Curso: Redes de Linux, cómo funcionan

26. IP Firewall (para Linux 2.0)

Capítulo anterior: 25 - IP Accounting (en Linux 2.2)
Capítulo siguiente: 27 - IP Firewall (para Linux 2.2)

Los temas referentes a Cortafuegos IP y al trabajo con Cortafuegos está cubierto en mayor profundidad en el
http://www.insflug.org/documentos/Cortafuegos-Como/. Tener un Cortafuegos IP le permite asegurar su máquina frente a accesos por la red no autorizados filtrando o permitiendo que entren datagramas de o hacia las direcciones IP que sean designadas. Hay tres clases diferentes de reglas, filtrado de entradas (incoming filtering), filtrado de salidas (outgoing filtering) y filtrado de reenvíos (forwarding filtering). Las reglas de entradas son aplicadas a los datagramas recibidos en un dispositivo de red. Las reglas de salidas se aplican a los datagramas que va a transmitir un dispositivo de red. Las reglas de reenvíos se aplican a datagramas que se reciben pero que no son para esta máquina, como por ejemplo datagramas que entran por una interfaz para ser encaminados por otra.

Opciones de Compilación del Núcleo:
Networking options --->
[*] Network firewalls
....
[*] IP: forwarding/gatewaying
....
[*] IP: firewalling
[ ] IP: firewall packet logging

La configuración de las reglas del cortafuegos IP se realiza usando la orden ipfwadm. Como mencioné antes, yo no soy un experto en seguridad, por lo aunque le voy a presentar un ejemplo que se puede usar, usted debería investigar y desarrollar sus propias reglas si la seguridad es algo que le importe.

El uso más común de los cortafuegos IP es probablemente cuando está usando su máquina Linux como encaminador y pasarela (gateway) cortafuegos para proteger tu red local de accesos sin autorización desde fuera de la red.

La configuración siguiente está basada en una contribución de Arnt Gulbrandsen, agulbra@troll.no.
El ejemplo describe la configuración de las reglas de cortafuegos en la máquina cortafuegos/encaminadora ilustrada en este diagrama.
- -
\ | 172.16.37.0
\ | /255.255.255.0
\ --------- |
| 172.16.174.30 | Linux | |
NET =================| f/w |------| ..37.19
| PPP | router| | --------
/ --------- |--| Mail |
/ | | /DNS |
/ | --------
- -

Las órdenes que siguen, deberían normalmente estar situadas en un fichero rc de manera que sean ejecutadas automáticamente cada vez que el sistema reinicie. Para mayor seguridad deberían ser llamadas después de que ser configuradas las interfaces de red, pero antes de que las interfaces hayan sido puestas en marcha para prevenir cualquier intento de acceder mientras la máquina cortafuegos está reiniciando.

#!/bin/sh
# Limpiar la tabla de reglas de ´Reenvíos´
# Cambiar la política por defecto a ´accept´
#
/sbin/ipfwadm -F -f
/sbin/ipfwadm -F -p accept
#
# .. y lo mismo para ´Entradas´
#
/sbin/ipfwadm -I -f
/sbin/ipfwadm -I -p accept
# Antes que nada, sellamos la interfaz PPP
# Me encantaría usar ´-a deny´ en lugar de ´-a reject -y´ pero entonces
# sería imposible originar conexiones desde ese interfaz.
# El -o causa que todos los datagramas rechazados sean registrados. Esto
# toma espacio de disco a cambio de tener el conocimiento de un ataque
# por error de configuración.
#
/sbin/ipfwadm -I -a reject -y -o -P tcp -S 0/0 -D 172.16.174.30
# Eliminar ciertos tipos de paquetes que obviamente han sido generados
# de forma ´artificial´: No puede venir nada de direcciones
# multicast/anycast/broadcast
#
/sbin/ipfwadm -F -a deny -o -S 224.0/3 -D 172.16.37.0/24
#
# y nunca deberíamos ver llegar por un cable nada de la red
# ´loopback´
#
/sbin/ipfwadm -F -a deny -o -S 127.0/8 -D 172.16.37.0/24
# aceptamos entradas de las conexiones SMTP y DNS, pero sólo
# hacia el Mail/Name Server
#
/sbin/ipfwadm -F -a accept -P tcp -S 0/0 -D 172.16.37.19 25 53
#
# DNS usa tanto UPD como TCP, por lo tanto los permitimos ambos
# para quien pregunte por nuestro servidor de nombres
#
/sbin/ipfwadm -F -a accept -P udp -S 0/0 -D 172.16.37.19 53
#
# pero no "respuestas" que lleguen a puertos peligrosos como el de NFS
# y extensiones de NFS de Larry McVoy. Si ejecutamos squid, añadir
# su puerto aquí también.
#
/sbin/ipfwadm -F -a deny -o -P udp -S 0/0 53 \
-D 172.16.37.0/24 2049 2050
# valen las respuestas a otros puertos de usuario
#
/sbin/ipfwadm -F -a accept -P udp -S 0/0 53 \
-D 172.16.37.0/24 53 1024:65535
# Rechazar conexiones de entrada a identd Usaremos ´reject´ aquí para que
# se le diga al ordenador que intenta conectar que no continúe, si no lo
# hiciéramos, experimentaríamos retrasos mientras ident da un error de
# ´time out´
#
/sbin/ipfwadm -F -a reject -o -P tcp -S 0/0 -D 172.16.37.0/24 113
# Aceptamos algunas conexiones a servicios comunes desde las redes
# 192.168.64 y 192.168.65, que son amistades en las que confiamos.
#
/sbin/ipfwadm -F -a accept -P tcp -S 192.168.64.0/23 \
-D 172.16.37.0/24 20:23
# aceptar y dejar pasar cualquier cosa que se origine dentro
#
/sbin/ipfwadm -F -a accept -P tcp -S 172.16.37.0/24 -D 0/0
# denegar la mayoría del resto de conexiones TCP y registrarlas
# (añade 1:1023 si tiene problemas con el FTP)
#
/sbin/ipfwadm -F -a deny -o -y -P tcp -S 0/0 -D 172.16.37.0/24
# ... para UDP también
#
/sbin/ipfwadm -F -a deny -o -P udp -S 0/0 -D 172.16.37.0/24

Las buenas configuraciones de cortafuegos son un poco complicadillas. Este ejemplo debería ser un punto de partida razonable. La página de manual de ipfwadm ofrece más asistencia en lo que respecta al manejo de la herramienta. Si intenta configurar un cortafuegos, asegúrese de que hace suficientes preguntas para tener información de las fuentes que considera fiables y haga algunas pruebas de funcionamiento con su configuración desde el exterior de la red.