Estos días hemos estado probando a nivel local la distribución pfSense, firewall Open Source basado en FreeBSD y que en su día comenzó siendo un fork del proyecto m0n0wall.

La principal función de pfSense es la de ser usado a modo de firewall o router, pero si vamos más allá descubrimos que cumple a la perfección con otras funciones como la de conectividad VPN (IPsec, OpenVPN, PPTP), balanceo de carga, NAT, tabla de estado, posible configuración de failover entre dos nodos físicos pfSense, Dynamic DNS, informacíon vía RRD a tiempo real con gráficas, servidor DHCP y Relay, etc.

Si no disponéis del presupuesto necesario para la adquisición de un buen firewall comercial, dadle una oportunidad a esta distribución. Los requerimientos mínimos son 128 MB de RAM y una de 100 MHz Pentium.

Toda la información sobre pfSense en el sitio web oficial.

Muchos sysadmins estamos acostumbrados a utilizar Frontends del firewall iptables para facilitarnos el trabajo, como por ejemplo APF Firewall. Yo soy uno de ellos. Independientemente de esto, conviene saber como funciona iptables de forma interna para evitar la dependencia de este tipo de aplicaciones de terceros para configurar de forma correcta el firewall del kernel Linux. Vamos a ver algunos puntos que nos ayudarán a comprender su funcionamiento.

Listar reglas, Chain y políticas de Iptables

Con estos comandos podemos ver de un vistazo la configuración establecida en el firewall.

Ver el listado de reglas activas en el firewall:

# iptables -L

Borrar todas las reglas establecidas en el firewall:

# iptables -F

Pone a 0 los contadores de bytes y paquetes:

# iptables -Z

Iptables tiene 3 Chain (cadenas) sobre las cuales construir las reglas, establecer políticas comunes, etc: INPUT, FORWARD y OUTPUT. La política por defecto para ellas es de aceptar todo:

# iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

También podemos listar únicamente las reglas y política de una Chain concreta:

# iptables -L INPUT
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Si no fuera suficiente estas tres Chain podemos crear nuevas o eliminar podemos hacerlo, así como renombrar las ya existentes:

Crear una nueva Chain llamada TEST:

# iptables -N TEST

Eliminarla:

# iptables -X TEST

Renombrarla a TEST2:

# iptables -E TEST TEST2

Establecer políticas por defecto

Para poder empezar a configurar Iptables debemos partir de una base, una política por defecto que aceptará o denegará el tráfico para cada una de las Chain vistas anteriormente (INPUT OUTPUT o FORWARD). Si quisierais blindar el sistema podríais partir de una base ‘paranoica‘ denegando todo:

# iptables -P INPUT DENY
# iptables -P OUTPUT DENY
# iptables -P FORWARD DENY

En el momento que lo hicierais perderíais toda conectividad en la máquina, así que nosotros vamos a comenzar aceptando todo y aplicando pequeñas restricciones en nuestra máquina, una vez configurado todo es cuando podríamos aplicar la configuración restrictiva de arriba:

# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD ACCEPT

Veréis que estamos añadiendo las reglas directamente desde la línea de comandos, lo óptimo es añadirlas dentro de un script para así ejecutarlo todo de forma automática cuando arrancamos el equipo, lo veremos después.

Filtrado de puertos, IPs, rangos…

Una vez establecida la política por defecto, podemos comenzar a definir nuestras reglas específicas para cada cadena (Chain). La estructura del comando usado para filtrado de puertos, ips, etc es la siguiente:

Filtrado/apertura de un puerto/rango de puertos

# iptables -A <INPUT|OUTPUT|FORWARDING> -p <tcp|udp> --dport <PUERTO_DESTINO> -j <ACCEPT|DROP>

Así por ejemplo si quisieramos cerrar el puerto de entrada tcp 21 (FTP) para toda la máquina:

# iptables -A INPUT -p tcp --dport 21 -j DROP

Permitir el tráfico de entrada por el puerto 80, necesario por ejemplo si el equipo es un servidor web:

# iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Para bloquear un rango de puertos, simplemente especificamos el primer y último puerto del rango, en este ejemplo bloqueamos la salida tcp de los puertos 2000 al 3000:

# iptables -A OUTPUT -p tcp --dport 2000:3000 -j DROP

Permitir/denegar puertos a determinadas IPs, interfaces de red o CIDR

# iptables -A <INPUT|OUTPUT|FORWARDING> -s <IP|RANGO> -p <tcp|udp> --dport <PUERTO_DESTINO> -j <ACCEPT|DROP>

Es probable que necesitemos configurar políticas de aceptación o denegación de puertos a determinadas IPs, o incluso el acceso/denegación total a las mismas. La IP la especificaremos con el parámetro -s. Vamos a ver unos ejemplos:

Aceptar todo el tráfico de entrada de una IP:

# iptables -A INPUT -s 192.168.1.128 -j ACCEPT

Denegar todo el tráfico de entrada a una IP:

# iptables -A INPUT -s 192.168.1.128 -j DROP

Aceptar a una IP el acceso a un determinado puerto:

# iptables -A INPUT -s 192.168.1.128  -p tcp --dport 25 -j ACCEPT

Para el tema de rangos, podemos usar la notación CIDR. Vamos a aceptar todo el tráfico en la red local:

# iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT

También podemos especificar reglas restringiendo según interfaces de red en lugar de IPs o rangos. Esto lo hacemos mediante el parámetro -i:

# iptables -A INPUT -i eth0 -j ACCEPT

Nuestro primer script de Iptables

Antes de hacer el script conviene saber qué puertos tenemos abiertos en la máquina para configurarlos previamente y evitar problemas. Podemos usar nmap o netstat para averiguarlo. Un ejemplo de un típico servidor con servicios web, MySQL, correo, etc podría ser el siguiente:

# nmap -sTU localhost

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2011-08-27 21:14 CEST
Interesting ports on localhost (127.0.0.1):
Not shown: 3152 closed ports
PORT     STATE         SERVICE
1/tcp    open          tcpmux
21/tcp   open          ftp
25/tcp   open          smtp
80/tcp   open          http
110/tcp  open          pop3
143/tcp  open          imap
443/tcp  open          https
465/tcp  open          smtps
783/tcp  open          spamassassin
993/tcp  open          imaps
995/tcp  open          pop3s
3306/tcp open          mysql
161/udp  open|filtered snmp

La salida de nmap nos ofrece una guía clara sobre los puertos a abrir. A partir de aquí es cuestión de construir nuestro script con las reglas correspondientes, estableciendo primero las políticas generales y luego definiendo el filtrado/apertura concreta de puertos, si queremos restringir puertos a determinadas IPs, bloquear el acceso a rangos CIDR, etc.

Este es un ejemplo sencillo (¡ojo, no verificado!) que muestra las posibilidades más básicas de iptables, hay que tener en cuenta que no hemos tratado más que TCP y UDP sobre rasgos generales, no tratamos ICMP ni configuraciones detalladas. Para ello, os emplazo y recomiendo la guía que encontraréis el TLDP (The Linux Documentation Project) o a futuros artículos que complemetarán a este y enlazaré conforme vayamos avanzando.

En caso de recibir el siguiente error en el log de APF:

Unable to load iptables module (ip_tables), aborting.

El problema solamente lo he encontrado en instalaciones Fedora, y se soluciona modificando el siguiente parámetro en el fichero de configuración de apf:

fichero: /etc/apf/conf.apf

Parámetro:

MONOKERN="0" 

Lo pasamos a:

MONOKERN="1"

Y reiniciamos APF:

/etc/init.d/apf restart

El origen del problema reside en tener iptables compilado en el kernel de forma estática en lugar de como módulo.

Al margen de opciones de terceros como software y aplicaciones de Firewall, disponemos de una potente y versátil opción integrada en el propio sistema operativo que nos va a permitir realizar filtrados de IP y rangos completos.

Estoy hablando de RRAS (Servicio de enrutamiento y acceso remoto), que permite realizar configuraciones específicas para redes remotas, redes de acceso telefónico, VPN, etc. No voy a entrar en las configuraciones específicas de cada tipo de red, sino a explicaros como tener la opción de bloquear una IP o rango en Windows 2003 Server sin necesitar un software de firewall.

Para ello:

1. Accedemos a Inicio —> Ejecutar —> MMC
2. En el menú Archivo, añadimos un nuevo complemento, enrutamiento y acceso remoto.
3. Una vez aparezca la sección de enrutamiento en la consola, podemos añadir el servidor, en este caso será el servidor local.
4. Ahora hay que configurarlo y habilitar el enrutamiento. Para ello seguimos el asistente y adecuamos la configuración a la de nuestro servidor/red.
5. Una vez realizado esto, en la pestaña general de la interfaz de red sobre la que queramos trabajar, podemos acceder a la sección de filtros de entrada y añadir las IPs o rangos que queremos bloquear según los criterios especificados.
6. Una vez realizadas las configuraciones, arrancamos el “servidor” en la consola para que surtan efecto todas las configuraciones.

Os dejo unos ejemplos de configuración de reglas para IPtables, encontraréis más en la siguiente web:

iptables example rulesets

Accept-all policy (Aceptar todo)

#!/usr/bin/env iptables-restore
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
*raw
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT

Minima:

#!/usr/bin/env iptables-restore
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
COMMIT

Aceptar SSH para un solo host:

#!/usr/bin/env iptables-restore
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 1.8.9.7 -p tcp --dport 22 -j ACCEPT
COMMIT

Muchas más en el enlace mencionado anteriormente.

Una entrada rápida, sencilla y útil para usuarios principiantes de Linux, la forma más rápida de bloquear el acceso a una determinada IP o rango a un sistema es mediante IPTABLES, el comando a ejecutar es el siguiente:

Bloquear tráfico de entrada a una IP con IPTABLES:

iptables -I INPUT -s 12.34.56.78 -j DROP

Bloquear tráfico de salida a una IP con IPTABLES:

iptables -I OUTPUT -s 12.34.56.78 -j DROP

Y un poquito de Wikipedia:

Iptables es el nombre de la herramienta de espacio de usuario mediante la cual el administrador puede definir políticas de filtrado del tráfico que circula por la red. El nombre iptables se utiliza frecuentemente de forma errónea para referirse a toda la infraestructura ofrecida por el proyecto Netfilter. Sin embargo, el proyecto ofrece otros subsistemas independientes de iptables tales como el connection tracking system o sistema de seguimiento de conexiones, o que, que permite encolar paquetes para que sean tratados desde espacio de usuario. iptables es un software disponible en prácticamente todas las distribuciones de Linux actuales.

En esta entrada vamos a proteger nuestro sistema Unix con APF (Advanced Policy Firewall).

APF es un sistema de Firewall basado en IPtables, con la peculiaridad de que su manejo e instalación es extremadamente sencilla. Próximamente explicaremos también como instalar BFD, un detector de ataques de fuerza bruta, que unido a APF forman un excelente nivel de seguridad en el servidor, pues trabajan de forma conjunta.

Comenzamos con la instalación de APF:

cd /root/descargas (o la carpeta en la que guardes tus sources)
wget http://rfxnetworks.com/downloads/apf-current.tar.gz
tar -zxf apf-current.tar.gz
cd apf-0.*
./install.sh

Una vez instalado nos indicará las distintas rutas de ficheros de configuración y ejecutables:

Installation Details:
  Install path:         /etc/apf/
  Config path:          /etc/apf/conf.apf
  Executable path:      /usr/local/sbin/apf
  AntiDos install path: /etc/apf/ad/
  AntiDos config path:  /etc/apf/ad/conf.antidos
  DShield Client Parser:  /etc/apf/extras/dshield/

Comenzamos a configurar APF, abirmos el fichero de configuración con nuestro editor favorito, estas son las opciones principales a configurar, recordad leer los comentarios en el fichero de configuración y en los README:

vi /etc/apf/conf.apf

Desactivamos/activamos el cron que desactiva el firewall cada 5 minutos, es útil activarlo mientras estemos de pruebas, pero aseguraos de dejarlo en 0 cuando el server entre en producción:

# Set firewall cronjob (devel mode)
# 1 = enabled / 0 = disabled
DEVEL_MODE="1"

Interfaces de red que APF va a rastrear su tráfico, ponemos la interfaz que salga a Internet, en este caso es la eth1:

# Untrusted Network interface(s); all traffic on defined interface will be
# subject to all firewall rules. This should be your internet exposed
# interfaces. Only one interface is accepted for each value.
# NOTE: The interfacing structure is being worked towards support of MASQ/NAT
IFACE_IN="eth1"
IFACE_OUT="eth1"

Por otro lado, podemos configurar que ciertas interfaces no sean rastreadas por el firewall, pueden ser interfaces de tráfico local:

# Trusted Network interface(s); all traffic on defined interface(s) will by-pass
# ALL firewall rules, format is white space or comma seperated list.
IFACE_TRUSTED="eth0"

Y para terminar la configuración básica, la parte más importante, la sección de puertos, configurable dependiendo de los puertos abiertos necesarios para cada servidor:

Puertos de entrada TCP permitidos:

# Common ingress (inbound) TCP ports
IG_TCP_CPORTS="21,25,80,110,443,465"

Puertos de entrada UDP permitidos:

# Common ingress (inbound) UDP ports
IG_UDP_CPORTS=""

Puertos de entrada ICMP permitidos:

# Common ICMP (inbound) types
# 'internals/icmp.types' for type definition; 'all' is wildcard for any
IG_ICMP_TYPES="3,5,11"

Después están las mismas opciones, pero para salida, configurar según los requerimientos de cada uno. Y recordad revisar todas las demás opciones para sacar el mayor partido a este excelente firewall.

Otros dos ficheros importantes a tener en cuenta son :

/etc/apf/deny_host.rules
/etc/apf/allow_host.rules

En estos ficheros podemos incluir ips, rangos y reglas a las que denegar acceso (deny_host.rules) o permitir(allow_host.rules) al servidor. Finalmente arrancamos APF:

/usr/local/sbin/apf -s