Firewall y gateway / Cortafuego y Puerta de enlace

NethServer Puede actuar como: index:cortafuego y puerta de enlace dentro de la red donde está instalado. Todo el tráfico entre computadoras de la red local e Internet pasa a través del servidor que decide cómo enrutar paquetes y qué reglas aplicar.

Principales características:

  • Configuración de red avanzada (puente, enlaces, alias, etc.)
  • Soporte multi WAN (hasta 15)
  • Gestión de reglas de firewall
  • Conformación del tráfico (QoS)
  • Reenvío de puertos
  • Reglas de enrutamiento para desviar tráfico en una WAN específica
  • Sistema de prevención de intrusiones (IPS, Intrusion Prevention System)

Los modos de firewall y gateway sólo están habilitados si:

  • El paquete nethserver-firewall-base está instalado
  • Al menos hay una interfaz de red configurada con rol rojo

Política

Cada interfaz se identifica con un color que indica su función dentro del sistema. Véase red-sección.

Cuando un paquete de red pasa a través de una zona de cortafuegos, el sistema evalúa una lista de reglas para decidir si el tráfico debe ser bloqueado o permitido. Políticas son las reglas predeterminadas que se aplicarán cuando el tráfico de red no coincide con los criterios existentes.

El cortafuego implementa dos políticas predeterminadas editables desde la página Reglas de firewall -> :guilabel:` Configurar`:

  • Allowed: all traffic from green to red is allowed
  • Bloqueado: todo el tráfico de la red verde a la red roja está bloqueado. Se debe permitir tráfico específico con reglas personalizadas.

Las políticas de firewall permiten el tráfico entre zonas según este esquema:

GREEN -> BLUE -> ORANGE -> RED

El tráfico se permite de izquierda a derecha, bloqueado de derecha a izquierda.

Puede crear reglas entre zonas para cambiar las políticas predeterminadas de la página Reglas de firewall.

Nota

El tráfico desde la red local al servidor en el puerto SSH (predeterminado 22) y el puerto del Administrador del servidor (predeterminado 980) es siempre permitido.

Reglas

Las Reglas se aplican a todo el tráfico que pasa a través del cortafuego. Cuando un paquete de red se desplaza de una zona a otra, el sistema busca entre las reglas configuradas. Si el paquete coincide con una regla, se aplica la regla.

Nota

El orden de la regla es muy importante. El sistema siempre aplica la primera regla que coincide.

Una regla consta de cuatro partes principales:

  • Action: action to take when the rule applies
  • Source:
  • Destination:
  • Service:

Las acciones disponibles son:

  • ACCEPT: acepta el tráfico de red
  • REJECT: bloquea el tráfico y notifica al host remitente
  • DROP: bloquea el tráfico, los paquetes se eliminan y no se envía ninguna notificación al host del remitente
  • ROUTE: enruta el tráfico al proveedor de WAN especificado. Véase Multi WAN.

Nota

El cortafuego no generará reglas para las zonas azul y naranja, si al menos una interfaz roja está configurada.

REJECT vs DROP

Como regla general, debe utilizar: index: REJECT cuando desea informar al host de origen de que el puerto al que está intentando acceder está cerrado. Por lo general, las reglas en el lado de LAN pueden usar REJECT.

Para conexiones desde Internet, se recomienda utilizar: index:DROP, con el fin de minimizar la divulgación de información a cualquier atacante.

Registro

Cuando una regla coincide con el tráfico en curso, es posible registrar el evento en un archivo de registro marcando la opción de la interfaz web. El registro de firewall se guarda en /var/log/firewall.log.

Ejemplos

A continuación hay algunos ejemplos de reglas.

Bloquear todo el tráfico de DNS de la LAN a Internet:

  • Acción: REJECT
  • Fuente: verde
  • Destino: rojo
  • Servicio: DNS (puerto UDP 53)

Permitir que la red de invitados tenga acceso a todos los servicios que escuchan en Servidor1

  • Acción: ACCEPT
  • Fuente: azul
  • Destino: Servidor1
  • Servicio: -

Multi WAN

El término WAN (Wide Area Network) se refiere a una red pública fuera del servidor, generalmente conectada a Internet. Un proveedor es la empresa que realmente gestiona el enlace WAN.

The system supports up to 15 WAN connections. If the server has two or more configured red cards, it is required to proceed with provider configuration from Multi WAN page.

Each provider represents a WAN connection and is associated with a network adapter. Each provider defines a weight: higher the weight, higher the priority of the network card associated with the provider.

El sistema puede utilizar conexiones WAN en dos modos (botón Configurar en la página Multi WAN):

  • Balance: todos los proveedores se utilizan simultáneamente según su peso
  • Activar copia de seguridad: los proveedores se utilizan uno a uno al vuelo con el que tiene el peso más alto. Si el proveedor que está utilizando pierde su conexión, todo el tráfico se desviará al proveedor siguiente.

Para determinar el estado de un proveedor, el sistema envía un paquete ICMP (ping) a intervalos regulares. Si el número de paquetes perdidos excede un determinado umbral, el proveedor está deshabilitado.

El administrador puede configurar la sensibilidad de la supervisión mediante los siguientes parámetros:

  • Porcentaje de paquetes perdidos
  • Número de paquetes perdidos consecutivos
  • Intervalo en segundos entre paquetes enviados

La página Reglas de firewall permite enrutar paquetes de red a un proveedor de WAN determinado, si se cumplen algunos criterios. Véase Reglas.

Ejemplo

Dados dos proveedores configurados:

  • Proveedor1: interfaz de red eth1, peso 100
  • Proveedor2: interfaz de red eth0, peso 50

Si se selecciona el modo equilibrado, el servidor encaminará un número doble de conexiones en Proveedor1 sobre Proveedor2.

Si se selecciona el modo de copia de seguridad activa, el servidor enrutará todas las conexiones en Proveedor1; Sólo si Proveedor1 se vuelve inasequible las conexiones se redirigirán a Proveedor2.

Reenviar puerto

El cortafuego bloquea las solicitudes de las redes públicas a las privadas. Por ejemplo, si el servidor web se ejecuta dentro de la LAN, sólo los equipos de la red local pueden acceder al servicio en la zona verde. Cualquier solicitud hecha por un usuario fuera de la red local está bloqueada.

Para permitir que cualquier usuario externo acceda al servidor web, debe crear una remisión de puerto. Una remisión de puerto es una regla que permite un acceso limitado a los recursos desde fuera de la LAN.

Al configurar el servidor, debe elegir los puertos de escucha. El tráfico de las interfaces rojas se redireccionará a los puertos seleccionados. En el caso de un servidor web, los puertos de escucha son generalmente el puerto 80 (HTTP) y 443 (HTTPS).

Cuando cree un puerto hacia adelante, debe especificar al menos los siguientes parámetros:

  • El puerto fuente
  • El puerto de destino, que puede ser diferente del puerto de origen
  • La dirección del host interno al que se debe redirigir el tráfico
  • Es posible especificar un rango de puertos usando dos puntos como separador en el campo de puerto de origen (eX: 1000: 2000), en este caso el puerto de destino de campo se debe dejar vacío

Ejemplo

Dado el siguiente escenario:

  • Servidor interno con IP 192.168.1.10, denominado Servidor1
  • Servidor Web escuchando en el puerto 80 en Servidor1
  • Servidor SSH escuchando en el puerto 22 en Servidor1
  • Otros servicios en el rango de puerto entre 5000 y 6000 en Servidor1

Si desea que el servidor web esté disponible directamente desde redes públicas, debe crear una regla como esta:

  • puerto de origen: 80
  • puerto de destino: 80
  • Dirección del host: 192.168.1.10

Todo el tráfico entrante en las interfaces rojas del firewall en el puerto 80, será redirigido al puerto 80 en Servidor1.

En caso de que quiera hacer accesible desde fuera del servidor SSH en el puerto 2222, tendrá que crear un puerto hacia adelante de esta manera:

  • puerto de origen: 2222
  • puerto de destino: 22
  • Dirección del host: 192.168.1.10

Todo el tráfico entrante en las interfaces rojas del firewall en el puerto 2222, será redirigido al puerto 22 en Servidor1.

En caso de que quiera hacer accesible desde fuera del servidor en toda la gama de puertos entre 5000 y 6000, tendrá que crear un puerto como este:

  • Puerto de origen: 5000:6000
  • puerto de destino:
  • Dirección del host: 192.168.1.10

Todo el tráfico entrante en las interfaces de firewall rojo en el rango de puerto entre 5000 y 6000 será redirigido a los mismos puertos en Servidor1.

Limitar el acceso

Puede restringir el acceso al puerto sólo desde algunas direcciones IP o redes utilizando el campo Permitir sólo de.

Esta configuración es útil cuando los servicios deben estar disponibles sólo de IP o redes de confianza. Algunos valores posibles:

  • 10.2.10.4: habilitar el puerto hacia adelante para el tráfico procedente de la IP 10.2.10.4
  • 10.2.10.4,10.2.10.5: habilitar el puerto hacia adelante para el tráfico procedente de las IPs 10.2.10.4 y 10.2.10.5
  • 10.2.10.0/24: habilita el reenvío del puerto sólo para el tráfico procedente de la red 10.2.10.0/24
  • !10.2.10.4: habilita el reenvío de puertos para todas las IP excepto 10.2.10.4
  • 192.168.1.0/24!192.168.1.3,192.168.1.9: habilita el reenvío de puertos para la red 192.168.1.0/24, excepto los hosts 192.168.1.3 y 192.168.1.9

NAT 1:1

NAT uno a uno es una forma de hacer que los sistemas detrás de un cortafuegos y configurado con direcciones IP privadas parecieran tener direcciones IP públicas.

Si tiene un montón de direcciones IP públicas y si desea asociar una de ellas a un host de red específico, NAT 1:1 es el camino.

Ejemplo

En nuestra red tenemos un host llamado example_host con IP 192.168.5.122. También hemos asociado una dirección IP pública 89.95.145.226 como un alias de la interfaz eth0 (ROJA).

Queremos mapear nuestro host interno (example_host - 192.168.5.122) con IP pública 89.95.145.226.

En el panel NAT 1:1, elegimos para el IP``89.95.145.226`` (campo de sólo lectura) el host específico (example_host) del cuadro combinado. Hemos configurado correctamente el NAT de uno a uno para nuestro host.

Conformación del tráfico

La Modulación del tráfico permite aplicar reglas de prioridad sobre el tráfico de red a través del cortafuego. De esta forma es posible optimizar la transmisión, comprobar la latencia y afinar el ancho de banda disponible.

Para habilitar la modulación del tráfico es necesario conocer la cantidad de ancho de banda disponible en ambas direcciones y rellenar los campos que indican la velocidad del enlace de Internet. Tenga en cuenta que en caso de congestión por el proveedor no hay nada que hacer para mejorar el rendimiento.

Traffic shaping can be configured from the page Traffic shaping -> Interface rules.

The system provides three levels of priority, high, medium and low: as default all traffic has medium priority. It is possible to assign high or low priority to certain services based on the port used (eg low traffic peer to peer).

The system works even without specifying services to high or low priority, because, by default, the interactive traffic is automatically run at high priority (which means, for example, it is not necessary to specify ports for VoIP traffic or SSH). Even the traffic type PING is guaranteed high priority.

Nota

Be sure to specify an accurate estimate of the bandwidth on network interfaces.

Objetos del cortafuego

Los Objetos del cortafuego son representaciones de componentes de red y son útiles para simplificar la creación de reglas.

Hay 6 tipos de objetos, 5 de ellos representan fuentes y destinos:

  • Host: representa los ordenadores locales y remotos. Ejemplo: web_server, pc_boss

  • Grupos de hosts: representación de grupos homogéneos de ordenadores. Los hosts de un grupo siempre deben ser accesibles utilizando la misma interfaz. Ejemplo: servidores, pc_secretaria

  • Redes CIDR: Puede expresar una red CIDR para simplificar las reglas del firewall.

    Ejemplo 1 : los últimos 14 direcciones IP de la red se asignan a servidores (192.168.0.240/28).

    Ejemplo 2 : tiene varias interfaces verdes pero desea crear reglas de firewall sólo para una verde (192.168.2.0/24).

  • Zona: representa redes de hosts, deben expresarse en notación CIDR. Su uso es para definir una parte de una red con diferentes reglas de firewall de las de la interfaz nominal. Se utilizan para necesidades muy específicas.

Nota

De forma predeterminada, todos los hosts pertenecientes a una zona no pueden realizar ningún tipo de tráfico. Es necesario crear todas las reglas en el cortafuegos para obtener el comportamiento deseado.

El último tipo de objeto se utiliza para especificar el tipo de tráfico:

  • Servicios: un servicio de escucha en un host con al menos un puerto y protocolo. Ejemplo: ssh, https

Al crear reglas, puede utilizar los registros definidos en DNS y Servidor DHCP y PXE como objetos host. Además, cada interfaz de red con un rol asociado se lista automáticamente entre las zonas disponibles.

Enlace IP/MAC

Cuando el sistema actúa como servidor DHCP, el cortafuego puede utilizar la lista de reservas de DHCP para verificar estrictamente todo el tráfico generado desde los hosts dentro de las redes locales. Cuando Enlace IP/MAC está habilitado, el administrador elegirá qué política se aplicará a los hosts sin una reserva de DHCP. El uso común es permitir el tráfico solamente desde los anfitriones conocidos y bloquear todo el otro tráfico. En este caso, los hosts sin reserva no podrán acceder al cortafuego ni a la red externa.

Para habilitar el tráfico sólo desde hosts bien conocidos, siga estos pasos:

  1. Crear una reserva DHCP para un host
  2. Vaya a la página Reglas firewall y seleccione Configurar en el menú de botones
  3. Seleccione Validación MAC (enlace IP/MAC)
  4. Elija Bloquear tráfico como directiva para aplicar a hosts no registrados

Nota

Recuerde crear al menos una reserva DHCP antes de habilitar el enlace IP/MAC, de lo contrario ningún host será capaz de administrar el servidor utilizando la interfaz web o SSH.