Review de Firewalla, un IDS doméstico fiable, potente y… sin suscripción

En el análisis de hoy me complace presentaros un producto que es un mix de diversos aparatos de seguridad incrustado en una caja de menos de 4 cm de alto y 7 de ancho. Con firewalla tienes un firewall, un IDS (Bro), una VPN y protección parental junto a otros extras como DDNS por menos de lo que podrías pensar.

Desde hace unos años se ha popularizado un nuevo tipo de dispositivo doméstico / de pequeña oficina conocido como «caja de seguridad» (bueno, me lo acabo de inventar :)) que comenzó con lo que la firma Bitdefender propuso hace unos 3 años: Bitdefender Box.

Se trata de un proyecto basado en open source y que comenzó funcionando en Raspberry pi, de ahí que el nombre de usuario del sistema por SSH sea Pi. Vamos sin más rodeos a conocer a nuestro producto estrella de hoy.

¿Qué es Firewalla?

Para explicar de forma concisa y entendible lo que es este aparato, podemos decir que se trata de un Firewall que se conecta a nuestro router  y es capaz de proteger nuestros dispositivos domésticos de diferentes tipos de ataque. Además, nos proporciona visibilidad sobre lo que ocurre en nuestra red.

Relacionado – Como probar tu firewall de Windows para saber si funciona

Sus capacidades también incluyen control parental fácil de administrar y un modo de servidor VPN que, aunque no enmascarará nuestra IP, tiene la gran ventaja de permitirnos establecer conexión con nuestra red desde cualquier parte y así acceder a los recursos de manera segura.

Este es un producto lo suficientemente atractivo para usuarios que buscan algo sencillo, mientras que es altamente personalizable y admite acceso SSH con ciertos privilegios para jugar a los más veteranos.

Existen dos variantes de este producto con ligeras diferencias según para quien. Sigue leyendo y descubrirás cuáles son.

Firewalla vs Bitdefender Box

Dado que hace algo más de un año probé Bitdefender Box me gustaría hacer un par de comentarios sobre los dos productos.

En su día conseguí una unidad de Bitdefender Box, modelo de 2017 (el precursor de este tipo de appliance doméstico) y me gustaron muchas cosas, principalmente porque todo eran novedades que aún no existían para cliente final: análisis de tráfico (saliente), control de equipos que entraban o salían de la red con posibilidad de «baneo», localización de los mismos, VPN y bloqueo de malware, entre otros.

En general bien, salvo por algunas cuestiones como proporcionar únicamente un puerto de 100 Mbps (insuficiente para muchos) y tener un hardware algo discreto. Lo que realmente me contrarió fue el servicio de suscripción. Te llevas la «cajita» y todo funciona bastante bien durante 365 días, pero 1 mes antes de caducar la licencia recibes el típico aviso que alerta de que debes renovar.

Lo peor en este caso (y no me lo esperaba) es que el aparato queda prácticamente inservible. Vale, si no lo quitas de la red sigue haciendo de pasarela y evalúa el tráfico saliente, pero realmente la aplicación de móvil deja de funcionar si no renuevas, con lo que virtualmente quedas sin protección o control alguno.

A pesar de la versatilidad que tuvo en su momento este aparato, pronto fue sustituido por Bitdefender Box 2, que espero probar antes o después, el cual mejora y añade muchas cosas y realmente es un proyecto más «acabado». Es decir, no quiero establecer una comparación directa entre Firewalla y este Bitdefender Box porque no sería justo.

Solo despediré esta injusta comparativa superponiendo el tamaño de ambas soluciones para que podáis ver las diferencias notables de espacio. Firewalla es casi 4 veces más pequeño.

Pido disculpas por la calidad de las fotografías, en parte se debe a las condiciones en que fueron hechas y en gran medida a un problema con WordPress que ha hecho que se muestren pixeladas algunas de ellas.

Firewalla Red vs Firewalla Blue

Ahora, podemos pasar a comparar las dos versiones existentes. El proyecto Firewalla comenzó con la versión primigenia -Red- que ha dado paso recientemente a la versión Blue, más potente sobre todo por incorporar puerto ethernet a 1 Gbps (garantiza conexiones de hasta 500 Mbps sostenidos) frente a los 100 Mbps de Firewalla Red.

	Red	Blue
Precio	$109	$179
	Disponible	Disponible
Procesamiento de paquetes	100 Mb	>500 Mb
Memoria	512 MB	1024 MB
Entradas Active Protect	1000	10,000
CPU	32bit Quad Core ARM 1ghz	64bit Quad Core ARM 1ghz
Velocidad de cifrado VPN	28 Mb	70 Mb
Almacenamiento de SD	16 GB	16 GB
Uso	– Velocidad moderada de conexión – Familias y negocios pequeños	– Alta velocidad de internet – Familias, profesionales y negocios pequeños

En cualquier caso ninguna de las dos variantes está pensada para reemplazar a tu router doméstico, sino para funcionar en linea con él.

Contenido del paquete

• Unidad Firewalla
• Cable de red RJ-45
• Adaptador de corriente con toma UK
• Cable micro-USB
• Tarjeta MicroSD
• Manual de bienvenida (1 hoja)

La tarjeta SD viene insertada por defecto y la utilizaremos si es necesario reflashear el aparato. Esto puede pasar si jugamos demasiado con ella vía SSH, tocando servicios y haciendo pruebas.

Compatibilidad

• En cuanto a routers no debería haber gran problema, dado que no hay muchos casos de problemas detectados y porque, al tener 3 modos de funcionamiento, podemos hacer un mejor troubleshooting y conseguir que funcione con casi cualquier router, incluso los incompatibles sobre el papel. Más información.
• En cuanto a sistemas operativos, podemos descargar la app en iOS y Android.

Aún tengo más buenas noticias para tí, ya que este dispositivo es compatible con otros appliance de seguridad SOHO, como FingBox, Bitdefender Box 2, Dojo y similares (algunos no oficialmente). Incluso podrías crear un setup como el que he creado en mi caso, instalando Firewalla junto con Pihole, la solución opensource para bloqueo de publicidad vía DNS que puedes montar en una Raspberry Pi.

Instalación de Firewalla

1. La instalación es sencilla y se define aquí. Básicamente esto es lo que debes hacer:
2. Descargar la app correspondiente a tu teléfono
3. Conectar un extremo del cable RJ-45 al puerto de Firewalla y el otro a un puerto ethernet libre del router
4. Conectar la alimentación del dispositivo
5. Después abriremos la app y siguiente-siguiente. Escanearemos el código QR de la parte inferior y siguiente-siguiente
6. Esperaremos unos minutos a que se inicien los servicios

NOTA: Esta es la conexión más típica (1 router) pero hay más soportadas.

Vista global

Una vez en la pantalla principal podremos comenzar nuestras configuraciones y añadir rápidamente las características de seguridad deseadas.

Configuraciones

Desde el menú Ajustes podemos cambiar entre sus modos de funcionamiento, habilitar el acceso SSH, conceder acceso a soporte remoto del desarrollador, gestionar el nivel de notificaciones, etcétera.

Recomiendo habilitar el modo de supervisión IPv6 ya que este viene desactivado por defecto, de esta forma FW tendrá visibilidad sobre esa ese pool de conexiones.

También podemos optar por habilitar el acceso mediante SSH. Entonces podremos entrar vía móvil o PC a operar con ella.

Acerca de los modos de funcionamiento

Firewalla puede funcionar en 3 modos diferentes:

• Simple. Es el modo predeterminado. Se emplea intercepción de protocolo ARP (Address Resolution Protocol) para hacer creer al resto de dispositivos que es un router. Es decir, este dispositivo hace de intermediario entre todas las solicitudes de tráfico saliente / entrante haciendo un «replay» de las solicitudes de ARP.
• DHCP. También podemos colocar el dispositivo en modo DHCP para que sea el que asigne las direcciones IP de nuestro entorno. Este modo se recomienda si el anterior falla con nuestro router o bien si tenemos preferencia por que Firewalla controle el leasing de direcciones, creando para esto una red anidada que tendrá direcciones diferentes al rango de nuestro enrutador.

Manual. También llamado en ocasiones «modo pasivo». Este modo está diseñado para escenarios en los que nos es imposible que el IDS y el router funcionen juntos. En este caso siguen activas todas las demás características (VPN, DDNS, etc) e incluso podemos seguir estos trucos para configurar el modo DHCP manualmente y no perder funcionalidad.

Protección ofrecida por Firewalla

A continuación encontrarás un listado con las características de seguridad y control ofrecidas por ambas versiones de este Firewall/IDS doméstico.

Active Protect

Gracias a un sistema de inteligencia cloud, Firewalla puede detectar problemas como detección de intrusiones y automáticamente denegar el acceso salvo consentimiento explícito por nuestra parte. Esto incluye el envío de datos a destinos considerados sospechosos por su reputación.

Sobre la protección web, conviene aclarar que el dispositivo se fija en los dominios a los que intentamos acceder o bien sus direcciones IP. Esto se hace así por privacidad. Firewalla bloquea por completo el acceso a un determinado conjunto de dominios/IPs con baja reputación según sus sistemas de inteligencia (principalmente Cisco Talos).

Family Protect

Esta opción monitorizará por defecto todos los dispositivos de nuestra red y bloqueará las actividades web en base a la reputación del proveedor OpenDNS mediante su Family Shield. Este modo de «auto-filtrado» es estricto y podría acabar prohibiendo acceso a nuestro propio dispositivo a sitios que quizá queramos visitar, así que quizá es mejor establecer reglas personalizadas.

Social Hour

Esta opción bloqueará todas las redes sociales por espacio de una hora.

Alarmas de actividad

El dispositivo emitirá diferentes tipos de alarma en nuestro teléfono o tablet si se produce alguno de los siguientes supuestos:

• Intentos ataque: conexiones no autorizadas, escaneo de puertos (interno/externo), envío de tráfico sospechoso, fuerza bruta en protocolos
• Reglas de uso: acceso a juegos, pornografía, vídeo
• Dispositivos detectados en la red

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

Las alarmas son bastante personalizables. Podemos definir los avisos que nos llegan y otros comportamientos desde el menú de ajustes. En este sentido podemos escoger entre notificaciones push + registro en la app, registro en la app o ignorarlas.

• 

• 

Información de hosts

Dentro de cada host de nuestra red podemos ver el tráfico utilizado en las últimas 24 horas, de donde se ha descargado / subido más datos (dominios) y las categorías de actividad.

• 

• 

• 

• 

En el gráfico de tráfico, si deslizamos a izquierda o derecha podemos ver estadísticas de 60 minutos, 24 horas o 1 mes. También desde aquí podemos denegar acceso a un dominio o IP determinados (aunque la prohibición será global si lo hacemos así).

Configuración de hosts

En los diferentes aparatos podemos escoger si queremos IP reservada (fija) o asignada de manera automática mediante el servidor DHCP que incorpora el dispositivo. Para esto último debemos salir del modo de funcionamiento «Simple» y seleccionar el modo «DHCP» en la configuración.

• 

• 

• 

También podemos establecer una alarma en aquellos equipos en los que deseemos saber en todo momento cuando entran o salen de la red. Esto lo podemos utilizar en cierto modo para monitorizar si su estado es correcto, se reinician o se cae su interfaz de red (como un NAS).

Reglas de bloqueo

Ya sea desde un host específico o bien desde la configuración de reglas global, podremos definir el tipo de tráfico que queremos controlar y en qué dispositivos.

• 

• 

• 

Las reglas que asignemos a mano, o bien aquellas que se definan por acciones automáticas del dispositivo, quedarán registradas en la categoría Active Protect. Cuando una regla se cumpla (por ejemplo en la imagen anterior con Facebook por prohibición de acceso a redes sociales) el dispositivo en cuestión no podrá acceder al recurso.

Servidor VPN

Firewalla nos permite disfrutar de un servidor VPN personal con el que conectar con nuestra red interna desde fuera teniendo la seguridad del tráfico cifrado punto a punto (adaptador tun).

Bastará con realizar los siguientes pasos:

1. Acceder al menú de ajustes > VPN. Configuraremos los puertos del router con uPnP
2. Instalaremos OpenVPN (o la alternativa que proponen en iOS) algo que también podemos hacer en sistemas como Windows, Mac, Linux
3. Descargaremos el perfil OPVN generado al dispositivo cliente de la VPN y lo abriremos. Se nos pedirá la contraseña de nuestro perfil y la sacaremos de la app.
4. Cuando introduzcamos la contraseña se abrirá la conexión y podremos ver estadísticas.

• 

• 

• 

• 

• 

NOTA: el adaptador dejará de utilizar VPN cuando volvamos a nuestra red local y quedará un mensaje «esperando a servidor VPN». Esto es normal.

Si alguien pretende molestarse en intentar algo, baste decir que estos ajustes de fábrica ya fueron modificados 🙂

DDNS

El aparato proporciona DDNS o Dynamic Domain Name resolution System. Esta característica se activa automáticamente durante la configuración inicial y nos permitirá publicar en internet servicios desde nuestra red doméstica o de oficina (si por ejemplo tenemos una web o un NAS), para que sean visibles desde el exterior.

Para ello, se nos informará de un nombre de dominio aleatorio terminado en firewalla.com.

Puertos abiertos

En todo momento podemos ver los puertos que están abiertos desde la propia aplicación pulsando en Open Ports.

• 

• 

Además, podemos decidir qué puertos queremos denegar si alguno de ellos no queremos que esté disponible.

Palabras finales

Empezaré por lo malo. Aunque la verdad es que me cuesta sacarle pegas, lo veo un producto muy potente y bien terminado. No en vano ha sido desarrollada por un equipo de antiguos ingenieros de Cisco, que de redes algo saben. Baste decir que agradecería una interfaz web algo más potente para entornos más complejos.

También que, en relación a la dependencia de una interfaz bonita pero que no deja de ser mobile friendly, si queremos gestionar redes grandes (en torno a 50-100 equipos) vamos a tener mucho trabajo filtrando alertas y configurándolas al principio.

Ahora viene lo bueno. Este aparato es realmente pequeño y le sobra potencia para funcionar sin despeinarse -probado en mi caso con unos 20 dispositivos a la vez- combinando VPN y todas sus funciones. Y sus funciones son muchas, como ya has podido comprobar. Tiene todo lo que se puede pedir a un aparato doméstico de protección de este estilo.

Finalmente tenemos el atractivo del precio. Realmente son dos productos que creo que valen lo que cuestan y el pago es único, no hay suscripciones como pasa con muchos otros de sus competidores (Bitdefender Box 2, Cujoo, Dojo, etc). En este sentido, se parece a otros como FingBox que no piden más que un pago.

Me gusta

• Sin suscripciones
• Potencia sobrada (sobre todo FW Blue)
• Bloquea diferentes tipos de ataque
• VPN para conectar a tu red desde cualquier lugar con seguridad
• Control parental incluido
• Otros «extras» como DDNS o DHCP
• Soporte remoto si lo autorizamos

Puede mejorar

• La gestión de alertas en redes con más de 50 equipos puede requerir bastante trabajo desde la app
• No cuenta con interfaz web, pero están desarrollando una interfaz vía terminal
• Sin traducir a español (por el momento)

Comprar Firewalla

Puedes comprar el producto en Amazon.com o en la web oficial. Recuerda que si lo compras en Amazon recibiré una comisión (muy pequeña) que a ti no te supondrá un gasto extra. Eso sí, compara bien el precio porque a fecha de Mayo 2019 sale más caro en Amazon que en la tienda oficial.

Espero que el análisis te haya gustado y espero vuestros comentarios o consultas como siempre.

---

Actualización a 15/05/2019

Tras hablar con Firewalla LLC, me confirman que en lugar de interfaz web están desarrollando una interfaz mediante CLI (linea de comandos) para facilitar el uso en entornos más profesionales, así como para usuarios que requieren una gestión más avanzada.

Actualización a 24/05/2019

Me complace anunciar que he colaborado con los desarrolladores traduciendo el programa al castellano para que todo el mundo pueda disfrutarlo sin problemas.