Servicios IT de MITCSS
pfSense es una plataforma de firewall y enrutador de código abierto basada en FreeBSD que se ha consolidado como una de las soluciones más potentes y flexibles en el ámbito de la seguridad de redes.

pfSense

Seguridad avanzada y flexibilidad para tu red

pfSense es una plataforma de firewall y enrutador de código abierto basada en FreeBSD que se ha consolidado como una de las soluciones más potentes y flexibles en el ámbito de la seguridad de redes. Gracias a su núcleo personalizado y a la posibilidad de integrar paquetes de software de terceros, ofrece un rendimiento comparable, e incluso superior, al de muchas alternativas comerciales, sin imponer limitaciones artificiales. Con millones de descargas y cientos de miles de instalaciones activas en todo el mundo, pfSense ha reemplazado con éxito a marcas reconocidas como Cisco, Juniper, SonicWall o Check Point en entornos tan variados como hogares, universidades, empresas y proveedores de servicios.

Una solución intuitiva y accesible

Una de las mayores ventajas de pfSense es su interfaz web intuitiva, que permite gestionar cada aspecto de la plataforma sin necesidad de conocimientos previos en UNIX ni edición manual de reglas. Esto facilita la configuración y administración tanto para usuarios sin experiencia como para profesionales acostumbrados a firewalls comerciales, quienes encuentran en pfSense un entorno rápido de adoptar.

Evolución y alcance del proyecto

El proyecto nació en 2004 como una bifurcación de m0n0wall, con el objetivo de ofrecer un firewall y enrutador con más capacidades sobre hardware de mayor potencia. Desde entonces ha evolucionado de manera constante, integrando funciones como VPN, IDS/IPS y herramientas de calidad de servicio, adaptándose tanto a equipos pequeños de oficina como a servidores de gran escala para corporaciones. Su éxito radica en la facilidad de administración y en la capacidad de ampliar funcionalidades a través de un sistema modular de paquetes que evita sobrecargar la distribución base y mantiene un alto nivel de seguridad.

pfSense Plus: potencia empresarial

En 2021, Netgate presentó pfSense Plus, una versión orientada al mercado empresarial que incorpora funciones avanzadas no disponibles en la edición comunitaria. pfSense Plus ofrece actualizaciones más frecuentes y sincronizadas con los avances de FreeBSD, además de optimizaciones en criptografía y aceleración de VPN. Entre estas mejoras se incluyen tecnologías de aceleración como Intel QuickAssist, SafeXcel o CESA, que multiplican el rendimiento de las conexiones seguras en distintas arquitecturas de hardware.

Características avanzadas para entornos críticos

pfSense Plus también integra herramientas pensadas para facilitar la administración en entornos complejos, como asistentes de configuración para IPsec y OpenVPN, integración con AWS para conexiones VPN automatizadas, y opciones avanzadas de alta disponibilidad con CARP en modo multicast o unicast. Asimismo, incorpora soporte para filtrado en capa 2, autenticación WAN 802.1X y exportación nativa de flujos de datos NetFlow/IPFIX, lo que lo convierte en una plataforma robusta y adaptable a las necesidades más exigentes de seguridad y conectividad.

Beneficios del software pfSense Plus

Actualizaciones de software más frecuentes

Una de las diferencias más significativas es la cadencia de lanzamientos. El software pfSense Plus cuenta con actualizaciones principales programadas tres veces al año, además de versiones adicionales cuando es necesario. Esto permite a Netgate mantener pfSense Plus estrechamente sincronizado con los numerosos cambios y actualizaciones que se realizan “upstream”, incluyendo FreeBSD.

Criptografía y aceleración de VPN

pfSense Plus incorpora una serie de capacidades que mejoran notablemente el rendimiento de la conectividad VPN. Entre estas funciones exclusivas se incluyen:

  • Compatibilidad con OpenVPN Data Channel Offload (DCO): proporciona grandes mejoras de rendimiento al procesar datos cifrados de OpenVPN, reduciendo la cantidad de cambios de contexto que ocurren en cada paquete.
  • Compatibilidad con Intel IPsec Multi-Buffer (IIMB): incrementa el rendimiento de VPN en plataformas Intel, AMD y ARM que cuentan con soporte de instrucciones extendidas, reemplazando algunas funciones criptográficas del kernel por funciones aceleradas que aprovechan esas instrucciones.
  • Compatibilidad con Intel QuickAssist Technology (QAT): tecnología de aceleración de hardware específica de Intel que aumenta significativamente el rendimiento mediante procesamiento asincrónico para muchas operaciones criptográficas.
  • Compatibilidad con el acelerador criptográfico SafeXcel: presente en algunas plataformas ARM, como los dispositivos Netgate 1100 y 2100.
  • Compatibilidad con CESA: tecnología de aceleración disponible en algunas plataformas ARM, como el dispositivo Netgate 3100.

Paquetes adicionales para facilitar la conectividad

  • Asistente de conexión VPN a AWS VPC: crea automáticamente un túnel VPN y la configuración BGP para comunicarse con una VPC de Amazon AWS.
  • Asistente de perfiles IPsec: genera perfiles de configuración IPsec para dispositivos Apple (iOS y macOS), además de paquetes de scripts de importación para dispositivos Windows.
  • Módulo de importación de clientes OpenVPN: permite importar un archivo de configuración unificado de cliente OpenVPN exportado por un servidor OpenVPN.

Funciones adicionales

  • Gestión de entornos de arranque ZFS en webConfigurator: facilita la creación de instantáneas de áreas clave del sistema de archivos, lo que permite actualizaciones y cambios importantes más seguros. En caso de problemas, el firewall puede restaurarse a un estado anterior conocido y estable.
  • Widget de panel ZFS: permite supervisar fácilmente el estado de los discos gestionados con ZFS.
  • Modo CARP (multicast o unicast): ofrece la opción de elegir cómo opera CARP (alta disponibilidad). Algunos entornos, incluyendo virtualización, presentan problemas con el modo multicast, que es el único admitido por pfSense CE.
  • Soporte para reglas de filtrado Ethernet (Capa 2): función experimental que permite crear reglas de paso/bloqueo basadas en atributos de encabezados Ethernet (como direcciones MAC). Estas reglas se procesan antes de las de capa 3 en el tráfico entrante y después en el saliente.
  • Compatibilidad con certificados de cliente LDAP: permite enviar un certificado al servidor LDAP para identificar al cliente al usar un modo de transporte cifrado.
  • Opciones gráficas para autenticación WAN 802.1X y etiquetado VLAN 0 PCP: facilitan la conexión directa a ciertas redes de ISP que requieren dispositivos específicos en el borde, como un módem con certificado de autenticación.
  • Exportación nativa de datos de flujo de paquetes para NetFlow/IPFIX: a partir de la versión 24.03, el firewall puede exportar directamente datos de flujo NetFlow v5 e IPFIX a uno o más recolectores usando la función pflow(4) en PF. Los datos se recopilan directamente de los estados del firewall sin necesidad de un demonio, servicio o paquete adicional.
Scroll to Top