Copias de seguridad con AutoConfigBackup (ACB) de pfSense

Hola chic@s hoy aprenderemos una de las muchas formas de hacer copias de seguridad de nuestro pfSense, usaremos el servicio de AutoConfigBackup o ACB.

¿Qué es y cómo funciona?

ACB realiza hace copias de seguridad (reglas firewall, vpn, usuarios, paquetes instalados…) del pfSense en los servidores de NetGate, es un servicio gratuito que se incluye en pfSense+ y pfSense CE, lo puedes usar aunque virtualices tu pfsense en ESXI, virtualbox, Hyper-V, etc.

Copia de seguridad automática ACB en pfSense

Frecuencia y número de backups

La frecuencia de las copias es configurable, tenemos dos opciones:

  • Automáticamente, es decir, se realiza una copia cuando detecta algún cambio. Por ejemplo, una regla nueva del firewall, instalación de un paquete.
  • Programada, cada día, semana, mes, etc.

Independiente de la opción que elijamos, siempre podremos forzar una copia manual.

¿Cuántas copias del pfSense se guardan en la nube de Netgate? Se guardan las 100 últimas copias de cada dispositivo. Es decir, podemos volver hasta 100 copias hacía atrás.

Aunque en la configuración podemos establecer un número para los backups manuales, así los backups automáticos no sobreescriben los backups manuales, OJO! pero la suma de los dos conjuntos no sobrepasarán las 100 copias de seguridad.

Cifrado y contraseña de las copias

Cuando se realiza un cambio en la configuración del firewall, ACB automáticamente cifra el backup usando un algoritmo de cifrado y con la contraseña establecida en la configuración, luego este es subido a los servidores de Netgate mediante HTTPS.

Algoritmo de cifrado simétrico: AES-256-CBC

Al restaurar una backup de la lista de copias de seguridad remotas, el contenido se descarga y luego se descifra con la contraseña de cifrado establecida. Esta contraseña solo se guarda localmente, y no se trasmite por Internet.

Clave del dispositivo / Device Key

Cada pfSense tiene un Device Key, es una forma de identificar inequivocamente nuestro firewall en los servidores de NetGate, este se genera automáticamente de haberle aplicado el hash (SHA-256) a la clave pública de SSH.

// The userkey (firewall identifier) is an sha256 hash of the ed25519 public key
	return hash("sha256", file_get_contents("/etc/ssh/ssh_host_ed25519_key.pub"));

El Device Key es algo parecido a esto:

2c2dk6gda3a7319d2be4cfa103d743f92c213ba5e2089p49db9e86fd4e20682

Alguien con solo saber tu Device Key puede listar los backups que tiene dicho dispositivo pero sin la contraseña no puede descifrarlas. En resumen para más seguridad no expongas tu Device Key y haz una copia de ella.

En la página de Netgate pone que en caso de perderla, cabe una posibilidad (a través del Hint/Identifier) de recuperarla pero mejor no contar con ellos 😀

Configuración de AutoConfigBackup (ACB)

Bueno mucha teoría… en la Web de nuestro pfSense, vamos a Services > Auto Config Backup. Clicamos en la pestaña de Settings.

Escribimos una contraseña para que cifrará los backups y luego marcamos la casilla «Enable ACB».

También podemos rellenar el Hint/Identifier (recuerda que cabe la posibilidad de recuperar el Device Key con la ayuda de NetGate), elegir la frecuencia de las copias de seguridad y el número total de copias manuales a guardar (esto es opcional, podemos dejarlo vacío.)

En mi opinión, lo mejor para la frecuencia de las copias es eligiendo un horario, así no se llenará de copias automáticas, y si por algún casual queremos guardar alguna copia puntual, forzamos la copia manual.

Ahora si vamos en la pestaña, de Restore, podemos observar dos apartados:

Device Key, en el aque aparece nuestro Device Key pero aquí tambien podemos restaurar un backup usando el mismo u otro Device Key.

Listado de los backups, ya sean manuales o automáticos, en el que podemos realizar acciones con ellas como restaurar esta copia, mostrar información y eliminar backup.

Luego en el apartado de Backup now, podemos realizar una copia manual y poner un comentario para dicha copia.

Restaurar copia de seguridad usando otro Device Key

Si no te ha quedado claro… tienes que ir al apartado Restore, introducir el Device Key en la casilla y clicar en Submit, te aparecerá el listado de copias de ese dispositivo.

Ahora para poder restaurar dicha copia, previamente tienes que guardar a contraseña con la que se cifraron esas copias o copia en el apartado de Encryption Password

Si dicha contraseña que esta guardda en Encryption Password, no es la que se usó para cifrar las copias, no podrás restaurar los backups.

Consejos para trabajar con AutoConfigBackup (ACB)

  • Debemos tener cuidado con no ir cambiando la contraseña de cifrado, ya que el backup se cifra con la contraseña que esta establecida en el apartado de «Encryption Password», por lo que podemos tener un listado de backups pero con distinta contraseña de cifrado, puede ser un caos el descifrar la copia de seguridad.
  • Guardar una copia del Device Key, ya que es la forma de identificar nuestro dispositivo y recuperar los backups.
  • Repito!!! guarda siempre la contraseña de cifrado y el Device Key de cada dispositivo.

Eso es todo chic@s, espero que les sea útil el post, nos vemos en la siguiente entrada 😀

Enlaces de interés

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.