Construye un cortafuegos personalizado con fwbuilder

Para el sistema operativo Linux hay muchas posibilidades cuando se trata de firewalls. Una opción posible es Firestarter (puede leer mi artículo «introductorio» «Firestarter: cortafuegos de escritorio fácil de usar»para ver un ejemplo de una de estas herramientas).

También puede ser muy granular con la herramienta de línea de comandos iptables. Por supuesto, la mayoría de los administradores no tienen el tiempo o la inclinación para lidiar con herramientas tan potentes como iptables (si tiene tiempo, iptables es increíblemente poderoso). Entonces, ¿a dónde vas para conseguir algo potente y fácil de usar? Una de esas opciones es fwbuilder.

Fwbuilder es una poderosa herramienta de creación de firewall que funciona agregando objetos para construir un firewall personalizado. Un objeto puede ser casi cualquier cosa, desde un cortafuegos, una biblioteca, un host, una interfaz, una dirección, un nombre DNS, etc. La idea es unir objetos para formar un todo cohesivo que funcione en conjunto para formar un cortafuegos completo. El único problema con el que se encuentran la mayoría es, cuando enciende fwbuilder, ¿por dónde empieza? Puede parecer un poco confuso al principio, pero sabes dónde está el primer paso, el resto del viaje es bastante claro.

Instalación de fwbuilder

Hablaré brevemente sobre la instalación de fwbuilder, porque no se encontrará en su sistema predeterminado. Y aunque encontrará fwbuilder en su repositorio, será una versión desactualizada. Entonces, para instalar la última versión, primero abra su /etc/apt/sources.list archivo y agregue lo siguiente (Nota: estoy instalando esto en Ubuntu 9.04.):

deb http://www.fwbuilder.org/deb/stable/ jaunty contrib

Antes de actualizar apt, deberá agregar el Clave GPG. Descargue esa clave y luego emita el comando:

sudo apt-key agregar PAQUETE-GPG-KEY-fwbuilder.asc

Ahora emita el comando:

sudo apt-get update

Finalmente puedes instalar con el comando:

sudo apt-get install fwbuilder

Una vez instalado, encontrará fwbuilder en el submenú Administración del menú Sistema (la entrada se etiquetará como Firewall Builder).

Construyendo un firewall

Figura 1Figura 1

Cuando inicie fwbuilder, la ventana principal (consulte la Figura 1) no parecerá muy intuitiva. Lo primero que debe hacer es crear un nuevo firewall. Para crear un nuevo firewall, haga clic en el menú desplegable Objeto, que es el icono que se encuentra inmediatamente a la izquierda del menú desplegable Usuario. O haga clic en el menú Objeto y seleccione Nuevo objeto (que abrirá el menú desplegable Objeto). En este menú desplegable, seleccione Nuevo cortafuegos.

Cuando agregue un nuevo objeto de firewall, aparecerá un asistente. Antes de poder ir más allá de la primera pantalla, debe hacer lo siguiente:

  • Ponle un nombre a tu cortafuegos.
  • Seleccione el software de firewall que está ejecutando la máquina.
  • Seleccione el sistema operativo en el que se está ejecutando el firewall.

En la primera pantalla de este asistente hay una opción muy importante (si quieres facilitarte la vida). Puede basar su firewall en plantillas preconfiguradas. Para los nuevos usuarios, este es siempre un buen punto de partida. Y aunque elija una plantilla preconfigurada, aún puede personalizar este firewall.

Pero estamos construyendo un firewall personalizado, por lo que no hay plantillas aquí.

Figura 2Figura 2

La siguiente pantalla le pregunta cómo desea definir sus interfaces. Hay dos métodos: manualmente y utilizando SNMP para descubrir automáticamente las interfaces. Por supuesto, manualmente es el método más confiable, así que seleccione esa opción y haga clic en Siguiente.

En la ventana de configuración del dispositivo (consulte la Figura 2), ingresará la información de su dispositivo de red. Una vez que haya ingresado esto, haga clic en Agregar. Si no puede averiguar la dirección MAC, siempre puede usar la aplicación Networking Tool en el submenú Administración del menú Sistema.

Una vez que haya agregado el dispositivo, haga clic en el botón Finalizar. Si tiene una máquina con dos dispositivos de red, agregue su segundo dispositivo y luego haga clic en Finalizar. Ahora estará en la ventana donde agregará reglas a su firewall. En el panel superior izquierdo, haga clic en el nombre del firewall para abrir la ventana Escritorio / Política (consulte la Figura 3).

figura 3figura 3

Lo que quiere hacer es hacer clic derecho dentro del panel superior derecho y seleccionar «Insertar regla». Cuando se inserte la regla, será bastante inútil. Notará que muchas de las políticas se enumeran como «Cualquiera» o «Todas». Para cambiar esto, debe agregar nuevos objetos. Digamos, por ejemplo, que queremos crear un rango de direcciones que cubra toda nuestra LAN para ser utilizado como destino. Para hacer esto, haga clic en el menú desplegable Objeto y seleccione Nuevo rango de direcciones. El panel inferior derecho cambiará donde puede ingresar los valores para su rango. Ingresaré lo siguiente:

  • Nombre: LAN interna
  • Inicio del rango: 192.168.1.1
  • Fin del rango: 192.168.1.200

Puede agregar un comentario si lo desea.

Figura 4Figura 4

Ahora haga clic en Aplicar y ese objeto ha sido creado. Aquí es donde comienza la diversión. Como puede ver (en la Figura 4), mi nuevo objeto aparece en el panel inferior izquierdo. Lo que hago es hacer clic y arrastrar ese objeto a la sección de la nueva regla a la que quiero aplicar ese objeto. Así que quiero que el objeto Lan interno se aplique a la sección Destino de la regla, así que lo arrastraré a esa sección para aplicarlo.

Ahora cree tantos objetos como necesite para su firewall y haga clic y arrástrelos para aplicarlos. Pero no crea que debe limitarse a una sola regla. Puede agregar tantas reglas a este firewall como necesite.

Una vez que haya terminado de construir su cortafuegos, haga clic derecho en el nombre del cortafuegos (en mi ejemplo sería Escritorio en el panel superior izquierdo) y haga clic en «Compilar». Esto abrirá un asistente de compilación que es fácil de recorrer. La compilación creará un archivo con el mismo nombre que el cortafuegos y la extensión .fw. Una vez completada la compilación, haga clic con el botón derecho en el nombre del firewall y seleccione Instalar. El asistente de instalación también es un sencillo tutorial de pasos. Tendrá que dar un usuario para que se ejecute el firewall, así como la contraseña para ese usuario. También tendrás que seleccionar si vas a ejecutar en modo de prueba o no. Si instala el firewall en modo de prueba, no será permanente. Si instala en modo normal, fwbuilder le preguntará qué tan pronto desea reiniciar su máquina (para que el cortafuegos entre en vigor). Sugiero ejecutar la prueba más primero. Si esto funciona, vuelva al proceso de instalación y permita la instalación completa (incluido el reinicio).

Pensamientos finales

Fwbuilder es una poderosa herramienta que te permite crear firewalls muy personalizados. Recomiendo esta herramienta a cualquiera que se tome en serio la seguridad de Linux.