1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (3 votos, promedio: 5,00 de 5)
Cargando...

Uno de los muchos aspectos más aclamados de Linux es su seguridad. Desde el escritorio hasta el servidor, encontrará todas las herramientas que necesita para mantener esas máquinas bloqueadas a un posible ataque exterior. Durante mucho tiempo, la seguridad de Linux dependía de iptables. Aunque muy potente, iptables es complicado para usuarios principiantes. Para sacar provecho a iptables, puede llevar semanas o meses. Afortunadamente, un programa mucho más simple está disponible para facilitarnos la tarea de segurizar nuestro servidor. Vamos a aprender a configurar UFW sin complicaciones.

UFW proporciona un marco mucho más fácil de utilizar para administrar netfilter con una interfaz de línea de comandos muy simple para trabajar con el firewall. Además de eso, si prefieres no lidiar con la línea de comandos, UFW tiene algunas herramientas GUI que hacen muy simple la tarea.

Pero, antes de descubrir qué herramientas de GUI están disponibles, es mejor comprender cómo funciona el sistema de línea de comandos UFW.

Lo primero que debemos hacer es instalarlo:

Debian y derivadas:

$ sudo apt install ufw

Archlinux:

$ sudo pacman -S ufw

Ahora vamos a mostrar un resumen de sus comandos:

Vamos a explicar como hacer una configuración básica para mantener tu servidor protegido.

Después de haber instalado el programa, vamos a habilitarlo, para que se inicie después de cada reinicio de nuestro sistema. Para esto ejecutaremos los dos siguientes comandos:

$ sudo systemctl start ufw
$ sudo systemctl enable ufw

configurar UFW sin complicaciones

La mayoría de los equipos necesitarán solo un pequeño número de puertos abiertos para las conexiones entrantes, y todos los puertos restantes cerrados. Para comenzar con una base estándar, el comando predeterminado ufw se puede usar para establecer la respuesta predeterminada a las conexiones entrantes y salientes. Para denegar todas las conexiones entrantes y permitir todas las salidas, ejecute:

$ sudo ufw default allow outgoing
$ sudo ufw default deny incoming

Empecemos a activar accesos, el más importante es ssh, o de lo contrario, si trabajamos remotamente nos va a bloquear. Puedes activarlo de dos formas, por nombre de servicio o por número de puerto. Ten en cuenta, que si cambias los puertos predefinidos, nos fallará la activación por nombre de servicio.

Número de puerto:

$ sudo ufw allow 22

Nombre de servicio:

$ sudo ufw allow ssh

Ahora que tenemos el puerto ssh abierto, podemos activar el firewall sin peligro. Antes asegúrate de no haber cambiado el puerto de conexión

$ sudo ufw enable

Vamos a continuar configurando nuestro firewall. Seguimos con algunas funciones básicas para comprender su funcionamiento.

Veamos que hacer para bloquear la conexión a un puerto concreto. Escribiremos lo siguiente para bloquear la entrada al puerto 1234:

$ sudo ufw deny 1234

Recordad que anteriormente hemos bloqueado todas las entradas, por lo que esta regla no tiene ningún efecto ya, pero debemos saber como hacerlo.

Para ajustar más las reglas, también puedes distinguir paquetes basados en TCP o UDP. Lo siguiente permitirá el acceso de los paquetes TCP en el puerto 80:

$ sudo ufw allow 80/tcp

Para activar un puerto UDP, simplemente cambiando la terminación de la línea:

$ sudo ufw allow 4321/udp

Supongamos que queremos abrir una IP de un equipo específico. Este equipo tendría acceso a todos los puertos del servidor:

$ sudo ufw allow from 192.168.1.132

También podemos especificar dirección IP y un puerto concreto:

$ sudo ufw allow from 192.168.1.132 to any port 22

Podemos dar acceso a un rango específico de puertos y especificar su protocolo:

$ sudo ufw allow 40000:50000/tcp

Recuerda que si no especificas protocolo, abre ambos, TCP/UDP

Si por el contrario nos interesa por algún motivo bloquear el acceso a una IP concreta y un puerto específcico escribiremos:

$ sudo ufw deny from 87.125.32.65 to any port 80

Ahora vamos a aprender a eliminar reglas que hemos creado anteriormente. Para ello tal vez nos interese ver que reglas tenemos creadas. Vamos a ver las que tenemos:

$ sudo ufw status numbered
ufw status numbered

Supongamos que quiero eliminar el puerto 21 que pertenece a la conexión ftp, ya que me quiero conectar por sftp y utiliza el puerto 22. Escribiremos:

$ sudo ufw delete allow 21/tcp

Otra forma de borrar servicios es numéricamente. En este caso, para eliminar la regla que habilita el puerto 21, escribiríamos el número con que empieza su línea:

$ sudo ufw delete 4
$ sudo ufw delete 10

Exacto… Aquí me aparece dos veces el puerto y debo eliminar ambos. Esto es porque al crear una regla, la crea para el protocolo IPV4 y IPV6.

Siempre que queramos comprobar el estado de nuestro firewall y ver que puertos tenemos habilitados utilizaremos el comando:

$ sudo ufw status verbose
ufw status verbose

Algunos comandos más que podemos usar:

Si necesitamos deshabilitar momentáneamente nuestro firewall por el motivo que sea, ejecutaremos el comando:

$ sudo ufw disable

Todas las reglas que hemos especificado anteriormente quedarán inactivas, permitiendo el acceso a todos los puertos y de nuestro sistema. Algo altamente desaconsejable!

Volvamos a activar nuestro firewall con las reglas que ya tenemos especificadas:

$ sudo ufw enable

Si lo que necesitamos es comenzar desde cero, borrando todas las reglas que hemos creado y dejándolo como recién instalado, ejecutaremos:

$ sudo ufw reset

Cuidado con este comando, ya que no hay manera de recuperar las reglas eliminadas.

A continuación pondré algunos de los puertos habituales que podemos necesitar habilitar:

  • HTTP: puerto 80;
  • HTTPS: puerto 443;
  • FTP: puerto 21;
  • FTPS/SSH: puerto 22;
  • POP3: puerto 110
  • POP3 SSL: puerto 995
  • IMAP: puerto 143
  • IMAP SSL: puerto 993
  • SMTP: puerto 25 (alternativas: puerto 26 / puerto 2525)
  • SMTP SSL: puerto 587
  • MySQL: puerto 3306
  • CPanel: puerto 2082
  • CPanel SSL: puerto 2083
  • Webmail: puerto 2095
  • Webmail SSL: puerto 2096

Con esto ya hemos aprendido a configurar UFW sin complicaciones.

Fuentes:

https://wiki.archlinux.org/index.php/Uncomplicated_Firewall

https://wiki.debian.org/es/Uncomplicated%20Firewall%20%28ufw%29

https://es.wikipedia.org/wiki/Uncomplicated_Firewall

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *