Hoy os traemos un pequeño manual para instalar ACME en pfSense y solicitar certificados para usarlos en la interfaz WEB, recuerda que recomendamos tener la interfaz WEB capada y solo accesible desde la IP publica de gestion.
Primeramente, ¿Qué es ACME?
ACME es un protocolo automatizado para la emisión de certificados SSL (Secure Socket Layer) y TLS (Transport Layer Security). Es ampliamente utilizado para automatizar el proceso de emisión y renovación de certificados, lo que elimina la necesidad de realizar este proceso manualmente. En pfSense es un paquete que se puede instalar y configurar desde la interfaz web del firewall para obtener y renovar certificados SSL/TLS de forma automatizada, esto es importante porque permite tener una conexión segura en el servicio web de pfsense, permitiendo una mayor seguridad en la conexión de los usuarios.
Para instalar ACME en pfSense y solicitar un certificado SSL, sigue estos pasos:
Inicia sesión en la interfaz web de pfSense como administrador.
Ahora vamos a «System» y luego en «Package Manager».
Damos en «Available Packages» y busca «ACME».
Haz clic en «Install» para instalar el paquete ACME.
Una vez instalado, haz clic en «Services» y luego en «ACME».
Haz clic en «Accounts» y luego en «Add».
Ingresa la información de tu cuenta de correo electrónico y luego haz clic en «Save».
Haz clic en «Certificates» y luego en «Add».
Ingresa la información del dominio para el cual deseas solicitar un certificado y luego haz clic en «Save».
Haz clic en «Issue» para solicitar el certificado.
Una vez emitido el certificado, haz clic en «Certificates» y luego en «View/Download» para descargar el certificado.
Ahora vamos a «Services» y luego en «Services» nuevamente.
Haz clic en «Edit» junto a «HTTPS» y selecciona el certificado recién emitido en el menú desplegable «Server Certificate».
Haz clic en «Save» y luego reinicia el servicio HTTPS para aplicar los cambios.
El certificado SSL ha sido instalado y configurado en pfSense.
Generar un CRON para que ACME renueve automáticamente los certificados
Para generar un cron para autorenovar los certificados de ACME a una determinada hora en pfSense, sigue estos pasos:
Accede a la línea de comandos de pfSense mediante SSH o mediante la opción «Diagnostics» en la interfaz web.
Utiliza el comando «crontab -e» para editar el archivo cron del sistema.
Agrega una nueva línea al archivo cron con el siguiente formato: «0 [hora] [día del mes] * * /usr/local/sbin/acme-client -c -f /var/etc/acme-client.conf» (sin comillas)
Ejemplo: «0 2 * * 1 /usr/local/sbin/acme-client -c -f /var/etc/acme-client.conf» (Este ejemplo renueva el certificado todos los lunes a las 2:00 am)
Guarda y cierra el archivo.
Ahora el cron esta configurado para ejecutar el comando acme-client para renovar los certificados automáticamente en la hora especificada.
Ten en cuenta que es importante asegurarse de que los certificados sean renovados antes de su fecha de expiración, para evitar interrupciones en los servicios que utilizan el certificado.
Recomendación sobre puerto abierto para renovar los certificados de ACME
Ya que se debe de tener el puerto 443 abierto para poder renovar los certificados, recomendamos hacer lo siguiente:
Crear un Schelude para el puerto 443, que solo tenga asignados 15 minutos en la franja que hayamos puesto en el Cron
Crear una regla del Firewall de apertura del puerto 443, y asignarle el Schelude creado en el paso 1
A poder ser usar GEOIP y poner que este puerto solo sea accesible desde USA.
Por que confiar en DCSeguridad
En DCSeguridad ofrecemos servicios de ciberseguridad especialmente enfocados a PYMEs, tales como:
Instalación y Mantenimiento de Firewall
Concienciación de Usuarios
Ciberseguridad Gestionada con nuestro XDR & EDR
Instalación y mantenimiento de VPN
Backup en la Nube como servicio (SaaS)
Análisis de Vulnerabilidades
Monitorización de Servicios contratados 24×7
Contacta con nosotros en nuestra sección de contacto y estaremos encantados de ayudarle a implantar y mantener servicios de ciberseguridad.
Hoy os traigo un pequeño manual para instalar pfSense en ZFS y ampliar SWAP.
Primero un poco de teoría que es ZFS?
ZFS (Zettabyte File System) es un sistema de archivos de código abierto desarrollado por Sun Microsystems (ahora propiedad de Oracle) para sistemas operativos basados en BSD y Linux. ZFS ofrece una gran cantidad de características avanzadas, como la administración automática de espacio, la detección y corrección de errores, la integridad de los datos, la virtualización de almacenamiento y mucho más.
Una de las características más notables de ZFS es su soporte para la creación de «pools» de almacenamiento, que permite a los usuarios agrupar varios dispositivos de almacenamiento en un solo pool lógico. Los pools ZFS también son escalables, lo que significa que se pueden agregar o quitar dispositivos de almacenamiento en cualquier momento sin interrumpir el funcionamiento del sistema.
Ademas ZFS también ofrece soporte para snapshots, que permite tomar instantáneas de los datos en un momento dado, lo que permite a los usuarios recuperar datos anteriores o revertir los cambios en caso de problemas. También ofrece soporte para la replicación de datos, lo que permite copiar automáticamente los datos entre varios dispositivos o servidores para mayor seguridad y disponibilidad.
Que beneficios nos aporta instalar pfSense en ZFS y ampliar SWAP
Al instalar pfSense en ZFS, se pueden obtener varios beneficios, entre ellos:
Integridad de datos: ZFS proporciona características de verificación de integridad de datos, como la detección y corrección de errores, lo que garantiza que los datos almacenados en el sistema estén siempre correctos y seguros.
Virtualización de almacenamiento: ZFS permite crear «pools» lógicos de almacenamiento a partir de varios dispositivos físicos, lo que permite a los usuarios aprovechar al máximo el espacio de almacenamiento disponible y escalar el sistema según sea necesario.
Snapshots y replicación: ZFS ofrece soporte para snapshots, lo que permite tomar instantáneas de los datos en un momento dado, lo que permite a los usuarios recuperar datos anteriores o revertir los cambios en caso de problemas. También ofrece soporte para la replicación de datos, lo que permite copiar automáticamente los datos entre varios dispositivos o servidores para mayor seguridad y disponibilidad.
Mejora en la administración de la memoria: Al expandir la partición de swap, se podría mejorar el rendimiento del sistema al tener más memoria disponible para los procesos en caso de necesitarlo.
Mayor estabilidad y rendimiento: ZFS es un sistema de archivos muy maduro y estable, al tener pfSense instalado sobre este sistema de archivos, se podría obtener un mayor rendimiento y estabilidad en comparación con otros sistemas de archivos.
Instalar pfSense en ZFS y ampliar SWAP
Para instalar pfSense con ZFS y ampliar la partición del swap, siga los siguientes pasos:
Sabes que es un IDS/IPS, es una de las herramientas totalmente necesarias que todas las PYMEs deben de tener instalado en su red.
Con la creciente amenaza cibernética, en los últimos años, se ha aumentado significativamente, si analizamos los últimos estudios sobre ataques cibernéticos en el año 2022, podemos observar lo siguiente:
En el año 2022, el 64% de los ataques se dirigieron a PYMEs, según estudios de Kaspersky
Los incidentes de ciberseguridad, entre las crisis que más afectan a las PYMEs
El 83% de las PYMEs no está preparada financieramente para protegerse de un ciberataque
Solo el 14% de las PYMEs, dispone de servicios suficientes de ciberseguridad
El Ransomware sigue siendo la mayor amenaza y sigue en continua adaptación (Informe CrowdStrike 2022)
¿Qué es un IDS/IPS?
Los sistemas de detección y prevención de intrusos (IDS/IPS) son herramientas esenciales para proteger las redes y los sistemas de una empresa contra ataques cibernéticos. Estos sistemas funcionan juntos para detectar y bloquear amenazas en tiempo real, lo que ayuda a proteger la seguridad de los datos y los sistemas críticos de una organización.
¿Qué es y cómo funciona un IDS?
Un sistema de detección de intrusos (IDS) se utiliza para detectar y alertar sobre actividades sospechosas o maliciosas en una red o un sistema. Puede utilizar una variedad de técnicas, como el análisis de tráfico de red, el análisis de sistemas y la detección de patrones, para detectar actividades maliciosas. Una vez que se detecta una amenaza, el IDS genera una alerta para que el personal de seguridad pueda tomar medidas para mitigarla.
Un IDS, debe de tener las siguientes características:
Tiene que observar y reconocer desviaciones del funcionamiento normal de la red o dispositivos conectados a ella.
Tiene que funcionar de forma automatizada y sin supervisión humana.
Debe ser capaz de reconocer si ha sido alterado, es decir, debe poder analizarse a sí mismo.
Nunca tiene que suponer una sobrecarga para los recursos del sistema.
Debe ser capaz de adaptarse a cualquier sistema operativo y a los cambios que se hagan sobre el sistema.
Tiene que ser capaz de identificar el origen de los ataques.
Deben suponer una auténtica «barrera difícil de superar o vulnerar» para ser realmente efectivos en la detección de amenazas.
¿Qué es y cómo funciona un IPS?
Por otro lado, un sistema de prevención de intrusos (IPS) es una herramienta de seguridad proactiva que se utiliza para bloquear las amenazas antes de que puedan causar daño. A diferencia de los sistemas de detección de intrusos, los sistemas IPS no solo detectan las amenazas, sino que también las bloquean automáticamente. Esto ayuda a prevenir la propagación de malware y a evitar la interrupción del servicio.
Un IPS, debe tener, las siguientes características:
Bloquear la dirección IP de la que procede la amenaza, por un tiempo establecido o de forma permanente.
Detener un proceso, si la actividad maliciosa proviene de uno específico.
Suspender o desactivar cuentas de usuario.
Cerrar sistemas completos para limitar el daño que pueda producirse.
Enviar una alerta a los administradores del sistema, registrar el incidente e informar sobre la actividad sospechosa detectada.
¿Qué hacen en combinación los IDS/IPS?
La combinación de IDS y IPS es especialmente eficaz para proteger las redes y los sistemas de una empresa. Los sistemas IDS detectan las amenazas y generan alertas, mientras que los sistemas IPS bloquean automáticamente las amenazas detectadas. Esto proporciona una capa adicional de seguridad para proteger los datos y los sistemas críticos de una empresa.
Además, los sistemas IDS/IPS son esenciales para cumplir con los requisitos normativos y de cumplimiento, como el RGPD o la normativa de ciberseguridad, ya que ayudan a cumplir con los estándares de seguridad y a proteger los datos de los clientes.
En resumen, los sistemas de detección y prevención de intrusos son esenciales para proteger las redes y los sistemas de una empresa contra ataques cibernéticos. Ofrecen una capa adicional de seguridad y ayudan a cumplir con los requisitos normativos y de cumplimiento. Es importante que las empresas implementen estas herramientas para proteger sus sistemas y datos críticos.
Recomendaciones de Ciberseguridad para este año 2023
Para ayudar a las organizaciones a proteger sus recursos y defenderse de un ecosistema de ciberdelincuentes en constante evolución y expansión, DCSeguridad recomienda lo siguiente:
Proteger todas las cargas de trabajo
Estar preparado cuando cada segundo cuenta
Conocer al enemigo
Detener los ataques modernos
Adaptar el modelo Zero Trust
Vigilar el mundo clandestino de la ciberdelincuencia
Eliminar los errores de configuración y corregir vulnerabilidades
Hoy nos hemos encontrado con este fallo en un firewall de un cliente em3: detached pci4: detached, por lo que la interface no aparecía en la lista y no dejaba asignarla, aparte de eso, terminaba por colapsar el firewall, aquí os dejamos la solución que hemos encontrado y aplicado y esta todo correctamente funcionando.
En un primer momento pensábamos que podía ser un problema de hardware, pero hemos observado que el hardware funcionaba correctamente, por lo que hemos procedido a realizar unas modificaciones para su correcto funcionamiento.
Revisando los archivos de los logs hemos encontrado los siguientes problemas del kernel:
pci4: detached
em3: detached
mountroot: waiting for device /dev/ufsid/60a0e7493914b351
Solución em3: detached pci4: detached
Para solucionar este problema hemos realizado las siguientes acciones:
Acceder a la GUI de pfSense
Diagnostics -> Edit File
Browse -> Boot -> loader.conf
Ahora debemos de agregar las siguientes líneas al archivo, si alguno de ellos ya está omitirla, en nuestro caso faltaban casi todas:
kern.cam.boot_delay=10000
kern.ipc.nmbclusters=»1000000″
kern.ipc.nmbjumbop=»524288″
kern.ipc.nmbjumbo9=»524288″
kern.vty=sc
autoboot_delay=»3″
hw.hn.vf_transparent=»0″
hw.hn.use_if_start=»1″
net.link.ifqmaxlen=»128″
Una vez añadimos todas las líneas que falten, sin eliminar las que previamente estaban en el archivo, debemos de proceder a guardar los cambios, esta acción también la podemos hacer por ssh o directamente desde la consola, pero es mucho más cómodo hacerlo por la GUI.
Cuando tengamos todos los cambios guardados, procedemos a reiniciar el pfSense.
Una vez haya terminado el proceso de carga ya podemos asignar nuevamente la tarjeta em3 a una interface.
Solo hemos observado el fallo en nuestro caso con la tarjeta em3, pero esta solución también será válida en caso de tener los mismos mensajes en cualquier otra tarjeta.
Necesitas ayuda con tu mantenimiento de pfSense
Si estas interesado en una empresa que te de servicios de ciberseguridad, no dudes en ponerte con nosotros en nuestro apartado de contacto de nuestra web, nos pondremos en contacto con usted. Tenemos más de 15 años de experiencia, en soporte y mantenimiento de Firewall para Pyme, especialmente con pfSense en todas sus versiones.
Nos encargamos de la ciberseguridad de tu empresa
Nos esforzamos continuamente en buscar las mejores soluciones para nuestros clientes, es por ello que ofrecemos una gran cantidad de servicios de ciberseguridad, tales como:
Cuando arrancamos pfSense no arranca y se queda clavado en pfSense Can´t find ´/etc/hostid´/boot/entropy size=0x1000, ante esto la mejor solución es volver a instalar el sistema, pero el problema reside si no disponemos de un Backup actualizado o directamente no tenemos ninguno, tras muchos quebraderos de cabeza, lo mejor es reinstalar pfSense de la siguiente manera:
Reinstalación de pfSense después de error Can´t find ´/etc/hostid´/boot/entropy size=0x1000
Aquí vamos a ver dos métodos diferentes para la reinstalación del dispositivo y que nuestra configuración se quede exactamente igual que estaba, sin perder ninguna configuración y no perder tiempo con las reconfiguraciones del dispositivo:
Disco no accesible desde otro equipo
Esta opción, funciona con sistemas de archivos UFS o ZFS.
Para realizar esta primera opción, recomendamos que se haga con un segundo disco duro, para ello hacemos lo siguiente:
Conectamos un segundo disco duro, o bien hacemos un Backup del archivo /conf/config.xml
Arrancamos desde un pendrive con la imagen booteable de nuestro pfSense
En el menú de instalación, le damos a la tercera opción Recover config.xml
Nos aparecerá el archivo config.xml que queremos restaurar, le damos a aceptar y nos llevará de nuevo a la ventana de instalación
Ahora procedemos a la instalación del sistema como siempre la realizamos
Una vez arranque el sistema veremos que nos ha volcado la configuración y todo funciona como antes del problema detectado
Aunque este sistema es muy probable que funcione a la primera, como comentábamos anteriormente, es recomendable usar un segundo disco para comprobar que todo funciona correctamente, y una vez comprobado, realizar el proceso en el disco de destino final de la instalación de pfSense.
Disco duro accesible desde otro dispositivo
Esta opción, al igual que el ejemplo anterior, funciona con sistemas de archivos UFS o ZFS.
En esta segunda opción y si el disco del sistema pfSense conectándolo a otro equipo es accesible, debemos de proceder de la siguiente manera:
Conectar el disco duro a un sistema Linux y montar la unidad
Copiar el archivo /conf/config.xml a un pendrive:
Formatear el Pendrive en FAT/FAT3
Crear un directorio llamado conf
Copiar dentro de este el archivo que salvamos de la carpeta /conf/config.xml
Ahora procedemos con la instalación
En el menú de instalación, procedemos desde la tercera opción Recover config.xml
Cuando nos salga el menú nuevamente de instalación, procedemos a la instalación de nuestro pfSense
Una vez haya finalizado, retiramos el pendrive con el archivo que teníamos de configuración y arrancamos el pfSense como si nada hubiese pasado
Opción extra
Os queríamos dejar también otra forma de pasar un Backup de un pfSense a una nueva instalación, para ello, debemos de seguir los pasos que hacemos en la segunda parte de este tutorial: Disco duro accesible desde otro dispositivo, para ello, lo que debemos hacer en el paso 2, es copiar el archivo de Backup que tengamos y solamente cambiarle el nombre para que sea config.xml, de esta manera directamente en la instalación nos volcara el Backup directamente y tendremos el nuevo dispositivo totalmente accesible y funcional. Únicamente deberemos de asignar las interfaces para que en el nuevo dispositivo las dejemos configuradas.
Necesitas ayuda con tu mantenimiento de pfSense
Si estas interesado en una empresa que te de servicios de ciberseguridad, no dudes en ponerte con nosotros en nuestro apartado de contacto de nuestra web, nos pondremos en contacto con usted. Tenemos más de 15 años de experiencia, en soporte y mantenimiento de Firewall para Pyme, especialmente con pfSense en todas sus versiones.
Para ofrecer las mejores experiencias, utilizamos tecnologías como las cookies para almacenar y/o acceder a la información del dispositivo. El consentimiento de estas tecnologías nos permitirá procesar datos como el comportamiento de navegación o las identificaciones únicas en este sitio. No consentir o retirar el consentimiento, puede afectar negativamente a ciertas características y funciones.
Funcional
Siempre activo
El almacenamiento o acceso técnico es estrictamente necesario para el propósito legítimo de permitir el uso de un servicio específico explícitamente solicitado por el abonado o usuario, o con el único propósito de llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas.
Preferencias
El almacenamiento o acceso técnico es necesario para la finalidad legítima de almacenar preferencias no solicitadas por el abonado o usuario.
Estadísticas
El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos.El almacenamiento o acceso técnico que se utiliza exclusivamente con fines estadísticos anónimos. Sin un requerimiento, el cumplimiento voluntario por parte de tu proveedor de servicios de Internet, o los registros adicionales de un tercero, la información almacenada o recuperada sólo para este propósito no se puede utilizar para identificarte.
Marketing
El almacenamiento o acceso técnico es necesario para crear perfiles de usuario para enviar publicidad, o para rastrear al usuario en una web o en varias web con fines de marketing similares.
