A pesar del hecho de que pfSense y m0n0wall parecen recibir la mayor parte de la consideración en el mercado de cortafuegos / enrutadores de código abierto, con pfSense superando a m0n0wall en los últimos años, hay varias distribuciones excelentes de cortafuegos / enrutadores disponibles tanto en Linux como en BSD. Todos estos proyectos se basan en sus respectivos firewalls nativos del sistema operativo. Linux, por ejemplo, incorpora netfilter e iptables en su núcleo. OpenBSD, por otro lado, usa PF (filtro de paquetes), que reemplazó a IPFilter como el firewall predeterminado de FreeBSD en 2001. La siguiente es una lista (no exhaustiva) de algunas de las distribuciones de firewall / enrutador disponibles para Linux y BSD, junto con con algunas de sus capacidades

[1] Smoothwall

Smoothwall Open Source Project se creó en 2000 para desarrollar y mantener Smoothwall Express, un firewall gratuito que incluye su propio sistema operativo GNU / Linux con seguridad reforzada y una interfaz web fácil de usar. SmoothWall Server Edition fue el producto inicial de SmoothWall Ltd., lanzado el 11-11-2001. Fue esencialmente SmoothWall GPL 0.9.9 con el apoyo proporcionado por la empresa. SmoothWall Corporate Server 1.0 se lanzó el 17-12-2001, una bifurcación de código cerrado de SmoothWall GPL 0.9.9SE. El servidor corporativo incluía características adicionales como el soporte SCSI, junto con la capacidad de aumentar la funcionalidad a través de módulos adicionales. Estos módulos incluyen SmoothGuard (proxy de filtrado de contenido), SmoothZone (DMZ múltiple) y SmoothTunnel (características avanzadas de VPN). Otros módulos lanzados a lo largo del tiempo incluyeron módulos para conformación de tráfico, antivirus y antispam.

Se lanzó una variación de Corporate Server llamada SmoothWall Corporate Guardian, que integra una bifurcación de DansGuardian conocida como SmoothGuardian. School Guardian se creó como una variante de Corporate Guardian, agregando soporte de autenticación de Active Directory / LDAP y funciones de firewall en un paquete diseñado especialmente para su uso en las escuelas. Diciembre de 2003 vio el lanzamiento de smoothwall Express 2.0 y una gran variedad de documentación escrita completa. La versión alfa de Express 3 se lanzó en septiembre de 2005.

Smoothwall está diseñado para ejecutarse efectivamente en hardware antiguo y más barato; funcionará en cualquier CPU de clase Pentium y superior, con un mínimo recomendado de 128 MB de RAM. Además, hay una compilación de 64 bits para los sistemas Core 2. Aquí hay una lista de características:

  • Cortafuegos:
    • Admite redes LAN, DMZ e inalámbricas, además de externas
    • Conectividad externa a través de: Ethernet estática, Ethernet DHCP, PPPoE, PPPoA utilizando varios módems USB y PCI DSL
    • Puerto hacia adelante, agujeros DMZ
    • Filtrado de salida
    • Acceso cronometrado
    • Calidad de servicio (QoS) fácil de usar
    • Estadísticas de tráfico, incluidos por interfaz y totales de IP durante semanas y meses
    • IDS a través de reglas de Snort actualizadas automáticamente
    • Soporte UPnP
    • Lista de IP incorrecta dirigida al bloqueo
  • Proxies:

    • Proxy web para navegación acelerada
    • Proxy de correo electrónico POP3 con antivirus
    • Proxy de mensajería instantánea con visualización de registro en tiempo real
  • Interfaz de usuario:

    • Interfaz web receptiva que utiliza técnicas AJAX para proporcionar información en tiempo real
    • Gráficos de tráfico en tiempo real.
    • Todas las reglas tienen un campo de comentario opcional para facilitar su uso.
    • Visores de registro para todos los subsistemas principales y actividad de firewall
  • Mantenimiento:

    • Configuración de respaldo
    • Aplicación sencilla con un solo clic de todas las actualizaciones pendientes
    • Apagar y reiniciar para UI
  • Otro:

    • Servicio de tiempo para red
    • Desarrolle Smoothwall usted mismo utilizando las compilaciones “Devel” de alojamiento propio
[2] IPCop

Un cortafuegos con estado creado en el marco de Linux netfilter que originalmente era una bifurcación del cortafuegos SmoothWall Linux, IPCop es una distribución de Linux que tiene como objetivo proporcionar un dispositivo de cortafuegos fácil de administrar basado en hardware de PC. La versión 1.4.0 se introdujo en 2004, basada en la distribución LFS y un kernel 2.4, y la rama estable actual es 2.0.X, lanzada en 2011. IPCop v. 2.0 incorpora algunas mejoras significativas sobre 1.4, que incluyen lo siguiente:

  • Basado en el kernel de Linux 2.6.32
  • Nuevo soporte de hardware, incluidas las plataformas Cobalt, SPARC y PPC
  • Nuevo instalador, que le permite instalar en unidades flash o discos duros, y elegir tarjetas de interfaz y asignarlas a redes particulares
  • El acceso a todas las páginas de la interfaz web ahora está protegido con contraseña
  • Una nueva interfaz de usuario, que incluye una nueva página del planificador, más páginas en el menú de estado, una página proxy actualizada, una página de servidor DHCP simplificada y un menú de firewall revisado
  • La inclusión del soporte de OpenVPN para redes privadas virtuales, como un sustituto de IPsec

IPCop v. 2.1 incluye correcciones de errores y una serie de mejoras adicionales, incluido el uso del kernel de Linux 3.0.41 y el servicio de filtro de URL. Además, se pueden obtener muchos complementos, como QoS (modelado de tráfico) avanzado, verificación de virus por correo electrónico, descripción general del tráfico, interfaces extendidas para controlar el proxy y muchos más.

[3] IPFire

IPFire es una distribución gratuita de Linux que puede actuar como enrutador y firewall, y puede mantenerse a través de una interfaz web. La distribución ofrece demonios de servidor seleccionados y puede expandirse fácilmente a un servidor SOHO. Ofrece protección de red a nivel corporativo y se centra en la seguridad, la estabilidad y la facilidad de uso. Se pueden instalar una variedad de complementos para agregar más funciones al sistema base.

IPFire emplea un firewall de inspección de paquetes con estado (SPI), que está construido sobre netfilter. Durante la instalación de IPFire, la red se configura en segmentos separados. Este esquema de seguridad segmentado significa que hay un lugar para cada máquina en la red. Cada segmento representa un grupo de computadoras que comparten un nivel de seguridad común. “Verde” representa un área segura. Aquí es donde residirán todos los clientes habituales, y generalmente se compone de una red local cableada. Los clientes en verde pueden acceder a todos los demás segmentos de red sin restricción. “Rojo” indica peligro o la conexión a Internet. No se permite que nada de Red pase a través del firewall a menos que el administrador lo configure específicamente. “Azul” representa la parte inalámbrica de la red local. Dado que la red inalámbrica tiene el potencial de abuso, se identifica de manera única y las reglas específicas rigen a los clientes en ella. Los clientes en este segmento de red deben permitirse explícitamente antes de que puedan acceder a la red. “Naranja” representa la zona desmilitarizada (DMZ). Todos los servidores que son de acceso público están separados del resto de la red aquí para limitar las brechas de seguridad. Además, el firewall se puede usar para controlar el acceso saliente a Internet desde cualquier segmento. Esta característica le da al administrador de la red un control completo sobre cómo se configura y protege su red.

Una de las características únicas de IPFire es el grado en que incorpora la detección de intrusos y la prevención de intrusos. IPFire incorpora Snort, el Sistema gratuito de detección de intrusiones en la red (NIDS), que analiza el tráfico de la red. Si sucede algo anormal, registrará el evento. IPFire le permite ver estos eventos en la interfaz web. Para la prevención automática, IPFire tiene un complemento llamado Guardian que se puede instalar opcionalmente.

IPFIre trae muchos controladores de front-end para virtualización de alto rendimiento y se puede ejecutar en varias plataformas de virtualización, incluidas KVM, VMware, Xen y otras. Sin embargo, siempre existe la posibilidad de que la seguridad del contenedor de VM se pueda omitir de alguna manera y que un hacker pueda obtener acceso más allá de la VPN. Por lo tanto, no se sugiere utilizar IPFire como máquina virtual en un entorno de nivel de producción.

Además de estas características, IPFire incorpora todas las funciones que espera ver en un firewall / enrutador, incluido un firewall con estado, un proxy web, soporte para redes privadas virtuales (VPN) usando IPSec y OpenVPN, y modelado de tráfico.

Dado que IPFire se basa en una versión reciente del kernel de Linux, es compatible con gran parte del hardware más reciente, como las tarjetas de red de 10 Gbit y una variedad de hardware inalámbrico listo para usar. Los requisitos mínimos del sistema son:

  • Intel Pentium I (i586)
  • 128 MB de RAM
  • 2 GB de espacio en el disco duro

Algunos complementos tienen requisitos adicionales para funcionar sin problemas. En un sistema que se ajusta a los requisitos de hardware, IPFire puede servir a cientos de clientes simultáneamente.

[4] Shorewall

Shorewall es una herramienta de firewall de código abierto para Linux. A diferencia de los otros firewall / enrutadores mencionados en este artículo, Shorewall no tiene una interfaz gráfica de usuario. En cambio, Shorewall se configura a través de un grupo de archivos de configuración de texto sin formato, aunque un módulo Webmin está disponible por separado.

Dado que Shorewall es esencialmente una interfaz para netfilter e iptables, la funcionalidad de firewall habitual está disponible. Puede realizar la traducción de direcciones de red (NAT), reenvío de puertos, registro, enrutamiento, modelado de tráfico e interfaces virtuales. Con Shorewall, es fácil configurar diferentes zonas, cada una con diferentes reglas, por lo que es fácil tener, por ejemplo, reglas relajadas en la intranet de la empresa y reducir el tráfico que llega a Internet.

Si bien Shorewall alguna vez usó una interfaz compiladora basada en shell, desde la versión 4, también utiliza una interfaz basada en Perl. El soporte de direcciones IPv6 comenzó con la versión 4.4.3. La versión estable más reciente es la 4.5.18.

[5] pfSense

pfSense es una distribución de firewall / enrutador de código abierto basada en FreeBSD como una bifurcación en el proyecto m0n0wall. Es un firewall con estado que incorpora gran parte de la funcionalidad de m0n0wall, como NAT / reenvío de puertos, VPN, modelado de tráfico y portal cautivo. También va más allá de m0n0wall, ofreciendo muchas características avanzadas, como el equilibrio de carga y la conmutación por error, la capacidad de aceptar solo el tráfico de ciertos sistemas operativos, la suplantación de direcciones MAC fácil y VPN utilizando los protocolos OpenVPN y L2TP. A diferencia de m0n0wall, en el que el enfoque está más en el uso integrado, el enfoque de pfSense está en la instalación completa de la PC. Sin embargo, se proporciona una versión destinada para uso incrustado.