Preguntas Pfsense
-
Hola buenos soy nuevo en Pfsense , y leído 1 de los libros de pfsense y lo e instalado en mis laboratorios virtuales.
Pero recién estoy empezando y para orientación me gustaría promover una tabla de comparación de servicios para orientar en que temas se debería uno centrar para aprender…Pero me gustaría Saber si con Pfsense (que me parece fascinante como solución bajo FreeBSD)
Se puede equiparar o poder remplazar las mismas soluciones de un UTM .
El problema es que ahora nos están pidiendo cambiar los UTMs junipers y watchguard que tenemos y me interesa bastante poder ver diferencias entre las soluciones privativas y Opensource..
Por el momento conozco algunos puntos que si se pueden remplazar per otros que no, así que si la gente que lleva mas tiempo en esto , conoce como poder remplazar servicios o soluciones por las versiones opensource seria de un avance el poder centrarse en que aprender..Adjunto una descripcion de servicos de el ultimo UTM al cual consideramos migrar..
Seguridad de la red
Paquete dinámico de Firewall
Zona demilitarizada
Detección de intrusiones
Múltiples IP públicos
Moldeo de tráfico
Soporte VoIP/SIP
Detección de Portscan
Protección DoS y y DDos
Protección SYN/ICMP
Protección contra spoofinSeguridad Web
Proxys HTTP y FTP
Anti-virus (100.000 + patrones)
Soporte Proxy transparente
Análisis de contenido/Filtro
Lista negra de URL
Autenticación: Local, RADIUS, LDAP,
Directorio Activo
Sign-on único NTLM
Control de acceso para grupoSeguridad para correo electrónico
Proxys SMTP y POP3
Anti-spam con Bayes, Pattern, SPF,
Heuristics y soporte con Listas Negras
y Listas Blancas.
Anti-virus (100.000 + patrones)
Soporte Proxy transparente
Reconocimiento de correo basura (Spam)
Reenvío de correos (BCC) transparente
Listas Grises.VPN
SSL/TLS VPN (VPN abierto)
IPSEC
Encriptamiento: DES, 3DES, AES 128-,
192-, 256-bit
Autenticación: Clave pre-configurada,
X.509, Autoridad para certificar, Local.
Paso de PPTP
Cliente VPN para MS Windows,
MacOSX y LinuxHotspot
Portal captativo
Soporte alámbrico e inalámbrico
Pre-/Post-pago y tickets gratis
Servicio RADIUS integrado
Registro de conexionesAdministración
Fácil administración a través de
Internet (SSL)
Acceso remoto seguro SSH/SCP
Cónsola serializadaAlta Disponibilidad
Multi-node appliance cluster
Hot Standby (activo/pasivo)
Control de carga de información
(activo/activo)
Datos de nodos/Configuración,
sincronizacióWan Failover
WAN Uplink Failover automático
Monitoreo de WAN uplinks
Sistema de emergencias VPNTraducción de dirección de la red
NAT estático (Traducción de puerto)
NAT uno a uno
IPSec NAT TraversalEnrutamiento
Rutas estáticas
Enrutamiento basado en origen (Source
Based Routing)
Enrutamiento basado en destino
(Destination Based Routing)Registro/Reporte
Visor de registros en vivo (AJAX based)
Reporte detallado de acceso de
usuarios a la web
Estadísticas de Red/Sistemas/Desempeño
Syslog: Local o remotBueno Watchguard tiene ahora el next generation firewall con bloqueo de aplicaciones pero me parece que se puede hacer, igual con cualquier otro lo único que Watchguard lo pone al alcance de 1 click el poder bloquear facebook, youtube, msn, etc..etc..
Entonces de lo poco que conozco pfsense y si no me equivoco..Las funciones de Firewall
Paquete dinámico de Firewall
Zona demilitarizada
Detección de intrusiones
Múltiples IP públicos
Moldeo de tráfico
Soporte VoIP/SIP
Detección de Portscan
Protección DoS y y DDos
Protección SYN/ICMP
Protección contra spoofin =====>>>> Todas estas se podrian manejar mediante las configuraciones de reglas de firewall, nateo si me equivoco me corrigenSeguridad Web, ==> creo que con un proxy como Squid , con integración AD, y buenas reglas se podría implementar la cantidad de esos servicios o mas, en pfsense nunca lo e probado,
Pero aquí empiezan mis dudas,, Pfsense tiene sistema de Antivirus? y Antispam?
Se podría integrar con algún antivirun como ClamAV y Spam-assessing?VPN con OpenVPN se puede hacer todo eso, no se que tan sencilla o difícil sea la configuración, Hotspot o portal cautivo creo que tiene incorporado o si no con Squid y otros paquetes que e observado por el foro
NAT y enrutamiento , asta el momento no conozco se que es muy bueno pero no se si incluye todas estas funciones
NAT estático (Traducción de puerto)
NAT uno a uno
IPSec NAT Traversal
Rutas estáticas
Enrutamiento basado en origen (Source
Based Routing)
Enrutamiento basado en destino
(Destination Based Routing)Sobre reportes lo que e podido ver es que Pfsense tiene con sus paquetes o con su consola de administracion mediante web pueden servir como reporte si se retoca para un gerente , pero no tiene modulo de reportes de todos los servicios o me equivoco?
WAN failover ,Alta Disponibilidad , Desconozco esta parte de Pfsense**
Se puede implementar Clustering con pfsense?
Tiene multiples WANsLuego de las UTM del mercado que e podido observar tiene IPS/IDS Se puede integrar Snort con Pfsense? y politicas de Firewall que cambien en funcion de las reglas de Snort Linux tiene un programa para que las reglas de snort o las advertencias las pueda convertir en policas de firewall y ser un firewall dinamico..
Ademas las soluciones de Hardware, de UTM viene con tantos Gbps de Througput, de VPN de IDS de IPS de antispam de etc..etc. servicios te vengan en el UTM,
Como Afronta esto Pfsense? con clustering? o se puede integrar en el cloud con multiples cores?Espero sus opiniones….
**Si alguien mas tiene experiencias , con Cisco, Sonicwall, CheckPoint, junipers, Watchguard, ...etc..etc..
Agradecería sus descripción de diferencias con Pfsense a modo educativo..Un saludo
-
http://en.wikipedia.org/wiki/Comparison_of_firewalls
Como ahí viene poco de pfSense deberías mirar en OpenBSD PF, ya que pfSense emplea el Packet Filter (PF) de OpenBSD portado hace años a FreeBSD.