Firewall Perimetral (Bridge Utils)

 

En entornos de Empresas es importante controlar los accesos entre nuestra intranet e Internet. Anteriormente hemos visto el uso de Iptables, una conocido cortafuegos en Linux que se implementa en los entornos de producción más exigentes.

 

Los cortafuegos perimetrales son quizás el elemento más importante de todo nuestro entorno, teniendo en cuenta que los servidores estén securizados y monitorizados de forma independiente, no sería nada aconsejable que se pueda probar hasta dar con alguno que tenga alguna puerta trasera.

No hay un entorno 100% seguro, el acceso no autorizados a sistemas suele ser tema de tiempo y pruebas, en ocasiones mucho tiempo… o demasiado, lo que hace un entorno casi inaccesible, si se identifican con el suficiente tiempo esas pruebas sospechosas podremos tomar medidas. Hay que tener en cuenta que además de permitir o denegar accesos, tiene un registro de todo lo que lo atraviesa.

El elemento que presentamos lo podríamos denominar tan seguro que suele estar totalmente aislado, con lo que la configuración tiene que hacerse con extremo cuidado. Se configura por regla general entre dos interfaces de red con un puente, sin ninguna dirección IP, lo que lo hará transparente con un tracert a algún servidor de la red interna. Si queremos hacer alguna configuración tiene que haber alguna regla permitida para hacernos de puerta de enlace para ser administrado, o usar otro servidor que tenga el acceso permitido para poder acceder desde el mismo.

En primer lugar necesitamos el paquete bridge-utils para configurar dos interfaces de red mínimo sobre los que circulará el tráfico desde Internet a la red interna.

– Creamos el interfaz br0

root@localhost:~# brctl addbr br0

– Añadimos los interfaces a usar como bridge, de forma que ambos sean uno sólo.

root@localhost:~# brctl addif br0 eth0
root@localhost:~# brctl addif br0 eth1

– Arrancamos los interfaces, sin darles dirección IP

root@localhost:~# ifconfig eth0 0.0.0.0
root@localhost:~# ifconfig eth1 0.0.0.0

 

Esta es la sálida que nos da el ifconfig:

 

 


Todas las reglas en el iptables serán en modo FORWARD, ya que atravesarán este firewall y sin olvidar nunca la regla de los puertos altos, que recordaremos es necesario ya que algunos protocolos como el de correo, ssh y similares cuando tienen la conexión ESTABLISHED envían datos de vuelta, como la salida de un comando.[/box]

Una vez hecha toda la configuración haremos un iptables-save y tendremos que probar que en caso de cualquier reinicio o fallo, las reglas se restauren.

Ejecutando un dmesg tenemos que el servidor ha registrado esto:


Ya tenemos nuestro muro para securizar nuestra red

Con esto damos por completada la configuración básica, a partir de aquí es meter las reglas según necesidades, espero que os haya parecido interesante.