Preguntas Pfsense



  • Hola buenos soy nuevo en Pfsense , y leído 1 de los libros de pfsense y lo e instalado en mis laboratorios virtuales.
    Pero recién estoy empezando y para orientación me gustaría promover una tabla de comparación de servicios para orientar en que temas se debería uno centrar para aprender…

    Pero me gustaría Saber si con Pfsense (que me parece fascinante como solución bajo FreeBSD)

    Se puede equiparar o poder remplazar las mismas soluciones de un UTM .

    El problema es que ahora nos están pidiendo cambiar los UTMs junipers y watchguard que tenemos y me interesa bastante poder ver diferencias entre las soluciones privativas y Opensource..
    Por el momento conozco algunos puntos que si se pueden remplazar per otros que no, así que si la gente que lleva mas tiempo en esto , conoce como poder remplazar servicios o soluciones por las versiones opensource seria de un avance el poder centrarse en que aprender..

    Adjunto una descripcion de servicos de el ultimo UTM al cual consideramos migrar..

    Seguridad de la red
    Paquete dinámico de Firewall
    Zona demilitarizada
    Detección de intrusiones
    Múltiples IP públicos
    Moldeo de tráfico
    Soporte VoIP/SIP
    Detección de Portscan
    Protección DoS y y DDos
    Protección SYN/ICMP
    Protección contra spoofin

    Seguridad Web
    Proxys HTTP y FTP
    Anti-virus (100.000 + patrones)
    Soporte Proxy transparente
    Análisis de contenido/Filtro
    Lista negra de URL
    Autenticación: Local, RADIUS, LDAP,
      Directorio Activo
    Sign-on único NTLM
    Control de acceso para grupo

    Seguridad para correo electrónico
    Proxys SMTP y POP3
    Anti-spam con Bayes, Pattern, SPF,
      Heuristics y soporte con Listas Negras
    y Listas Blancas.
    Anti-virus (100.000 + patrones)
    Soporte Proxy transparente
    Reconocimiento de correo basura (Spam)
    Reenvío de correos (BCC) transparente
    Listas Grises.

    VPN
    SSL/TLS VPN (VPN abierto)
    IPSEC
    Encriptamiento: DES, 3DES, AES 128-,
      192-, 256-bit
    Autenticación: Clave pre-configurada,
      X.509, Autoridad para certificar, Local.
    Paso de PPTP
    Cliente VPN para MS Windows,
      MacOSX y Linux

    Hotspot
    Portal captativo
    Soporte alámbrico e inalámbrico
    Pre-/Post-pago y tickets gratis
    Servicio RADIUS integrado
    Registro de conexiones

    Administración
    Fácil administración a través de
      Internet (SSL)
    Acceso remoto seguro SSH/SCP
    Cónsola serializada

    Alta Disponibilidad
    Multi-node appliance cluster
    Hot Standby (activo/pasivo)
    Control de carga de información
      (activo/activo)
    Datos de nodos/Configuración,
      sincronizació

    Wan Failover
    WAN Uplink Failover automático
    Monitoreo de WAN uplinks
    Sistema de emergencias VPN

    Traducción de dirección de la red
    NAT estático (Traducción de puerto)
    NAT uno a uno
    IPSec NAT Traversal

    Enrutamiento

    Rutas estáticas
    Enrutamiento basado en origen (Source
      Based Routing)
    Enrutamiento basado en destino
      (Destination Based Routing)

    Registro/Reporte
    Visor de registros en vivo (AJAX based)
    Reporte detallado de acceso de
      usuarios a la web
    Estadísticas de Red/Sistemas/Desempeño
    Syslog: Local o remot

    Bueno Watchguard tiene ahora el next generation firewall con bloqueo de aplicaciones pero me parece que se puede hacer, igual con cualquier otro lo único que Watchguard lo pone al alcance de 1 click el poder bloquear facebook, youtube, msn, etc..etc..
    Entonces de lo poco que conozco pfsense y si no me equivoco..

    Las funciones de Firewall
    Paquete dinámico de Firewall
    Zona demilitarizada
    Detección de intrusiones
    Múltiples IP públicos
    Moldeo de tráfico
    Soporte VoIP/SIP
    Detección de Portscan
    Protección DoS y y DDos
    Protección SYN/ICMP
    Protección contra spoofin      =====>>>> Todas estas se podrian manejar mediante las configuraciones de reglas de firewall, nateo si me equivoco me corrigen

    Seguridad Web, ==> creo que con un proxy como Squid , con integración AD, y buenas reglas se podría implementar la cantidad de esos servicios o mas, en pfsense nunca lo e probado,

    Pero aquí empiezan mis dudas,, Pfsense tiene sistema de Antivirus? y Antispam?
    Se podría integrar con algún antivirun como ClamAV y Spam-assessing?

    VPN con OpenVPN se puede hacer todo eso, no se que tan sencilla o difícil sea la configuración, Hotspot o portal cautivo creo que tiene incorporado o si no con Squid y otros paquetes que e observado por el foro

    NAT y enrutamiento , asta el momento no conozco se que es muy bueno pero no se si incluye todas estas funciones
    NAT estático (Traducción de puerto)
    NAT uno a uno
    IPSec NAT Traversal
    Rutas estáticas
    Enrutamiento basado en origen (Source
      Based Routing)
    Enrutamiento basado en destino
      (Destination Based Routing)

    Sobre reportes lo que e podido ver es que Pfsense tiene con sus paquetes o con su consola de administracion mediante web pueden servir como reporte si se retoca para un gerente , pero no tiene modulo de reportes de todos los servicios o me equivoco?

    WAN failover ,Alta Disponibilidad ,  Desconozco esta parte de Pfsense**
    Se puede implementar Clustering con pfsense?
    Tiene multiples WANs

    Luego de las UTM del mercado que e podido observar tiene IPS/IDS Se puede integrar Snort con Pfsense? y politicas de Firewall que cambien en funcion de las reglas de Snort Linux tiene un programa para que las reglas de snort o las advertencias las pueda convertir en policas de firewall y ser un firewall dinamico..

    Ademas las soluciones de Hardware, de UTM viene con tantos Gbps de Througput, de VPN de IDS de IPS de antispam de etc..etc. servicios te vengan en el UTM,
    Como Afronta esto Pfsense? con clustering? o se puede integrar en el cloud con multiples cores?

    Espero sus opiniones….
    **Si alguien mas tiene experiencias , con Cisco, Sonicwall, CheckPoint, junipers, Watchguard,  ...etc..etc..
    Agradecería sus descripción de diferencias con Pfsense a modo educativo..

    Un saludo



  • http://en.wikipedia.org/wiki/Comparison_of_firewalls

    Como ahí viene poco de pfSense deberías mirar en OpenBSD PF, ya que pfSense emplea el Packet Filter (PF) de OpenBSD portado hace años a FreeBSD.


Locked