirección de destino del paquete de respuesta con 192.168.1.10 y lo envía a la red interna.

Configuración de SNAT en pfSense

En pfSense, SNAT se configura automáticamente en muchas implementaciones. Sin embargo, también puedes personalizarlo en casos específicos:

1. Acceso predeterminado desde la LAN:

   • Por defecto, pfSense utiliza SNAT para todo el tráfico que sale de la LAN hacia la WAN.

2. Configuración personalizada:

   • Accede a la sección Firewall > NAT y selecciona la pestaña Outbound.
   • Cambia el modo de NAT a Manual Outbound NAT si necesitas configuraciones específicas.
   • Define reglas para el tráfico saliente especificando:
     • Interfaz de salida (por ejemplo, WAN).
     • Rango de direcciones IP de origen (por ejemplo, 192.168.1.0/24).
     • Dirección IP de traducción (por ejemplo, la dirección pública de la WAN).

3. Reglas avanzadas:

• Puedes aplicar SNAT a subredes específicas, interfaces adicionales o incluso limitar el SNAT a ciertos servicios o aplicaciones.

Casos de uso comunes de SNAT

1. Conexión de una LAN a internet:

   • Todos los dispositivos de la red LAN acceden a internet compartiendo una sola dirección IP pública.

2. Salida de una DMZ hacia la WAN:

   • Los servidores de una DMZ pueden actualizar software o conectarse a servicios externos mediante SNAT.

3. Acceso desde múltiples subredes:

   • Si hay varias subredes detrás de pfSense, SNAT puede asegurar que todas usen una única IP pública.

En resumen, el SNAT en pfSense es una herramienta esencial para permitir que redes internas privadas accedan a redes externas públicas (como internet) de forma segura y eficiente, ocultando las direcciones internas y gestionando el tráfico saliente. Es un componente básico pero crucial en cualquier configuración de red moderna.

DNAT: ¿Qué es DNAT en pfSense?

El DNAT (Destination Network Address Translation), o Traducción de Direcciones de Red de Destino, es una técnica que modifica la dirección IP de destino de los paquetes entrantes en una red. En pfSense, se utiliza principalmente para redirigir el tráfico desde una dirección o puerto público de la interfaz WAN hacia un dispositivo o servicio específico dentro de una red interna, como la LAN o la DMZ.

DNAT es fundamental para exponer servicios internos (por ejemplo, servidores web, FTP, o SSH) a usuarios externos, sin comprometer la seguridad de toda la red interna. pfSense permite configurar DNAT a través de reglas específicas, conocidas comúnmente como Port Forwarding (Redirección de Puertos).

¿Cómo funciona DNAT en pfSense?

Cuando un paquete entrante coincide con una regla de DNAT configurada, pfSense realiza los siguientes pasos:

1. Recepción del paquete:

   • Un paquete llega a la interfaz pública de pfSense (generalmente WAN) con una dirección IP pública como destino.

2. Modificación de la dirección de destino:

   • pfSense reemplaza la dirección IP de destino pública por la dirección IP interna del dispositivo o servicio al que se quiere redirigir el tráfico.

3. Entrega del paquete:

   • pfSense reenvía el paquete al dispositivo o servicio interno.

4. Gestión de la respuesta:

   • Cuando el dispositivo interno responde, pfSense invierte el proceso para que el remitente externo reciba la respuesta como si proviniera directamente de la IP pública original.

Ejemplo práctico de DNAT en pfSense

Escenario:

• Una empresa tiene un servidor web en la DMZ con la IP 192.168.2.10.
• La interfaz WAN de pfSense tiene la IP pública 203.0.113.1.
• Se desea permitir que los usuarios externos accedan al servidor web en el puerto 80.

Proceso:

1. Un usuario externo realiza una solicitud HTTP al servidor web usando la dirección 203.0.113.1 en el puerto 80.
2. pfSense recibe el paquete en su interfaz WAN.
3. La regla de DNAT configurada en pfSense indica que el tráfico en el puerto 80 debe redirigirse al servidor interno 192.168.2.10 en el mismo puerto.
4. pfSense modifica la dirección de destino del paquete (de 203.0.113.1 a 192.168.2.10) y lo envía al servidor web.
5. Cuando el servidor responde, pfSense invierte el proceso para que la respuesta parezca provenir directamente de 203.0.113.1.

Configuración de DNAT en pfSense

En pfSense, el DNAT se configura principalmente mediante Port Forwarding. A continuación, se describe cómo hacerlo:

1. Accede a Port Forwarding:

   • En la interfaz de pfSense, navega a Firewall > NAT y selecciona la pestaña Port Forward.

2. Añade una nueva regla de redirección:

   • Haz clic en Add para crear una nueva regla.

3. Configura los parámetros de la regla:

   • Interfaz: Selecciona la interfaz donde llegará el tráfico externo (generalmente WAN).
   • Protocolo: Elige el protocolo adecuado (por ejemplo, TCP, UDP o ambos).
   • Dirección de destino: Selecciona WAN Address para redirigir tráfico hacia la IP pública de pfSense.
   • Puerto de destino: Especifica el puerto público al que se accederá (por ejemplo, 80 para HTTP).
   • Dirección interna de destino: Ingresa la dirección IP del dispositivo interno (por ejemplo, 192.168.2.10).
   • Puerto interno: Indica el puerto en el dispositivo interno que recibirá el tráfico (generalmente el mismo que el puerto público).

4. Guarda y aplica la regla:

   • Guarda los cambios y aplica la configuración.

5. Verifica la conectividad:

   • Asegúrate de que los usuarios externos puedan acceder al servicio redirigido.

Beneficios de DNAT en pfSense

1. Acceso seguro a servicios internos:

   • Permite exponer servicios específicos sin abrir toda la red interna a internet.

2. Flexibilidad de configuración:

   • Puedes redirigir el tráfico de un puerto público a un puerto diferente en la red interna.

3. Compatibilidad con múltiples servicios:

   • Puedes configurar múltiples reglas de DNAT para exponer diferentes servicios en la misma IP pública utilizando puertos distintos.

4. Seguimiento de conexiones:

   • pfSense mantiene un seguimiento de las conexiones, garantizando que las respuestas lleguen correctamente al origen.

Usos comunes de DNAT

1. Exposición de servicios públicos:

   • Redirigir tráfico hacia servidores web, FTP o correo electrónico alojados en redes internas o DMZ.

2. Acceso remoto:

   • Permitir conexiones externas a servidores internos mediante SSH, RDP, o VPN.

3. Pruebas y desarrollo:

   • Facilitar acceso desde internet a entornos de prueba alojados en una DMZ.

4. Traducción de puertos:

   • Cambiar el puerto de destino para adaptarlo a configuraciones internas.

Consideraciones de seguridad para DNAT

1. Limita los puertos expuestos:

   • Configura reglas para abrir únicamente los puertos necesarios para los servicios que deben ser accesibles.

2. Aplica reglas de firewall complementarias:

   • Crea reglas que restrinjan el tráfico permitido a ciertas IPs o rangos de origen.

3. Audita los servicios expuestos:

   • Asegúrate de que los servicios en la red interna o DMZ estén correctamente actualizados y configurados para minimizar vulnerabilidades.

4. Usa direcciones IP estáticas para servicios internos:

   • Configura IPs fijas en los dispositivos internos para que las reglas de DNAT no se vean afectadas por cambios de dirección.

En resumen, el DNAT en pfSense es una herramienta poderosa y flexible para gestionar la redirección de tráfico entrante hacia servicios internos de forma controlada. Su correcta configuración asegura que los servicios sean accesibles externamente sin comprometer la seguridad de la red interna.

DMZ & LAN

La siguiente imagen muestra de forma gráfica el tráfico permitido y denegado por el firewall.

No obstante, si se quiere aumentar aún más la seguridad de la red interna frente a un ataque proveniente de la DMZ, se pueden ubicar dos firewalls.

 

La estructura de red empleada para este proyecto es la siguiente.