lunes, 20 de junio de 2011

Configurando el firewall de Ubuntu

Un cortafuegos o firewall es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

La herramienta de configuración de firewall por defecto en Ubuntu es ufw (Uncomplicated Firewall ó Firewall sin Complicaciones). Además este simple firewall cuenta con una interfaz gráfica (GUI) llamada Gufw, pero ufw ha sido desarrollado para hacer fácil la configuración de Iptables sin que el usuario use Iptables directamente, proveyendo una forma amigable para crear reglas IPv4 o IPv6. Por defecto ufw viene deshabilitado en Ubuntu, por lo que no se cuenta con protección alguna cuando iniciamos una nueva instalación.
Para verificar el estado de ufw lo podemos hacer con el siguiente comando:

fraterneo@rainbow:~$ ufw status 
ERROR: You need to be root to run this script

Pero como podemos ver necesitamos ejecutarlo como root o usando sudo:

fraterneo@rainbow:~$ sudo ufw status 
Status: inactive

De ahora en adelante lo que necesitamos hacer dos cosas: Establecer la política por defecto de filtrado (allow, deny o reject) y poner nuestras reglas. Para aplicar una polítca por defecto de denegar todo el tráfico lo haremos con deny, lo que implica que las reglas que agreguemos serán para permitir puertos o servicios específicos. Ya que ufw tiene acceso al fichero /etc/services, podemos utilizar también los nombres de los servicios en vez de los puertos y protocolos.

:~$ sudo ufw enable 
:~$ sudo ufw default deny 
:~$ sudo ufw allow 21/tcp
:~$ sudo ufw allow from 192.168.24.101 to 192.168.24.100 port 22 proto tcp
:~$ sudo ufw allow from 192.168.24.0/24 to 192.168.24.100 port 5900 proto tcp
:~$ sudo ufw allow www

En el ejemplo anterior lo que hicimos fue: Habilitar ufw; establecer la política por defecto deny; aplicar la regla para permitir a todos accesar a FTP; aplicar la regla que permite al host 192.168.24.101 accesar a SSH a nuestro host; aplicar la regla que permite a todo la sub-red accesar vía VNC a nuestro host y, finalmente, la regla que permite a todos accesar al seviror Web.

Ahora podemos ver cómo ha quedado nuestra configuración en ufw:

fraterneo@rainbow:~$ sudo ufw status 
Status: active

To                         Action      From
--                         ------      ----
21/tcp                     ALLOW       Anywhere
192.168.24.100 22/tcp      ALLOW       192.168.24.101
192.168.24.100 5900/tcp    ALLOW       192.168.24.0/24
80                         ALLOW       Anywhere

Como mecioné anteriormente, también podemos hacer todo esto, borrarlas o agregar otras mediante Gufw. Podemos instalarlo con siguiente comando:

fraterneo@rainbow:~$ sudo apt-get install gufw

Ahora vamos a System > Administration > Firewall configuration


Ventana principal


Permitir hosts a ciertos puertos

Permitir programas específicos

Permitir servicios específicos

Por lo menos en lo que respecta a los servicios preconfigurados en Gufw está muy limitado, ya que como mencionamos ufw tiene acceso al fichero /etc/services, el cual tiene cientos de servicios.

Espero les sea de gran utilidad!


Más recursos: ufw | Wikipedia | Gufw

No hay comentarios:

Publicar un comentario