Un cortafuegos o firewall es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
La herramienta de configuración de firewall por defecto en Ubuntu es ufw (Uncomplicated Firewall ó Firewall sin Complicaciones). Además este simple firewall cuenta con una interfaz gráfica (GUI) llamada Gufw, pero ufw ha sido desarrollado para hacer fácil la configuración de Iptables sin que el usuario use Iptables directamente, proveyendo una forma amigable para crear reglas IPv4 o IPv6. Por defecto ufw viene deshabilitado en Ubuntu, por lo que no se cuenta con protección alguna cuando iniciamos una nueva instalación.
Para verificar el estado de ufw lo podemos hacer con el siguiente comando:
fraterneo@rainbow:~$ ufw status
ERROR: You need to be root to run this script
Pero como podemos ver necesitamos ejecutarlo como root o usando sudo:
fraterneo@rainbow:~$ sudo ufw status
Status: inactive
De ahora en adelante lo que necesitamos hacer dos cosas: Establecer la política por defecto de filtrado (allow, deny o reject) y poner nuestras reglas. Para aplicar una polítca por defecto de denegar todo el tráfico lo haremos con deny, lo que implica que las reglas que agreguemos serán para permitir puertos o servicios específicos. Ya que ufw tiene acceso al fichero /etc/services, podemos utilizar también los nombres de los servicios en vez de los puertos y protocolos.
:~$ sudo ufw enable
:~$ sudo ufw default deny
:~$ sudo ufw allow 21/tcp
:~$ sudo ufw allow from 192.168.24.101 to 192.168.24.100 port 22 proto tcp
:~$ sudo ufw allow from 192.168.24.0/24 to 192.168.24.100 port 5900 proto tcp
:~$ sudo ufw allow www
En el ejemplo anterior lo que hicimos fue: Habilitar ufw; establecer la política por defecto deny; aplicar la regla para permitir a todos accesar a FTP; aplicar la regla que permite al host 192.168.24.101 accesar a SSH a nuestro host; aplicar la regla que permite a todo la sub-red accesar vía VNC a nuestro host y, finalmente, la regla que permite a todos accesar al seviror Web.
Ahora podemos ver cómo ha quedado nuestra configuración en ufw:
fraterneo@rainbow:~$ sudo ufw status
Status: active
To Action From
-- ------ ----
21/tcp ALLOW Anywhere
192.168.24.100 22/tcp ALLOW 192.168.24.101
192.168.24.100 5900/tcp ALLOW 192.168.24.0/24
80 ALLOW Anywhere
Como mecioné anteriormente, también podemos hacer todo esto, borrarlas o agregar otras mediante Gufw. Podemos instalarlo con siguiente comando:
fraterneo@rainbow:~$ sudo apt-get install gufw
Ahora vamos a System > Administration > Firewall configuration
Ventana principal |
Permitir hosts a ciertos puertos |
Permitir programas específicos |
Permitir servicios específicos |
Por lo menos en lo que respecta a los servicios preconfigurados en Gufw está muy limitado, ya que como mencionamos ufw tiene acceso al fichero /etc/services, el cual tiene cientos de servicios.
Espero les sea de gran utilidad!
No hay comentarios:
Publicar un comentario