Cortafuegos GNU Linux con ipfire
La seguridad es clave en una infraestructura de red, para ello unas pieza esencial es el cortafuegos y las políticas que le apliquemos. El artículo de hoy va sobre IPFire, una distribución GNU Linux que actua como un router y firewall en primera instancia, además tiene la posiblidad de gestionarse vía una interfaz web. Una de sus ventajas es que se puede instalar sobre una equipo sencillo con varias tarjetas de red. Nos permitirá gestionar el cortafuegos, un servidor proxy o bien una puerta de enlace VPN.
Sobre IPFire
Su diseño está pensado tanto para la modularidad y un alto de nivel de flexibilidad. Se pueden implementar fácilmente muchas variaciones de la misma, como hemos dicho en el párrafo anterior, como un cortafuegos, un servidor proxy o una puerta de enlace VPN. El diseño modular permite asegurar que se ejecute exactamente lo que se ha configurado. Está pensado para ser fácil de manejar y actualizar. También, dicha flexibilidad, lo hace ideal para la integración en diferentes políticas de seguridad. Como no podía ser de otra manera es software libre.
Características principales:
- Cortafuegos
- Sistemas de detección de instrusos
- Servidor Proxy
- OpenVPN
- Servidor DHCP
- Caché de nombres de dominio
- Servidor DDNS
- Completo logs de sucesos
También se le pueden instalar una serie de plugins, mediante Pakfire, su sistema de gestor de paquetes. Gracias a estos se podrán gestionar servidores de red como SAMBA, servicios de voz IP como Asterisk, entre otros.
A nivel de hardware puede funcionar sobre arquitecturas i586 compatibles x86 y ARM, como RaspBerry Pi u otros.
Seguridad
El producto nos permite poder segmentar la red según diferentes niveles de seguridad y hace que sea fácil crear polítias personalizadas para administrar cada segmento. Prioriza la seguridad de cada uno de los módulos, para ello para actualizaciones son firmadas digitalmente y cifradas. Utiliza el sistema de gestión Pakfire (el sistema de gestión de paquetes de IPFire) En la mayoría de los casos el sistema estará conectado a Internet, dicho sistema de paquetes ayudará al administrador a que se sienta más seguro, ya que se estarán aplicando las últimas actualizaciones de seguridad y correcciones de errores de todos los componentes.
Cortafuegos
IPFire emplea el firewall Stateful Packet Inspection (SPI), que se contruye en la parte superior de netfilter (el marco de filtrado de paquetes de Linux) Durante la instalación del producto la red se divide en segmentos separados. Este esquema de seguridad segmentado significa que hay un lugar perfecto para cada máquina en la red. Cada segmento se puede activiar por separado, dependiendo de sus requerimientos. Cada segmentos representa una serie de equipos que comparten una política de seguridad común.
Veamos cada nivel:
- El verde representa una zona «segura». Aquí es donde la mayoría de clientes regulares residirán. Por lo general se compone de una red cableada y local. Los clientes de éste apartado podrán tener acceso a todos los segmentos de la red sin ninguna restricción.
- El rojo indica «peligro» o una conexión directa a Internet. Por general tendrá todo cerrado, a no ser que el administrador lo modifique.
- El azul representa la parte móvil de la red local. Dado que la red inalámbrica tiene un potencial de abuso, se identifican individualmente y se aplican reglas específicas para cada caso.
- El naranja se conoce como la «zona desmilitarizada» o DMZ. Los servidores que son accesibles al público, por ejemplo servidores web, se separan del resto de la red, para evitar brechas de seguridad.
La gestión de un cortafuegos nunca ha sido tan fácil
Incluso con un gran número de normas, la configuración sigue siendo fácilmente manejable, y nos permite crear políticas más restrictivas, sin perder el control. Además el servidor de seguridad, se puede utilizar para controlar el acceso de salida a Internet de cada segmento. Dicha características le da el control completo al administrador de la red.
Instalación de IPFire
Para trabajar con el producto debemos ir a su página web y descargarlo. Antes de eso el equipo debe cumplir con una serie de requisitos mínimos, uno de lo más importantes, el más lógico, es que debe tener almenos dos interfaces de red. Aquí los podemos ver.
La comenzar la instalación sólo debemos seleccionar el idioma, para después escoger el sistema de ficheros, que en mi caso ha sido EXT4. Una vez hecho esto se reiniciará el sistema. Los pasos siguientes es escoger el teclado y la zona horaria. También debemos asignar las credenciales del administrador. Por último en ésta parte, será escoger la topología de red. Por defecto la topología será «green + red«, esto es, verde y rojo. En cualquier caso se podrá cambiar para cumplir con nuestras necesidades. También tendremos que añadir las direcciones IP, los DNS y la puerta de enlace. Una vez finalizada la instalación ya podemos acceder, mediante la URL https://ipfire.dominio.com:444
Espero que os haya parecido interesante. Podemos ampliar información o consultar mediante su chat vía IRC o Jabber o fórums. También tenemos disponibles varias listas de distribución, aquí. Por último y no menos importante, encontraremos gran cantidad de información al respecto en su completa Wiki.
Me he servido para el artículo de la información de su propia página web y de la Wikipedia.
Si tenéis alguna duda o aportación para enriquecer el artículo, no dudéis en dejar un comentario más abajo.