Conocimiento de firewall (iptables) básico

Introducción

Creo que es importante saber que la seguridad es uno de los principales conocimientos que debemos manejar para desenvolvernos en el sistema con confianza de que nadie nos molestará ni causará daños.

Iptables es el firewall que viene integrado en el núcleo de GNU/Linux y, en mi opinión, el mejor mundialmente, pero... ¿Qué es un firewall?

Un cortafuegos (o firewall en inglés), es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red. Su modo de funcionar es indicado por la recomendación RFC 2979, que define las características de comportamiento y requerimientos de interoperabilidad. La ubicación habitual de un cortafuegos es el punto de conexión de la red interna de la organización con la red exterior, que normalmente es Internet; de este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna.

(...)

Un cortafuegos correctamente configurado añade protección a una instalación informática, pero en ningún caso debe considerarse como suficiente. La Seguridad informática abarca más ámbitos y más niveles de trabajo y protección. (Wikipedia)

En resumen, si podéis ver la imagen, muestra el comportamiento estándar básico de un firewall. Las flechas verdes son aquellas peticiones enviadas desde Internet a nuestra Red, que son permitidas y entran; las rojas, en cambio, son las rechazadas.

Nosotros podemos establecer nuestra política para ver qué entra y sale. Lógicamente, sería muy pesado ir aceptando/rechazando manualmente cada conexión que entra o sale (teniendo en cuenta que podemos tener en media hora trabajando normalmente unos 10.000 paquetes como poco); este trabajo nos lo facilita el firewall.

Básicamente, repele distintos ataques a servicios vulnerables en nuestra Red. Podemos bloquear todos los puertos a todo el mundo - o sólo a quienes nos interesen, por ejemplo, dejando que en Red local no se bloqueen, o que un amigo pueda entrar -, dejar los que nos interesen - servicios abiertos -, bloquear peticiones ICMP - como pings -, bloquear UDP, etc.. Hay que tener en cuenta que es una de las medidas preventivas, pero si nuestro software en Red no está actualizado, por mucho firewall que tengamos no vamos a evitar nada.

Nos vamos a hacer un esquema mental, y es que cuando algo nos llega desde Internet, primero pasa por el router/módem, después por el firewall, y finalmente a nuestra Red (si hay antes un Switch, pues pasará por ahí); cuando nosotros somos los que enviamos, cogemos el anterior esquema e invertimos el orden. He aquí una imagen explicativa:

¡Vamos allá!

Saber qué debemos proteger

Como bien dice el título, es bastante básico, así que sólo voy a tratar cómo ver qué puertos tenemos activos.

netstat va a ser un comando que nos va a facilitar información de la Red y los puertos que están a la escucha para más tarde cerrarlos. Vamos a probar con 'netstat -an' y buscaremos todos los puertos que estén en LISTEN, e iremos cerrando los que nos interesen. Para cerrarlos, se debe ejecutar este comando como root: (recordemos que el $ no se pone, significa que se debe poner en consola)

$ iptables -A INPUT -p tcp --dport aquíelpuerto -j DROP

NOTA: Si lógicamente no tenemos los puertos abiertos en router, el firewall no va a abrirlos ni cerrarlos.

Bloquearemos las peticiones ICMP y le mandaremos un host unreachable y que se vaya a tomar viento fresco; ejecutaremos esto como root de nuevo:

$ iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j REJECT --reject-with icmp-host-unreachable

Herramientas que nos facilitarán el trabajo

Para los más 'vagos' que no se quieren meter en consola, o prefieren facilidad, existe una herramienta gráfica en GTK, llamada Firestarter, que, usando *buntu, fácilmente podemos instalarla:

$ sudo apt-get install firestarter

--

Iré poniendo más contenido a medida que se me vaya ocurriendo.