pfSense o OPNsense para mi HomeLab SOC
En el capítulo anterior terminé de instalar Wazuh, el corazón del laboratorio SOC.
Sin embargo, después de compartir el avance en LinkedIn, varios profesionales me hicieron una observación muy interesante:
“Tu laboratorio necesita un firewall.”
Y la verdad es que tenían razón.
Hasta este momento el laboratorio ya cuenta con un SIEM, servidores Linux y próximamente incorporará equipos Windows y diferentes agentes. Sin embargo, todos estos componentes siguen comunicándose directamente entre sí.
En un entorno empresarial esto rara vez ocurre.
Normalmente existe un dispositivo encargado de controlar el tráfico, aplicar reglas de seguridad, segmentar redes, inspeccionar conexiones y registrar todo lo que sucede entre ellas.
Ese dispositivo es el firewall.
Por eso decidí dar un paso más y añadir esta capa de seguridad al laboratorio.
¿Por qué incorporar un firewall?
Cuando pensamos en un SOC solemos imaginar herramientas como Wazuh, Splunk, Microsoft Sentinel o Elastic.
Pero todas ellas dependen de algo fundamental: los datos.
Y una de las principales fuentes de información para un SOC es precisamente el firewall.
Un firewall moderno puede registrar:
- Intentos de conexión.
- Escaneos de puertos.
- Bloqueos.
- Tráfico entre segmentos.
- Accesos a Internet.
- Conexiones VPN.
- Eventos IDS/IPS.
- Consultas DNS.
Toda esa información puede enviarse posteriormente al SIEM para ser correlacionada con el resto de eventos del laboratorio.
En otras palabras, el firewall no solo protege la infraestructura.
También se convierte en una excelente fuente de telemetría para el analista SOC.
Mientras más fuentes de información tenga un SIEM, mayor capacidad tendrá para detectar comportamientos anómalos.
El siguiente componente del laboratorio
La arquitectura comienza a evolucionar.
Antes el laboratorio tenía esta estructura simplificada:
Internet
│
│
Servidor SOC
│
Equipos Windows y Linux
Ahora la idea es incorporar un gateway que actúe como punto central de comunicación.
Internet
│
┌────────────────┐
│ Firewall │
│ (Gateway) │
└───────┬────────┘
│
┌───────────┴───────────┐
│ │
Servidor SOC Equipos Cliente
(Wazuh) Windows / Linux
De esta forma el laboratorio se aproxima mucho más a una infraestructura real.
La gran pregunta
Una vez tomada la decisión apareció otra duda.
¿Qué firewall instalar?
Existen varias opciones dentro del mundo Open Source, sin embargo yo estoy pensando en dos de ellas:
- pfSense
- OPNsense
Ambos son proyectos muy maduros, ampliamente utilizados y capaces de desempeñar perfectamente el papel de gateway en un laboratorio.
Sin embargo, existen diferencias importantes entre ellos.
pfSense
Durante muchos años pfSense ha sido prácticamente el estándar de facto para laboratorios, pequeñas empresas y entornos educativos.
Entre sus principales ventajas destacan:
- Comunidad enorme.
- Gran cantidad de documentación.
- Excelente estabilidad.
- Muy utilizado en cursos y certificaciones.
- Amplio soporte de hardware.
No es casualidad que la mayoría de laboratorios que vemos en Internet estén construidos sobre pfSense.
Sin embargo, también presenta algunos puntos que me hicieron dudar.
- Parte del desarrollo se encuentra centralizado por Netgate.
- Algunas funcionalidades avanzadas están orientadas a sus productos comerciales.
- La interfaz ha cambiado poco durante los últimos años.
- El desarrollo suele ser más conservador.
Nada de esto significa que sea un mal producto, ¡al contrario!, sigue siendo uno de los mejores firewalls disponibles.
OPNsense
OPNsense nació como un fork de pfSense en 2015 con un enfoque diferente.
Su filosofía está orientada hacia:
- Desarrollo completamente abierto.
- Actualizaciones frecuentes.
- Interfaz moderna.
- Mayor facilidad de uso.
- Integración más sencilla con nuevas funcionalidades.
Además incorpora características muy interesantes para un laboratorio de ciberseguridad como:
- IDS/IPS mediante Suricata.
- DNS seguro.
- Proxy.
- VPN.
- Alta capacidad de personalización.
- API REST integrada.
- Actualizaciones frecuentes.
Para alguien que busca aprender, experimentar y documentar cada componente del laboratorio, estas características resultan especialmente atractivas.
Comparativa rápida
| Característica | pfSense | OPNsense |
|---|---|---|
| Estabilidad | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ |
| Comunidad | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
| Facilidad de uso | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ |
| Interfaz | Tradicional | Moderna |
| Actualizaciones | Conservadoras | Frecuentes |
| API integrada | Limitada | Sí |
| Filosofía Open Source | Buena | Muy fuerte |
| Ideal para laboratorio | Sí | Sí |
Como puede verse, ambas soluciones son excelentes, la elección depende más del enfoque que del producto en sí.
¿Por qué finalmente elegí OPNsense?
Después de leer bastante documentación, comparar opiniones y revisar diferentes laboratorios, llegué a la conclusión de que para este proyecto OPNsense encaja mejor con los objetivos que tengo.
Principalmente porque quiero construir un laboratorio donde pueda experimentar continuamente.
Busco un entorno que me permita:
- Aprender.
- Romper configuraciones.
- Restaurarlas.
- Automatizar tareas.
- Integrar nuevos servicios.
- Generar eventos para Wazuh.
Además, su interfaz moderna y el ritmo de desarrollo del proyecto hacen que sea una plataforma muy interesante para seguir aprendiendo durante los próximos meses.
Esto no significa que pfSense sea una mala elección, de hecho, probablemente sea la opción más popular y una recomendación excelente para cualquier laboratorio. Simplemente, después de analizar ambas alternativas, considero que OPNsense se adapta mejor a lo que quiero construir.
¿Qué aportará al laboratorio?
Una vez instalado, el firewall permitirá incorporar nuevas prácticas que hasta ahora no eran posibles.
Entre ellas:
- Segmentación de redes.
- Reglas entre VLAN.
- NAT.
- Publicación controlada de servicios.
- VPN.
- IDS/IPS con Suricata.
- Captura de tráfico.
- Registros de seguridad para Wazuh.
- Simulación de escenarios empresariales.
En otras palabras, el laboratorio dejará de ser únicamente un conjunto de máquinas virtuales para empezar a comportarse como una pequeña infraestructura corporativa.
¿Qué sigue?
El siguiente paso será desplegar una nueva máquina virtual con OPNsense, configurarla como gateway del laboratorio y reorganizar la topología de red para que todo el tráfico pase a través del firewall.
A partir de ese momento comenzaré a generar eventos reales, enviar sus registros hacia Wazuh y construir casos prácticos de detección y análisis, acercando aún más este HomeLab a un entorno SOC profesional.
El objetivo de este proyecto nunca ha sido únicamente instalar herramientas, sino comprender cómo interactúan entre sí dentro de una infraestructura real. La incorporación de OPNsense representa un paso importante hacia un laboratorio mucho más completo, donde cada nuevo componente aportará más visibilidad, más telemetría y más oportunidades de aprendizaje.