Un firewall es un componente vital en la protección de un sistema informático, o una red de ordenadores de ataques externos (por lo general de un ataque a través de una conexión a Internet). Cualquier ordenador conectado directamente a una conexión a Internet debe funcionar de un firewall para proteger contra la actividad maliciosa. Del mismo modo, cualquier red interna debe tener algún tipo de firewall entre este y una conexión a Internet externa.
En consonancia con otras distribuciones de Linux, Red Hat Enterprise Linux 6 se suministra con la tecnología de servidor de seguridad de gran alcance conocido como iptables integrado. Libros enteros pueden, y de hecho tienen, han escrito acerca de la configuración de iptables. Si usted desea aprender acerca de iptables recomendamos Configuración del cortafuegos Linux – Paquetes
Afortunadamente RHEL 6 también proporciona algunas herramientas que hacen firewall configuración fácil para el usuario medio. Este capítulo cubre los pasos necesarios para configurar un firewall de RHEL 6 usando esas herramientas.
|
Para iniciar la herramienta de RHEL 6 configuración de cortafuegos estándar, abra el escritorio System y haga clic en Administración seguido de Firewall . Como alternativa, la herramienta se puede iniciar desde la línea de comandos de la siguiente manera: |
Introduzca la contraseña de root cuando se le pida hacerlo. Una vez cargado, la herramienta de nivel de seguridad debe aparecer como sigue:
De manera predeterminada, el servidor de seguridad se activará en un recién instalado RHEL 6 sistema. Este es el estado preferido para el servidor de seguridad a menos que el sistema se está ejecutando en un entorno de red seguro o no tiene una conexión de red. Para activar o desactivar el servidor de seguridad, haga clic en el botón correspondiente en la barra de herramientas de la ventana Configuración del cortafuegos.
El estado actual del servidor de seguridad se indica en el campo de estado en la parte inferior de la ventana.
Configuración del Firewall Configuración mediante el asistente ;
Por defecto, el firewall está configurado para permitir sólo shell seguro (SSH) el acceso al sistema y ve a todos los adaptadores de red instalados como dispositivos no sean de confianza . Estos ajustes se pueden configurar de forma manual utilizando la herramienta de configuración de Firewall. Como alternativa, la herramienta Asistente se puede utilizar para configurar el servidor de seguridad basado en las respuestas a una serie de preguntas. Para acceder al asistente, simplemente haga clic en el Asistente para en la barra de herramientas de la herramienta de configuración del Firewall.
El asistente le hará preguntas acerca de si el sistema está conectado a una red, si usted es un principiante o un usuario con experiencia y, por último, si se está utilizando el sistema como una computadora de escritorio o un servidor. Una vez que la información ha sido recopilada, el asistente configurará el servidor de seguridad en consecuencia. Por ejemplo, si usted afirma que usted es un principiante utilizando el sistema en su ordenador de sobremesa, el asistente configurará el servidor de seguridad para permitir la impresión y el acceso al compartimiento de archivos e impresora en otros sistemas mediante Samba. Modo principiante también deshabilita el acceso a las opciones de configuración del servidor de seguridad más avanzados. Para cambiar el nivel de habilidad o perfil de configuración (de escritorio o servidor) utilizan la configuración accesible a través del menú de opciones.
Aunque el enfoque asistente está muy bien para ajustes más básicos, será necesario configurar manualmente la configuración de los requisitos más avanzados.
Configuración de los ajustes de puertos del cortafuegos
El área principal de la herramienta de configuración del servidor de seguridad consiste en una lista de categorías en el panel de la izquierda y los ajustes correspondientes actuales de esa categoría en el panel de la derecha.
La categoría de servicios de confianza esencialmente define qué puertos TCP / IP están abiertas al tráfico en el firewall. Hay un número de los llamados puertos conocidos que están asignados a servidores específicos (como el puerto 80 para un servidor web).
Un resumen de los servicios de atención primaria es el siguiente:
- SSH – La Secure Shell proporciona un mecanismo de cifrado para permitir protegido con contraseña el acceso remoto a su sistema. Con SSH puede iniciar sesión de forma remota en su sistema, copiar archivos desde y hacia su sistema y otros sistemas y llevar a cabo la ejecución remota de programas. Si usted necesita el acceso remoto al sistema tendrá que activar esta. Si no es necesario el acceso remoto dejar esta desactivado. Tenga en cuenta que el servidor ssh no está instalado por defecto en Red Hat Enterprise Linux 6.
- Telnet – Telnet proporciona acceso a la terminal remota a su sistema. No utiliza el cifrado y el uso está totalmente desaconsejado. Deje este SSH discapacitados y el uso en lugar para el acceso remoto.
- WWW (HTTP) – Si usted es anfitrión de un servidor web en su sistema Red Hat Enterprise Linux 6 tendrá que habilitar el tráfico HTTP a través del servidor de seguridad para permitir peticiones de páginas web para llegar a la http servidor. Si no va a alojar un servidor web, deje esta desactivado. Tenga en cuenta que el servidor web Apache no está instalado de forma predeterminada en RHEL 6 menos que se solicite durante el proceso de instalación.
- de correo (SMTP) – Especifica si el firewall bloquea el tráfico simple de transferencia de correo. Esto sólo es necesario si usted es anfitrión de un servidor de correo en su sistema Red Hat Enterprise Linux 6. Si sólo utiliza un cliente de correo para descargar correo electrónico de un servidor POP3 o IMAP se puede salir con seguridad esta desactivado. Tenga en cuenta que el servidor SMTP no se instala por defecto en Red Hat Enterprise Linux 6.
- FTP – Controla si el tráfico de Protocolo de transferencia de archivos está permitido a través del firewall. A menos que usted va a configurar un servidor (poco probable para los usuarios típicos) ftp dejar esta opción desactivada. Tenga en cuenta que el servidor FTP no se instala por defecto en Red Hat Enterprise Linux 6.
- Samba – El servicio Samba permite que los archivos y las impresoras que se comparten entre Linux y Windows. Si este tráfico se bloquea en el servidor de seguridad, no será posible utilizar Samba en este sistema.
Para activar o desactivar una opción, simplemente haga clic en en la casilla de verificación situada junto al servicio.
Configuración Otros puertos
La lista de puertos conocidos no es, por supuesto, los únicos puertos disponibles. De hecho, hay miles de puertos disponibles para el uso de aplicaciones y servicios. Para abrir un puerto específico, utilice la categoría Otros puertos de la herramienta de configuración del Firewall. Para abrir un puerto, haga clic en el Añadir para mostrar el diálogo de puerto y protocolo se muestra a continuación:
Este diálogo proporciona una mucho más extensa lista de puertos. Seleccione el puerto deseado de la lista, o introducirlo manualmente si no está en la lista seleccionando la opción Definido por el usuario. Al definir manualmente el puerto, tanto el número de puerto y protocolo (TCP o UDP) tendrá que ser proporcionado para asegurar el servidor de seguridad no interfiere con el tráfico en ese puerto.
Configuración de interfaces de confianza
Una interfaz de confianza es un adaptador de red (basado ya sea físico o de software) en el que se conoce el tráfico que puede venir desde un entorno de red seguro. Por ejemplo, un sistema de actuación de RHEL 6 como un servidor de seguridad para una red interna puede contener dos adaptadores de red, uno de los cuales está conectado a través de una puerta de enlace o módem a la Internet, mientras que el otro está conectado a la red interna segura. En tal situación, el primer adaptador se configura como no es de confianza, ya que se expone al tráfico desde el mundo exterior. Suponiendo que la red interna está protegido por el cortafuegos y otras medidas de prevención de intrusiones, el segundo adaptador puede ser considerado como digno de confianza.
enmascaramiento
El enmascaramiento es más conocido en los círculos de la administración de redes como la traducción de direcciones de red (NAT). Cuando se utiliza un sistema de RHEL 6 como puerta de entrada a Internet para una red de ordenadores, enmascaramiento permite que todos los sistemas internos de usar la dirección IP del sistema de Red Hat Enterprise Linux 6 en la comunicación a través de Internet. Esto tiene la ventaja de ocultar las direcciones IP internas de cualquier sistema de entidades externas maliciosos y también evita la necesidad de asignar una dirección IP pública a cada ordenador de la red.
Este servicio también se ofrece en la mayoría de los enrutadores y puertas de enlace por lo que esta característica del RHEL 6 Firewall se utiliza muy poco.
Port Forwarding
El reenvío de puertos se utiliza en conjunción con enmascaramiento cuando el sistema RHEL 6 actúa como una puerta de enlace a Internet para una red interna de los sistemas informáticos. El reenvío de puertos permite el tráfico que llega el firewall a través de Internet en un puerto específico que debe enviarse a un sistema en particular en la red interna. Esta es quizás mejor describe a modo de ejemplo.
Supongamos que un sistema RHEL 6 está actuando como el servidor de seguridad para una red interna de computadoras. Uno de los sistemas de la red está configurado como un servidor web. Supongamos que el sistema del servidor web tiene una dirección IP de 192.168.2.20. El expediente de dominio para el sitio web alojado en este sistema está configurado con la dirección IP pública detrás de la cual el sistema de firewall RHEL 6 se sienta. Cuando una página web de solicitud HTTP llega al puerto 80 del sistema de Red Hat Enterprise Linux que actúa como el servidor de seguridad tiene que saber qué hacer con él. Mediante la configuración de reenvío de puertos, es posible dirigir todo el tráfico web para el sistema interno que aloja el servidor web (en este caso, la dirección IP 192.168.2.20), o bien continuar utilizando el puerto 80 o el desvío del tráfico a un puerto diferente en el servidor de destino . De hecho, el reenvío de puertos, incluso se puede configurar para reenviar el tráfico a un puerto diferente en el mismo sistema que el servidor de seguridad (un concepto conocido como el reenvío local).
Configure el reenvío de puertos seleccionando el Port Forwarding categoría en la ventana Configuración del cortafuegos y haciendo clic en el botón Agregar. Se mostrará el siguiente diálogo:
Desde dentro del cuadro de diálogo anterior, seleccione el dispositivo de red desde el que el tráfico es que se transmitirá (el dispositivo de red que controla el tráfico que viene de la Internet), el protocolo y el puerto para el que la expedición sea eficaz y la dirección IP del sistema en la red interna para que el tráfico se desviará. Opcionalmente, también proporcionan un número de puerto alternativo en el sistema de destino, si es necesario.
Para reenviar el tráfico a un puerto diferente en el sistema local (es decir, el sistema que ejecuta el servidor de seguridad), seleccione la opción de traslado de local y especifique el puerto de destino.
ICMP filtrado
El Internet Control Message Protocol (ICMP) es utilizado por los sistemas cliente en redes para enviar mensajes de error a la otra. También es la base del comando ping que se utiliza para los administradores de red y los usuarios para detectar si un cliente en particular está vivo en una red. La categoría ICMP filtrado permite el bloqueo de determinados tipos de mensajes ICMP. Por ejemplo, un administrador puede optar por bloquear de ping entrante (Solicitud de eco) mensajes ICMP para prevenir la posibilidad de una denegación de ping basado de servicio (DoS) (donde un servidor se maliciosamente bombardeados con tantos mensajes de ping que se vuelve incapaz de responder a las solicitudes legítimas).
reglas personalizadas
La categoría de reglas personalizadas permite reglas de iptables individuales que se especifican y se cargan en el servidor de seguridad. Esto proporciona un alto nivel de flexibilidad para llevar a cabo tareas tales como el bloqueo de los mensajes de una dirección IP específica o rangos de direcciones. El poder y la flexibilidad de iptables permite a casi cualquier restricciones imaginables para ser colocados en el tráfico que pasa a través del firewall. Ese mismo poder, por desgracia, hace una descripción detallada de la tecnología mucho más allá del alcance de este libro.
Configuración del Firewall de un terminal usando iptables
Además de utilizar la herramienta gráfica para configurar reglas de firewall, el comando iptables puede utilizarse también en el símbolo del sistema. Para ver la configuración actual de iptables, el siguiente comando puede ejecutarse en una ventana de terminal:
iptables-L Chain INPUT (policy ACCEPT) prot objetivo opt fuente destino Cadena FORWARD (policy ACCEPT) target SALIDA opt prot origen destino Chain (policy ACCEPT) source destination opt prot objetivo
Como se ilustra en la salida anterior, no hay reglas están actualmente definidas. Si bien esto puede parecer una configuración insegura, es importante tener en cuenta que un sistema RHEL 6 recién instalado también tiene unos servicios que se ejecutan de forma predeterminada, por lo que los puertos esencialmente inútil a un atacante potencial. No es posible, por ejemplo, para tener acceso remoto a un servidor web, simplemente porque el servicio httpd está instalado o en ejecución por defecto. Una vez que los servicios comienzan a ser activado en el sistema, sin embargo, será importante comenzar a establecer una estrategia de cortafuegos mediante la definición de reglas de iptables.
Un número de métodos disponibles para la definición de reglas de iptables, incluyendo el uso de herramientas de línea de comandos y archivos de configuración. Por ejemplo, para bloquear el acceso al puerto 25 (utilizado por el protocolo de transferencia de correo SMTP) a partir de la dirección IP 192.168.2.76, el siguiente comando puede emitirse en una ventana de terminal:
iptables - A INPUT-s 192.168.2.76-p tcp - destination-port 25-j DROP
Si ahora comprobamos la normativa actual, veremos que éste ahora aparece:
iptables-L Chain INPUT (policy ACCEPT) opt prot objetivo source destination DROP tcp - 192.168.2.76 cualquier tcp dpt: smtp Cadena FORWARD (policy ACCEPT) prot objetivo SALIDA Cadena origen destino opt (policy ACCEPT) source destination opt prot objetivo
La regla sea posteriormente trasladada de la siguiente manera:
iptables-D ENTRADA-s 192.168.2.76-p tcp - destination-port 25-j DROP
Dada la complejidad de iptables no es de extrañar que una serie de amistosos herramientas de configuración gráfica de usuario (como Guarddog y Firestarter) han sido creadas para facilitar el proceso de creación de reglas.
Posts Relacionados
LINUX Dominar la Administración del Sistema 3°Edición [PDF]
BackBox Linux 4.1, nueva versión de esta distro de seguridad- ¿Google Drive para Linux? Quién sabe…
- Quantum OS cambia su nombre a Papyros y evoluciona el Material Design
- Implementar ACLs: Descripción, comandos y ejemplos.
- Libreboot X200, otro portátil avalado por la FSF