lunes, 24 de octubre de 2011

El cortafuegos en Ubuntu, o de Firestarter a GUFW

Introducción

Desde hace tiempo que soy pro Firestarter, como aplicación para configurar el cortafuegos. Sin embargo, de un tiempo hacia aquí, estoy teniendo pequeños problemillas, nada que no se pueda resolver, pero problemillas. Desde la llegada de Ubuntu 11.10 Oneiric Ocelot, no consigo que se funcione cuando utilizo wifi, no entiendo porque, y tampoco me he parado a averiguarlo, simplemente me he cansado, y finalmente me he decidido a pasar a UFW y su interfaz gráfico GUFW.
gufw

Los cortafuegos

Introducción

Tanto UFW como Firestarter, son únicamente la interfaz para tratar con iptables, que es realmente el verdadero cortafuegos. Cuando te conectas a internet, todo el tráfico que llega o sale de tu ordenador es filtrado a través de “puertos”. Algunos puertos son utilizados convencionalmente por algunas aplicaciones, como por ejemplo el puerto 80 que se utiliza para la navegación insegura (http) o el puerto 443, para la navegación segura (https). De esta manera el tráfico dirigido a ciertas aplicaciones puede ser permitido o denegado, abriendo o cerrando los puertos designados para este tipo particular de tráfico. Es decir, si cerramos el puerto 80, no podremos navegar de forma insegura.
Cuando un paquete llega a tu ordenador, el sistema de filtrado de paquetes del núcleo se encarga de aceptarlo o rechazarlo en base a las reglas establecidas vía iptables. De esta forma, solo necesitamos trabajar con iptables para configurar el cortafuegos. Sin embargo, para facilitarnos el trabajo con iptables, existen multitud de herramientas que se encargan de hacer de “intercomunicador” entre nosotros e “iptables”.

UFW

UFW es la herramienta de configuración del Firewall que tiene instalada por defecto Ubuntu, y está desarrollada con el objetivo fundamental de faciltar la configuración de iptables. Sin embargo, por defecto UFW está desactivado.

Comportamiento

Antes de activar UFW, es recomendable establecer el comportamiento por defecto, que puede ser, o bien, rechazarlo todo:
1
sudo ufw default deny
o al contrario, permitirlo todo:
1
sudo ufw default allow
Una vez ya tienes configurado el comportamiento por defecto, ya puedes activar UFW:
1
sudo ufw enable
Para desactivarlo:
1
sudo ufw disable
Se puede configurar todo desde la línea de comandos, desde añadir reglar de permiso, de denegación de servicio, etc. Sin embargo, vamos al interfaz gráfico, que nos va a simplificar considerablemente el trabajo, y con el que no es necesario realizar los pasos anteriores.

GUFW

Instalación

Así como UFW viene instalado por defecto, no sucede lo mismo con GUFW. Para instalarlo, tienes que hacer clic en GUFW, o bien desde el terminal:
1
sudo apt-get install gufw

Funcionamiento

Una vez instalado, lo puedes iniciar desde el Dash, y verás una ventana como la siguiente:
gufw
Tienes que hacer clic sobre el candado, para poder modificar la configuración, y trabajar con él. Cuando lo hagas te pedirá la contraseña de administrador, y podrás acceder a la configuración de UFW. La primera vez que lo inicies, tendrá un aspecto como el siguiente:
gufw
Deberás hacer clic sobre el botón deslizante que hay en la parte superior izquierda, para ponerlo en funcionamiento:
gufw
La ventana anterior, no se corresponde exactamente con lo que verás tu, por que he añadido una regla para que funcione correctamente Deluge, y la segunda es que tengo activado el informe de escucha, para ver lo que está sucediendo.

Establecer reglas

El siguiente paso, una vez puesto en marcha nuestro cortafuegos, es establecer las reglas, que se encargaran de filtrar el tráfico desde y hacia nuestro ordenador. Para ello, tienes que pulsar el botón “+”, que hay en la parte inferior de la caja con las reglas, de forma que verás algo así:
gufw
Verás que tienes tres pestañas, correspondiendo a preconfigurada, simple y avanzada. La primera corresponde a las aplicaciones más comunes, como pueden ser Deluge, Amule, Skype, Transmisión, de forma que te configura los parámetros por defecto de estas aplicaciones. Ten en cuenta que se refiere a parámetros por defecto. En el caso de que modifiques los puertos entrantes para Deluge, no te servirá, con lo que será necesario que añadas manualmente las reglas necesarias en este caso.
Por otro lado, también te permite, en la pestaña de reglas preconfiguradas, añadir los servicios mas comunes, como son ssh, ftp, http, imap, etc.
En la pestaña correspondiente a reglas simples, te servirá para el caso en la que las reglas preconfiguradas no te sean útiles, como es el caso de que hayas modificado los puertos entrantes para Deluge o Transmision.
gufw
Por último en el caso de la pestaña de reglas avanzadas, puedes realizar una configuración pormenorizada, con muchos mas detalles, desde un rango de direcciones IP de entrada y salida, hasta un rango de puertos de entrada y salida.
gufw

Seguimiento

Otra interesante opción, es que Gufw, te informe de lo que va sucediendo. Para ello, es necesario realizar una configuración mínima. En el menú de Gufw, seleccionas Editar > Preferencias, y verás la siguiente ventana:
gufw
La primera opción  corresponde a la configuración de UFW, y te permite fijar el grado de detalle con el que quieres registrar los eventos que se producen en tu cortafuegos. Como ves yo lo tengo deshabilitado, y es que para que nos vamos a engañar, no lo miro nunca, aunque a lo mejor debería. En el segundo bloque de opciones, configuras Gufw, lo primero es permitir al acceso al registro. La segunda opción corresponde al informe de escuche, que es la caja que aparece justo debajo de las reglas. La última opción es la que permite que se muestren notificaciones cuando se generan nuevos eventos.

Conclusiones

Con GUFW es realmente sencillo configurar el cortafuegos, una vez sabes como hacerlo, claro. La verdad es que ya le había cogido el punto a Firestarter, y me gustaba, pero al ser una herramienta cuyo desarrollo se ha discontinuado, conforme van pasando las versiones de Ubuntu, los problemas son mayores. Recordar, el desarrollo activo de Firestarter termión en 2006, donde se soportaba el Kernel 2.5 y 2.6 de Linux. Realmente, para configurar el cortafuegos, pocas cosas mas nos hacen falta, con lo que GUFW es una buena solución, y me quedaré con él, por ahora, como siempre.
Por último, y aunque es una obviedad, si también tienes cortafuegos en el router, ten en cuenta que tendrás que tener habilitados los mismos puertos, si no es posible que entre el un cortafuegos y el otro, te termine por entrar la locura. Lo comento, mas que nada, porque a mi me suele pasar, que no termino de entender porque no tengo conexiones entrantes en Deluge teniendo habilitados los puertos correspondientes en el cortafuegos, y es que resulta que en el cortafuegos del router tengo realizado un “forwarding” hacia el IP estático de mi máquina, y estoy con otra máquina, con lo que “si quieres arroz catalina
Más información | UFW, Firewall, GUFW, Firestarter, IPTables

Fuente:http://www.atareao.es/ubuntu/conociendo-ubuntu/el-cortafuegos-en-ubuntu-o-de-firestarter-a-gufw/

No hay comentarios:

Publicar un comentario