Seguridad perimetral con pfSense: tu muralla digital, paso a paso

¿Ya tienes pfSense instalado y funcionando? Perfecto, porque en este artículo no vamos a repetir el proceso de instalación (si lo necesitas, tienes la guía básica aquí). Hoy vamos a dar el siguiente paso: convertir pfSense en el guardián perimetral de tu red, separando zonas, controlando accesos y añadiendo capas de defensa que te permitan dormir tranquilo.

¿Qué es la seguridad perimetral y por qué importa?

Piensa en tu red como una casa: no basta con ponerle llave a la puerta principal (el servidor), necesitas una valla, cámaras y zonas separadas para invitados y familia. La seguridad perimetral consiste justo en eso: segmentar, vigilar y controlar los puntos de entrada y salida de tu red, minimizando el riesgo de que una brecha comprometa todo tu entorno.

Redirección de puertos: abre solo lo necesario

En lugar de exponer máquinas completas a Internet (lo que puede ser peligroso si no sabes exactamente lo que haces), pfSense te permite redirigir solo los puertos que realmente necesitas hacia dentro de tu red. Por ejemplo, si tienes un servidor web o un servicio concreto, puedes abrir solo el puerto 80 (HTTP) o 443 (HTTPS) y apuntarlo al dispositivo adecuado, manteniendo el resto de la red protegida y oculta.

¿Cómo hacerlo?

• Ve a Firewall > NAT > Port Forward en pfSense.
• Añade una nueva regla para el puerto que quieras abrir.
• Indica la IP interna del dispositivo al que debe llegar ese tráfico.
• Guarda y aplica los cambios.

Este método es mucho más seguro que exponer una máquina entera en una DMZ, especialmente si no tienes experiencia gestionando servicios públicos.

Crea una red separada para dispositivos menos confiables

¿Tienes dispositivos de los que no te fías mucho (IoT, smart TVs, gadgets de marcas raras, etc.)? Lo ideal es ponerlos en una red aparte, aislada de tu red principal, pero que puedan acceder a Internet y resolver nombres de dominio (DNS).

Paso a paso:

1. Crea una nueva interfaz o VLAN
   • Ve a Interfaces > Assignments y añade una nueva interfaz física o VLAN.
   • Asígnale un nombre descriptivo, por ejemplo, «IOT» o «Invitados».
2. Configura el DHCP
   • Ve a Services > DHCP Server y habilita el servidor DHCP para la nueva red, para que los dispositivos reciban IP automáticamente.
3. Crea reglas de firewall para la red separada
   • Ve a Firewall > Rules y selecciona la interfaz de la nueva red.
   • Añade las siguientes reglas en este orden (¡el orden es fundamental!):
   Orden y descripción de las reglas:
   1. Permitir DNS:
      • Acción: Pass
      • Protocolo: UDP
      • Origen: la red menos confiable (por ejemplo, IOT net)
      • Destino: any
      • Puerto destino: 53
      • Descripción: Permitir consultas DNS
   2. Bloquear acceso a la red interna:
      • Acción: Block
      • Protocolo: any
      • Origen: la red menos confiable
      • Destino: 192.168.0.0/16
      • Descripción: Bloquear acceso a la red interna
   3. Permitir acceso a Internet:
      • Acción: Pass
      • Protocolo: any
      • Origen: la red menos confiable
      • Destino: any
      • Descripción: Permitir acceso a Internet
   Así, los dispositivos de esa red podrán navegar y actualizarse, pero no verán ni accederán a tus ordenadores personales ni servidores. Consejo: Si quieres ser aún más estricto, puedes crear un alias en pfSense que incluya todos los rangos privados (192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12) y usarlo en la regla de bloqueo.

IDS/IPS: detección y prevención de intrusiones

Para dar un salto más en seguridad, pfSense permite instalar paquetes como Snort o Suricata, sistemas IDS/IPS que monitorizan el tráfico en busca de patrones sospechosos y bloquean ataques conocidos:

• IDS (Intrusion Detection System): Detecta actividades anómalas o maliciosas.
• IPS (Intrusion Prevention System): Además de detectar, puede bloquear automáticamente amenazas.

La instalación y configuración es sencilla desde el gestor de paquetes de pfSense, y puedes elegir qué interfaces proteger y qué reglas aplicar según tus necesidades.

Buenas prácticas y mantenimiento

• Actualiza pfSense y los paquetes de seguridad regularmente para evitar vulnerabilidades conocidas.
• Haz copias de seguridad de la configuración antes de hacer cambios importantes.
• Revisa los logs de vez en cuando: pfSense ofrece registros detallados para detectar intentos de acceso no autorizados o comportamientos anómalos.

Despedida

¿Listo para construir tu propia muralla digital? Recuerda, la seguridad perimetral es una de las mejores inversiones que puedes hacer para proteger tu red y tus datos, tanto en casa como en la oficina. Si te animas a dar el salto, pfSense te lo pone fácil y aquí estaremos para ayudarte en cada paso.

¿Tienes dudas, quieres ver ejemplos de reglas o necesitas una mano con la segmentación de tu red? Déjalo en los comentarios o cuéntanos tu experiencia. Y si aún no has instalado pfSense, no olvides que tienes disponible nuestra guía básica paso a paso.

¡Nos leemos en el próximo artículo y, mientras tanto, que ningún susto digital cruce tu perímetro!