Unified Threat Management / Firewall / Router

Hace tiempo (unos 2 años) que llevo analizando distintas opciones de software/hardware para implementar en la infraestructura de red que tengo en mi home office, así que he pasado por:

Routers High End de distintas marcas:

Netgear
TP Link
Asus

Las ventajas son que pues ahora ya traen procesadores más o menos potentes para funciones SOHO (dual core, ARM) memoria ram de mínimo 256 Mb y rom de 128Mb, cuando menos 3 radios dual band y varios puertos USB; además son plug n´ play, en algunos casos se puede cambiar el firmware y "mejorar" las prestaciones, de fábrica no manejan VLAN.

¿El problema con esos?

NO funcionan para conexiones a internet de más de 80Mbps, si quieres "exprimir" un axtel de 200Mbps no vas a poder, el router llega a tope en el uso del procesador y si le metes reglas de firewall, filtrado y además son varios los dispositivos, eso se va a bloquear o en el mejor de los casos te va a reducir la velocidad de internet.

Equipos de Rango medio "económicos" que he probado:

Ubiquiti Edge Router Lite:

No tiene Wifi, pero todo lo demás lo hace sin problemas (incluído VLAN) pero volvemos a lo mismo, le falta "power" al procesador y sin problemas maneja 100Mbps con firewall, filtrado de contenido y varios dispositivos, pero no puede con 200Mbps, por ejemplo.

Solución embebida Hi End:

Watchguard

No incluye WiFi (es opcional), el problema es que todo lo que le quieras agregar de funcionalidad es en base a módulos que tienen costo (no hay licencia permanente) así que para mantenerlo funcionando hay que pagar cada x tiempo además del equipo que ya es costoso. Depende del modelo, pero incluso los modelos base (del T55 para arriba) aguantan los 200Mbps de axtel sin problemas con todos los servicios activos y con muchos equipos conectados.

Lo que queda es probar un software especializado y montarlo sobre un minipc (en mi caso un Celeron N3050, pero puede ser un i3, i5 o i7 dependiendo de la carga)

Software probados:

Sophos UTM 9
Clear OS
pFsense
OPNsense
Untagle

Sophos y Untagle son MUY reconocidos en ambientes empresariales, ambos son de costo pero tienen versiones "home" que son gratis pero con funcionalidad limitada, por ejemplo:

Untagle no tiene activos los módulos antispam, UTM, filtrado de contenido, antivirus entre otros, esos hay que pagarlos.
Sophos viene con todo activo (o casi) pero la versión home solo te da 50 ips, es decir, no puedes conectar más de 50 equipos a la red o subredes o interfaces, además aunque incluye todo activo, tiene funcionalidad básica (como el filtrado de contenido es básico, el antivirus no escanea ciertos tipos de puertos y/o servicios), en cambio ya incluye 5 licencias de Sophos antivirus para 5 equipos (Mac o PC) y servicio "cloud" que es básicamente una VPN plug'n play desde esos 5 equipos hacia el router principal.

pFsense, OPNsense y ClearOS son gratuitos (a escepción de OPNsense, los otros su versión gratuita es la community edition, que es lo mismo que la de paga, solo que sin soporte), ClearOS tiene módulos gratuitos y otros de paga (la mayoría de paga, los gratuitos son básicamente para funciones básicas); pFsense y OPNsense se encuentran basados en FreeBSD (todos sus "addons" son gratuitos) y ClearOS en Linux (CentOS).

Los 3 son buenos, pero creo que el tiene el mejor soporte de hardware y estabilidad de los "BSD" es OPNsense, debido a que tiene su propio núcleo basado en FreeBSD (HardenedBSD) en cambio pFsense tiene un núcleo "parchado" del original FreeBSD, pero como básicamene OPNsense es un "fork" de pFsense casi todas las guías que se enceuntran en sus foros funcionan para OPNsense también, aunque claro, las opcioes están ubicadas en distintos puntos de los menús y hasta el webgui es distinto, pero "las tripas" son similares, así que son como primos; si lo que buscas es la compatibilidad con hardware, tendría que ser ClearOS, al ser linux, casi que cualquier hardware que se te ocurra funciona sin problemas.

Cabe mencionar que mientras más "pro" la solución, es menos intuitiva y se requiere cierto conocimiento previo para su puesta en marcha y puesta a punto.

Actualmente tengo trabajando la red con OPNsense en una mini pc (con 1 puerto LAN, 2Gb RAM y un mSSD de 16Gb) con 5 VLAN conectado todo a un switch administrable HP1910-24 (JE006A) con capacidad de rutear hasta 500Mbps de internet, con Firewall activo en 2 capas y en todas las VLAN, bloqueo de ads (publicidad) 2 VPN y varias cosillas más, el uso del CPU no rebasa el 40%,

Así que ya saben, si quieren implementar un buen router/UTM/Firewall hay opciones, pero siempre analicen bien el escenario, presupuesto y sobre todo, capacidades de expansión.

Recuerden que ya es común encontrarse con velocidades de internet de más de 100Mbps y que requieren filtrados de contenido, administración centralizada, acceso segmentado a recursos y equipos, acceso restringido a la red, VLAN, VPN y red de invitados entre otras cosas.

Cuncun wrote: Hace tiempo (unos 2 años) que llevo analizando distintas opciones de software/hardware para implementar en la infraestructura de red que tengo en mi home office, así que he pasado por:

Routers High End de distintas marcas:

Netgear
TP Link
Asus

Las ventajas son que pues ahora ya traen procesadores más o menos potentes para funciones SOHO (dual core, ARM) memoria ram de mínimo 256 Mb y rom de 128Mb, cuando menos 3 radios dual band y varios puertos USB; además son plug n´ play, en algunos casos se puede cambiar el firmware y "mejorar" las prestaciones, de fábrica no manejan VLAN.

¿El problema con esos?

NO funcionan para conexiones a internet de más de 80Mbps, si quieres "exprimir" un axtel de 200Mbps no vas a poder, el router llega a tope en el uso del procesador y si le metes reglas de firewall, filtrado y además son varios los dispositivos, eso se va a bloquear o en el mejor de los casos te va a reducir la velocidad de internet.

Equipos de Rango medio "económicos" que he probado:

Ubiquiti Edge Router Lite:

No tiene Wifi, pero todo lo demás lo hace sin problemas (incluído VLAN) pero volvemos a lo mismo, le falta "power" al procesador y sin problemas maneja 100Mbps con firewall, filtrado de contenido y varios dispositivos, pero no puede con 200Mbps, por ejemplo.

Solución embebida Hi End:

Watchguard

No incluye WiFi (es opcional), el problema es que todo lo que le quieras agregar de funcionalidad es en base a módulos que tienen costo (no hay licencia permanente) así que para mantenerlo funcionando hay que pagar cada x tiempo además del equipo que ya es costoso. Depende del modelo, pero incluso los modelos base (del T55 para arriba) aguantan los 200Mbps de axtel sin problemas con todos los servicios activos y con muchos equipos conectados.

Lo que queda es probar un software especializado y montarlo sobre un minipc (en mi caso un Celeron N3050, pero puede ser un i3, i5 o i7 dependiendo de la carga)

Software probados:

Sophos UTM 9
Clear OS
pFsense
OPNsense
Untagle

Sophos y Untagle son MUY reconocidos en ambientes empresariales, ambos son de costo pero tienen versiones "home" que son gratis pero con funcionalidad limitada, por ejemplo:

Untagle no tiene activos los módulos antispam, UTM, filtrado de contenido, antivirus entre otros, esos hay que pagarlos.
Sophos viene con todo activo (o casi) pero la versión home solo te da 50 ips, es decir, no puedes conectar más de 50 equipos a la red o subredes o interfaces, además aunque incluye todo activo, tiene funcionalidad básica (como el filtrado de contenido es básico, el antivirus no escanea ciertos tipos de puertos y/o servicios), en cambio ya incluye 5 licencias de Sophos antivirus para 5 equipos (Mac o PC) y servicio "cloud" que es básicamente una VPN plug'n play desde esos 5 equipos hacia el router principal.

pFsense, OPNsense y ClearOS son gratuitos (a escepción de OPNsense, los otros su versión gratuita es la community edition, que es lo mismo que la de paga, solo que sin soporte), ClearOS tiene módulos gratuitos y otros de paga (la mayoría de paga, los gratuitos son básicamente para funciones básicas); pFsense y OPNsense se encuentran basados en FreeBSD (todos sus "addons" son gratuitos) y ClearOS en Linux (CentOS).

Los 3 son buenos, pero creo que el tiene el mejor soporte de hardware y estabilidad de los "BSD" es OPNsense, debido a que tiene su propio núcleo basado en FreeBSD (HardenedBSD) en cambio pFsense tiene un núcleo "parchado" del original FreeBSD, pero como básicamene OPNsense es un "fork" de pFsense casi todas las guías que se enceuntran en sus foros funcionan para OPNsense también, aunque claro, las opcioes están ubicadas en distintos puntos de los menús y hasta el webgui es distinto, pero "las tripas" son similares, así que son como primos; si lo que buscas es la compatibilidad con hardware, tendría que ser ClearOS, al ser linux, casi que cualquier hardware que se te ocurra funciona sin problemas.

Cabe mencionar que mientras más "pro" la solución, es menos intuitiva y se requiere cierto conocimiento previo para su puesta en marcha y puesta a punto.

Actualmente tengo trabajando la red con OPNsense en una mini pc (con 1 puerto LAN, 2Gb RAM y un mSSD de 16Gb) con 5 VLAN conectado todo a un switch administrable HP1910-24 (JE006A) con capacidad de rutear hasta 500Mbps de internet, con Firewall activo en 2 capas y en todas las VLAN, bloqueo de ads (publicidad) 2 VPN y varias cosillas más, el uso del CPU no rebasa el 40%,

Así que ya saben, si quieren implementar un buen router/UTM/Firewall hay opciones, pero siempre analicen bien el escenario, presupuesto y sobre todo, capacidades de expansión.

Recuerden que ya es común encontrarse con velocidades de internet de más de 100Mbps y que requieren filtrados de contenido, administración centralizada, acceso segmentado a recursos y equipos, acceso restringido a la red, VLAN, VPN y red de invitados entre otras cosas.

Me parece raro eso que comentas de que los ASUS o NETGEAR de alto nivel no aguanten mas de 80mbps.
el sitio de "small networking" los prueba tirandoles con todo y muchos soportan mas de 20,000 conexiones concurrentes y usualmente superan los 600mbps de ruteo (me acuerdo ver modelos mas nuevos de netgear que llegan al 1.2gbps)
Con reglas y todos no sorprendería si anden en los 200 o 300Mbps de transferencia real. Mientras que mi red no es la gran cosa (3 pcs, 1 server de medios NAS, con media player, EMBY y Bitorrent), impresora, 2 camaras wifi y 4 dispositivos wifi (televisión, celulares, etc..) y nunca tuve problemas en llegar a los 100Mbps que tenia de mi internet por cable (antes de que izzi llegara obviamente). todo con un venerable "black knight" de asus (N66U), que tiene supuestamente 600mbps en promedio de ruteo.

Tamalero wrote: Me parece raro eso que comentas de que los ASUS o NETGEAR de alto nivel no aguanten mas de 80mbps.

Tal vez las reglas de Cuncun están muy complejas, en mi casa somos 5 usuarios que suman de 20 a 25 dispositivos conectados incluyendo una mini PC como servidor de medios/mulera y todos (los que pueden) jalan sin problema a 100 megas con el mismo Asus que tienes.

También tuve un Netgear AC1900 que además la hacía de NAS y a ese si le cargaba la mano con las transferencias LAN pero nunca le afectó a la velocidad de conexión.

Como decía, si las reglas son complejas tiene sentido poner tu propio router "Homebrew" para setear las cosas al gusto.

Aqui un articulo viejito sobre como hacer uno:

arstechnica.com/gadgets/2016/04/the-ars-guide-to-building-a-linux-router-from-scratch/

Por cierto que el ClearOS me salió bastante latosito, si es fácil instalar funcionalidades pero en cuanto quieres meterle mano todo se rompe y es un relajo repararlo.

La red está compuesta de la siguiente forma:

-5 VLAN
-2 VPN
-1 Proxy transparente (Squid)
-1 Servidor de medios consumiendo no menos de 130Mbps constantemente

Además, el router tiene: bloqueo de ads, bloqueo desde WAN y desde una de las VLAN hacia segmentos de IP asigandos por Spamhaus (DROP y EDROP), el cifrado de los túneles VPN son con llaves de 2048 bits, SHA256 (el cifrado se hace mediante hardware haciendo uso de las instrucciones AES del procesador) y una de ellas con compresión LZO, obviamente 4 servidores DHCP funcionando (para las 4 VLAN que son LAN) tengo una VLAN para WAN (el gpon de axtel está en modo puente y conectado directamente a un puerto del switch, que se tuneliza mediante una VLAN al router), 5 servidores ubicados en USA conectados mediante TCP permanentemente al router (y que llegan hasta el servidor local), QoS activado sobre 2 VLAN para traffic shapping y throttling para evitar cuellos de botella, analisís de tráfico en tiempo real que verifica que todo el tráfico entrante y saliente es válido y viene desde una fuente segura y por último el antivirus que analiza todo lo que se descarga o carga desde internet (incluyendo páginas web, por aquello de los cryptocodes y demás javascripts malévolos)

Es un montón de trabajo, de hecho lo que tengo acá es una especie de SaaS que tengo alojado "in situ".

Por eso los ruters "entry level" o SOHO no me funcionan, no dan el ancho.

Ahorita ando como con un 70% de carga de red y aún así:

Cuncun wrote: La red está compuesta de la siguiente forma:

-5 VLAN
-2 VPN
-1 Proxy transparente (Squid)
-1 Servidor de medios consumiendo no menos de 130Mbps constantemente

Además, el router tiene: bloqueo de ads, bloqueo desde WAN y desde una de las VLAN hacia segmentos de IP asigandos por Spamhaus (DROP y EDROP), el cifrado de los túneles VPN son con llaves de 2048 bits, SHA256 (el cifrado se hace mediante hardware haciendo uso de las instrucciones AES del procesador) y una de ellas con compresión LZO, obviamente 4 servidores DHCP funcionando (para las 4 VLAN que son LAN) tengo una VLAN para WAN (el gpon de axtel está en modo puente y conectado directamente a un puerto del switch, que se tuneliza mediante una VLAN al router), 5 servidores ubicados en USA conectados mediante TCP permanentemente al router (y que llegan hasta el servidor local), QoS activado sobre 2 VLAN para traffic shapping y throttling para evitar cuellos de botella, analisís de tráfico en tiempo real que verifica que todo el tráfico entrante y saliente es válido y viene desde una fuente segura y por último el antivirus que analiza todo lo que se descarga o carga desde internet (incluyendo páginas web, por aquello de los cryptocodes y demás javascripts malévolos)

Es un montón de trabajo, de hecho lo que tengo acá es una especie de SaaS que tengo alojado "in situ".

Por eso los ruters "entry level" o SOHO no me funcionan, no dan el ancho.

Ahorita ando como con un 70% de carga de red y aún así:

Creo que la bronca en tu caso cuncun son las VPN.

Muchos de los routers "gaming" que dicen maravillas de transferencias, pierden un porcentaje enorme de transferencia al meter VPN. Definitivamente tienes cosas mas complejas para un router comun de escritorio.