Linux: seguridad – Cortafuegos

Nivel

Soporte

Distribución

Seguridad

En Linux, se apuesta fuerte por la seguridad del sistema. En ninguna Distribución se sufre de infección por virus, pero es necesario aplicar otro tipo de protecciones para evitar que tu Sistema quede vulnerable. En este caso hablaré del Cortafuegos Gufw  (Firewall).

Imagen 1: El Estado del Cortafuegos esta desactivado

Ubuntu Mate, trae por defecto un cortafuegos (UFW, en su versión exclusiva bajo un Terminal que se configura a base de comandos y Gufw que trabaja en modo más sencillo bajo un entorno gráfico, este tutorial se basa en este último para simplificar las mismas tareas). Este es bastante liviano pero cumple con su cometido. El inconveniente que le veo a esta Distribución es que no la activa tras la instalación del Sistema Operativo (imagen 1). Nosotros debemos ejecutarla con permisos de root (permiso de superusuario -hablaré de root más adelante en otra publicación-, ya que todas las aplicaciones que modifican configuraciones del Sistema pueden comprometer a la seguridad del equipo, y por seguridad, se debe insertar la contraseña habitual de usuario), e indicar que se ponga en funcionamiento automáticamente en cada reinicio del Sistema.

Nota: en el caso de tener que borrar la aplicación para reinstalarla (abrimos un Terminal):
(el símbolo $ no lo escribiremos, si no que se está indicando que es un modo usuario y no modo root)

$ sudo apt-get remove --purge gufw

la volvemos a instalar con:

$ sudo apt-get install gufw

¿Qué es un Cortafuegos / Firewall?

Es una aplicación de seguridad que gestiona el trafico de Internet entrante y saliente de todos los programas que usan la Red. ¿Y por qué es necesario tener en cuenta esta aplicación de seguridad? Para evitar intrusos en tu equipo. Es necesario bloquear los puertos de todos los protocolos de Internet (TCP, UDP, IMAP, FTP, etc.), para que ninguna aplicación pueda entrar en el equipo de forma libre y pueda robar datos o,  hasta incluso, hacerse con el control de tu máquina. Los puertos abiertos o sin vigilancia, de forma análoga es como dejarse la puerta de casa abierta…

Activación y Configuración básica

Ejecutaremos Gufw, desde el Menú → Sistema → Preferencias → Internet y Red → Configuración del Cortafuegos (imagen 2).

Imagen 2: ruta sencilla para ejecutar la aplicación

Como se trata de un programa que manipula la configuración importante del Sistema, nos pedirá la contraseña (imagen 3) para arrancarla en modo root (o superusuario).

Imagen 3: Ventana de identificación de Superusuario o root
Imagen 4: Gufw activo

Vimos antes (imagen 1) que por defecto esta desactivado, pulsaremos sobre el botón de Estado para activarlo como en el ejemplo (imagen 4).

Desde este punto si no se va a configurar la apertura de puertos para que algunos programas específicos puedan intercambiar datos hacia Internet, no habría que realizar nada más que cerrar la aplicación desde el botón de la X (idénticamente como en Apple o Windows).

Imagen 5: Gufw activado por defecto, sin reglas definidas por el usuario

Por defecto (imagen 5) nos dejará un Perfil destinado a uso domestico, denegando cualquier servicio entrante desde Internet y permitiendo la salida hacia Internet de todos los programas instalados en el equipo. Una configuración básica sin ninguna regla activada.

Aquí acabaría el tutorial para aquellos usuarios que no necesitan más.

Sin embargo, si se requiere abrir uno o varios puertos para algún programa exclusivo, se procedería pulsando sobre el botón Reglas (imagen 6).

Nota: no olvidar abrir previamente los puertos en vuestros routers, para que se hagan efectivas las Reglas en el Cortafuegos.

Imagen 6: botón Reglas, para activar y configurar nuevos puertos

Comprobaréis que la ventana se encuentra vacía de Reglas. Pondré de ejemplo abrir un puerto que me permita la comunicación de Filezilla (programa FTP) que me permite actualizar este proyecto para subir o descargar los ficheros en mi servidor de hosting. Pulsar sobre el signo (imagen 7).

Imagen 7: añadiendo nuevas Reglas

Aparecerá una nueva ventana (imagen 8). Pulsar en la pestaña Simple.

Imagen 8: Ventana para configurar la apertura o cierre de puertos.

En la Pestaña Simple se debe rellenar de forma sencilla si queremos abrir o bloquear uno o varios puertos de forma permanente (imagen 9).

Imagen 9: ventana de configuración de puertos sencilla

En Nombre: puedo poner FTP o Filezilla. Asigno un título que me aclare para que está destinado la apertura o bloqueo de los puertos.

En Política: podemos Permitir, Denegar (bloquear el puerto), Rechazar (indicaría que no se obtiene acceso a tu ordenador, enviando un paquete ICMP al programa que ha realizado el intento de conexión), y Limitar (se debe configurar en la Pestaña Avanzada y se encargará de evitar ataques de fuerza bruta desde el exterior denegando todos los accesos entrantes y salientes sobre una IP determinada, cuando se contabilicen seis o más peticiones en un intervalo de menos de treinta segundos.

Resumiendo, utilizando Gufw para uso doméstico son suficientes las opciones de Permitir o Denegar. Y en mi ejemplo, doy acceso configurándolo en Permitir.

En Dirección: la lógica nos obliga siempre a poner Entrante porque por defecto todas las salientes están permitidas.

En Protocolo: nos da la posibilidad de escoger TCP , UDP o ambos simultáneamente. Escojo TCP que es el protocolo correcto.

En Puerto: escribo el numero 21 para abrir FTP (en el caso de requerir SFTP es el 22). En el caso de necesitar abrir un rango de puertos podemos hacerlo en una sola Regla de esta manera: 21:22 (aquí abría 2 puertos a la vez), 5700:5799 (en este ejemplo permitiría 100 puertos simultáneos). También existe otra alternativa por si no sabemos el número de protocolo correcto el cual se debe configurar, escribiendo el nombre del servicio, por ejemplo: HTTP (que correspondería al 80).

Nota: importante matizar que para navegar por Internet no es necesario Permitir la apertura del puerto 80. Además de recalcar que si pones un servicio en vez de su número en Gufw y después no abres ese protocolo en el router no se hará efectivo ningún cambio.

Finalmente pulsar en el botón Añadir y si no necesitas seguir configurando nuevos puertos, debéis cerrar manualmente la ventana.

Imagen 10: primera Regla configurada

Por defecto (imagen 10), cuando se añaden nuevas reglas, Gufw configura la apertura para IPv4 e IPv6, utilicemos una u otra conexión (por defecto navegamos sobre IPv4). Pero en el caso de querer eliminar una Regla seleccionarla con un clic en la ventana (imagen 10) y pulsar más abajo en el signo rojo . Y en el caso de modificarla, pulsar en el símbolo de la rosca .

  Copias de seguridad de Gufw

Una vez acabado de configurar todos los puertos que deseéis Permitir o Denegar, sería un punto importante el realizar una copia de seguridad de vuestra configuración. Por si en un futuro necesitáis formatear o por cualquier otra causa. Podemos exportar todos los datos de Gufw en un único fichero. Clic en el Menú -> Archivo y clic en Exportar este perfil (imagen 11).

Imagen 11: exportando nuestras Reglas

Por defecto, nos aplica una ruta (directorio) de acceso para root (superusuario), que recomiendo no alojarlo allí. Aconsejo guardarlo en algún Disco Duro Extraíble o Memoria USB que utilicéis de copia de seguridad, porque si formateáis perderéis el fichero y la próxima vez os tocará empezar de cero vuestra configuración personal (imagen 12).

Imagen 12: directorio por defecto para guardar la copia de seguridad

En mi caso, voy a guardarlo en mi carpeta de Descargas personal, y en otro momento poderlo guardar a un Disco Duro Externo de copias de seguridad.

Imagen 13: carpetas de root

Si nos dirigimos a nuestra Carpeta Personal (imagen 13), Descargas, Documentos, o cualquier otra ruta, nos encontramos con un inconveniente, y es como como tenemos en ejecución el programa como root todos los directorios que se seleccionen serán dentro del usuario de root, en vez de nuestra carpeta personal (de nuestro propio usuario). Para acceder a nuestra cuenta y encontrar la carpeta de ejemplo Descargas, pulsar en este icono que me lleva a la Raíz (el primer directorio o carpeta).

Imagen 14: carpeta Raíz

Al pulsar en Raíz (imagen 14), podemos ver una carpeta llamada home, pulsar para acceder a todos los usuarios configurados en Ubuntu Mate (en el caso de haber más de uno, si no tienes permisos, el acceso a esos datos quedan restringidos pudiendo sólo acceder a tu cuenta de usuario).

 

En mi caso pulsaría en mi usuario llamado alejandro y después en la carpeta Descargas (imagen 15).

Ahora toca elegir un nombre para el fichero que se desea generar. Podéis ver en el ejemplo (imagen 15) que lo he definido como Reglas de Gufw. Así en un futuro sabré de que trata ese fichero. Sin embargo, os lo desaconsejo, debido a que la mejor recomendación es que se trate de una sola palabra (veremos seguidamente por qué), en mi caso opto por escribir Gufw. En el vuestro, si deseáis mantener el otro título más aclarador, os recomiendo la eliminación de espacios y enfatizarlo con mayúsculas así: ReglasDeGufw.

Imagen 15: carpeta de Descargas del usuario y dando título un nombre de archivo
Imagen 16: perfiles de usuario

Los nombres de Perfil, están compuestos de una sola palabra, por eso se recomienda en la exportación eliminar espacios. En este ejemplo en la imagen vemos como sale reflejado el nombre de mi archivo: Gufw (imagen 16).

Nota: la extensión (se aplica de manera automática) de este fichero es: .profile

Para terminar, solo quedaría importar vuestro fichero de reglas para el cortafuegos buscando la ruta donde lo tengáis almacenado (imagen 17) y hacer doble clic o seleccionar y botón abrir, después de haber pulsado previamente en MenúArchivoImportar perfil.

Imagen 17: buscando la carpeta donde se haya el fichero de copia de seguridad de Gufw

Testeando puertos

Os recomiendo estas webs para testear y comprobar si habéis conseguido abrir o cerrar correctamente vuestros protocolos.

Test de puertos abiertos

Internautas.org escaneo de puertos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *