Mínima protección necesaria - Firestarter

En materia de seguridad informática existen más problemas que lo que se entiende en lenguaje coloquial como virus. En GNU/Linux me encuentro con usuarios que, como saben que es un sistema sin esos problemas, creen que la seguridad es absoluta.

En realidad, si instalas Ubuntu por ejemplo, es cierto que tienes un sistema a prueba de virus pero, haciendo una analogía con una casa, es como si tuvieras las puertas o las ventanas sin cerrar. Cualquiera, con el conocimiento suficiente, puede entrar en tu casa, abrir tus cajones y ver tus cosas... o dejar algo no deseado.

Un cortafuegos es necesario si tu ordenador está conectado a internet para controlar:

- Qué entra y qué no.
- Qué sale y qué no.
- Qué puertos están abiertos o cerrados para entradas o salidas.

Pero, ¿es realmente importante tener un cortafuegos instalado en mi sistema?. En mi opinión, si estás conectado a internet sí.

Gnu/Linux tiene un sistema cortafuegos incluido en su núcleo (kernel) llamado iptables pero configurarlo a mano es una tarea complicada para usuarios comunes, y la mayoría opta por mantenerse sin protección.

Así que cuando instalamos un sistema GNU/Linux, tenemos un potente cortafuegos pero eso no nos sirve de nada porque su configuración por defecto es permitir la entrada y salida a todo.

Mínima protección necesaria - Firestarter

La solución es tener un programa que actúe de interfaz gráfico y nos permita configurar ese cortafuegos tan potente de un modo sencillo y cómodo.

Hay que puntualizar que lo que voy a explicar se refiere al usuario doméstico medio, conectado a internet por cable de red o por wifi.

Esta configuración va a controlar qué entra y qué no, permitiendo la salida de todo y recibiendo solo conexiones en estado "establecido" y "relacionado" o sea solo entra lo que se solicito previamente. También vamos a ver cómo abrir un puerto para permitir entrar cosas del exterior a determinados programas haciendo un ejemplo con SSH.


Instalación de Firestarter

Lo primero es instalar Firestarter.

Abrimos una terminal y tipeamos:

sudo -i
ponemos nuestro password y continuamos

apt-get update
apt-get upgrade
apt-get install firestarter

GNU

puertos

Una vez que se instalo salimos de la sesión con privilegios elevados, ctrl+d y cerramos la terminal.

Primer arranque de Firestarter

Linux

La primera vez que ejecutamos el programa nos pide que nos identifiquemos, así que ponemos nuestra contraseña y aceptamos.

Cerrar

Nos aparecerá esta ventana de bienvenida que nos dice que vamos a configurar Firestarter. Pulsamos Adelante para continuar.

FireStarter

En la ventana siguiente de configuración del dispositivo de red, primero elegimos el dispositivo que está conectado a internet. En este caso es la tarjeta de red del PC, así que está seleccionado el dispositivo Ethernet (eth0). Si tuvieramos un dispositivo wifi, la elección sería Dispositivo inalámbrico (wlan0). También tenemos dos casillas de verificación, marcamos las ambas.

segurirad

Pulsamos Adelante.



En la ventana siguiente no tocamos nada y pulsamos Adelante. Las configuraciones de esta pantalla son para cosas que exceden al usuario doméstico.

gui de iptables

En la siguiente pantalla nos dice que ya está configurado todo, activamos la casilla de verificación junto a Iniciar el cortafuegos ahora y pulsamos Guardar.

Mínima protección necesaria - Firestarter

La ventana de configuración se cierra y se abre Firestarter.

Lo primero que vemos es un mensaje de error al cual no debemos pasar por alto, ya que es de vital importancia.
Cerramos firestarter para solucionar esto primero.

GNU

El problema es que no se registra ninguno de los eventos que suceden y por tanto, no tienes ninguna información al respecto de lo que está pasando en tu cortafuegos.

Debemos editar editar el archivo /etc/rsyslog.d/50-default.conf, y modificar unas líneas, pasando de:



El texto original es:

# Some "catch-all" log files.
#
#*.=debug;
# auth,authpriv.none;
# news.none;mail.none -/var/log/debug
#*.=info;*.=notice;*.=warn;
# auth,authpriv.none;
# cron,daemon.none;
# mail,news.none -/var/log/messages

puertos

Como se puede observar está con almohadilla al principio, para dejarlo como comentario. Pues tienes que quitárselo, y dejarlo así:

sudo -i
nano -B /etc/rsyslog.d/50-default.conf

# Some "catch-all" log files.
#
#*.=debug;
# auth,authpriv.none;
# news.none;mail.none -/var/log/debug
*.=info;*.=notice;*.=warn;
auth,authpriv.none;
cron,daemon.none;
mail,news.none -/var/log/messages

Linux

El siguiente paso a fin de concluir con el problema es reiniciar rsyslog, para ello en el terminal:

service rsyslog restart
salimos de la seción de privilegios elevados con ctrl+d y cerramos la terminal.

Cerrar

Ahora, iniciar firestarter, no te aparecerá el mensaje y verás los eventos que te hayan aparecido.


FireStarter


Aún nos quedan un par de cosas por hacer

Entramos en preferencias de firestarter y en el apartado Normativa marcar Aplicar los cambios en la normativa inmediatamente.

segurirad

Y en el apartado Opciones avanzadas marcar Bloquear tráfico proveniente de direcciones reservadas en interfaces públicas.

gui de iptables

Click en aceptar.

Abrir determinados puertos

Para abrir algunos servicios al exterior (SSH, apache, una base de datos, ftp, etc)

En las solapa Normativa hacemos clic, nos aseguramos que esté seleccionada Normativa para el tráfico entrante.

Hacemos clic en el + y procedemos a completar con los datos como se muestra en la imágen

Mínima protección necesaria - Firestarter

GNU


Ya podemos ver que el servicio funciona y esta conectandose vía SSH desde la ip anteriormente asignada.

puertos

Reiniciamos el equipo y verificamos que las reglas de firewall asignadas estén activas.
sudo iptables -L -n | more

Linux

Se muestra este resultado, lo cual nos lista las reglas que se aplican actualmente, si se desea modificar algo usamos la interfaz gráfica de iptables (firestarter) como se mostro anteriormente.

Eso es todo, acepto sugerencias, si te gusto el post comenta, si te fue útil comenta.


Más info en su sitio web
http://www.fs-security.com/

Fuentes de conocimiento:
http://www.txemijendrix.com/index.php?option=com_content&view=article&id=47:linux-cortafuegos-firestarter&catid=15:tutoriales&Itemid=23
http://vayalinux.blogspot.com/2010/09/firestarter-en-debian.html
http://siemprelinux.wordpress.com/2007/04/12/como-instalar-y-configurar-firestarter/

15 comentarios - Mínima protección necesaria - Firestarter

@kmm165 +3
Me gusta mas usar el comando IPTABLES y configurar las restricciones manualmente, pero esta claro que para el inexperto es mejor usar esta GUI.
@alband +2
Coincido contigo, y recomiendo a usuarios menos experimentados hacer uso de esta GUI de iptables por su sencilla forma de administrar.
@Elmaese_22 +2
Excelente tu aporte a la comunidad de GNU/Linux
@alband +1
Gracias por valorar el post con un comentario tan positivo, y con puntos.
@ElMagno90 +1
Espectacular
@alband
Muchas gracias a todos, mediante los últimos puntos recibidos superé los 1000
@ObixpiN +2
+10. Cagon tó te estaba escribiendo un comentario y sin querer recargué la página con lo lentico que soy pa escribir,ajajaja.CerrarEl otro dia pillando paquetes de la wifi del ayutamiento con airodump-ng, luego le pase el airdecap-ng y me fijé en un scrip que te metia si o si, con el cual al final terminaba sacandote hasta si llevas los calzoncillos limpiosFireStarter. Yo como usuario me toca los huevos x que cualquiera con mala intencion podria obtener info sensible ya que salia + o - por los sitios x los que navegan. Intente entrar a la conf del ruter del ayuntamiento para joderles el invento,pero no son tan idiotas como pensabasegurirad. Luego os hago referencia al scrip a ver que os parece.
Saludos y muy buena la explicacion de tu postgui de iptablesMínima protección necesaria - FirestarterGNUpuertos
@ObixpiN
Aki, los tengo, que no me acordaba adonde los metí

<html>
<!--
<?xml version="1.0" encoding="UTF-8"?>
<WISPAccessGatewayParam
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:noNamespaceSchemaLocation="http://10.90.21.1/xml/WISPAccessGatewayParam.xsd">
<Redirect>
<AccessProcedure>1.0</AccessProcedure>
<AccessLocation></AccessLocation>
<LocationName></LocationName>
<LoginURL>http://10.90.21.1/login?target=xml</LoginURL>
<MessageType>100</MessageType>
<ResponseCode>0</ResponseCode>
</Redirect>
</WISPAccessGatewayParam>
-->
<head>
<title>...</title>
<meta http-equiv="refresh" content="0; url=http://10.90.21.1/login?dst=http%3A%2F%2Fapi.twitter.com%2F1%2Fdirect%5Fmessages%2Fsent.json%3Fcount%3D200%26since%5Fid%3D261471729350737923">
<meta http-equiv="pragma" content="no-cache">
<meta http-equiv="expires" content="-1">
</head>
<body>
</body>
</html>

Saludos
@pablin262004
sino tenes el ufw de ubuntu una masa el ufw (uncomplicated firewall algo asi
@alband
Uncomplicated Firewall (UFW) es un servidor de seguridad que está diseñado para ser fácil de usar. Se utiliza una interfaz de línea de comandos que consiste en un pequeño número de comandos simples, y utiliza iptables para la configuración.

Afortunadamente hay una GUI para Uncomplicated Firewall (Gufw) es, como su nombre indica, una interfaz gráfica de usuario para la UFW (Uncomplicated Firewall). Ha sido diseñado para Ubuntu, pero también está disponible en otras distribuciones basa
@piruo7 +1
Exelente aporte gracias +5 ..!
@alband +1
Muchas gracias por visitar el post, y por los puntos amigo.
@Dunno033
+10 y a favs para leerlo con tiempo!
@dolchi21 +1
si estoy detras de un router sin ningun puerto forwardeado, no hace falta que configure iptables, no?
@alband
Se entiende que el router tiene su propio firewall, si entras en el y verificas que este activado ya esta.
De todas formas nunca esta de más una protección extra, la cual vos controlas, recorda que a los routers por algo se les actualiza su firmware cada cierto tiempo.
@MorochaKris +1
Argentinos, argentinas, me encanta este post, es lo mismo que necesito yo con esta Corte Suprema, una minima proteccion.
Argentina, un pais de buena gente.
@mfurones +1
excelente gui para quienes comienzan y no quieren dejar desprotegido el equipo!

+10
@alband +1
Es verdad amigo
Muchas gracias por pasar