Speaker 1: Hola, gracias por estar nuevamente conmigo en el canal, para hoy vamos a trabajar el tema de seguridad con Proxmox, para eso vamos a instalar un Firewall en nuestro ambiente virtualizado que nos permita servir como puente y que sirva de protección para nuestras máquinas virtuales, en este caso vamos a utilizar un Firewall que es de libre uso que se llama pf-sense y es muy poderoso espero les sea muy útil el vídeo ya saben bienvenidos todos los comentarios no se les olvide el like a los vídeos clic en la campanita suscríbase al canal y nos vemos a través del vídeo gracias bueno como siempre comencemos por el principio acá hoy no vamos a tener una explicación técnica realmente el proceso es muy sencillo lo primero que tenemos que hacer es descargar el Firewall. Para eso vamos a Google y, sí, simplemente buscamos y nos vamos a la página de PDF Sales. Si se dan cuenta, es una página .org, es un software que de cierta forma se puede usar de forma gratuita. Hay una versión de pago que tiene funcionalidades avanzadas, pero la versión gratuita es más que suficiente para lo que generalmente necesitamos en nuestra plataforma virtualizada. Nos vamos a ir en la parte superior derecha, a donde dice Download. En este caso, ya nos lleva a la parte de la descarga. Tenemos varias opciones para descargarla. Está el Daily Snapshot, con todas las actualizaciones hasta el día. Y está la versión de descarga. Yo siempre me voy por esta. la versión como más estable, él nos va a llevar a un carrito de compra. Y obviamente al cookie hay que aceptarlo, no hay ningún inconveniente. Bueno, el carrito de compra realmente no es que nos toque pagar. Es un proceso que él ya lo hace de forma automática. Y aquí en seleccionar la imagen, vamos a seleccionar la segunda imagen, la que se llama ISO-IPMI Virtual Machines. Hay varias versiones. La primera es para poder arrancar el PFSense desde una memoria. Y la última para poderlo hacer también desde una memoria, pero para equipos ARM. En este caso, vamos a poner en una máquina virtual, no en una USB. Entonces, seleccionamos el segundo. Le decimos cuánta cantidad. realmente solo con uno suficiente, adicionar al carrito. Y ya aquí, si se dan cuenta, cuánto tenemos que pagar? Cero. Vamos a hacer el checkout y esto ya simplemente al hacer clic en checkout nos va a llegar un link. Bueno, no nos llega un link. Realmente nos manda a una página donde simplemente llenamos unos datos, nos tenemos que registrar y luego nos lleva a, nos llega el correo, un link de descarga. En este caso, Yo ya tengo descargada la imagen en mi disco. Simplemente vamos a saltar el paso y vamos a pasar a la parte de la creación de la máquina virtual. Bueno, entonces comencemos a listar nuestra plataforma. Lo primero que yo ya hice fue cargar el ISO, y aquí lo tenemos, NetGate Installer. un archivo bastante pequeño 989 megas lo segundo que es importantísimo tener es que para instalar el firewall vamos a necesitar dos redes diferentes una que va a conocerse como red one y la otra red LAN en este caso la red one la tengo en el bridge 0 es la que se llama 192.168.1.50 lo voy a poner acá en el comentario y ya tengo creada otra, obviamente no la tengo completa, si se pueden dar cuenta no tiene puerto de salida, pero pues bueno, ya la voy a completar NS36 que es el puerto de salida que está libre y esta red es la que voy a llamar LAN que es conectada que va a ser la que está conectada a mi red local o la red privada de las máquinas virtuales. Importante si se pueden dar cuenta es que de las dos sólo una tiene gateway obviamente el clúster solamente va a poder o el próximo sólo va a poder salir por por un solo punto que va a ser el one una vez tengamos instalado nuestro firewall la dirección del firewall va a funcionar como nuestro punto de salida y ahí podríamos cambiar el direccionamiento ip de nuestras máquinas para que salgan por el firewall acá le damos ok entonces lo que les mostraba acá tenemos el gateway que es este y en la otra no tenemos gateway no tenemos el gateway en blanco en este caso no tengo villains ya lo tengo listo simplemente le vamos a aplicar configuración y si, con eso ya tenemos la red lista, paso siguiente vamos a crear la máquina virtual, ya continuamos bueno listos para crear la máquina virtual acá simplemente botón derecho crear máquina virtual en este caso el nombre me va a dar un nombre, ya lo tengo acá, FSense Firewall. Este nombre es opcional. Ustedes se lo pueden poner el que deseen. Perdón, no es opcional. Puede ser cualquiera que ustedes deseen. Importante, como siempre lo he dicho, que siempre tenga relación a lo que ustedes están manejando para que a simple vista cualquiera persona que vaya a administrar pueda conocer cuál es la función de la máquina. Vamos, clic en Siguiente. en este caso vamos a dejar las opciones como están y vamos a seleccionar el instalador, en este caso no vamos a modificar ningún otro parámetro. Siguiente, parámetros por default, importante siempre dejar el gemu-agent, en el que pues ese es el que permite que la máquina virtual se comunique de forma más óptima con el sistema operativo. clic en siguiente, en este caso el disco duro, el disco duro está bien el de 32 gigas, no necesitamos más, importante que debe estar seleccionado la opción de IOTreats, IOTreats básicamente lo que le permite a la máquina es tener un mejor desempeño a nivel de disco, entonces lo dejamos allí seleccionado, a nivel de CPU, vamos a clic en el siguiente, vamos a tener una CPU con un core y un socket, está bien. Este es un ambiente de pruebas, es más que suficiente, no necesitamos más, obviamente si ustedes ya tienen esto en ambientes productivos, es importantísimo que ajusten las cargas de acuerdo a su a su requerimiento y en el caso de la cpu vamos a dejar el que viene de forma predeterminada si estoy revisando si viene alguno que se llama de default la nota técnica nos dice que pero no este es el que viene de forma predeterminada lo dejamos así y le damos clic en siguiente a nivel de memoria a a nivel de memoria se recomiendan como mínimo 8 gigas 8192 megas lo dejamos allí en este caso nos va a pedir en la parte de red le vamos a dejar la parte one en primera instancia luego vamos a agregar la otra simplemente lo dejamos así en opciones avanzadas le vamos Vamos a dejar que tenga el Multi-Queue en 8. El Multi-Queue lo que le va a permitir a la máquina virtual de PDF Sense es poder administrar y censar la red mejor para saber cuál es la configuración que es más adecuada. Esto lo hace directamente el sistema operativo de PDF Sense. Le damos clic en Siguiente. Y aquí ya tenemos el resumen de la máquina virtual. si se dan cuenta realmente no es muy diferente solamente hay que estar seguro de un par de parámetros y ya lista nuestra máquina virtual el siguiente paso es agregar las tarjetas ya tenemos la primera tarjeta que es la que se llama LAN cierto ahora vamos a agregar la que se llama WAN bueno continuamos ya tenemos la tarjeta de LAN en nuestra máquina, aquí en hardware ya podemos ver que la tarjeta de LAN ya está activa, vamos a asegurarnos que esté correctamente configurado, sí, está perfectamente configurada, listo. La segunda tarjeta, vamos a adicionarla acá, vamos a decir Network Device, en este caso lo primero que tenemos que estar seguros es que la opción de Firewall está desactivada. En en RateLimit, Unlimited y en MultiQueue, el valor debe estar en 8, como ya lo habíamos visto con la tarjeta anterior. Ya teniendo esto, procedemos a darle clic en Adicionar y ya tenemos las dos tarjetas de red. En este caso, ya estamos listos para lanzar la instalación de nuestra maquina virtual de PFCs. Muy bueno. ¿Lista la máquina? Hay que asegurarnos de una cosa. Me acabo de dar en cuenta que en la tarjeta de LAN le dejé el Firewall activo. Debe, en ambas tarjetas, estar el Firewall inactivo. Ahora sí estamos bien. En este caso, ya está nuestra máquina lista. Hacemos clic en Consola. y le damos clic en Start para iniciar la máquina e iniciar la instalación de la máquina.

Speaker 2: Listo, vamos a esperar que arranque.

Speaker 1: bueno primero pantalla acá simplemente tenemos que aceptar la licencia si no nos va a dejar continuar vamos a hacer la instalación, le damos enter, vamos a seleccionar las redes clique enter y acá tenemos las dos redes, en este caso nos dice que vamos a seleccionar la tarjeta WAN y para estar seguros vamos a irnos a hardware y nos dice que la tarjeta net 0 que es la de WAN es la A101 cierto vamos a la consola A101 es la tarjeta de WAN está perfectamente seleccionada vamos a proceder con la instalación, le damos a enter y aquí nos pregunta si queremos continuar sin asignar la tarjeta LAN o si seleccionamos la otra tarjeta, en este caso obviamente vamos a seleccionar la tarjeta, le damos click en ok Y ya tenemos listo, ya nos está diciendo, mire, él está detectando que la IP, la red de 192.168.1.1 es nuestra tarjeta de WAN y está perfecto, entonces le vamos a decir que proceda con la instalación, le hacemos click en enter, listo, aquí ya tenemos LAN es la vnet 1 y 1 es la vnet 0, le damos enter para continuar, acá comienza a ser el proceso de chequear la configuración para garantizar que sí está bien, está conectando los servidores de Netgate que es el desarrollador y aquí ya nos dice que está, bueno aquí si es normal vamos a instalar la versión que se llama C, la Community Edition que es la versión gratuita, porque esta máquina no es válida para una suscripción. Está bien. No hay ningún problema. Damos Enter en Install CE. Y a continuación, continuar con la instalación. Vamos a dejar los parámetros como están. Enter, Enter, Enter. y aquí ya está haciendo todo el proceso de instalación esperamos a que termine y ya continuamos ah perdón hay dos versiones si no no antes de acelerar el vídeo nos dice cuál es la versión la versión estable seleccionamos la current la versión estable y él ya continúa con la instalación ahora sí nos vemos en un momento Bueno, listo. Ya aquí terminamos de hacer la primera parte de la instalación. Y como se pueden dar cuenta, una vez reinicia, quedamos en esta pantalla. Esta pantalla es la que permite la administración del Firewall a través de consola. Entonces, cosas que es es importante revisar, es el direccionamiento en la máquina, ya que los parámetros tienen que estar de acuerdo a la configuración que nosotros tengamos. Entonces, exactamente en la parte inferior de Welcome to BF Sense, vamos a revisar los 2 direccionamientos que tenemos. En este caso, el direccionamiento de la parte de 1 es un direccionamiento dinámico. Tenemos la dirección asignada por DHCP 4. Podemos ver que tiene la 192.168.1.17 con máscara de 24 bits. Y en la parte de LAN tenemos una dirección de la misma red. Es decir, tenemos ahí un problema de direccionamiento. Ahí no tendríamos una funcionalidad adecuada del Firewall porque los dos rangos de direcciones están dentro de la misma red. Entonces, ahí hay un loop, ahí no funcionaría. Tenemos que ajustar el direccionamiento de la interfase de LAN. Para eso, simplemente vamos a editar 2. Y acá nuevamente digitamos 2 para editar la LAN. Vamos a asignar esta dirección por DHCP. Podríamos hacerlo si tenemos un DHCP. La recomendación es que no, porque cuando esté un firewall productivo generalmente tiene una dirección fija y esa dirección los equipos de infraestructura pues la tienen que poder alcanzar y no puede moverse, no puede estar cambiando. Entonces le voy a decir que no en este caso y vamos a asignarle una dirección IP perdón voy a asignar la 192 168 44, 10. ¿Por qué le asigno eso? Porque ya tengo claro que ese es el direccionamiento que yo asigné. Ya tengo un par de equipos configurados en esa red, entonces esa es la que me sirve. Con máscara de 24. Le voy a dar Enter. A continuación, nuevamente Enter. Vamos a configurar el direccionamiento IP de versión 6. Digámosle que no por ahora. Enter nuevamente. ¿Vamos a activar el DHCP? No, yo ya tengo un servidor de DHCP en esta red, entonces le voy a decir que no. ¿Queremos redireccionar el direccionamiento, el protocolo o la consola web? Digámosle que sí. y ya acaba las configuraciones y ya si se dan cuenta ya la consola dice que está en la dirección que nosotros le pusimos a esa tarjeta, damos enter y ya quedamos listos para hacer la configuración en forma web bueno ya ahora sí nos vamos a la consola en este caso a la dirección que le pusimos la 4410. Ya nos pide loggearnos en consola. Aquí vamos a utilizar el usuario admin. Y la clave es pfSense. Obviamente, la recomendación es, una vez ingresemos, cambiarla. Le voy a decir que no la salve, no guardar. Y acá nos lleva por un asistente. Importante, miren, la cuenta de Power Default, por favor, cámbiela. en el administrador de usuarios. Eso lo vamos a hacer en un momento. Lo primero que vamos a hacer es seguir el asistente para dejar configurada la primera configuración y listo. Simplemente le damos clic en siguiente. Nos va a pedir el nombre de la máquina. Entonces, en este caso, le voy a decir que es el... la bmfw01 de maquina virtual firewall 01 el dominio como ustedes ya bien lo saben el dominio siempre es testlab.local DNS yo siempre uso los de OpenDNS 208.67.222.222 y para el secundario 208.67.220.220 vamos a dejar el override activado, siguiente, zona horaria vamos a dejarlo con el servidor de tiempo que está, no veo por qué cambiarlo Y nos vamos a ir a la zona horaria adecuada. En mi caso, yo estoy en América, Bogotá. Y damos clic en Siguiente. Ahora nos va a decir el direccionamiento de la parte de One. Lo vamos a dejar quieto. No necesitamos cambiarlo en este momento. Igual, si se dan cuenta, aquí también tenemos algunas configuraciones importantes cuando tenemos conexiones a través de WAN. Lo vamos a dejar quieta. En este caso, estamos en una red que no necesita todos esos parámetros. Y en el siguiente, ahora nos pregunta la información de la red LAN. Nosotros ya estamos seguros que esa dirección está bien. Fija, nos aclara que digitamos DHCP, si queremos que sea DHCP. En este caso, lo voy a dejar quieto. En el paso anterior, la fijamos a través de la consola. Vamos a cambiar el password de administración. En este caso, ya saben, una mayúscula, un número, un carácter especial y 8 caracteres como mínimo. Ah, bueno, una cosa que se me olvidó mencionarles hace un momento y es que este firewall, bueno, en general la mayoría de los equipos de seguridad de una red vienen con el protocolo SSH deshabilitado. Le damos clic en Siguiente. Ahora nos va a pedir, nos está pidiendo que recarguemos las configuraciones. Esperemos que responda la consola. Listo. Y ya lo último es chequear que esté actualizado. Esperamos un momento. Si encuentra que algún componente está desactualizado, pues nos va a mostrar el mensaje y nos va a permitir actualizarlo. Si se dan cuenta, aquí el piñoncito estaba funcionando. Nos dice, estamos al día. Pues, listo. Ya quedó totalmente actualizado nuestro sistema. Y así nos vamos a la consola. La consola. Ahora se me, ah, bueno. Listo ya. La consola. Simplemente le hacemos clic en PDF Sense. Acá nos saca el copyright. Vamos a aceptar. Y ya de aquí para adelante podemos comenzar a configurar nuestras reglas. En este caso, estas reglas las veremos en un video posterior. De eso es importante que se ajusten a lo que necesiten para sus temas de seguridad. Importante que tengan claro que, en este caso, la configuración que hicimos en nuestro servidor Proxmox, Tenemos una interfase WAN y una interfase LAN, ¿no? En el caso de la configuración de nosotros, la interfase WAN, el único equipo que la va a utilizar va a ser este, porque él se va a convertir en el gateway o en el equipo de salida. La configuración LAN lo van a utilizar todas las demás máquinas. Y deben tener en cuenta que cuando estén haciendo la configuración de sus máquinas virtuales, del direccionamiento IP estático, la dirección del Gateway debe ser la del Firewall, en este caso debe ser la 4410, para que puedan tener la salida de forma adecuada. Bueno, como se pudieron dar cuenta, a través de todo el proceso no es nada complejo, pero sí es de cuidado. Importante, importante, importante no saltarse ningún paso para que el firewall les quede funcionando perfectamente y si les sirva de protección a su ambiente virtualizado. Y bueno, hasta acá llegamos el día de hoy. Muchísimas gracias nuevamente por estar conmigo en el canal. Ya saben, consultas todas son bienvenidas a través de los comentarios. No se les olvide el like a los videos, cliquen en la campanita y suscríbanse al canal y nos vemos en el próximo. Muchísimas gracias.

Speaker 3: Chao. Subtítulos realizados por la comunidad de Amara.org