miércoles, 9 de enero de 2008

Linux - Seguridad - Firewall

Para agregar un buen firewall, llamado APF(Advance Policy Firewall), podemos optar por un proyecto muy bueno, creado por el grupo R-fx Networks.

http://www.rfxn.com/projects/

Aquí podemos encontrar un buen firewall con modulos muy bueno, como el Antidos y el proyecto BFD(Brute Force Detection) que simpatiza con iptables, ya default en todos las versiones linux.

APF:
http://www.rfxn.com/projects/advanced-policy-firewall/

Configuración básica:
http://www.webhostgear.com/61.html

Configuración de Denegación:
http://www.webhostgear.com/406.html

Este modulo funciona muy bien, bloqueando acceso total a los servicios.

BFD:
http://www.rfxn.com/projects/brute-force-detection/

Configuración básica:
http://www.webhostgear.com/60.html

Este modulo detecta ataques por fuerza bruta y automáticamente dirige las direcciones detectadas, a una regla iptables para bloquearla.

Espero que sepan aprovecharlo.

Cuidense!

Enero 9, 2008
B1nary0

5 comentarios:

Mugen dijo...

Hola. No llevo demasiado tiempo con linux y de momento me va bastante bien. Me gusta y estoy aprendiendo cosas muy utiles e interesantes.
Yo tengo instalado como firewall el Firestarter para Ubuntu. Me gustaria que me comentases que te parece y que medidas de seguridad me recomiendas ademas de firewall.
Gracias.
Por cierto. Soy en quien se basan para la viñeta del root en http://cota-k.blogspot.com/2010/06/root.html.

B1nary0 dijo...

Hola Mugen,

Como primera medida, descargate nmap si no lo tenes por defecto y escanea tu PC en busca de puertos abiertos y encuentra la forma de cerrar los innecesarios. Si te gusta la seguridad al extremo, descargate el nessus y escaneate localmente la PC que te dirá los posibles bugs que puedas tener, ya sea puertos innecesarios o versión de servicios desactualizados.

Bien, ahora si te comento del Firestarter.
Ubuntu tiene una base en Debian que cuenta con muy buena seguridad, y Firestarter por defecto en Ubuntu, es muy interesante; y esencial para comenzar, tiene un wizard.
Tiene amplios usos, pero algo con lo que me encontré al principio es que por defecto viene configurado como servicio, es decir, levantado el demonio del firewall, pero para que inicie automáticamente y ver el icono, siempre tenía que ejecutarlo pero me pedía password de root cada vez. Hace tiempo encontré una solución pero todo depende de la fuerza de tu usuario, es decir, de la contraseña, y los usuarios que haya configurados. El tuto está acá: http://www.kriptopolis.org/firestarter-en-ubuntu

B1nary0 dijo...

Después otra cosa interesante es el funcionamiento en conjunto con reglas de acceso, funciona con nateo y podes establecer y dar internet a otras PC's que pasarán a traves de tu firewall.

Config:
http://firestarter.sourceforge.net/manual/nat.php

Obviamente esto requiere de mas configuración y ocasiona mas vulnerabilidades si otra PC tiene un OS con puertos abiertos o servicios vulnerables, y una buena configuración sería mas engorrosa, pero siempre digo que una configuración personalizada y detallada es lo mejor. En este nivel tenes que tenerla un poco mas clara pero en Internet hay ejemplos y ayudas de todo tipo. Siempre evita la configuración por default, siempre haz cambios!, aunque sea en un caracter al usuario o una password personalizada, complicada y fácil de recordar para vos.

Una vez que tenes la red armada(en caso de que la requieras), podes establecer reglas especificas, acá es donde se necesita la configuración avanzada, pero con tiempo y pruebas de ping hacia y desde las PC's, de a poco se va encontrando la manera.

Config de reglas:
http://firestarter.sourceforge.net/manual/rules.php

Si aún no tenés un nivel de conocimiento, te aconsejo que desde el wizard, modifiques algunos aspectos que reconozcas por lo menos, para que no queden por default las configuraciones básicas.

Espero haberte dado una idea de lo que puedes hacer, sino, ahí actualice mi publicación que tenía links rotos.

Saludos, B1nary0

Mugen dijo...

Ok. Muchas gracias por la info.

He escaneado con el nmap y he visto que tengo abiertos cuatro puertos. Uno de ellos si que lo necesito abierto pero los otros no se ni lo que hacen. Estos son 139 (netbios-ssh), 445 (microsoft-ds) y 631 (ipp).
En el caso de que no los necesite, ¿cómo hago para cerrarlos? ¿Se puede hacer con la normativa de trafico del Firestarter o hay que hacerlo de otra forma?

Gracias

B1nary0 dijo...

Son los puertos de samba(139), y de cups(631) si mal no recuerdo.

El puerto 139 es utilizado por samba. Si tu pc no necesita compartir archivos con otras PC, desactiva samba

Para el servicio que usa el 631:

/etc/init.d/cupsys stop
(cierra 631)

Y después carga dicha linea en rc.local
al final de /etc/rc.d/rc.local o /etc/rc.local

Podes removerlo también:
sudo apt-get cupsys remove

O por regla indicando que todo lo que entra por ese puerto, sea rechazado

iptables -A INPUT -p tcp -i eth0 --dport 631 -j DROP
o
iptables -A INPUT -p tcp --dport 631 -j DROP

(donde eth0 sería tu interfaz ethernet)