Agregando un firewall a nuestra nube

Hola de nuevo. Dentro de la serie dedicada a asegurar nuestros equipos voy a añadir un nuevo servicio a nuestra nube. En su momento explique que como tal no iba a seguir ampliándola, pero que si surgía la ocasión la usaríamos como ejemplo. Y este es el uso por antonomasia para este tipo de herramientas.

Hasta ahora teníamos nuestra nube funcionando y accesible desde Internet. Con varias cosas que habíamos hecho estaba más o menos segura. Pero en realidad eran cosas muy elementales, cambiar los puertos por defecto, redirigir el tráfico de esos puertos, etc. El tema de añadir soporte https nos garantiza tráfico cifrado, pero nada más. Para dotar de mayor seguridad a nuestra pequeña nube casera vamos a añadirle un firewall.

Los firewalls se utilizan para proteger las conexiones entre equipos, principalmente servidores. Y aunque los routers llevan algo de protección (muy básica) no está de más tener un firewall en casa, sobre todo si tienes como es el caso un servicio accesible desde fuera de la red.

Lo primero es definir que es un firewall. Los firewalls pueden ser de hardware o de software, destinados a monitorizar las conexiones entrantes y salientes y en base a unas reglas establecidas por el administrador permitir, bloquear o redirigir el tráfico de datos. Los primeros, más rápidos y eficientes son equipos destinados única y exclusivamente a tal fin y se usan en entornos críticos, corporativos, granjas de servidores, data centers, etc. En nuestro caso vamos a usar un firewall de software, no deja de ser un programa más instalado en nuestra máquina, son más lentos y quizás menos eficientes, pero suficiente para lo que necesitamos. Estos se utilizan en entornos menos críticos, pequeñas empresas y a nivel doméstico.

Ya veréis que es muy fácil de usar, solo tenemos que saber que puertos necesitamos para cada servicio. Esencialmente lo que vamos a hacer es bloquear todo el tráfico de entrada y habilitar todo el de salida y solo aquellos puertos de entrada que nos interesen. Ya que los puertos abiertos, son posibles vías de acceso al sistema, aun cuando no usamos el servicio.

Lo primero es instalar el firewall. Usaremos UFW, quizás el firewall más sencillo y conocido en el Linuxverso. Así que ya sabes, manos a la obra…. Conexión ssh, te cambias a root y apt-get update && apt-get install ufw. Esperas que termine, es rápido, y listo, ya tienes el firewall instalado.

Lo primero es activar el firewall (siempre como root, es un servicio crítico del sistema) ufw enable. Vale, ya tenemos el firewall, pero como no está configurado es como no tener nada. Así que ufw default allow outgoing y ufw default deny incoming, con esto le hemos dicho “permite todo el tráfico de salida”  y “bloquea todo el tráfico de entrada”.

Si ahora intentamos conectarnos a nuestra nube no podremos, el firewall lo impedirá. Con lo que tenemos que configurar los puertos de entrada que queremos permitir. Aquí no te puedo ayudar, más allá de explicarte como se abren, ya que tú sabes que puertos has usado. Usare como ejemplo el puerto 80, que es el que se usa para las conexiones http. Si has configurado, como hice yo, la conexión https o si has cambiado el puerto por defecto, este puerto no te sirve, tendrás que cambiarlo por el correcto.

Bien, ¿pues como se abre un puerto? Muy fácil ufw allow 80, o bien si el servicio es un estándar puedes usar su nombre, esta instrucción es equivalente a la anterior ufw allow http. Yo prefiero usar el número de puerto. Esto tenéis que ponerlo por cada servicio que queráis permitir.

En el caso, por ejemplo, de la VPN, podemos elegir puerto TCP o UDP. El firewall por defecto aplica la configuración al puerto TCP, con lo que si tienes configurado el puerto en el otro protocolo por muy abierto que lo tengas no funcionará. Para resolver esto solo tienes que especificar el protocolo a la hora de abrir el servicio tal que así ufw allow 80/UDP.

Hay más configuraciones, como por ejemplo, aplicar configuraciones a lotes de puertos, configurar ip’s específicas, etc. pero eso es harina de otro costal. Lo que sí es importante, por ejemplo es saber bloquear una dirección específica, por ejemplo por si detectamos que esa ip está intentando atacarnos o sospechamos de ella. Eso se hace con ufw deny from numero_ip (cambia numero_ip por la ip en cuestión).

Si por lo que sea, las cosas cambian mucho y tenemos que reconfigurar todos (o la mayoría) de puertos se puede resetear el firewall con ufw reset y en caso de necesidad podemos desactivarlos con ufw disable, con lo que todas las reglas dejarán de tener efecto de forma inmediata.

Respecto de esto último, no tiene ningún sentido tener un firewall para tenerlo apagado, con lo que debería estar activo y funcionando constantemente. Esto que he explicado aquí también es útil y sirve igualmente para usarlo en nuestro equipo de sobremesa o portátil. Aunque en ese caso quizás quieras usar GUFW, la interfaz gráfica para configurarlo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies