Gufw. !El guardián de nuestro castillo Linux!

Seguridad del sistema Linux-Firewall- Interfaz Grafica

Hoy hablaremos de Gufw la interfaz gráfica para el manejo fácil de nuestro cortafuegos de Linux. Veréis Gufw cuyas siglas significan (“Uncomplicated Firewall” ) en inglés, fue publicado si no me equivoco por primera vez en la versión de Ubuntu 8.04 y fue diseñado para el cómodo manejo mediante su interfaz gráfica de las “Iptables” las llamadas tablas del Firewall nativas de Linux. Las cuales son más dificultosas para configurar desde la terminal por un usuario de nivel medio linuxero.

En este artículo, revisaremos todos los elementos que trae la interfaz Gufw, así como la creación de diversos perfiles y la gestión de apertura de puertos desde la misma.

Contenidos:

- Instalación
- Activación y configuración desde la interfaz
- Usando los Perfiles básicos y nuevos
- Reglas creación edición y eliminación de las mismas
- Informes
- Registros

1) Instalación

La instalación de la aplicación de gestión de nuestro Firewall es relativamente sencilla ya que estará en la mayoría de nuestros centros de software. En caso de querer realizarlo desde la terminal podremos hacerlo con los siguientes comandos:

Si queremos hacerlo en Ubuntu y derivadas, tendremos que activar el repositorio universo mediante la terminal.

$ sudo add-apt-repository universe $ sudo apt update -y

Una vez activado lo instalemos con el siguiente comando

$ sudo apt install gufw -y

En Debian y derivados

$ pacman -S ufw gufw

En Fedora

En Fedora debemos activar los repositorios RPM Fusión para ello usaremos los siguientes comandos

$ sudo dnf install \https://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-$(rpm -E %fedora).noarch.rpm

Podemos habilitar opcionalmente el repositorio non-free

$ sudo dnf install \https://download1.rpmfusion.org/nonfree/fedora/rpmfusion-nonfree-release-$(rpm -E %fedora).noarch.rpm

Una vez realizado esto, seguiremos con la fuente

$ https://github.com/rpmsphere/noarch/tree/master/r

Instalamos los rpmsphere-release rpm

$ rpm -Uvh rpmsphere-release*rpm

Procedemos con la instalación

$ dnf install gufw

Bien ahora que lo tenemos ya instalado, sea cual sea el modo que usemos, se comportara como una aplicación más, por lo que la localizaremos en nuestro menú de aplicaciones. La lanzamos, nos habilitamos como administrador ya que tocara partes importantes del sistema y a continuación procederé a realizar una revisión de las distintas opciones de configuración.

2 ) La activación y configuración desde la interfaz

Veréis la primera vez que la abramos, nos aparecerá totalmente desactivada. La interfaz en si (el cortafuegos se habilito desde el minuto 1 de la instalación de la distribución con una serie de iptables básicas) quería aclarar este aspecto para que no lleve a error.

Mediante la interfaz podremos realizar todo tipo de acciones de un modo directo y visualmente, como son:

El uso y la creación de distintos perfiles de seguridad para cada momento, trae tres por defecto preestablecidos
- - Publico
  - Oficina
  - Casa
Podemos gestionar las reglas del cortafuegos
- - Agregar nuestras propias reglas para personalizar cada uno de ellos
  - Editar las reglas ya creadas
  - Eliminar las reglas
Tener informes al instante de todo lo que acontece
Registros para controlar los errores y situaciones sospechosas

Activando por primera vez la interfaz

Bien como podéis observar en la anterior imagen he activado la aplicación usando el control deslizante llamado “Estado”y el color del escudo cambio. Seleccione uno de su perfiles en este casos el de casa, automáticamente me escogió las acciones preestablecidas para el mismo, donde los colores del escudo me advierten que en el apartado “entrante” en verde, están denegadas las conexiones que intentan acceder a mi equipo y en el apartado de conexiones salientes está situado en la opción de “permitir salientes” lo que me advierte del peligro mediante el color rojo. Es una de las maneras más cómodas de gestionar la aplicación. Hay que aclarar que en cuanto a las conexiones entrantes no permitidas normalmente existen una serie de puertos abiertos preestablecidos en este perfil para el acceso de las aplicaciones esenciales de nuestro sistema.

Si queremos que una aplicación determinada que necesita unas condiciones personales de conexión disfrute de ellas y se pueda comunicar lo realizaremos creando nuevas normas en estos perfiles. Pero ese punto lo revisaremos más adelante.

Todo lo que establezcamos se guardara automáticamente en las configuraciones de la aplicación no perdiéndose al cerrar la misma.

Podemos observar como desde la ventana principal disponemos también de una detallada guía con diferentes vertientes y consejos de la aplicación así como enlaces de ayudas a diferentes sitios.

También podemos comprobar en cualquier momento el estado del Gufw desde la terminal con los siguientes comandos.

$ sudo ufw status

Activarlo o desactivarlo al inicio del sistema

$ sudo ufw enable/disable

Dándonos el siguiente resultado

3) Usando los Perfiles

(básicos y nuevos)

Como os comentaba anteriormente la aplicación Gufw trae un gestor de perfiles, varios de ellos preestablecidos con políticas predeterminadas ya completamente funcionales, para que adquieran diferentes modos de comportamiento con el tráfico entrante y saliente, así como la gestión de puertos y la seguridad del sistema.

Los perfiles predeterminados existentes son principalmente tres

Casa
Púbico
Oficina

Podemos seleccionarlos rápidamente haciendo clic en el apartado de perfiles

Como os iba diciendo de forma predeterminada tanto los “perfiles de Casa” como el de “Oficina” traen políticas de “denegar” el tráfico entrante y “Permitir” el tráfico saliente, lo que nos permite usar servicios “http/ https” sin dejar entrar nada como por ejemplo “ssh.”

Cabe señalar que en el Perfil de Home o Casa, el cortafuegos establecerá las reglas y no preguntara ni advertirá cuando rechace una conexión.

En el Perfil Oficina es más preventivo y cuando llegue una conexión entrante el usuario sera á informado de la conexión entrante.

En el Perfil Publico es el más restrictivo rechaza automáticamente todas las conexiones entrantes y permite las salientes, pero advertirá con un pop-up al usuario que un servicio intento acceder a su máquina.

Estos tres perfiles son muy prácticos para rápidamente cambiar las políticas de acceso a nuestro sistema y subir el nivel de seguridad de nuestros equipos, las condiciones pueden cambiar ya que no es lo mismo estar en casa a estar en un lugar publico, como pudiera ser la oficina o si no encontramos en un lugar aún más expuestos como por ejemplo en un aeropuerto con conexiones Wifis inseguras y abiertas .

4) Configuración de reglas y políticas del Firewall

Todos los perfiles utilizan el mismo conjunto de reglas lo único que cambia es la política sobre las que están basadas endureciendo o suavizando su grado de restricción. En cuanto al nivel de aceptación de conexiones entrante y saliente y el rango de puertos usados.

También podemos añadirles nuevos perfiles personales con variables propias que nos faciliten el uso en momentos determinados, para ello usaremos el menú superior de la aplicación Editar/preferencias, eso abrirá una nueva ventana desde donde además de localizar los perfiles existentes en los signos de (+ o -) de la parte inferior podemos crear con (*) un nuevo perfil o eliminar uno existente seleccionándolo y pulsando (-) aparecerá con el nombre automático de Profile 1 .

Nota: cada perfil nuevo automáticamente rechazara el tráfico entrante y permitirá el tráfico saliente, lógicamente también se le puede personalizar la configuración. Podemos de igual forma renombrarlos y eliminarlos. Solamente los tres preconfigurados por razones obvias nos negaran esta operación.

5) Reglas, creación, edición y eliminación de las mismas

En la pantalla principal de la aplicación en la zona media nos encontramos con otra opción del menú existente, es la de llamadas “Reglas” desde allí tenemos pleno dominio sobre las reglas ya existentes, así como la posibilidad de crear otras nuevas, veamos como hacerlo.

Pulsamos en Reglas y en la parte inferior tenemos nuevamente los iconos con los símbolos de (+ y – ) además de una rueda dentada para la configuración. Los dos primeros nos sirven para crear o eliminarlas reglas que por otro laso aparecerán en la ventana. El símbolo de la rueda, nos servirá para editar, las ya existentes y de ese modo cambiar los paramentemos impuestos previamente.

Nota: básicamente la mayor parte de las configuraciones del cortafuegos se basa en la disciplina de las llamadas reglas de red, su funciones son la de permitir, negar, rechazar y limitar el tráfico de las aplicaciones en las dos direcciones tanto entrante como saliente, para evitar de este modo el mal uso que las aplicaciones nocivas pudiesen dar de la red y limitar ataques externos a nuestro sistema.

Como veis, Permitir, Denegar, Rechazar, Limitar, son las políticas fundamentales que se agregaran como reglas que regulen cada situación a nuestro Firewall.

- Permitir, facilita el tráfico de entrada a un puerto existente
- Denegar, impide el tráfico de entrada a dicho puerto
- Rechazar, impide el tráfico de entrada a un puerto e informa al solicitante sobre el rechazo (cuestión esta arriesgada ya que podría servir para el llamado rastreo de puertos abiertos)
- Limitar, niega el tráfico de entrada una dirección IP ha superado el número de intentos de conexiones en un tiempo determinado (algunos ataques de fuerza bruta actúan sobrecargando las peticiones de acceso a los servidores y PC).

Agregando reglas desde Gufw

Como os decía más arriba desde a ventana principal pulsamos en Reglas y desde el símbolo + y se abrirá una nueva ventana con tres menús principales.

- Preconfigurados
- Simples
- Avanzadas

Reglas PreconfiguradasSon las más sencillas de usar, ya que la aplicación trae una serie de reglas preestablecidas para adaptarlas a múltiples circunstancias y aplicaciones.

Opciones

- - Política
  - Permitir
  - denegar
  - rechazar
  - Limitar

Dirección
- - Entrante
  - Saliente
  - Ambas

Categorías y Subcategorías
- - Juegos , general, etc
  - Protocolos de conexión P2P , PoP, etc

Aplicación

En ella seleccionamos la aplicación en cuestión

Bastará con que seleccionemos una categoría y subcategoría, elegimos la aplicación, lo que configurara un conjunto de puertos que suelen emplear dicha aplicación generalmente y si aun queremos personalizarla más, picaremos en el icono con forma de flecha. En la siguiente imagen configuraremos rápidamente regla para la aplicación qbitorrens como veis es sencillo basta con buscar algunos parámetros ya configurados.

Reglas simples son sencillas reglas de configuración para una configuración rápida del Firewall. En este caso le insertamos nombre para la regla y seccionamos el resto como la política y dirección el protocolo y nº de puerto para la misma

Nombre de la aplicación
Política ( permitir, denegar, rechazar, limitar)
Dirección(entrante saliente o ambas)
Protocolo( Ambos, TCP, UDP)
Número de puerto abierto para la conexión

Estas son sencillas reglas que debemos ir adaptando sobre la aplicación a usar de un modo personalizado.

Reglas Avanzadas La más personalizable y compleja, yo genere una para una supuesta conexión de qbitorres. La verdad, es que para que se adapte a nuestras circunstancias y funcione bien, en este apartado es cuestión de ir configurando pacientemente varias hasta comprobar que la aplicación se conecta sin problemas.

Parámetros:

- Nombre , aplicación o nombre de la regla que la identifica
- Insertar, número de la política ya que aveces se necesitan varias a la vez para la mismapolítica
- Dirección, entrante , saliente o ambas
- Interfaz, identifica el tipo de red
- Registro, lo dejo deshabilitado para no crear demasiados avisos pero se puede habilitar
- Protocolo protocolo de conexión, TPC– UDP
- Desde, dirección IP nº de puerto o rangos de puertos abiertos

Observaciones sobre las reglas Las que se sitúan en la parte superior de la ventana de reglas, en el visor de la mismas, son las reglas que suelen primar sobre las de la parte más inferior y el programa las leerá con mayor relevancia. Podemos en cualquier momento situarnos sobre una regla de las que ya están ahí creadas, la seleccionamos y podemos pulsando sobre el símbolo de rueda dentada para editarlas y sobe el símbolo (-) para eliminarlas sin problemas.

6) Informes

En la pestaña informes, podremos comprobar todos los servicios que se encuentran ejecutándose así como el protocolo, puerto, dirección y nombre de la aplicación.

7) Registros

En este apartado podemos comprobar el estado de la aplicación, si está activo o ha sido desactivado en el perfil de la misma, si es publico, oficina o casa, en cada momento, así como los diferentes errores o problemas de conexión producidos por reglas que no están debidamente configuradas, puertos no abiertos y demás circunstancias inusuales.

Usando el símbolo del icono con forma de dos hojas de la parte inferior podemos copiarlos al portapapeles y el del icono con forma de papelera, borra los registros.

Observaciones Tener un Firewall activo y correctamente configurado, un antivirus como ClamAV instalado, del que hablábamos en artículos anteriores y una actitud sensata y responsable, nos pueden evitar más de un disgusto indeseado, además de darnos un control total sobre el sistema. El artículo es algo extenso y quizás pesado, pero mi intención es la de abarcar todos los aspectos básicos del uso de esta aplicación, para intentar que el usuario recién llegado tenga un conocimiento esencial de la misma. ¡Espero que esta guía les pueda resultar útil!

Podéis seguir leyendo otro tema de seguridad en este artículo de anti-rootkit

Fuentes consultadas

FOSS CC

Wikipedia

Ubuntu Community Help Wiki