Running Bear
26/10/2006, 11:17
Por daexma.
Firestarter nos permite configurar un cortafuegos en modo gráfico, quedando nuestro ordenador protegido del exterior desde el primer arranque del programa, pero que también desde un entorno gráfico y fácilmente, permite una configuración mucho más avanzada que los cortafuegos incluidos por defecto en algunas distribuciones de Linux. Su entorno de trabajo es Gnome, pero con las librerías apropiadas funcionará perfectamente en otros escritorios.
Todos hemos oído hablar de las maravillas de Iptables como cortafuegos para Linux, pero pocos son lo que saben o son capaces de configurarlo. La mayoría de las distribuciones Linux incorporan un cortafuegos de "serie" que no es más que una manera de configurar Iptables de un modo básico, para tener nuestro PC protegido de ataques externos. Si bien esta configuración básica nos ofrece una protección bastante aceptable contra las conexiones entrantes, la posibilidad de una configuración mas personalizada es prácticamente nula y no existe control sobre las conexiones salientes (esto último también es aplicable a versiones anteriores a la v1 de Firestarter).
De Firestarter, destacaría para aquellos que no nos manejamos con IPtables, la facilidad de definir la política del cortafuegos y la facilidad de crear reglas con un click de ratón usando el propio registro de las conexiones que el programa lleva acabo y que la creación de reglas "a mano" se ve facilitada por que ya incluye los tipos de conexión mas usados entre sus opciones. Por supuesto que no es comparable a una buena configuración de Iptables que permite muchas más opciones, pero permite tener un PC protegido sin necesidad de muchos conocimientos.
El Asistente
La primera vez que arrancamos el programa, se nos muestra un asistente, con el que configuraremos de una manera básica el cortafuegos.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/01asistente.png
En esta ventana configuraremos la interfaz conectada a Internet, el asistente detectará automáticamente todas la interfaces de red, deberemos seleccionar la que está conectada directamente a Internet. También tenemos dos opciones cuyas casillas podemos marcar dependiendo de nuestro tipo de conexión.
* Iniciar el cortafuegos al conectarse al exterior: Si no tenemos conexión directa, podemos usar esta opción para que el cortafuegos no este operativo si no estamos conectados, así mismo se reiniciará en caso de que perdamos la conexión y volvamos a reconectar, ya sea manualmente o automáticamente.
* Dirección IP asignada vía DHCP: Si nuestra conexión se configura de este modo, marcando esta casilla esta conexión estará permitida por defecto, pero siempre podemos dejarla desmarcada y permitir esta conexión creando una regla que solo permita la conexión a nuestro servidor DHCP.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/02asistente.png
Si disponemos de una red local y queremos compartir la conexión o recursos entre nuestro PCs, podemos activarla desde esta ventana. Lógicamente debemos de disponer de más de una interfaz de red y la seleccionada en esta ventana debe de ser diferente a la que seleccionamos en la ventana anterior.
Si disponemos de un servidor DHCP para no tener que configurar manualmente todos los equipos de la red, podemos habilitar esta conexión desde aquí.
Una vez acabada la configuración mediante el asistente, guardamos la configuración y salimos de este para que se inicie el programa.
Por defecto.
Una vez ejecutado el asistente, nuestro cortafuegos estará funcionando con la configuración por defecto, cuya política es restrictiva para el tráfico entrante y permisiva para el saliente.
ESTADO.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/estado.png
Desde la pestaña estado podemos ver tanto el estado del cortafuegos, el tráfico para cada dispositivo, así como las conexiones activas. Desde los correspondientes iconos, podemos Detener el cortafuegos, lo cual permitiŕa todas las conexiones, o Bloquear el cortafuegos, lo cual detendrá todo el tráfico. Las funciones de Estado y el Asistente se encuentran en el menú Cortafuegos.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/menu_cortafuegos.png
Preferencias.
Algunas de las preferencias no tienes mayor importancia, pero otras si influyen en la configuración del cortafuegos.
Interfaz:
* Activar icono en el área de notificación: Coloca un icono de notificación la bandeja del sistema. Este icono muestra el estado del cortafuegos y parpadea cuando se registra algún evento. Si pinchamos sobre el icono, se abrirá y cerrará la ventana principal del programa.
* Minimizar al área de notificación al cerrar la ventana: Al salir el programa no se cerrará si no que se minimizará en el icono de notificación.
Eventos:
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/preferencias_eventos.png
* Saltar entradas redundantes: Marcando esta pestaña no se listarán en la pestaña "Eventos" las conexiones bloqueadas que sean consecutivas e idénticas.
* Saltar entradas donde el destino no es el cortafuegos: No se listarán las conexiones bloqueadas cuya dirección IP de destino no sea la misma que la del cortafuegos, generalmente mensajes de Broadcasting.
* No registrar los eventos para los siguientes: En esto recuadros, añadiremos/quitaremos a mano, mediante sus correspondientes botones, las direcciones o puertos que no queremos sean listados en "Eventos". Las direcciones o puertos se pueden incluir automáticamente desde la lista de eventos como veremos en la correspondiente sección.
Directivas:
* Aplicar los cambios en la directiva inmediatamente: Los cambios se aplican sin necesidad de usar el botón "Aplicar".
Cortafuegos:
En estas secciones se pueden controlar funciones más avanzadas del cortafuegos, junto con algunas configuraciones que ya se realizaron mediante el asistente.
* Iniciar/reiniciar el cortafuegos al arrancar el programa.
* Iniciar el cortafuegos al marcar al exterior.
* Iniciar/reiniciar el cortafuegos al renovar la cesión DHCP
Configuraciones de red:
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/preferencias_confred.png
Filtrado ICMP:
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/preferencias_icmp.png
Desde aquí podemos bloquear todos los ICMP activando el filtrado, pudiendo también selecciona mediante la casilla correspondiente algunos de ellos si fuera necesario.
Filtrado TdS (Tipo de Servicio):
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/preferencias_tds.png
Este tipo de priorazación debe de estar soportado por la red a la que nos conectamos, lo que en la práctica limita el área de efecto a redes locales.
Opciones avanzadas:
* Método de rechazo de paquetes preferente: Podemos elegir entre que los paquetes se rechacen con un mensaje de error (puerto cerrado/closed) o en silencio (puerto bloqueado/invisible/stealth).
* Tráfico de difusión: Podemos bloquear desde aquí todo el tráfico de difusión (Broadcasting).
DIRECTIVAS.
Desde esta ventana, definiremos la política del cortafuegos respecto a las conexiones tanto entrante como saliente, pudiendo crear reglas para, dependiendo de la política elegida, bloquear o permitir tanto puertos como direcciones IP.
Saliente.
Existen dos políticas diferentes para el tráfico saliente.
*Permisivo: Todo el tráfico saliente está permitido, solo los puertos o direcciones de la lista serán bloqueados.
* Restrictivo: Todo el tráfico saliente será bloqueado, solo el tráfico entre los puertos y direcciones de la lista serán permitidos.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/directiva_saliente.png
Existen tres tipos de lista para Denegar o Permitir según estemos en modo Permisivo o Restrictivo, para añadir una regla en alguna de las listas, haremos click con el botón derecho del ratón en el espacio libre de la lista en la que queramos incluir una regla, ya sea para una dirección IP o una dirección IP de nuestra red,
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/anyadir_regla3.png
o una regla donde podemos especificar el tipo de servicio/puerto y el origen de la conexión.
El programa ya trae algunos servicios predefinidos por defecto que podemos seleccionar desde el menú http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/anyadir_regla1.png
desplegable "Nombre". http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/anyadir_regla2.png
Las distintas listas con reglas para cada modo son guardadas independientemente de que cambiemos de un modo a otro, por que podemos tener perfectamente configurado tanto el modo Restrictivo como el Permisivo y cambiar de una configuración a otra si así lo necesitamos.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/anyadir_regla4.png
Entrante.
Solo hay una política, todo lo que no está permitido, será bloqueado. Para crear una regla que permita la conexión, lo haremos de igual modo que en las conexiones salientes.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/directiva_entrante.png
EVENTOS.
En esta ventana quedarán registrados todos los intentos de conexión bloqueados por el cortafuegos, excepto lógicamente aquellos que hemos descartado mediante nuestra configuración.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/eventos.png
Desde el menú eventos, podemos seleccionar las columnas de información que se mostrarán en la ventana, así como las opciones para Limpiar la lista, Guardar la lista y Recargar la lista previamente limpiada.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/eventos_menu.pnghttp://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/eventos_columnas.png
Configurar el cortafuegos desde la lista de eventos.
Una de las grandes ventajas de Firestarter, es que podemos crear reglas para las conexiones, usando la lista de eventos, lo cual facilita mucho la configuración. Para crear una regla basándose en los parámetros de la conexión que ha sido bloqueada, haremos click con el botón derecho del ratón en el evento y seleccionaremos el tipo de regla que queremos crear, también podemos añadir de este modo puertos o direcciones IP para que no sean listados, estos puertos y direcciones, se añadirán automáticamente a la lista que existe en "Preferencias" para este fin.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/eventos_opciones.png
El menú variará dependiendo de si la conexión es entrante o saliente.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/eventos_opciones_out.png
Dependiendo del tipo de política seleccionada podremos seleccionar bloquear/permitir las conexiones para esa dirección, para el puerto y cualquier dirección o para el puerto y la dirección en concreto, la regla se añadirá en su sección correspondiente.
ALGUNAS COSAS A TENER EN CUENTA.
Las peticiones DNS salientes están permitidas por defecto, por lo que no a día de hoy, no podemos crear reglas personalizadas que solo permitan la conexión a nuestros DNS.
Si usamos el modo Restrictivo para las conexiones salientes, tendremos problemas para conectarnos a los servidores FTP que no usen el modo pasivo, para evitarlo podemos cambiar al modo permisivo mientras es necesario, volviendo a restrictivo cunado no vayamos a usar el FTP. También podemos crear una regla que permita la conexión saliente para la Dirección IP del FTP usando la información que aparecerá en la lista de eventos cuando se bloquee la conexión, permaneciendo de esta manera en modo restrictivo. Dependiendo de la frecuencia de uso de ese servidor FTP, cada uno puede optar por dejar la regla o borrarla una vez no sea necesaria.
Muchos servidores FTP permiten conectarse a ellos mediante HTTP simplemente cambiando el ftp:// por http:// permaneciendo el resto de la dirección inalterable.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/firestarter.php
Firestarter nos permite configurar un cortafuegos en modo gráfico, quedando nuestro ordenador protegido del exterior desde el primer arranque del programa, pero que también desde un entorno gráfico y fácilmente, permite una configuración mucho más avanzada que los cortafuegos incluidos por defecto en algunas distribuciones de Linux. Su entorno de trabajo es Gnome, pero con las librerías apropiadas funcionará perfectamente en otros escritorios.
Todos hemos oído hablar de las maravillas de Iptables como cortafuegos para Linux, pero pocos son lo que saben o son capaces de configurarlo. La mayoría de las distribuciones Linux incorporan un cortafuegos de "serie" que no es más que una manera de configurar Iptables de un modo básico, para tener nuestro PC protegido de ataques externos. Si bien esta configuración básica nos ofrece una protección bastante aceptable contra las conexiones entrantes, la posibilidad de una configuración mas personalizada es prácticamente nula y no existe control sobre las conexiones salientes (esto último también es aplicable a versiones anteriores a la v1 de Firestarter).
De Firestarter, destacaría para aquellos que no nos manejamos con IPtables, la facilidad de definir la política del cortafuegos y la facilidad de crear reglas con un click de ratón usando el propio registro de las conexiones que el programa lleva acabo y que la creación de reglas "a mano" se ve facilitada por que ya incluye los tipos de conexión mas usados entre sus opciones. Por supuesto que no es comparable a una buena configuración de Iptables que permite muchas más opciones, pero permite tener un PC protegido sin necesidad de muchos conocimientos.
El Asistente
La primera vez que arrancamos el programa, se nos muestra un asistente, con el que configuraremos de una manera básica el cortafuegos.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/01asistente.png
En esta ventana configuraremos la interfaz conectada a Internet, el asistente detectará automáticamente todas la interfaces de red, deberemos seleccionar la que está conectada directamente a Internet. También tenemos dos opciones cuyas casillas podemos marcar dependiendo de nuestro tipo de conexión.
* Iniciar el cortafuegos al conectarse al exterior: Si no tenemos conexión directa, podemos usar esta opción para que el cortafuegos no este operativo si no estamos conectados, así mismo se reiniciará en caso de que perdamos la conexión y volvamos a reconectar, ya sea manualmente o automáticamente.
* Dirección IP asignada vía DHCP: Si nuestra conexión se configura de este modo, marcando esta casilla esta conexión estará permitida por defecto, pero siempre podemos dejarla desmarcada y permitir esta conexión creando una regla que solo permita la conexión a nuestro servidor DHCP.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/02asistente.png
Si disponemos de una red local y queremos compartir la conexión o recursos entre nuestro PCs, podemos activarla desde esta ventana. Lógicamente debemos de disponer de más de una interfaz de red y la seleccionada en esta ventana debe de ser diferente a la que seleccionamos en la ventana anterior.
Si disponemos de un servidor DHCP para no tener que configurar manualmente todos los equipos de la red, podemos habilitar esta conexión desde aquí.
Una vez acabada la configuración mediante el asistente, guardamos la configuración y salimos de este para que se inicie el programa.
Por defecto.
Una vez ejecutado el asistente, nuestro cortafuegos estará funcionando con la configuración por defecto, cuya política es restrictiva para el tráfico entrante y permisiva para el saliente.
ESTADO.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/estado.png
Desde la pestaña estado podemos ver tanto el estado del cortafuegos, el tráfico para cada dispositivo, así como las conexiones activas. Desde los correspondientes iconos, podemos Detener el cortafuegos, lo cual permitiŕa todas las conexiones, o Bloquear el cortafuegos, lo cual detendrá todo el tráfico. Las funciones de Estado y el Asistente se encuentran en el menú Cortafuegos.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/menu_cortafuegos.png
Preferencias.
Algunas de las preferencias no tienes mayor importancia, pero otras si influyen en la configuración del cortafuegos.
Interfaz:
* Activar icono en el área de notificación: Coloca un icono de notificación la bandeja del sistema. Este icono muestra el estado del cortafuegos y parpadea cuando se registra algún evento. Si pinchamos sobre el icono, se abrirá y cerrará la ventana principal del programa.
* Minimizar al área de notificación al cerrar la ventana: Al salir el programa no se cerrará si no que se minimizará en el icono de notificación.
Eventos:
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/preferencias_eventos.png
* Saltar entradas redundantes: Marcando esta pestaña no se listarán en la pestaña "Eventos" las conexiones bloqueadas que sean consecutivas e idénticas.
* Saltar entradas donde el destino no es el cortafuegos: No se listarán las conexiones bloqueadas cuya dirección IP de destino no sea la misma que la del cortafuegos, generalmente mensajes de Broadcasting.
* No registrar los eventos para los siguientes: En esto recuadros, añadiremos/quitaremos a mano, mediante sus correspondientes botones, las direcciones o puertos que no queremos sean listados en "Eventos". Las direcciones o puertos se pueden incluir automáticamente desde la lista de eventos como veremos en la correspondiente sección.
Directivas:
* Aplicar los cambios en la directiva inmediatamente: Los cambios se aplican sin necesidad de usar el botón "Aplicar".
Cortafuegos:
En estas secciones se pueden controlar funciones más avanzadas del cortafuegos, junto con algunas configuraciones que ya se realizaron mediante el asistente.
* Iniciar/reiniciar el cortafuegos al arrancar el programa.
* Iniciar el cortafuegos al marcar al exterior.
* Iniciar/reiniciar el cortafuegos al renovar la cesión DHCP
Configuraciones de red:
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/preferencias_confred.png
Filtrado ICMP:
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/preferencias_icmp.png
Desde aquí podemos bloquear todos los ICMP activando el filtrado, pudiendo también selecciona mediante la casilla correspondiente algunos de ellos si fuera necesario.
Filtrado TdS (Tipo de Servicio):
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/preferencias_tds.png
Este tipo de priorazación debe de estar soportado por la red a la que nos conectamos, lo que en la práctica limita el área de efecto a redes locales.
Opciones avanzadas:
* Método de rechazo de paquetes preferente: Podemos elegir entre que los paquetes se rechacen con un mensaje de error (puerto cerrado/closed) o en silencio (puerto bloqueado/invisible/stealth).
* Tráfico de difusión: Podemos bloquear desde aquí todo el tráfico de difusión (Broadcasting).
DIRECTIVAS.
Desde esta ventana, definiremos la política del cortafuegos respecto a las conexiones tanto entrante como saliente, pudiendo crear reglas para, dependiendo de la política elegida, bloquear o permitir tanto puertos como direcciones IP.
Saliente.
Existen dos políticas diferentes para el tráfico saliente.
*Permisivo: Todo el tráfico saliente está permitido, solo los puertos o direcciones de la lista serán bloqueados.
* Restrictivo: Todo el tráfico saliente será bloqueado, solo el tráfico entre los puertos y direcciones de la lista serán permitidos.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/directiva_saliente.png
Existen tres tipos de lista para Denegar o Permitir según estemos en modo Permisivo o Restrictivo, para añadir una regla en alguna de las listas, haremos click con el botón derecho del ratón en el espacio libre de la lista en la que queramos incluir una regla, ya sea para una dirección IP o una dirección IP de nuestra red,
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/anyadir_regla3.png
o una regla donde podemos especificar el tipo de servicio/puerto y el origen de la conexión.
El programa ya trae algunos servicios predefinidos por defecto que podemos seleccionar desde el menú http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/anyadir_regla1.png
desplegable "Nombre". http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/anyadir_regla2.png
Las distintas listas con reglas para cada modo son guardadas independientemente de que cambiemos de un modo a otro, por que podemos tener perfectamente configurado tanto el modo Restrictivo como el Permisivo y cambiar de una configuración a otra si así lo necesitamos.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/anyadir_regla4.png
Entrante.
Solo hay una política, todo lo que no está permitido, será bloqueado. Para crear una regla que permita la conexión, lo haremos de igual modo que en las conexiones salientes.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/directiva_entrante.png
EVENTOS.
En esta ventana quedarán registrados todos los intentos de conexión bloqueados por el cortafuegos, excepto lógicamente aquellos que hemos descartado mediante nuestra configuración.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/eventos.png
Desde el menú eventos, podemos seleccionar las columnas de información que se mostrarán en la ventana, así como las opciones para Limpiar la lista, Guardar la lista y Recargar la lista previamente limpiada.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/eventos_menu.pnghttp://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/eventos_columnas.png
Configurar el cortafuegos desde la lista de eventos.
Una de las grandes ventajas de Firestarter, es que podemos crear reglas para las conexiones, usando la lista de eventos, lo cual facilita mucho la configuración. Para crear una regla basándose en los parámetros de la conexión que ha sido bloqueada, haremos click con el botón derecho del ratón en el evento y seleccionaremos el tipo de regla que queremos crear, también podemos añadir de este modo puertos o direcciones IP para que no sean listados, estos puertos y direcciones, se añadirán automáticamente a la lista que existe en "Preferencias" para este fin.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/eventos_opciones.png
El menú variará dependiendo de si la conexión es entrante o saliente.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/images/eventos_opciones_out.png
Dependiendo del tipo de política seleccionada podremos seleccionar bloquear/permitir las conexiones para esa dirección, para el puerto y cualquier dirección o para el puerto y la dirección en concreto, la regla se añadirá en su sección correspondiente.
ALGUNAS COSAS A TENER EN CUENTA.
Las peticiones DNS salientes están permitidas por defecto, por lo que no a día de hoy, no podemos crear reglas personalizadas que solo permitan la conexión a nuestros DNS.
Si usamos el modo Restrictivo para las conexiones salientes, tendremos problemas para conectarnos a los servidores FTP que no usen el modo pasivo, para evitarlo podemos cambiar al modo permisivo mientras es necesario, volviendo a restrictivo cunado no vayamos a usar el FTP. También podemos crear una regla que permita la conexión saliente para la Dirección IP del FTP usando la información que aparecerá en la lista de eventos cuando se bloquee la conexión, permaneciendo de esta manera en modo restrictivo. Dependiendo de la frecuencia de uso de ese servidor FTP, cada uno puede optar por dejar la regla o borrarla una vez no sea necesaria.
Muchos servidores FTP permiten conectarse a ellos mediante HTTP simplemente cambiando el ftp:// por http:// permaneciendo el resto de la dirección inalterable.
http://www.nautopia.net/archives/es/linux_cortafuegos_e_iptables/firestarter/firestarter.php