Llegamos a ustedes gracias a:



Reportajes y análisis

5 alternativas de código abierto para routers y firewalls

[10/10/2016] El software de código abierto ofrece una opción económica y flexible para desplegar networking básico para el hogar, para una pyme o inclusive para empresas. Estos productos de código abierto proporcionan funciones simples de routing y networking como DCHP y DNS. Además, son combinados con funcionalidades de seguridad, empezando por un firewall básico y posiblemente incluyendo antivirus, antispam y filtrado web.

Estos productos pueden ser descargados y desplegados en su propio hardware, en una plataforma virtual o en la nube. Muchos de ellos también venden appliances preconfigurados si es que le agrada sus funciones o soporte, pero no desea construir su propia máquina.

Hemos revisado cinco productos: ClearOS, DD-WRT, pfSense, Untangle y ZeroShell. Encontramos que el uso apropiado de ClearOS, pfSense, y Untangle podría darse en un rango amplio de ambientes, desde el hogar hasta una empresa.

  • ClearOS es bastante rico en funciones, incluyendo muchas funcionalidades adicionales como el filtrado web, antivirus y un servidor RADIUS, pero carece de un portal cautivo -el cual es ofrecido por todas las demás soluciones.
  • Untangle también proporciona funcionalidades adicionales que van más allá de la protección del routing y el firewall, pero algunas de ellas requieren de una subscripción mensual.
  • El sistema operativo de pfSense ofrece un conjunto más básico de funciones, pero parece ser la opción más "libre.
  • DD-WRT y ZeroShell apuntan más hacia su uso en el hogar o en una pyme, en lugar de un uso en la empresa. Ambos soportan Wi-Fi, pero sus opciones de despliegue son distintas. Ambos pueden estar instalados en máquinas x86 -como las otras tres soluciones- pero DD-WRT también puede actualizarse en routers inalámbricos con su firmware personalizado basado en Linux.

A continuación, las reseñas completas:

ClearOS

ClearOS es más que un simple router, es una solución de administración de amenazas unificada (UTM, por sus siglas en inglés) que ofrece más de 120 funciones a través de complementos que ellos llaman aplicaciones, todas configurables por medio de su interfaz basada en web. ClearOS es el sistema operativo descargable que uno puede instalar en su propio hardware o máquina virtual con su imagen CD (.iso). ClearBox es su línea de hardware con ClearOS preinstalado. También existe ClearVM, que es una solución de administración que uno puede utilizar para desplegar múltiples máquinas virtuales de ClearOS, otras distribuciones Linux, e inclusive sistemas operativos Windows en su servidor físico.

Clear OS 7 tiene tres ediciones con soporte y funcionalidades variables: Community, Home y Business. El rango de precios de ClearOS Business fluctúa entre 108 y 1.308 dólares al año, en base en la subscripción que uno elija con soporte y funcionalidades variadas. Algunas de las aplicaciones requieren de pagos adicionales. La solución ClearVM se ofrece gratuitamente con uso limitado y se ofrecen opciones de precios mensuales para límites de uso incrementales.

ClearOS

Comparación de soluciones de router de código abierto

ClearOS DD-WRT pfSense Untangle ZeroShell
Ambientes Sugeridos Hogar, pyme, Empresa Hogar, pyme Hogar, pyme, Empresa Hogar, pyme, Empresa Hogar, pyme
Opciones de Descarga ISO ISO, Firmware ISO, IMG ISO, IMG, OVA ISO, IMG
Alta Disponibilidad X   X X  
Balance de WAN & Failover X X X X X
Firewall X X X X X
Routing X X X X X
AP Inalámbrico   X     X
Filtrado Web X     X X
Antivirus X     X X
Antispam X     X  
Portal Cautivo   X X X X
Servidor DHCP X X X X X
Servidor DNS X X X X X
Servidor OpenVPN X X X X X
Cliente OpenVPN X X X X X
IPsec VPN X   X X X
Servidor PPTP X X X   X
Servidor RADIUS X X X   X
Servidor SSH X X X X X
Servidor File X X     X
Servidor Web X X     X
Servidor IMAP/POP X        
Servidor SMTP X     X  
Servidor Print X X      
Servidor VoIP   X     X

Nosotros instalamos la edición Business de ClearOS (versión 7.2.0) en una máquina virtual VirtualBox. Luego de pasar por un típico asistente de instalación, se le solicita configurar las interfaces de la red y después esto le lleva a una consola GUI simple que muestra la IP de la máquina, a la cual puede ingresar para acceder a la consola de prueba y de esa manera obtener el acceso de CLI. Sin embargo, probablemente querrá acceder a la GUI web desde otra computadora de la red.

La primera vez que accede a la GUI web, se le solicita usar otro asistente de instalación para realizar las configuraciones principales, incluyendo la conexión de red, registro, nombres de dominio y aplicaciones. Las aplicaciones comunes, como el servidor DHCP, servidor DNS y firewall, son instaladas por default, pero puede elegir otras para instalarlas en ese momento o esperar y hacerlo después.

Una vez que está en la GUI web, podrá encontrar una interfaz simple con cuatro atajos en la parte superior: Dashboard le lleva a un resumen personalizable del sistema, Marketplace le permite buscar e instalar aplicaciones adicionales, Support le lleva a todas las opciones de soporte, y Root es donde puede cambiar la contraseña del sistema o salir de éste. En el lado izquierdo de la GUI se encuentra el menú principal para acceder a todas las aplicaciones y configuraciones, categorizadas de acuerdo a Cloud, Server, Network, System y Reports.

En todas las páginas de la GUI web, existe un ícono de documentación (se ve como un libro/manual) que convenientemente lleva la documentación online a la aplicación o configuración particular que usted se encuentra configurando en ese momento.

DD-WRT

DD-WRT es principalmente conocido como un firmware alternativo abierto y gratuito para routers inalámbricos de consumidor soportados. Contiene características y funcionalidades típicamente conocidas solo en productos de clase empresarial y de negocios, como múltiples SSIDs, VLANs, portales cautivos, y VPN servidor/cliente. Además de usarse en routers de consumidor, puede ser utilizado con hardware embebido y hasta en plataformas x86. Ellos venden algo de hardware, y también ofrecen servicios profesionales para personalizar la interfaz o las funciones del firmware.

Uno puede colocar un número de modelo de router en la base de datos de routers de DD-WRT, y ésta listará los detalles de compatibilidad y mostrará enlaces de descarga de las versiones de firmware que se soportan. Generalmente, el firmware puede ser utilizado libremente en routers para consumidor, mientras que su uso con productos de clase empresarial y de negocios requiere Professional Activation cuyo precio mínimo es aproximadamente de 20 dólares.

DD-WRT

Una vez que encuentra y descarga la versión y edición soportada del firmware para su router en particular, debe actualizarla en el router. Para algunos routers, esto es un proceso rápido usando la página de upgrade para firmware en la GUI web de fábrica, mientras que el proceso es más largo para algunos routers que involucran transferencias TFTP y otros métodos. Nosotros descargamos DD-WRT v24-SP2, y rápidamente lo actualizamos y enviamos hacia un Linksys E2500 extra que teníamos disponible.

Después de identificarse en la GUI web del firmware de DD-WRT, podrá ver una interfaz con múltiples pestañas que tiene la sensación y apariencia de un router típico. El menú principal en la parte superior categoriza las configuraciones con la mayoría de esas páginas, enseñando un submenú de páginas relacionadas adicionales. La página de instalación es donde instalaría WAN, DHCP, DDNS, routing, VLANs y otras configuraciones generales de networking. La página Wireless es donde encontrará las configuraciones básicas y avanzadas de Wi-Fi, incluyendo la capacidad de crear múltiples SSIDs.

La página Services le permite personalizar las opciones DHCP y DNS, configurar el acceso Telnet y SHH, configurar el cliente o servidor VPN, y activar la funcionalidad del hotspot. La página Security le permite configurar las opciones de firewall y log. La página Access Restrictions le permite definir las políticas del acceso WAN y bloquear servicios y páginas web. La página NAT/QoS es donde configura el reenvío y desencadenamiento de puertos, así como la configuración de QoS, UPnP, y DMZ.

La página Administration es donde realizará la configuración de acceso al administrador, incluyendo acceso web y remoto, configuraciones keep alive y Wake-On-LAN, y acceso a las opciones de reset del router, upgrade y copias de respaldo. En las configuraciones de Administration también encontrará la funcionalidad Commands que le permite ejecutar scripts y comandos personalizados, o guardar para el firewall o startup del router. La página Status contiene subpestañas de detalles y estadísticas categorizados de acuerdo al componente o tipo, lo que incluye gráficos simples que muestran el uso de ancho de banda para las interfaces LAN, WLAN y WAN.

En la mayoría de páginas, existe una columna Help que muestra descripciones para unas cuantas configuraciones en esa página en particular y un enlace hacia una ventana que aparece con más documentación sobre las configuraciones. Además de la ayuda en la GUI web, DD-WRT también proporciona documentación online a través de un wiki con tutoriales y otros detalles de cómo instalar y usar el firmware.

Pros y contras

ClearOS DD-WRT pfSense Untangle ZeroShell
Pros Rica en funciones Flexible y personalizable Todas las funciones y funcionalidades son gratuitas Reporta muy bien Excelente monitoreo
Contras Le falta un portal cautivo Le falta IPsec VPN Le falta compartir archivo e impresora Algunas funciones requieren de subscripciones mensuales Le hace falta ayuda en GUI

pfSense

PfSense es similar a Untangle, pero le faltan algunas de las funcionalidades adicionales como el filtrado web y antivirus, pegándose más al router tradicional y al conjunto de funciones de firmware. Sin embargo, existen más de tres docenas de complementos externos para una instalación sencilla por medio del administrador de paquete. El sistema operativo de pfSense está basado en FreeBSD con un núcleo personalizado que puede instalar en su propio hardware o en sus máquinas virtuales con la imagen CD (.iso), el USB, o la imagen Embedded (.img) de éstas. También puede comprar pfSense precargado en su hardware o hasta desplegar en la nube vía Amazon Web Services.

Además de su respaldo y servicios profesionales, ellos ofrecen una membresía por 99 dólares al año. Para el soporte y los servicios, recibe recursos como una biblioteca de los videos más importantes de los desarrolladores y un libro digital sobre pfSense, más copias de respaldo automáticas.

pfSense

Nosotros descargamos la imagen CD de Community Edition 2.3.1 y la ejecutamos en una máquina virtual VirtualBox. Usamos una GUI semejante a un DOS para instalar el sistema operativo en la unidad virtual. Cuando la CLI se inició, nosotros configuramos las interfaces WAN y LAN. Después fuimos llevados hacia la interfaz de consola donde puede configurar más las interfaces de la red, utilizar la CLI, activar la SSH, y desempeñar otras tareas de administración. También muestra las direcciones IP para las interfaces WAN y LAN.

Después de ingresar a la GUI web por primera vez, se le presenta un asistente para ayudarlo a configurar los nombres de dominio y de host, la configuración de tiempo del servidor, las configuraciones de la interfaz de red, y la contraseña del administrador. Una vez que el asistente ha completado la configuración, es llevado a su GUI web que está abierta en la página Status Dashboard. Tiene el aspecto y la sensación de un dispositivo de red típico. En las partes superiores de las páginas verá el menú principal; al hacer clic en las categorías se muestra un menú de las páginas o tareas que se despliega hacia abajo. Algunas páginas son de una sola página, mientras que algunas contienen una interfaz con pestañas que cuentan con páginas relacionadas adicionales.

Desde la categoría System del menú principal, puede acceder a las configuraciones generales, avanzadas, de actualización y de alta disponibilidad, así como a los administradores de certificación, paquete, y usuario. La categoría Interfaces es donde configura las interfaces de red WAN y LAN. La categoría Firewall es donde puede configurar los alias, la NAT, las reglas, los cronogramas, los reguladores de tráfico y las IP virtuales. La categoría de servicios es donde se encuentran la mayoría de configuraciones para los servidores y servicios como DHCP, balance de carga, y portal cautivo. Sin embargo, las configuraciones de IPsec, L2TP y OpenVPN se encuentran en la categoría VPN.

Dentro del menú Status se encuentran páginas que muestran las estadísticas y los detalles de uso para muchos de los distintos componentes del servidor. En el menú Diagnostics encontrará muchas herramientas distintas para la resolución de problemas en el servidor y en la red, como una tabla ARP, acceso a Command Prompt, búsqueda DNS y captura de paquete. En el menú Help usted encuentra enlaces hacia la documentación y otro contenido útil.

En cada página de la GUI web, verá un botón de ayuda (ícono de signo de interrogación) que le lleva directamente a la documentación online para esa página en particular.

Untangle

Untangle se parece más a ClearOS. Es un sistema operativo de Linux basado en Debian 8.4. A las funciones básicas de red se les proporcionan aplicaciones gratuitas y pagadas para añadir funciones y funcionalidades adicionales, todas administradas a través de una interfaz basada en la web. El nombre técnico para este sistema operativo es NG Firewall. Puede instalar el sistema operativo en su propio hardware o máquina virtual, o comprar un dispositivo con NG Firewall preinstalado.

Untangle

Más allá de las funciones de red básicas, puede adquirir aplicaciones individuales por 5 a 25 dólares al mes para añadir funcionalidades o funciones. También puede comprar la subscripción de NG Firewall Complete que incluye todas las aplicaciones desde 50 dólares al mes o 540 dólares al año para un máximo de 25 usuarios. Para un uso residencial no comercial, ellos proporcionan una licencia Home por solo cinco dólares al mes o 50 dólares al año. Tenga en mente que ellos ofrecen un periodo de prueba gratuito de 14 días para su subscripción completa.

El NG Firewall puede ser descargado como imagen CD (.iso), imagen USB (.img), o como una imagen VMware (.ova). Nosotros descargamos y ejecutamos la imagen CD (.iso) (versión 12.0.1) en una máquina virtual VirtualBox. Una vez que se inició, nosotros seleccionamos la opción de instalación gráfica. Después disponemos de las opciones de instalación típicas del sistema operativo Linux. Después del primer inicio del sistema operativo, dispone de un asistente para realizar las configuraciones básicas y login o crear una cuenta Untangle.

Después de hacer clics alrededor de la GUI, notamos que es una interfaz web en un navegador Chromium, la misma interfaz que podría ver cuando accede a la interfaz web desde otras computadoras locales. Cerrar el navegador web muestra el sistema operativo Debian más básico con un menú en la parte de abajo para traer la interfaz web, reiniciar o apagar la máquina, acceder a utilidades de recuperación, y traer el acceso Terminal al sistema operativo.

La interfaz web tiene un menú principal en el lado izquierdo. La página Dashboard muestra convenientemente las estadísticas principales y los reportes del sistema operativo, la máquina host, la red y otros detalles básicos del servidor, que pueden ser personalizados de acuerdo a sus gustos.

La página Apps es donde puede verificar el estado de cada aplicación y cambiar su configuración. Es una interfaz única donde cada aplicación aparenta ser un appliance montado sobre un rack, donde la mayoría muestra algún tipo de estado y están provistas de un botón para activar y desactivar cada aplicación. Hacer clic en el botón Settings de cada aplicación le lleva a una interfaz con pestañas que contienen todas sus configuraciones. Existe un botón de ayuda para cada aplicación en la página Apps, y un botón de ayuda en la parte inferior de cada página de configuración de la aplicación, el cual le lleva hacia la documentación online para esa aplicación en particular.

La página Config le muestra una interfaz con pestañas similar a las configuraciones de la aplicación. Ahí puede ver y realizar todas las configuraciones básicas del firewall/router. Esto incluye las interfaces de red firewall, DHCP, DNS, y otras funciones principales del router.

La página Reports le permite generar reportes y gráficos de los datos históricos proveniente de todas las funciones y aplicaciones. Estos reportes son bastante detallados y personalizables. También pueden ser exportados rápidamente como imagen.

ZeroShell

ZeroShell es una distribución Linux para servidores y dispositivos integrados, diseñada para proporcionar los servicios de red principales que requiere una LAN. Las funciones básicas son instaladas por default y muchos paquetes son ofrecidos para añadir funcionalidad, como Samba File Sharing Service y Asterisk VoIP PBX. Los últimos lanzamientos son proporcionados por medio de una imagen CD (.iso) que puede ser operada en modo CD en vivo o instalada en el disco duro de la máquina y en la imagen USB (.img). Una vez que la distribución de Linux esté operativa, podrá configurar y administrar la plataforma a través de la interfaz basada en web.

Nosotros creamos una máquina virtual VirtualBox y ejecutamos la versión 3.5.0 de ZeroShell usando su imagen CD (.iso). La modalidad de CD en vivo operará por default, dándole una plataforma de router operacional inmediatamente. En la consola de interfaz puede realizar las configuraciones principales y configurar la dirección IP, donde puede acceder a la interfaz basada en web. Puede instalar el sistema operativo de forma alterna en el disco duro ejecutando Installation Manager en la consola, que le solicita las configuraciones principales del servidor.

ZeroShell

La interfaz basada en web tiene una apariencia y sensación similar a la de un dispositivo de escritorio tradicional. En el lado izquierdo se encuentra el menú principal de navegación con lo siguiente: Setup, Logs, Utilities y Monitoring en la categoría System; después se encuentra Users, Groups, RADIUS, Accounting, y Captive Portal en la categoría Users; Network Balancer en la categoría Network; y Firewall, HTTP Proxy, X.509 CA y Kerberos 5 en la categoría Security. Al hacer clic en la mayoría de estos enlaces se cambia la página principal de la interfaz, que típicamente es una interfaz con pestañas y con un submenú que se muestra en la parte superior.

La interfaz y las funciones de ZeroShell son en su mayor parte directas para configurar. Ellos ofrecen unos tutoriales útiles en su sitio web, pero algo de ayuda o consejos dentro de la GUI web serían buenos también.

De forma inmediata, puede utilizar la funcionalidad de paquete de ZeroShell para instalar cualquier reparación de la seguridad o de fallas que se hayan lanzado. Sin embargo, para instalar los Add-Ons, New Features o New Releases, debe tener la llave de subscripción. No obstante, esto solo requiere añadir un enlace y una descripción de ZeroShell a su sitio web, publicar una reseña en blog/foro externo, o donar cualquier monto a ZeroShell

Eric Geier, Network World (EE.UU.)