Instalación de shorewall.

Transcripción

1 Instalación de shorewall. La herramienta se encuentra en los repositorios de Ubuntu, para instalarla ejecutamos el comando habitual. # apt-get install shorewall Leyendo lista de paquetes... Hecho Creando árbol de dependencias Leyendo la información de estado... Hecho Paquetes sugeridos: shorewall-doc Se instalarán los siguientes paquetes NUEVOS: shorewall 0 actualizados, 1 se instalarán, 0 para eliminar y 8 no actualizados. Necesito descargar 705 kb de archivos. Se utilizarán kb de espacio de disco adicional después de esta operación. AVISO: No se han podido autenticar los siguientes paquetes! shorewall Instalar estos paquetes sin verificación [s/n]? Esperamos a que finalice la instalación. Miramos los archivos que se han instalado. # dpkg -L shorewall Nota: No insertamos aquí la salida del comando pues, es muy extenso. Los archivos básicos de configuración los tendremos en: # dpkg -L shorewall grep /etc /etc /etc/shorewall /etc/shorewall/makefile /etc/shorewall/shorewall.conf /etc/logrotate.d /etc/logrotate.d/shorewall /etc/default /etc/default/shorewall /etc/init.d /etc/init.d/shorewall Nos centraremos en los directorios: /etc/shorewall/ /etc/default/

2 /etc/shorewall. Archivos iniciales. Vamos a editar los archivos iniciales que usaremos, teniendo en cuenta nuestro entorno. Zones. Creamos un nuevo archivo zones en el directorio /etc/shorewall que identificará las zonas que será filtradas por el cortafuegos. El contenido del archivo será este: fw net loc1 loc2 loc3 firewall ipv4 ipv4 ipv4 ipv4 fw : El propio servidor donde tenemos el firewall. net : Será la interfaz que se uitiliza para acceder al router. loc1 : La zona del aula loc2 : La zona del aula loc3: La zona del aula Interfaces. Archivo donde asignaremos una interfaz a cada zona. Podemos visualizar las interfaces del servidor con el comando. # ifconfig El contenido y estructura de este archivo será: #ZONE INTERFACE BROADCAST OPTIONS net eth0 detect dhcp loc1 eth1 detect dhcp loc2 eth2 detect dhcp loc3 eth3 detect dhcp La columna BROADCAST sirve para especificar la dirección de red Brodcast (dirección de difusión) de la interfaz en particular, si usa el valor especial detect, Shorewall detectará la o las direcciones de broadcast por tí usando el soporte de Address Type Match de iptables y del kernel Linux. Si el sistema usa una interfaz P-T-P como ppp0 la columna se deja en blanco. Si la interfaz de red obtiene la dirección IP vía DHCP o si el sistema firewall ofrece servicios de

3 DHCP para la red local usamos la opción dhcp. Otras opciones disponibles: tcpflags : Esta opción hace que Shorewall revise los paquetes por combinaciones ilegales de FLAGS (o banderas) TCP. logmartians : Esta opción hace que Shorewall registre paquetes con direcciones de origen imposibles, para esto tenemos que tener habilitado el routefilter en la interfaz. nosmurfs : Filtra paquetes smurfs (paquetes que tienen como dirección de origen una dirección de broadcast). blacklist: Analiza los paquetes contra la lista negra en el archivo blacklist del shorewall. routeback: Permite que Shorewall filtre paquetes que se devuelven a esta misma interfaz. Policy. En este archivo definiremos las políticas por defecto del firewall, es aquí donde lo configuraremos de forma restrictiva. Las políticas a elegir son: ACCEPT - Aceptar la conexión. DROP - Ignorar la petición de conexión, la petición de la conexión es rechazada silenciosamente. REJECT - Rechazar la conexión con un mensaje de error a la petición de la conexión. El cliente de conexión recibe un mensaje de Conexión rechazada ó Connection refused. La columna LOG LEVEL nos sirve para registrar en los archivos de log o no la información. La estructura y contenido del mismo serán: #SOURCE DEST POLICY LOG LEVEL LIMIT BURST CONNLIMIT MASK fw net ACCEPT net all DROP info all all REJECT info

4 Donde: Zona Origen Zona Destino Acción Registrar en Logs Descripción fw net aceptar(accept) No Permitimos el acceso de la zona firewall a la interfaz externa y no lo registramos en los log. net all ignorar(drop) Si Rechazamos de forma silenciosa las conexiones de la zona externa a cualquier otra zona. all all rechazar(reject) Si Rechazar todo el trafico con origen y destino una zona no definida ni en una política ni regla. Regla CATCHUP para bloquear absolutamente todo. Es altamente recomendado registrar en los logs este trafico Masq. Archivo en el que definiremos que interfaz será enmascarada por otra. Para poder acceder al exterior está claro que la interfaz eth0 de la zona net será quién enmascare al resto. El contenido del archivo será este: #INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK USER/GROUP eth0 eth1 eth0 eth2 eth0 eth3 La interfaz eth0 enmascara las interfaces cuyo origen (SOURCE) sea la interfaz especificada. Para activar el enmascaramiento primero debe de activar el reenvio de paquetes (IP Forwarding) en el sistema. Shorewall permite activar el IP Forwarding desde el archivo de configuración principal definiendo el parámetro IP_FORWARDING en el archivo /etc/shorewall/shorewall.conf, cuyo valor

5 por defecto es Keep. IP_FORWARDING=On En Debian/Ubuntu el IP Forwarding esta desactivado o configurado de forma que mantenga la configuración actual del sistema. /etc/default/shorewall. Por defecto las opciones de inicio del demonio, están desactivadas. Deberemos cambiar un parámetro en este archivo para poder iniciar el servicio. El valor por defecto de esta directiva es 0. startup=1 Inicio, parada y estado. Una vez hemos hecho las configuraciones básicas iniciamos el servicio. El comando que nos permite el inicio, parada o reinicio es. # service shorewall [start stop restart] Podemos comprobar el estado del servicio ejecutando. # service shorewall status

6 Monitorización. Archivo de logs. Shorewall utiliza un archivo donde registra lo que sucede en cuanto a su ejecución en : /var/log/shorewall-init.log # tail -f /var/log/shorewall-init.log Setting up Traffic Control... abr 15 17:20:36 Setting up Traffic Control... Preparing iptables-restore input... abr 15 17:20:36 Preparing iptables-restore input... Running /sbin/iptables-restore... abr 15 17:20:36 Running /sbin/iptables-restore... IPv4 Forwarding Enabled abr 15 17:20:36 IPv4 Forwarding Enabled done. abr 15 17:20:36 done. Los registros del firewall están definidos en una directiva en el archivo /etc/shorewall/shorewall.conf Como deseamos enviar los registros logs de iptables/netfilter a un archivo independiente y no usar el sistema syslog instalaremos el servicio ulogd para dirigir los mensajes logs al archivo /var/log/firewall.log. # apt-get install ulogd Leyendo lista de paquetes... Hecho Creando árbol de dependencias Leyendo la información de estado... Hecho Paquetes sugeridos: ulogd-mysql ulogd-pgsql ulogd-pcap ulogd-sqlite3 Se instalarán los siguientes paquetes NUEVOS: ulogd 0 actualizados, 1 se instalarán, 0 para eliminar y 17 no actualizados. Necesito descargar 47,0 kb de archivos. Se utilizarán 195 kb de espacio de disco adicional después de esta operación. AVISO: No se han podido autenticar los siguientes paquetes! ulogd

7 Instalar estos paquetes sin verificación [s/n]? Editamos el archivo /etc/ulogd.conf cambiando la línea: [LOGEMU] file="/var/log/firewall.log" Reiniciamos el demonio para hacer efectivos los cambios: # /etc/init.d/ulogd restart Restarting netfilter userspace log daemon: ulogd. Editamos el archivo /etc/shorewall/shorewall.conf cambiando las líneas: LOGFILE=/var/log/firewall.log MACLIST_LOG_LEVEL=$LOG SFILTER_LOG_LEVEL=$LOG TCP_FLAGS_LOG_LEVEL=$LOG SMURF_LOG_LEVEL=$LOG LOGFILE : Ruta al archivo de logs. MACLIST_LOG_LEVEL : La variable da el nivel en el que se registrarán las solicitudes de conexión que fallan la verificación SFILTER_LOG_LEVEL : Determina el registro de paquetes que coincidan con la opción sfilter y de los paquetes de la horquilla en las interfaces sin la opción routeback. TCP_FLAGS_LOG_LEVEL : Determina el nivel de para el registro de paquetes que fallan los controles habilitados por la opción de interfaz tcpflags. SMURF_LOG_LEVEL : Especifica el nivel de registro para los paquetes smurf Ahora creamos el archivo de parámetros donde especificamos el valor de la variable $LOG. # gedit /etc/shorewall/params Por último editamos el archivo /etc/shorewall/policy cambiando el valor ' info ' por ' $LOG '. Reiniciamos el servicio para hacer efectivos los cambios. # service shorewall restart

8 Ahora debemos de crear o personalizar el archivo de logrotate de ulogd para que los logs tanto del proceso ulogd /var/log/ulog/ulogd.log y del firewall /var/log/firewall.log sean rotados periodicamente. Editamos el archivo /etc/logrotate.d/ulogd para dejarlo de la siguiente manera: /var/log/ulog/*.log /var/log/firewall.log { missingok compress sharedscripts create 640 root adm postrotate /etc/init.d/ulogd reload endscript } Reiniciamos el demonio rsyslog # /etc/init.d/rsyslog restart Ahora podremos ver los logs del firewall si ejecutamos: # tail -f /var/log/firewall.log