Rocío Alt. Abreu Ortiz 2009-3393 Firewall Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial. Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no. Firestarter es uno de los cortafuegos más sencillos de utilizar y configurar que podemos encontrar para GNU/Linux. Es una muy buena opción para tener de forma rápida y cómoda un cortafuegos que satisfacerá la mayoría de nuestras necesidades. Firestarter es una herramienta de cortafuegos personal libre y de código abierto que usa el sistema (iptables/ipchains) Netfilter incluido en el núcleo Linux. Firestarter posee una interfaz gráfica para configurar reglas de cortafuegos y otras opciones. También monitoriza en tiempo real todo el tráfico de red del sistema, además de facilitar el redireccionamiento de puertos, compartir la conexión a internet y el servicio DHCP. Firestarter está licenciado bajo la GNU General Public License. Ahora vamos a inicial con la instalación en nuestro sistema operativo Debian GNU/Linux. 1- Haz click en Aplicaciones Accesorios Terminal. Desde aquí instalaremos el programa Firestarter.
2- Para instalar Firestarter utilizamos el comando apt-get install firestarter. 3- Una vez instalado tenemos que encenderlo y para eso solo tenemos que escribir firestarter. Si la instalación ha sido correcta, verás aparecer el asistente para la configuración del firewall.
4- El firewall automáticamente detecta las interfaces disponibles en tu servidor, y en la siguiente ventana debes elegir la interfaz que tiene acceso a internet, y elegir las dos opciones que están disponibles. Luego haz click en Adelante. 5- Activa la opción compartir su conexión a internet con las computadoras de su red local usando una sola dirección IP pública y un método llamado Traducción de direcciones de red (NAT). Aquí también debes de especificar la interfaz de red que no puede ser la misma que especificamos anteriormente, lo que quiere decir que tienes que tener dos interfaces de red para poder activar esta opción. 6- Por último, deja intacta la opción que dice: Iniciar el cortafuegos ahora, y haz click en Guardar.
7- Inmediatamente te aparecerá en pantalla el panel del firewall Firestarter. Cuenta con tres pestana: Estado, el cual muestra el estado del cortafuegos. La pestana Eventos, Muestra las conexiones que el cortafuegos ha rechazado.
Normativa: Muestra las reglas que hemos definido para configurar el cortafuegos. 8- Haz click en Editar y luego en Preferencias. Vamos a revisar algunas configuraciones que trae nuestro firewall. 9- En la parte de Eventos, puedes especificar cuál o cuáles hosts ó puertos serán obviados del registro que hará el cortafuegos en la red. Haz click en Añadir para agregar y en Quitar para eliminar de la lista. Puerto HTTP.
10- Otras de las características que trae este firewall es Filtrado de ICMP. Podemos solo permitir solitud y respuesta. 11- También puedes priorizar el tráfico de la red, una característica útil en caso de que estemos trabajando con VoIP. En opciones avanzadas podemos bloquear broadcast tanto internos como externos.
Ejemplos reales. Bloquear y permitir equipo. De manera predeterminada Firestarter viene con el tráfico entrante bloqueado. Veamos. 1- Tenemos nuestro cliente Windows, que pertenece a la red del servidor (su ip es 192.168.1.23). 2- Si revisas la pestaña Eventos del firewall, verás todas las peticiones que este cliente ha solicitado.
3- Para permitir que este equipo tenga acceso a la red, colócate en la pestaña Normativa (Policy), selecciona Normativa para el tráfico entrante y en la sección Permitir las conexiones desde el host. En el recuadro que aparece especifica la dirección IP del equipo y haz click en Añadir. 4- Para que la normativa tenga efecto, haz click en Aplicar (La flecha verde).
5- Tras haber agregado el Cliente Windows a las normativas del Firewall, iremos al cliente y haremos un refresh a la página para comprobar que ahora si podemos acceder al servicio HTTP. 6- Para bloquear el tráfico de este equipo, solo tenemos que eliminarlo de la lista de Normativas para el tráfico entrantes.
Bloquear y permitir puertos. En la parte anterior bloqueamos el equipo 192.168.1.23, este equipo está haciendo peticiones a través de diversos puertos. Aquí vamos a permitirle solo acceso al puerto 139 que es el de Samba. 1- Primero veamos que este equipo no tiene acceso a este puerto. 2- Intentaré entrar a las carpetas compartidas en el servidor. Para eso haz click en Inicio Ejecutar y escribe \\IP_del_servidor. Observa como indica que no puede encontrar la ruta. 3-En la pestana de Estado del panel de firewall, haz un click derecho encima de una de las líneas con el puerto 139. Notarás que existen tres opciones para otorgar permisos: Permitir todas las conexiones desde el origen: Habilita el acceso a todos los puertos para la PC de origen. Permitir tráfico de servicio entrante para todo el mundo: Habilita la conexión para todos los dispositivos en la red.
Permitir servicio entrante para el origen: Solo habilita el puerto indicado para el origen. Nosotros elegiremos Permitir servicio entrante para el origen. Observa como automáticamente se agrega en Normativa para el tráfico entrante, en la sección de servicios y/o puertos.
4- Intenta de nuevo acceder a las carpetas compartidas por medio de Ejecutar y \\192.168.1.20 (dirección del servidor). Notarás que ahora si te permite acceder a ellas. Permitir puerto para todos (Everyone) Como vimos anteriormente el cliente Windows tiene permiso para el puerto 139, pero no para todos los demás. Si este intenta navegar por internet, no podrá, porque el puerto 80 aún está bloqueado.
1- En el panel del firewall, colócate en pestaña Normativa y en la sección Puerto, haz un click derecho y elige Añadir reglas. 2- Lo primero que debes de seleccionar es el servicio HTTP, automáticamente se asigna el puerto. Luego seleccionar a quienes se aplicarán esta política (Cualquiera, en este caso) y luego haz click en Añadir. Por último, no olvides hacer click en Aplicar. 1 2 3
Como solo está permitido el servicio HTTP, para acceder a las páginas web tendrás que hacerlo por medio de la dirección IP, ya que el servicio DNS no esta permitido. Red Para permitir o bloquear red el procedimiento es el mismo que hicimos con los equipos. 1- Dirígete a Normativa, y en la sección de Permitir las conexiones desde el host 2- Especifica la red con su máscara y haz click en Añadir. El comentario es opcional.
Luego, haz click en Aplicar. Vamos a comprobar que tenemos acceso a todos los servicios. Entraré al servidor ftp (puerto 21) del servidor y entraré una página para probar que tenemos los puertos 80 y 53 disponibles.
NAT 1- Necesitamos tener dos tarjetas de red, una para la red local (interna) y otra que tendrá el acceso hacia el exterior. Como estoy trabajando en una máquina virtual, la he configurado rápidamente. Si estás en una PC física necesitará instalar otra tarjeta. Para agregar una tarjeta de red en una máquina virtual necesitas que este apagada. Selecciona la maquina virtual y haz click en Configuración. Selecciona Red. Luego haz click en Adaptador 2 y por ultimo selecciona la casilla Habilitar adaptador de red.
Una vez, la tarjeta está habilitada, selecciona en Conectado a: Red interna. 2- Ahora bien, las dos tarjetas deben tener una dirección IP diferente, como puedes observar en la siguiente imagen: Red local (interna). Red externa. 3- Para especificar la interfaz de entrada para los paquetes que vengan de afuera, utilizamos la siguiente línea: iptables A FORWARD i eth3 j ACCEPT ; y para indicar la interfaz de salida para los paquetes que van hacia afuera, utilizamos la siguiente línea: iptables A FORWARD o eth3 j ACCEPT. Luego se digita el comando sysctl w net.ipv4.ip_forward=2 PSD: La interfaz debe ser la que tiene el acceso a internet.
4- Ahora tenemos que configurar el archivo sysctl.conf con el comando nano /etc/sysctl.conf ; ahí tenemos que descomenta (quitar el signo # que tiene delante) la línea que dice: net.ipv4.ip_forward=1; luego guárdalo (CTRL +O) y cierra la edición (CTRL +X) 5- Para verificar que tu cambio en el archivo sysctl.conf ha sido acogido, escribe el comando sysctl p /etc/sysctl.conf 6- Como ya vimos que el cambio se ha realizado, ahora tenemos que hacer que NAT sea posible introduciendo iptables t nat A POSTROUTING o eth2 j MASQUERADE; para ver la configuración realizada escribe iptables L.