instalación del fwbuilderalfresco.tknika.net/alfresco/d/d/workspace/spacesstore/17e15862-5... ·...

Elkarnet

Instalación del FwBuilder

Bertsioa / Versión: 1.0

Egilea / Autor:

Luis Mandado Villanueva

Data / Fecha:

4 de Mayo de 2005

Lizentzia / Licencia:

CreativeCommons - ShareAlikeLizentzia laburpena: English Castellano

Elkarnet

19tik, 2. Orrialdea / Página 2 de 19

Aurkibidea / Indice

Introducción........................................................................................................................... 3Conocimientos previos .......................................................................................................... 3Elementos necesarios............................................................................................................. 3Instalación del sistema operativo........................................................................................... 3Preparando el entorno y consiguiendo los ficheros ............................................................... 4Instalando fwbuilder .............................................................................................................. 7Planificando la estructura de nuestra red............................................................................... 8Empezando con el fwbuilder ............................................................................................... 10Carga automática de nuestrar reglas.................................................................................... 16Ajustando las reglas............................................................................................................. 18

Elkarnet


Introducción

El objetivo de este documento es facilitar a los administradores de red de los centros lacapacidad de instalar y configurar una máquina que funcione como cortafuegos, usando elsistema operativo Linux, (en el ejemplo el Fedora Core 2) y el programa fwbuilder paracrear las reglas sobre iptables.

Conocimientos previos

La intención es que no se necesite un conocimiento previo del sistema operativoLinux, por eso voy a dar muchos detalles en los pasos que se realizan sobre Linux que paraalguien mínimamente familiarizado con el sistema le parecerás superfluos, pero si senecesitará experiencia en instalación de sistemas operativos en general, conocimientos deredes informáticas y conocimientos básicos del protocolo TCP/IP.

Elementos necesarios

Un ordenador de características medias actuales, en principio el trabajo comocortafuegos no obliga a unas características elevadas, pero al menos tiene que soportar elentorno gráfico, porque el fwbuilder no funciona en modo texto, aunque solo lonecesitaremos para crear las reglas. De todos modos conviene tener en cuenta que será unordenador que tiene que estar encendido de modo permanente y que si este ordenador fallaperderemos toda la conexión con el exterior y que además si tenemos pensado hacer correren el un proxy o un antivirus perimetral nos consumirá mas recursos. En todo casonecesitará tener un lector de CDROM para cargar el sistema y al menos dos tarjetas de red,que es lo que mas va a trabajar, así que comprarlas de la mejor calidad posible.

Instalación del sistema operativo

Primero naturalmente necesitaremos los discos del sistema operativo, lo mejor esconseguir una copia de un compañero de otro centro, porque en el caso de Fedora Core 2son 4 CDROM, tres de ellos completos y el cuarto a un tercio, así que se tarda un buen ratoen bajarlos. De todos modos si tiene tiempo en http://fedora.redhat.com/dowload, tienes lasinstrucciones de que hay que bajarse y la lista de sitios mirror desde los que intentarlo.

Una vez con los discos la instalación del sistema es bastante automática y no debecrear problemas, el tipo de instalación si de tipo escritorio personal, de servidor, etc.Depende de tus gustos, mientras tenga el entorno gráfico no necesita nada más, y si algoconcreto se necesita durante la instalación del fwbuilder se puede añadir.

Durante la instalación del sistema nos preguntará sobre si queremos habilitar elcortafuegos marcar ningún cortafuegos, puesto que el cortafuegos que instalaría no tienenada que ver con el que vamos a instalar nosotros. Si nos saltamos este paso y dejamos queel sistema lo instale, que es la opción por defecto, habrá que desactivarlo luego.

Durante la instalación también nos permitirá configurar las tarjetas de red, podemoshacerlo entonces o lo haremos después, de todos modos en un primer momento nos bastarácon configurar una tarjeta para tener acceso a Internet y poder bajarnos los ficheros quenecesitemos.

Elkarnet


Preparando el entorno y consiguiendo los ficheros

Si todo ha ido bien al iniciar una sesión como root nos aparecerá un escritorio de estetipo

En realidad el icono de Terminal que aparece en el escritorio no aparecerá, pero es unabuena idea crearlo porque en bastantes casos lo más rápido será escribir ordenes que seejecutarán en un terminal en modo texto. Para crearlo pulsaremos sobre el sombrero rojo,que haces las funciones del botón inicio en Windows, por lo que en adelante me referiré ael como Inicio, se despliega un menú, escogemos Herramientas del sistema con lo que sedesplegará otro menú y abajo está Terminal pulsamos sobre el con el ratón y sin soltarlo loarrastramos sobre el escritorio, y en una zona libre lo soltamos, y ya disponemos de unacceso más rápido a Terminal.

Ahora vamos a configurar una tarjetapara tener acceso a Internet, vamos ahacerlo en modo gráfico, para elloseleccionaremos Inicio->Configuración delsistema->Red, se nos tiene que desplegaruna ventana de este tipo:

En la lista aparecerá una entrada porcada tarjeta de red que se identificaráncomo eth0, eth1, etc. Si hemos montadomas tarjetas de las que vamos a necesitarpor ahora podemos desactivarlas. Ahoranecesitamos configurar una para poderacceder a la red, para ello la señalamos ypulsamos el botón modificar que aparecearriba, con lo que se nos abrirá una nuevaventana.

Elkarnet


En esta nueva ventanarellenaremos los datos que nosinteresan, podemos ponerle unsobrenombre, pero en definitiva loque nos interesa son los valores dered, dirección IP, mascara de red ypuerta de enlace, una vez hecho ledamos aceptar y volvemos a laventana anterior, ahí seleccionamosla pestaña DNS y podemos colocarhasta un máximo de tres servidoresDNS, una vez puesto al menos unservidor DNS seleccionamos elmenú Archivo->Guardar y seguardarán los cambios, pero nossaldrá un aviso de que no tendránefecto hasta que se reinicien losservicios de red.

El modo mas rápido de hacerloes dentro de un terminal ejecutar la orden /etc/init.d/network restart

Si todo va bien tienen que aparecen unos mensajes como estos. El modo masinmediato para saber si funciona es utilizar el comando ping, primero hacer un ping a lapuerta de enlace, se supone que nuestro router, una aclaración en Linux el comando pingpor defecto es indefinido así que tendremos que detenerlo pulsando <Ctrl> <C> y siresponde podemos hacer otro ping a una dirección externa que sepamos que responde a unping, yo suelo usar www.google.com, si funciona habremos comprobado la salida alexterior y el funcionamiento de los DNS. Si algo falla empezaremos por comprobar si laconfiguración de red es correcta para ello, de nuevo desde el terminal ejecutamos la ordenifconfig, no confundir con ipconfig que es como se denomina en Windows una ordensimilar, nos daría una salida parecida a la que se muestra mas abajo y podemos ver cadauno de los interfaces de red que están activos y cual es su configuración, y si todo pareceestar bien pero no funciona nos tocará investigar, puede ser un fallo del cable de red, delpunto de acceso a donde está conectado o un fallo de la tarjeta de red.

Elkarnet


Si ya tenemos acceso a Internet ha llegado el momento de conseguirnos los ficheros,para conseguir información sobre el fwbuilder podemos consultar su página:http://www.fwbuilder.org/, y para lograr los paquetes podemos seguir el enlace Downloado vamos directamente a la dirección:http://sourceforge.net/project/showfiles.php?group_id=5314

Como vemos en la página hay distribuciones para varios sistemas operativos, perola versión que se distribuye es la 2.0.6, la versión que se instalo en los institutos es la1.0.11, esta nueva versión ha cambiado bastante en su entorno respecto a la que estamosacostumbrados los que trabajamos con las máquinas ya instaladas, pero aunque aún sepueden conseguir versiones anteriores creo que es preferible al menos para instalacionesnuevas empezar por lo mas reciente. Bajamos pues los seis ficheros del paquete paraFedora Core 2 y los almacenamos en algún sitio a mano, por ejemplo en una carpetallamada fwbuilder bajo el directorio /root.

Elkarnet


Instalando fwbuilder

Para instalar los paquetes lo haremos desde un terminal, primero cambiamos aldirectorio donde tenemos los paquetes cd fwbuilder, y después los instalamos usando elcomando rpm, primero el paquete de librerías con la orden rpm –iv libfwbuilder-2.0.6.1.fdr2.i386.rpm y después el resto con la orden rpm –iv fwbuilder*, una anotaciónno es necesario que escribamos los nombres de ficheros tan largos personalmente,podemos dejarle el trabajo al ordenador, si escribimos la primera parte del nombre ypulsamos el tabulador el ordenador se encargará de escribir el resto, a no ser que haya másde un fichero que empiece por la cadena que hay escrita.

Si no se producen errores como pasa en el ejemplo el paquete ya está instalado, ahoravamos a crear un lanzador del programa en el escritorio, para poder llamarle con facilidad,pulsamos con el botón derecho del ratónsobre una zona libre del escritorio, y en elmenú que aparece escogemos crear unlanzador, y en la ventana que se abrerellenamos los datos que se muestran.

Con esto nos aparecerá un ícono en elescritorio que nos permite lanzar elprograma.

Elkarnet


Planificando la estructura de nuestra red

Ha llegado el momento de utilizar el fwbuilder para construir las reglas de nuestrocortafuegos, pero primero tenemos que tener claro como es nuestra red y como elcortafuegos se va a insertar en ella, en principio todo esto se puede realizar sin tener lamáquina conectada a la red, al menos sin hacer funciones de cortafuegos hasta que todoesté preparado. Vamos a desarrollar un supuesto, que no es el que tenemos en los centrossuperiores donde se montaron los primeros cortafuegos, pero que es probable que se de enmas centros, en el que la salida a Internet se hace mediante un router ADSL que presentauna o varias direcciones IP públicas hacia el exterior y una IP privada por ejemplo192.168.1.1/255.255.255.0 hacia el interior, de modo que para tener acceso a Internet nosbasta conectar el puerto de red del router a nuestra red interna y configurar nuestrasmáquinas con direcciones internas dentro del rango de red interna del router y poner sudirección como puerta de enlace.

Con esta configuración la única protección que tenemos es la que puedan tener lasmáquinas individuales dentro de nuestra red y los reglas que podamos definir dentro delpropio router, normalmente ninguna o muy limitadas y desde luego difíciles de modificar.

Vamos a cambiar esta estructura por otra en la que el cortafuegos que estamospreparando se colocará entre el router y nuestra red, de modo que la única maquina denuestra red que tiene acceso al router sea el cortafuegos, y por lo tanto todo el trafico entrenuestra red y el exterior tendrá que pasar por el cortafuegos o no pasará, el modo massencillo de conseguir esto es desconectar el cable que une el router con nuestro armario deconexiones, en el extremo del router, y conectarlo a una de las tarjetas de red de nuestro

Elkarnet


cortafuegos, la que llamaremos tarjeta interna, y después conectaremos la tarjeta externadel cortafuegos con el router, normalmente no se puede conectar directamente una tarjetade red y un puerto de red de un router con un cable, así que usaremos un cable cruzado opondremos en medio un concentrador. Pero todo esto no lo haremos ahora, solo estamosplaneando. En la configuración de la tarjeta de red externa tendremos una configuraciónadecuada para conectarnos con el router, y en la interna tendremos una para cada redinterna con las que queramos trabajar, vamos a suponer que tenemos cuatro redes de tipoC, siguiendo el reparto de direcciones de la Intranet de Educación:

Red de profesores.- 10.22.1.*Red de alumnos.- 10.22.2.*Red de administración.- 10.22.3.*Red de varios.- 10.22.4.*

Nuestra red tomaría una apariencia de este tipo:

De este modo los ordenadores pertenecientes a la misma red pueden comunicarseentre si directamente, los de redes diferentes dependerán de que el cortafuegos haga derouter y eso lo controlamos con las reglas a nuestra conveniencia y tanto para lascomunicaciones entrantes como salientes tendrán que atravesar el cortafuegos y podremosponerles reglas.

Elkarnet


Empezando con el fwbuilder

Cuando arrancamos el fwbuilder lo primero que nos pregunta es si queremos abrir unfichero de proyecto o crear uno nuevo, esta vez como no tenemos nada creado tendremosque crear uno nuevo, que vamos a llamar cortafuegos, el le añade la extensión fwb.Finalmente se nos abre una ventana con el esquema básico y sin ningún objeto cortafuegos,que es lo primero que habrá que crear.

Para ello pulsamos sobre objeto-> Nuevo objeto-> Nuevo Firewall y vamos rellenandolos datos que nos pide.

Si marcamos Use preconfigured template firewall objects, luego podemos escogerentre una serie de plantillas preconfiguradas que después podemos modificar pero nosahorrará trabajo en la creación de los objetos típicos de cada caso.

Elkarnet


Seleccionamos la plantilla fw template 1,que nos creará un cortafuegos con dosinterfaces de red, y una serie de reglas quepermiten acceso sin restricciones hacia elexterior, permite el acceso al cortafuegossolo desde la red interna y usando SSH ycuenta con un servidor DNS dentro de la red.

Seleccionamos la plantilla y pulsamosFinish, con lo que se nos creará el objetocortafuegos y otra serie de objetoscomplementarios, adaptados a una redinventada, que ahora tendremos que irmodificando para que se adapte a nuestra red.

Veremos lo que se muestra en la imagende abajo, cerramos la ventana de propiedadesde cortafuegos y vamos a ir modificando laconfiguración para adaptarla a nuestra red.

Empezamos por la configuración de los interfaces del cortafuegos,vemos que aparecen 3, uno llamado loopback, es el bucle local, con IP127.0.0.1 que siempre debe existir, y los otros dos que llama inside youtside, podemos cambiarle el nombre, pero parece bastante claro, loque si hay que cambiar son sus características, empezamos por outside,le marcamos, pulsamos el botón derecho del ratón y seleccionamosEdit, nos aparece la ventana de caracteristicas y vemos que está marcado como dirección

Elkarnet


asignada dinamicamente, si el router tiene un servidor DHCPcapaz de asignarle dirección puede ser válido, pero como no esnuestro caso tenemos que cambiarlo, así que lo marcamos comoRegular interface, hay otra marca abajo que le indica al sistemaque este es el interface externo y que hay que considerarloinseguro. Además hay otras dos zonas donde podemos hacercambios, en el campo Name y en el campo Label, el campo labeles la etiqueta que usa el programa para mostrar los objetos ypodemos poner los nombres a nuestro gusto, sin embargo elcampo Name, en el caso de los interfaces, se usarán después en lasreglas para el iptables, y deben ser exactamente como el sistemareconoce a los interfaces de red, de lo contrario se produciría unerror al cargar las reglas y seguramentenos quedaríamos sin ninguna protección.Una vez hechos los cambios se pulsaApply Changes, y pasamos al siguientepaso que es añadirle la IP al interfaceoutside, para ello pulsamos con el botónderecho sobre outside y seleccionamosAdd IP Address, y rellenamos los valores

correspondientes.Ahora hay que hacer lo mismo para el interface interno, solo que en este interface no

tenemos una sola IP, si no 4, una por cada red, empezamos poreditar la existente y vamos añadiendo las otras tres una a una.

Ahora vamos a crear una serie de objetos que luegonecesitaremos para crear nuestras reglas, primero vamos a crearnuestras redes locales, para ello pulsamos con el botón derechosobre Network y seleccionamos New Network, y rellenamos losdatos de una red, y hacemos lo mismo con el resto de las redes.

Después creamos un grupo para referirnos a las redes internasde un modo mas sencillo que tener que enumerarlas, para ello pulsamos sobre Groups conel botón derecho yseleccionamos New Group,le ponemos nombre ypulsamos aceptar, y acontinuación vamosarrastrando con el ratón cadauna de las redes quequeremos que forman partedel grupo desde el árbol de laizquierda y soltándolas sobreel cuadro de contenidos delgrupo.

A continuación vamos aempezar a revisar las reglas,durante todo este tiempo en la mitad derecha del fwbuilder ha permanecido una ventanacon una serie de pestañas, vamos a ir revisándolas, empezando por la mas sencilla,pulsamos sobre la pestaña outside y vemos una sola regla, que en este caso solo se aplica aaquello que aparezca en el interface outside, y dice en palabras normales que aquello cuyafuente sean el objeto cortafuegos o la red 192.168.1.0, (esta era la red interna cuando secreo el cortafuegos partiendo de la plantilla), con cualquier destino, usando cualquierservicio y cuya dirección sea entrante, se deniega, a cualquier hora, y se anota en el

Elkarnet


registro, (eso significa la libreta), en resumen es una regla que corta el paso a cualquieraque intente llegar desde fuera con una dirección de las de la red interna, o del propiocortafuegos, naturalmente el objeto red 192.168.1.0 no nos sirve con esa intención, puestoque ahora lo que representa a las direcciones internas es el grupo Redes internas queacabamos de crear, así que primero lo eliminamos, botón derecho sobre el y Delete, ydespués buscamos en el árbol de la izquierda el grupo Redes Internas y lo arrastramoshasta donde estaba el objeto que acabamos de eliminar y ya está.

Revisamos ahora la pestaña y vemos que no tiene nada, lo dejamos así, paramos a lasiguiente pestaña loopback, y vemos una regla, que dice en palabras normales que todo loque ocurra dentro del loopback se acepte, lo dejamos también, pasamos a la pestaña NAT,aquí se escriben las reglas que hacen conversión de direcciones de red, normalmente entredirecciones públicas y privadas, en nuestro caso lo que permitirá en que todas las máquinasde nuestra red aparezcan ante el router con la dirección del interface externo delcortafuegos, después el router a su vez hará otra NAT y lo convertira a la IP pública queutiliza para conectarse a Internet. Aquí hay una regla que dice que aquello que tenga comofuente original el objeto net-192.168.1.0, (de nuevo la antigua red interna), cuyo destinooriginal sea cualquiera, cuyo servicio original sea cualquiera, el origen se transforma en elobjeto interface outside, y el destino y el servicio se deje el original, aquí hay que hacer elmismo cambio que hicimos antes, esto es cambiar el objeto que representa a las redesinternas.

Pasamos ahora a la pestaña Policy, aquí tenemos varias reglas, vamos a revisarlas,teniendo en cuenta que se revisan de arriba abajo y en cuanto una regla se cumple seejecuta y no se revisan mas, así que el orden es importante.

Regla 0, permite a net-192.168.1.0 conectarse a cortafuegos usando SSH, bien enprincipio net-192.168.1.0 ya no representa las redes internas, pero tampoco parece unabuena idea permitirle conectarse a cualquiera de nuestra red interna, podemos sustituir esopor la Red de Administracion, la Red de Profesores, o mejor si solo hay uno o unos pocosque se encarguen de la administración de la red, autorizar solo a estos a acceder alcortafuegos, el modo mas sencillo puede ser crear objetos Addresses, uno por cadadirección que pertenezca a un administrador de red desde la que se quiera permitir laadministración, incluso direcciones públicas, después crear un grupo llamadoAdministradores de Red y asignarle todas estas direcciones, y autorizar a ese grupo en estaregla.

La regla 1 permite al cortafuegos conectarse a net-192.168.1.0 usando el servicioDNS, en caso de que tengamos un servidor DNS dentro del centro, si tenemos unadministrador de dominio de Windows 2000 lo tenemos que tener, esto permitiría alcortafuegos conectarse a el para resolver nombres de dominio, vamos a cambiar esta reglavamos a dejarla de modo que no solo el cortafuegos si no todas las redes internas puedanacceder usando DNS a la máquina donde está el servidor DNS, para ello primero añadimosel grupo Redes internas a la casilla Source y borrammos el objeto cortafuegos de ella,después creamos un objeto Address con la IP del DNS, lo arrastramos a la casilla destino yeliminamos el objeto net-192.168.1.0 que contenía.

La regla 2, dice que cualquiera que se conecte al cortafuegos con cualquier servicio serechaza, esto quiere decir que cualquiera que se conecte al cortafuegos y no haya sidoautorizado por la regla 0 va a verse rechazado. Lo dejamos así.

La regla 3 permite al objeto net-192.168.1.0 (la antigua red interna) conectarse acualquier destino usando cualquier servicio, esta regla permite todo el trafico que seorigine en la red interna, en principio permite demasiadas cosas con el exterior, además deque en nuestro caso con varias redes permitiría todo el trafico entre las diferentes redes, asíque vamos a sustituirla, primero por una regla que impida a la red de alumnos conectarsecon las demás redes internas, luego habrá que añadir mas reglas, porque la única que nosqueda ahora es la de cierre, que siempre debe estar, de modo que se niego todo si antes una

Elkarnet


regla anterior no lo ha autorizado. La dejamos así:

A continuación podemos poner reglas que definan como permitimos conectarse entrelas diferentes redes, teniendo en cuenta de que hay que poner delante los casos particularessobre los generales, por ejemplo si el servidor DNS usa una IP de la red de varios, si laregla número 1 que autoriza a todas las redes internas acceder a el se hubiese colocadodespués de esta, los profesores no habrían tenido problemas, pero los alumnos si, puestoque sus intentos de acceso se rechazarían antes de llegar o otra regla que los habríapermitido.

Ahora vamos a crear una regla que a la red de profesores y conectarse con la dealumnos, pulsamos con el botón derecho sobre el número 3 de la regla anterior yseleccionamos Add Rule Below, con lo que se nos crea una regla que lo deniega todo, lamodificamos para que quede así:

Acordarse de desactivar el login de las reglas que permiten, porque el logín ya se hacebastante grande anotando solo los rechazos.

Ahora vamos a crear otra regla que permita el tráfico normal de internet,colocándola a continuación de la anterior.

Los objetos que colocamos en la casilla de serviciosse sacan del árbol de la izquierda, pero en vez de lalibrería User, que es la que hemos estado usando ahora,y donde se coloca todos lo que nosotros creamos, de lalibrería Standard donde hay muchos objetospredefinidos que podemos usar, pero no modificar.

En principio ya tenemos configurado nuestrocortafuegos, le damos grabar, y vamos a compilar lasreglas, para ello pulsamos el icono de Compile Rules, ynos saldrá una ventana como la que se indica abajo.

Elkarnet


Si no se nos informa de ningún errorla compilación ha tenido éxito y se hacreado un nuevo fichero llamadocortafuegos.fw, este fichero es un scripque al ser ejecutado se encarga de crearlas reglas necesarias para que el iptableslas use sobre el tráfico de red que lleguea la máquina. Para ejecutarlo basta abrirun terminal y llamar al fichero, recordarque en Linux no se buscan los ficherosen el directorio actual, de modo que sinos limitamos a escribir el nombre y

pulsar return, normalmente nos dará un error de fichero no encontrado, para referirnos aldirectorio actual escribir ./ delante del nombre del fichero.

Como se ve en esta máquina no ha tenido éxito, esto es debido a que el cortafuegosque hemos estado desarrollando no se corresponde al de la máquina donde hemosintentado ponerlo en funciones, es una máquina con una sola tarjeta de red y por lo tantoen interface eth1 no existe, pero de lo contrario se habrían cargado las reglas y estaría enmarcha.

Elkarnet


Carga automática de nuestrar reglas

Ahora tenemos un fichero que se encarga de crear las reglas de nuestro cortafuegos,pero tenemos que llamarlo para que se ejecute, y si el ordenador se reinicia, o se queda sincorriente y se apaga, tenemos que volver a llamarlo. Para evitar esto hay varias formas,pero tal vez la mas sencilla sea modificar el script que maneja el iptables de modo que cadavez que las iptables se arranquen se ejecute nuestro fichero también.

Para ello vamos a modificar el fichero /etc/init.d/iptables, bien desde el modo gráficousando uno de los editores que podamos haber instalado, o desde un terminal usando porejemplo el nano. Buscamos un procedimiento llamado start() y le añadimos la siguientelínea al comienzo /root/cortafuegos.fw. Con esto cada vez que se ejecute el procedimientostart, que será cada vez que se inicie, o reinicie las iptables se cargarán nuestras reglas.

Así que a partir de ahora cada vez que cambiemos las reglas y creemos un nuevofichero cortafuegos.fw lo que haremos es reiniciar las iptables con la orden/etc/init.d/iptables restart. Después no es mala idea ejecutar la orden iptables –L|more,para asegurarnos de que todo ha ido bien y se han cargado las reglas. El filtro more nospermitirá ir pasando página a página las reglas, puede ser una lista bastante larga, acontinuación tenemos la salida normal que nos daría una ejecución con éxito de la recargade nuestras reglas.

Elkarnet


Y esta otra es la salida que veríamos en un caso en que a pesar de que no hay mensajesde error vemos que iptables no tiene cargadas ninguna regla.

Elkarnet


Ajustando las reglas

Lo ideal en un cortafuegos es que permita el tráfico que necesitamos para nuestrotrabajo y prohiba todo lo demás, el problema como siempre está en saber que se necesita,lo mas sencillo para un administrador es crear una regla como la número 3 que se creo alusar la plantilla en nuestro ejemplo de cortafuegos que permita a las direcciones internasconectarse con cualquiera usando cualquier servicio, pero eso deja un agujero demasiadogrande, entonces hemos autorizado solo unos cuantos servicios que nos parecensuficientes, pero podemos estar equivocados, o pueden surgir necesidades nuevas, es muyfácil pasar algo por alto, por ejemplo en la regla que creamos autorizamos a todo el mundousar el servicio DNS, cuando tenemos un servidor interno, el asunto es que sin esa reglanuestro servidor interno no podría resolver los nombres de dominio que no pertenezcan anuestro dominio, lo que hace consultando a un DNS público y funcionando como unacaché para esos nombres de dominio. También podíamos haber creado una regla apartepara autorizar solo al servidor DNS ha hacer consultas DNS con cualquiera, pero no pareceque ganemos demasiada seguridad en ese caso.

En definitiva lo que parece mas equilibrado es autorizar lo que nos parece necesariosolamente, y si después algo no funciona revisar el registro para ver si es el cortafuegosque está cortando la comunicación y en este caso si debemos modificar o añadir algunaregla para permitir el trafico.

Los registros del cortafuegos se almacenan en el archivo /var/log/messages, y sepuede revisar de varios modos , el mas inmediato es hacer que aparezcan en pantalla lasúltimas entradas y que se sigan mostrando las nuevas, con lo que estaremos viendo lo quepasa en directo, esto se haría con la orden tail –f /var/log/messages, esto funcionaperfectamente en un cortafuegos con una red pequeña, pero en nuestros centros,normalmente con más de un centenar de ordenadores no nos daría tiempo a leer losmensajes según pasan.

Otro sistema más manejable es leer el fichero usando el comando less, escribimos less/var/log/messages, y nos mostrará las primeras líneas del fichero y espera comandos, ahorapodemos movernos arriba y abajo del fichero, buscar cadenas, etc.

Elkarnet


Si escribimos h, nos da una lista de comandos que admite, merece la penafamiliarizarse con el. Normalmente lo que buscamos estará al final del fichero así que nosvamos al final pulsando la tecla escape y la marcada con >, e iniciamos una búsqueda haciaatrás de una cadena que esperamos encontrar, en la mayoría de los casos la IP de lamáquina donde hemos intentado hacer algo que no ha funcionado y queremos comprobarsi ha sido el cortafuegos que ha denegado el tráfico.

Hay que tener en cuenta que el fichero messages no es el fichero de registro delcortafuegos, si no que es uno de los ficheros de registro del sistema y aparecerán cosas queno tienen que ver con el cortafuegos, los registros que nos interesan tendrán estaapariencia.

A primera vista un galimatías, pero si nos fijamos entre cosa que no entendemosaparecen otras que no son tan extrañas, vamos a ver el primer registro, empieza por lafecha, la hora, el nombre de la máquina, el tipo de registro, en el caso del cortafuegos elkernel, la regla que se aplico, la acción, DENY, el interface de entrada IN, el de salidaOUT, la IP origen SRC, la IP destino, y mas tarde el protocolo empleado UDP, puertaorigen SPT y puerta destino DPT, si analizamos este grupo uno puede alarmarse, porqueve que una máquina interna la 10.22.5.2 está intentando establecer una conexión desde elpuerto 80 de nuestra máquina con una máquina externa y probando con un grupo de ellas,en realidad es el Skipe, intentando establecer conexiones salientes al arrancar, cuandofracasa debido al cortafuegos se conforma con las que le permite el cortafuegos,normalmente una conexión usando un puerto alto y dirigida al puerto 80 del que hace deenlace en el exterior.

Un ejemplo mas real sería por ejemplo si intentamos, con la configuración delcortafuegos del ejemplo, acceder a nuestro correo en Irakasle usando una página WEB, enprincipio debe funcionar, hemos autorizado el protocolo http saliente, pero en el caso deIrakasle cuando hacemos el login cambia del puerto 80 al 81, y como el cortafuegos notiene eso permitido lo deniega y no accedemos al correo, si buscamos en el registroveremos que a la hora que hicimos el intento y en con origen en la máquina que nosinteresa se denegó una conexión con una máquina remota usando el protocolo TCP y conDPT=81. Ahora que sabemos lo que paso podemos crear una regla para permitirlo si nosinteresa.

instalación del fwbuilderalfresco.tknika.net/alfresco/d/d/workspace/spacesstore/17e15862-5... ·...

Documents