Seguridad del sistema Linux-Firewall- Interfaz Grafica
Hoy hablaremos de Gufw la interfaz gráfica para el manejo fácil de nuestro cortafuegos de Linux. Veréis Gufw cuyas siglas significan (“Uncomplicated Firewall” ) en inglés, fue publicado si no me equivoco por primera vez en la versión de Ubuntu 8.04 y fue diseñado para el cómodo manejo mediante su interfaz gráfica de las “Iptables” las llamadas tablas del Firewall nativas de Linux. Las cuales son más dificultosas para configurar desde la terminal por un usuario de nivel medio linuxero.
En este artículo, revisaremos todos los elementos que trae la interfaz Gufw, así como la creación de diversos perfiles y la gestión de apertura de puertos desde la misma.
Contenidos:
-
- Instalación
- Activación y configuración desde la interfaz
- Usando los Perfiles básicos y nuevos
- Reglas creación edición y eliminación de las mismas
- Informes
- Registros
1) Instalación
La instalación de la aplicación de gestión de nuestro Firewall es relativamente sencilla ya que estará en la mayoría de nuestros centros de software. En caso de querer realizarlo desde la terminal podremos hacerlo con los siguientes comandos:
Si queremos hacerlo en Ubuntu y derivadas, tendremos que activar el repositorio universo mediante la terminal.
$ sudo add-apt-repository universe $ sudo apt update -y |
Una vez activado lo instalemos con el siguiente comando
$ sudo apt install gufw -y |
En Debian y derivados
$ pacman -S ufw gufw |
En Fedora
En Fedora debemos activar los repositorios RPM Fusión para ello usaremos los siguientes comandos
$ sudo dnf install \https://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-$(rpm -E %fedora).noarch.rpm |
Podemos habilitar opcionalmente el repositorio non-free
$ sudo dnf install \https://download1.rpmfusion.org/nonfree/fedora/rpmfusion-nonfree-release-$(rpm -E %fedora).noarch.rpm |
Una vez realizado esto, seguiremos con la fuente
$ https://github.com/rpmsphere/noarch/tree/master/r |
Instalamos los rpmsphere-release rpm
$ rpm -Uvh rpmsphere-release*rpm |
Procedemos con la instalación
$ dnf install gufw |
Bien ahora que lo tenemos ya instalado, sea cual sea el modo que usemos, se comportara como una aplicación más, por lo que la localizaremos en nuestro menú de aplicaciones. La lanzamos, nos habilitamos como administrador ya que tocara partes importantes del sistema y a continuación procederé a realizar una revisión de las distintas opciones de configuración.
2 ) La activación y configuración desde la interfaz
Veréis la primera vez que la abramos, nos aparecerá totalmente desactivada. La interfaz en si (el cortafuegos se habilito desde el minuto 1 de la instalación de la distribución con una serie de iptables básicas) quería aclarar este aspecto para que no lleve a error.
Mediante la interfaz podremos realizar todo tipo de acciones de un modo directo y visualmente, como son:
- El uso y la creación de distintos perfiles de seguridad para cada momento, trae tres por defecto preestablecidos
-
- Publico
- Oficina
- Casa
-
- Podemos gestionar las reglas del cortafuegos
-
- Agregar nuestras propias reglas para personalizar cada uno de ellos
- Editar las reglas ya creadas
- Eliminar las reglas
-
- Tener informes al instante de todo lo que acontece
- Registros para controlar los errores y situaciones sospechosas
Activando por primera vez la interfaz
Bien como podéis observar en la anterior imagen he activado la aplicación usando el control deslizante llamado “Estado”y el color del escudo cambio. Seleccione uno de su perfiles en este casos el de casa, automáticamente me escogió las acciones preestablecidas para el mismo, donde los colores del escudo me advierten que en el apartado “entrante” en verde, están denegadas las conexiones que intentan acceder a mi equipo y en el apartado de conexiones salientes está situado en la opción de “permitir salientes” lo que me advierte del peligro mediante el color rojo. Es una de las maneras más cómodas de gestionar la aplicación. Hay que aclarar que en cuanto a las conexiones entrantes no permitidas normalmente existen una serie de puertos abiertos preestablecidos en este perfil para el acceso de las aplicaciones esenciales de nuestro sistema.
Si queremos que una aplicación determinada que necesita unas condiciones personales de conexión disfrute de ellas y se pueda comunicar lo realizaremos creando nuevas normas en estos perfiles. Pero ese punto lo revisaremos más adelante.
Todo lo que establezcamos se guardara automáticamente en las configuraciones de la aplicación no perdiéndose al cerrar la misma.
Podemos observar como desde la ventana principal disponemos también de una detallada guía con diferentes vertientes y consejos de la aplicación así como enlaces de ayudas a diferentes sitios.
También podemos comprobar en cualquier momento el estado del Gufw desde la terminal con los siguientes comandos.
$ sudo ufw status |
Activarlo o desactivarlo al inicio del sistema
$ sudo ufw enable/disable |
Dándonos el siguiente resultado
3) Usando los Perfiles
(básicos y nuevos)
Como os comentaba anteriormente la aplicación Gufw trae un gestor de perfiles, varios de ellos preestablecidos con políticas predeterminadas ya completamente funcionales, para que adquieran diferentes modos de comportamiento con el tráfico entrante y saliente, así como la gestión de puertos y la seguridad del sistema.
Los perfiles predeterminados existentes son principalmente tres
- Casa
- Púbico
- Oficina
Podemos seleccionarlos rápidamente haciendo clic en el apartado de perfiles
Como os iba diciendo de forma predeterminada tanto los “perfiles de Casa” como el de “Oficina” traen políticas de “denegar” el tráfico entrante y “Permitir” el tráfico saliente, lo que nos permite usar servicios “http/ https” sin dejar entrar nada como por ejemplo “ssh.”
Cabe señalar que en el Perfil de Home o Casa, el cortafuegos establecerá las reglas y no preguntara ni advertirá cuando rechace una conexión.
En el Perfil Oficina es más preventivo y cuando llegue una conexión entrante el usuario sera á informado de la conexión entrante.
En el Perfil Publico es el más restrictivo rechaza automáticamente todas las conexiones entrantes y permite las salientes, pero advertirá con un pop-up al usuario que un servicio intento acceder a su máquina.
Estos tres perfiles son muy prácticos para rápidamente cambiar las políticas de acceso a nuestro sistema y subir el nivel de seguridad de nuestros equipos, las condiciones pueden cambiar ya que no es lo mismo estar en casa a estar en un lugar publico, como pudiera ser la oficina o si no encontramos en un lugar aún más expuestos como por ejemplo en un aeropuerto con conexiones Wifis inseguras y abiertas .
4) Configuración de reglas y políticas del Firewall
Todos los perfiles utilizan el mismo conjunto de reglas lo único que cambia es la política sobre las que están basadas endureciendo o suavizando su grado de restricción. En cuanto al nivel de aceptación de conexiones entrante y saliente y el rango de puertos usados.
También podemos añadirles nuevos perfiles personales con variables propias que nos faciliten el uso en momentos determinados, para ello usaremos el menú superior de la aplicación Editar/preferencias, eso abrirá una nueva ventana desde donde además de localizar los perfiles existentes en los signos de (+ o -) de la parte inferior podemos crear con (*) un nuevo perfil o eliminar uno existente seleccionándolo y pulsando (-) aparecerá con el nombre automático de Profile 1 .
Nota: cada perfil nuevo automáticamente rechazara el tráfico entrante y permitirá el tráfico saliente, lógicamente también se le puede personalizar la configuración. Podemos de igual forma renombrarlos y eliminarlos. Solamente los tres preconfigurados por razones obvias nos negaran esta operación.
5) Reglas, creación, edición y eliminación de las mismas
En la pantalla principal de la aplicación en la zona media nos encontramos con otra opción del menú existente, es la de llamadas “Reglas” desde allí tenemos pleno dominio sobre las reglas ya existentes, así como la posibilidad de crear otras nuevas, veamos como hacerlo.
Pulsamos en Reglas y en la parte inferior tenemos nuevamente los iconos con los símbolos de (+ y – ) además de una rueda dentada para la configuración. Los dos primeros nos sirven para crear o eliminarlas reglas que por otro laso aparecerán en la ventana. El símbolo de la rueda, nos servirá para editar, las ya existentes y de ese modo cambiar los paramentemos impuestos previamente.
Nota: básicamente la mayor parte de las configuraciones del cortafuegos se basa en la disciplina de las llamadas reglas de red, su funciones son la de permitir, negar, rechazar y limitar el tráfico de las aplicaciones en las dos direcciones tanto entrante como saliente, para evitar de este modo el mal uso que las aplicaciones nocivas pudiesen dar de la red y limitar ataques externos a nuestro sistema.
Como veis, Permitir, Denegar, Rechazar, Limitar, son las políticas fundamentales que se agregaran como reglas que regulen cada situación a nuestro Firewall.
-
- Permitir, facilita el tráfico de entrada a un puerto existente
- Denegar, impide el tráfico de entrada a dicho puerto
- Rechazar, impide el tráfico de entrada a un puerto e informa al solicitante sobre el rechazo (cuestión esta arriesgada ya que podría servir para el llamado rastreo de puertos abiertos)
- Limitar, niega el tráfico de entrada una dirección IP ha superado el número de intentos de conexiones en un tiempo determinado (algunos ataques de fuerza bruta actúan sobrecargando las peticiones de acceso a los servidores y PC).
Agregando reglas desde Gufw
Como os decía más arriba desde a ventana principal pulsamos en Reglas y desde el símbolo + y se abrirá una nueva ventana con tres menús principales.
-
- Preconfigurados
- Simples
- Avanzadas

-
Opciones
-
-
-
Política
-
Permitir
-
denegar
-
rechazar
-
Limitar
-
-
-
Dirección
-
-
Entrante
-
Saliente
-
Ambas
-
-
-
Categorías y Subcategorías
-
-
Juegos , general, etc
-
Protocolos de conexión P2P , PoP, etc
-
-
-
Aplicación
En ella seleccionamos la aplicación en cuestión
Bastará con que seleccionemos una categoría y subcategoría, elegimos la aplicación, lo que configurara un conjunto de puertos que suelen emplear dicha aplicación generalmente y si aun queremos personalizarla más, picaremos en el icono con forma de flecha. En la siguiente imagen configuraremos rápidamente regla para la aplicación qbitorrens como veis es sencillo basta con buscar algunos parámetros ya configurados.


- Nombre de la aplicación
- Política ( permitir, denegar, rechazar, limitar)
- Dirección(entrante saliente o ambas)
- Protocolo( Ambos, TCP, UDP)
- Número de puerto abierto para la conexión
Estas son sencillas reglas que debemos ir adaptando sobre la aplicación a usar de un modo personalizado.


-
- Nombre , aplicación o nombre de la regla que la identifica
- Insertar, número de la política ya que aveces se necesitan varias a la vez para la mismapolítica
- Dirección, entrante , saliente o ambas
- Interfaz, identifica el tipo de red
- Registro, lo dejo deshabilitado para no crear demasiados avisos pero se puede habilitar
- Protocolo protocolo de conexión, TPC– UDP
- Desde, dirección IP nº de puerto o rangos de puertos abiertos


Podéis seguir leyendo otro tema de seguridad en este artículo de anti-rootkit