Ensearelfueradejuego 120612001528-phpapp02-120622070111-phpapp02
Comparativafirewall Ipcopvspfsense 140515093513 Phpapp02
-
Upload
alejandro-calderon-montenegro -
Category
Documents
-
view
3 -
download
1
description
Transcript of Comparativafirewall Ipcopvspfsense 140515093513 Phpapp02
-
Xabier Amezaga
Comparativa entre IPCop y pfSense
-
Versiones analizadas de IPCop y pfSense
v2.1.3 (Mayo 2014)
v2.1.4 (Abril 2014)
-
Comparativa entre las soluciones de Firewall IPCop y pfSense
VPN (Cliente Remoto)
Reenvo de Puertos
Control de Trfico
Filtro URL
Otras consideraciones
-
VPN (Cliente Remoto)
Soporta IPsec, L2TC, OpenVPN y PPTP:
-
VPN (Cliente Remoto)
Permite conexiones Red-a-Red:
-
VPN (Cliente Remoto)
y conexiones Host-a-Red:
-
VPN (Cliente Remoto)
Posee un Wizard para realizar la configuracin de manera asistida si no se quiere realizar manualmente:
-
VPN (Cliente Remoto)
OpenVPN Client Export Utility nos permite exportar el cliente de OpenVPN directamente listo para instalarse
Es necesario instalarlo va Package Manger (System Packages )
-
VPN (Cliente Remoto)
Configurado el servidor de OpenVPN y creados los certificados necesarios, podemos exportar el Cliente OpenVPN de forma muy sencilla:
VPN OpenVPN Client Export
-
VPN (Cliente Remoto)
Permite ver el estado de las conexiones activas de los clientes:
-
Soporta IPsec y OpenVPN:
VPN (Cliente Remoto)
-
Solo permite conexiones Host-a-Red (RoadWarrior):
VPN (Cliente Remoto)
-
Permite exportar SOLO los certificados , tenemos que instalar el cliente OpenVPN y aadir los certificados manualmente:
VPNs OpenVPN
VPN (Cliente Remoto)
-
Permite ver el estado de las conexiones y estadsticas de conexin:
VPN (Cliente Remoto)
-
Soporta IPsec, L2TC, OpenVPN y PPTP
Conexiones Red-a-Red
Conexiones Host-a-Red
Wizard
OpenVPN Client Export Utility
OpenVPN Status
VPN (Cliente Remoto) - Resumen
Soporta Ipsec y OpenVPN
Conexiones Host-a-Red
Exportar solo certificados
OpenVPN Status
-
Reenvo de Puertos (Port Forwarding)
Permite el Reenvo de Puertos desde el menu:
Firewall NAT Port Forward
Destination Port Range: Aqu vemos dos campos, esto es porque podemos escoger un rango de puertos que sern redirigidos al puerto especificado en el campo Redirect Target IP
Redirect Target IP: Direccin IP a la que se reenviar la peticin, o lo que es lo mismo, la direccin del servidor que ofrece el servicio dentro de nuestra red.
Redirect Target Port: Este es el puerto al que se redirigirn las peticiones.
-
En el siguiente ejemplo, las peticiones que entren dirigidas al puerto 9000 sern reenviadas al puerto 5555 del sistema con la ip 192.168.1.229
-
Reenvo de Puertos (Port Forwarding)
Permite escoger un rango de puertos que sern redirigidos al puerto especificado en el campo Redirect Target IP
En el siguiente ejemplo, todas las peticiones entre el puerto 8000 y el 9000 se redirijan al puerto 222 de la mquina
-
Reenvo de Puertos (Port Forwarding)
Crea las reglas para el Firewall automticamente, pero tambin permite crearlas de forma manual:
Firewall Rules
-
No permite aadir un rango de puertos en el destino , solo uno
concreto por defecto o personalizado
Reenvo de Puertos (Port Forwarding)
-
Crea reglas para el Firewall automticamente, pero tambin permite crearlas de forma manual
Reenvo de Puertos (Port Forwarding)
-
Si se necesita un puerto que no es por defecto hay que aadirlo
previamente:Cortafuegos Servicios
Reenvo de Puertos (Port Forwarding)
-
Reenvo de Puertos
Rango de puertos en el destino
Reglas para el Firewall auto o manual
Reenvo de Puertos - Resumen
Reenvo de Puertos
No rango de puertos en el destino
Reglas para el Firewall auto o manual
-
Es capaz de priorizar el trafico segn las necesidades desde el men:
Firewall Traffic Shaper
Control del Trfico (Traffic Shaper)
-
Un forma sencilla de limitar y controlar el ancho de banda es mediante la creacin de Limitadores
Desde el men Firewall Traffic Shaper Limiter podremos crear tanto limitadores como necesitemos
Control del Trfico (Traffic Shaper)
-
En el siguiente ejemplo vamos a crear un par de limitadores de subida y bajada para limitar el ancho de banda. Creamos dos limitadores, de subida y de bajada, limitados a 1 y 2 Mbit/s
respectivamente
Control del Trfico (Traffic Shaper)
-
Ahora tenemos que asociar estos limitadores a una regla de nuestro Firewall, en nuestro ejemplo vamos a limitar el ancho de nuestra Red Lan
Firewall Rules
Control del Trfico (Traffic Shaper)
-
Editamos la regla que permite el trafico en nuestra Red Lan y en el apartado Advanced Features editamos la opcin IN/OUT aadiendo los limitadores que acabamos de crear.
Control del Trfico (Traffic Shaper)
-
Con esto limitaramos el ancho de banda de nuestra Red Lan, para comprobar que funciona podemos hacer un test de velocidad, dentro de nuestra Lan, antes y despus de aplicar los limitadores. Antes:
Despus:
Control del Trfico (Traffic Shaper)
-
A parte de poder limitar el el ancho de banda (U/D) de una red Lan, tambin podemos limitar una o varias IPs determinadas o incluso un puerto especifico
Por ejemplo, vamos a limitar el ancho de banda del acceso por HTTPS, para ello crearemos dos nuevos limitadores (200 kbit/s) y una regla nueva en nuestro Firewall para activarlos.
Control del Trfico (Traffic Shaper)
-
Una vez creados los limitadores creamos la nueva regla aadiendo en la opcin Destination port range el puerto 443 (HTTPS) y aadimos los limitadores en las opciones avanzadas IN/OUT
Control del Trfico (Traffic Shaper)
-
Una vez aplicada la nueva regla, solo nos quedara probar que funciona correctamente, como se puede observar en la captura la descarga superior que es por HTTPS est limitada que la otra que va por HTTP esta sin limitar
Control del Trfico (Traffic Shaper)
-
Otro ejemplo, si queremos limitar el ancho de banda de una IP determinada (por ejemplo 192.168.1.229), deberemos indicarlo en la regla del Firewall:
Source Type: Single host or alias
Control del Trfico (Traffic Shaper)
-
Posee tambin un Wizard para realizar la configuracin del trafico, creando colas y reglas necesarias automticamente
Firewall Traffic Shaper Wizards
Control del Trfico (Traffic Shaper)
-
El Wizard no creara las colas y configuracin automticamente pudiendo configurar las prioridades sobre VOIP, trafico P2P, Juegos y otros servicios
Control del Trfico (Traffic Shaper)
-
Permite filtrado por Capa 7 (capa de aplicacin), filtrando los protocolos que deseamos bloquear por el contenido de sus paquetes, no por el puerto de origen y destino
Control del Trfico (Traffic Shaper)
-
Las opciones que ofrece IPCop son muy bsicas
Funciona a base de prioridades (alta/medio/baja) asignadas a cada puerto/servicio que queramos controlar, no es posible asignar un ancho de banda concreto (en Kb o Mb) solo una de las prioridades, las cuales gestiona el mismo IPCop
Control del Trfico (Traffic Shaper)
-
Para activar el control de Trafico en IPCop, primero debemos introducir el ancho de banda total de nuestra red para que IPCop pueda gestionarlo
Control del Trfico (Traffic Shaper)
-
Despus solo tenemos que introducir el puerto/servicio que queramos controla y asignarle una prioridad (alta/medio/baja)
Control del Trfico (Traffic Shaper)
-
No permite limitar nicamente el ancho de banda de una IP , si no que limita el trafico en toda nuestra red LAN (Green).
No posee filtrado por Capa 7 (Layer 7)
Control del Trfico (Traffic Shaper)
-
Capaz de priorizar el trafico
Limita el ancho de banda de una red Lan
Limita el ancho de banda por IP
Limita el ancho de banda de Puertos
Wizard
Filtrado por Capa 7 (Layer 7)
Control del Trfico - Resumen
Funciona con prioridades (alta/medio/baja)
No limita el ancho de banda por IP
No limita el ancho de banda por Puerto
No posee filtrado por Capa 7 (Layer 7)
-
Filtro URL (SquidGuard)
No est integrado en pfSense, necesario instalar squid y squidguard va Package Manager.
-
Filtro URL (SquidGuard)
Permite usar blacklists de squidguard.org (MESD, Shalla...)
-
Filtro URL (SquidGuard)
Permite crear listas blacklist y whitelist propias:Proxy filter SquidGuard Target categories
-
Filtro URL (SquidGuard)
Permite bloquear/permitir URLs por IP de usuarios o rangos de IPs
-
Filtro URL (SquidGuard)
Personalizacin de la web de bloqueo editando el archivo /usr/local/www/sgerror.php Tambin permite utilizar una pagina web propia alojada en un servidor externo
Web por Defecto Web Personalizada
-
Filtro URL (SquidGuard)
Logs de los sitios bloqueados (fecha, hora, filtro, etc)
-
Filtro URL (SquidGuard)
Permite bloqueo del acceso en un horario o fechas determinadas
Por ejemplo si queremos bloquear una IP (o una Subred o un rango de IPs) en un horario o fechas concretas tenemos que hacer lo siguiente:
Imaginemos que queremos crear una regla para que semanalmente los Lunes y Mircoles de 12:00h a 14:00h no se pueda acceder a ciertas paginas webs desde la IP 192.168.1.229
-
Filtro URL (SquidGuard)
Lo primero es crear la regla para ese horario, nos vamos al siguiente men Proxy filter SquidGuard Times y creamos uno nuevo con los datos necesarios:
-
Filtro URL (SquidGuard)
Despus debemos crear un nuevo grupo (Groups ACL) o editar uno que ya tengamos creado y aadir la opcin de tiempo que acabamos de crear y la IP para configurar las reglas de ese grupo con la nueva regla de tiempo
-
Filtro URL (SquidGuard)
Por ultimo nos queda configurar que categora (en el ejemplo la categora porn) queremos denegar o permitir su acceso durante el periodo de tiempo.
La columna de la izquierda aplica las reglas dentro del tiempo asignado y la columna de la derecha aplica las reglas para cuando se esta fuera del tiempo
-
Filtro URL (SquidGuard)
Integrado en IPCop y basado en squidguard3
-
Filtro URL (SquidGuard)
Permite instalar blacklist de squidguard.org (MESD, Shalla...) y la posibilidad de editarlas
-
Filtro URL (SquidGuard)
Permite crear listas blacklist y whitelist personalizadas
-
Filtro URL (SquidGuard)
Tambin permite realizar filtros por expresiones, IPs y extensiones de archivos
-
Filtro URL (SquidGuard)
Personalizacin de la web de bloqueo y posibilidad de aadir un enlace a una web externa
-
Filtro URL (SquidGuard)
As es como quedara la web de bloqueo con las lineas de mensaje editadas
-
Filtro URL (SquidGuard)
Logs de los sitios bloqueados ordenados por fecha y posibilidad de exportarlos a un archivo .log desde el WebPanel
-
Filtro URL (SquidGuard)
Restricciones en funcin del tiempo , permite bloquear/permitir el acceso en un horario determinado a unas IPs en concreto o a toda una red.
Dentro del menu Filtro de URL hacemos click en el botn Habilitar las restricciones de tiempo
-
Filtro URL (SquidGuard)
Ahora solo queda configurar la restricciones de tiempo , horarios, IPs de origen, etc
-
No integrado en pfSense
Blacklists de squidguard.org
Blacklist y whitelist propias
Bloquear por IPs o rangos de Ips
Personalizacin de la web de bloqueo
Visualizacin de Logs
Restricciones en funcin del horario
Filtro URL (SquidGuard) - Resumen
Integrado en IPCop y basado en squidguard
Blacklist de squidguard.org
Blacklist y whitelist propias
Personalizacin de la web de bloque
Visualizacin de Logs
Exportar Logs
Restricciones en funcin del horario
-
Otras Consideraciones
Idioma Castellano
Balanceo de Carga
Redundancia
Multi-WAN
Usuarios sin privilegios
Package Manager
-
Gracias por vuestra atencin
Pgina 1Pgina 2Pgina 3Pgina 4Pgina 5Pgina 6Pgina 7Pgina 8Pgina 9Pgina 10Pgina 11Pgina 12Pgina 13Pgina 14Pgina 15Pgina 16Pgina 17Pgina 18Pgina 19Pgina 20Pgina 21Pgina 22Pgina 23Pgina 24Pgina 25Pgina 26Pgina 27Pgina 28Pgina 29Pgina 30Pgina 31Pgina 32Pgina 33Pgina 34Pgina 35Pgina 36Pgina 37Pgina 38Pgina 39Pgina 40Pgina 41Pgina 42Pgina 43Pgina 44Pgina 45Pgina 46Pgina 47Pgina 48Pgina 49Pgina 50Pgina 51Pgina 52Pgina 53Pgina 54Pgina 55Pgina 56Pgina 57Pgina 58Pgina 59Pgina 60Pgina 61Pgina 62Pgina 63