Luis Eduardo Peralta Molina 2010-2940 Instructor: José Doñe Como crear Firewall Que es firewall? Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear o denegar el acceso a personas no autorizadas a una pc, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Mucho cuidado es el que debe ser tomado al momento de modificar las reglas del Cortafuegos (Firewall). Esto aconseja que usted tiene acceso directo a la consola cuando editas manualmente las reglas de Firewall. Facilmente usted podria bloquearse/cerrarse para cualquier herramienta de administracion remota; si el firewall esta mal configurado. Además, la competencia con un editor de línea de comando de texto es necesario para Luis Eduardo Peralta Molina 2010-2940 Instructor: José Doñe la manipulación de estos archivos. Por defecto viene con ClearOS el editor vim (vi mejorado). Archivo de Configuracion de Firewall (/etc/firewall) ClearOS usa el archivo ubicado en /etc/firewall, para el manejo de las reglas del Firewall (Cortafuegos). Ademas, el sistema lee de este archivo cuando despliega las reglas del firewall en la configuracion Web. Un buen formado archivo puede ser cuidadosamente editado por la linea de comandos. Ahora abriremos el archivo de configuracion del Servicio Firewall. Nos logueamos en el Server ClearOS desde un equipo Linux que forme parte de la red usando lo anterior mostrado. Ahora nos abriremos el archivo de configuracion “firewall” usando vi o vim. Escribimos. vi /etc/firewall Luis Eduardo Peralta Molina 2010-2940 Instructor: José Doñe Navega hasta la seccion de las reglas y agrega la siguiente linea: Webconfig||0x10000001|6||81| \ En un servidor donde la configuracion Web es el unico servicio entrante permitido tus reglas luciran como estas: RULES="\ Webconfig||0x10000001|6||81| \ " Guarde y salga del archivo. Reinicie el servicio o reglas del firewall mediante el comado: service firewall restart Ahora nos dirigiremos a nuestro servidor ClearOS, para proceder a activar el servicio y luego habilitar los puertos que queremos que permitan la comunicación o puertos de Entrada (Permitidos). Para habilitar el servicio de Firewall nos dirigiremos a Red → Configuracion → Configuracion IP Y ahora procedemos a cambiar el modo a Modo Standalone. Luego pulsamos Actualizar. Luego nos dirigiremos a nuestro Cliente ya sea Windows o Linux y trataremos de acceder a uno de los sitios Web alojados en nuestro servidor. Como vemos en este ejemplo: Luis Eduardo Peralta Molina 2010-2940 Instructor: José Doñe Hemos tratado de acceder a la pagina linuxteca.com, y como vemos lo que nos ha ocurrido es que no ha accedido al servicio. Esto se debe a que el cambio de modo que hemos hecho en el servidor de activar el Firewall, esta realizando su funcion de Cortafuegos y es impedir que el trafico no identificado pase a traves de el mismo equipo donde se encuentra el firewall. Como ya sabemos las paginas Web utilizan el protocolo HTTP, el cual emplea el puerto 80. Si realizamos otra prueba como FTP para verificar si bloquea este tipo de trafico nos debe ocurrir lo mismo que con la pagina web, la cual no me permita acceder al servicio. Para esto nos vamos a una carpeta cualquiera del sistema Y escribimo ftp:/10.0.0.2/ y luego presionamos Enter. Y como vemos nos saldras el error anterior, el cliente no puede accesar a el servidor ftp, porque Luis Eduardo Peralta Molina 2010-2940 Instructor: José Doñe nuestro Firewall no le esta permitiendo el acceso ya que el servicio ftp no se encuentra en la lista de servicios permitidos del firewall. Ahora mostraremos en el servidor que no se encuentra abierto el puerto de ftp “20 y 21”: Si deseamos permitir trafico por uno de estos puertos solo debemos pulsar el boton que dice Habilitado y nuestros clientes podran acceder a los servicios ofrecidos por este puerto. Ahora realizaremos una pequeña prueba activando los servicios de FTP y de HTTP para luego verificar si tenemos acceso a los servicios que emplean estos puertos a traves de uno de nuestros clientes: Ahora abriremos en el cliente una de las paginas que tenemos alojadas en el Apache, yo abrire esta: www.linuxteca.com. Luis Eduardo Peralta Molina 2010-2940 Instructor: José Doñe Como vemos nuestro cliente ha accedido correctamente a la pagina ya que hemos abierto el puerto 80 correspondiente a HTTP. Ahota verificaremos con FTP. Para esto podemos abrir Ejecutar pulsando Tecla Windows + R. Escribimos el comando o instrucción ftp://IP Address del Servidor/, ftp://10.0.0.2/ Pulsamos Aceptar. Nos logueamos en el FTP colocando nuestro usuario y contraseña del usuario al que le hemos asignado permisos de usar este servicio. Luis Eduardo Peralta Molina 2010-2940 Instructor: José Doñe Y aquí vemos que nuestro puerto de FTP ya esta abierto, y permitiendo trafico. Lo siguiente que mostraremos sera como agregar una regla de Firewall. Como vemos aquí podemos agregar una regla al firewall mediante estos tres metodos: El primero que nos dice Servicio Estandard nos permite elegir el nombre del servicio y agregarlo facilitandonos el trabajo de tener que poner manualmente los puertos y el Alias del Servicio que queremos agregar como regla del firewall. En el segundo Alias/Puerto en el primer campo colocamos el Alias del Servicio por Ejemplo: OpenVPN, SSH... y en el segundo campo colocamos el puerto del servicio. Y por ultimo en el tercero Alias/Rango de Puertos en el primer campo continua siendo lo mismo que vimos anteriormente, y en le segundo campo colocamos desde y hasta que puerto queremos cubrir con esta regla. Ahora probaremos agregando una regla permitiendo trafico por el puerto del Servicio HTTPS “443”. En el servidor desplegamos la lista de servicios como vemos en la siguiente imagen. Luis Eduardo Peralta Molina 2010-2940 Instructor: José Doñe Seleccionamos HTTPS y luego pulsamos Agregar. Y como vemos ya se nos ha agregado la Regla. Si queremos deshabilitar el trafico por este puerto. Pulsamos Deshabilitado y listo. Hasta aquí este tutorial de Firewall.