Gestor de firewall

network-firewall Firewall manager es la aplicación de Core-Admin que le permitirá gestionar el firewall del servidor, permitiendo ser usada como aplicación de gestión de firewall para servidor or firewall para router/gateway de seguridad.

 

 

Descripción

El gestor de firewall está basado en iptables con un diseño de carga progresiva que incluye y soporta todas las opciones habituales de administración de un firewall más balance de carga, administración orientada a etiquetas, log de modificaciones y una gestión fácil para crear reglas desde el tráfico bloqueado.

 

Antes de comenzar: cómo funciona el gestor de firewall

A través de la aplicación de gestor de firewall podemos realizar las siguientes funciones habituales como:

  • Reglas de interfaz, administrar reglas para controlar el tráfico de salida o de entrada a la máquina. Es decir, tráfico que es generado desde la máquina o que tiene destino la propia máquina.
  • Reglas de rutado, administrar reglas para controlar el tráfico que atraviesa la máquina, entrando por una interfaz y saliendo por otra (pudiendo ser la misma). Aquí gestionaremos todas las reglas necesarias para autorizar el tráfico a las redes que controla el firewall en el caso de que estemos usando el servidor/dispositivo como un router/gateway de seguridad
  • Gestión de etiquetas: de manera general, se recomienda definir los grupos de equipos, tanto de origen como de destino, en la sección de “Grupos de equipos”. De esta manera, podrá usar esas etiquetas en las direcciones de origen o de destino en las reglas definidas. De esta manera, la administración del firewall se hace más mantenible y legible. Al mismo tiempo, el gestor de firewall actualizará todas las reglas, de manera selectiva, cuando el contenido de las etiquetas sea modificado. De esta manera, si los grupos están bien definidos, la administración del firewall se simplifica con tan solo quitar y poner direcciones en dichos grupos.
  • Bloqueo por defecto, el diseño del firewall funciona bloqueando todo por defecto. De esta manera, tendrá que definir qué tráfico quiere autorizar. Esto implica política disabled-by-default.
  • Desbloqueo fácil de tráfico, recuerde que siempre puede ir a la sección “Monitor de tráfico bloqueado” para ver el tráfico que ha sido bloqueado en el pasado. De esta manera, tan sólo tendrá que pinchar en el registro correspondiente, y pedir la creación de una regla usando la información de puertos, orígenes y destinos. Este aspectos se explica más adelante.
  • Balance de carga, le permitirá hacer que su firewall use dos o más conexiones para balancear la salida. Le recomendamos que primero deje todo funcionando para una única conexión (modo por defecto) para luego abordar esta configuración al final.
  • Control MAC: recuerde que, de manera opcional, puede implementar el control MAC para equipos de red local o redes locales a las que esté conectado el firewall. De esta manera podrá controlar, físcamente, qué equipos pueden acceder al firewall y solicitar enrutamiento de tráfico mediante la autorización previa de la dirección MAC (Media Access Control – MAC address)
 

Modo de uso

Una vez que la aplicación está instalada podemos acceder a ella desde el panel. Una vez dentro, pinche en cualquiera de las secciones para forzar que el firewall detecte sus servicios e instale un conjunto de reglas iniciales con los que pueda trabajar más fácilmente:

firewall manager

Obteniendo la siguiente interfaz, en la que podemos realizar acciones como

  • Grupos de equipos, indicamos el conjunto de máquinas que pertenecen a un mismo equipo
  • Reglas MAC, para gestionar las IPs de acceso permitidas a una determinada MAC
  • Reglas de NAT, para hacer redirecciones de puertos o cambios en las IPs de origen y destino
  • Reglas de interfaz, especificamos el tipo de protocolo y el tráfico en la interfaz, así como su duración en el tiempo. Administramos las reglas para controlar el tráfico de entrada / salida de la máquina
  • Reglas de rutado, especificando el tipo de protocolo con la interfaz de entrada y salida y su duración en el tiempo. Administramos las reglas para controlar el tráfico que atraviesa la máquina
  • Monitor de tráfico bloqueado, donde visualizar el tráfico bloqueado
  • Log de modificaciones, registro con todas las acciones realizadas. Histórico donde poder visualizar todas las reglas de bloqueo / permiso declaradas

firewall manager

Los casos de uso se detallan a continuación,

 

Grupos de equipos

Haciendo clic en Grupos de equipos, podemos añadir y gestionar grupos.

firewall manager

Para añadir un grupo, hacemos clic en Añadir grupo de equipos y rellenamos los campos

  • Nombre del equipo, se trata de una etiqueta identificativa del equipo
  • Los equipos que pertenecen al grupo, siguiendo las siguientes opciones,
    • IPs, separadas por espacios, por ejemplo: 192.168.1.1 192.168.1.2
    • También puede negar alguna dirección añadiendo !, por ejemplo: ! 192.168.1.2 ! 192.168.1.1
    • Rangos IP, por ejemplo: 192.168.1.20-192.168.1.40
    • También puede configurar rangos de red como: 192.168.1.0/24
    • Puede también utilizar nombres de host (aunque es áltamente no recomendado por esos valores son traducidos en el momento en que la regla es configurada)
    • Puede usar etiquetas de grupos de equipos como: [admin_ips]
    • Si no quieres incluir reglas, lo dejamos vacío
  • En caso de que sea necesario, añadimos un comentario adicional sobre la funcionalidad del equipo

firewall manager

por último hacemos clic en Crear un nuevo grupo de equipos y ya tendríamos creado el equipo,

firewall manager

 

Reglas MAC

Nos situamos en la opción Reglas MAC y hacemos clic en Añadir regla MAC. Aparece una interfaz en la que rellenamos los campos de

  • Mac, dirección MAC de la máquina, grupo de seis cadenas hexadecimales separadas por “:”, por ejemplo: 00:18:20:01:63:47
  • IPs permitidas, le permitirá controlar qué IPs están autorizadas a ser usadas desde la MAC indicada. Si no configura ninguna IP no se instalará ninguna restricción y la MAC podrá usar cualquier IP.
  • En caso de que sea necesario, añadimos un comentario adicional que identifique la acción.

firewall manager

por último hacemos clic en Crear nueva regla MAC,

 

Reglas de NAT

Nos situamos en la opción Reglas de NAT y hacemos clic en Añadir regla de NAT,

Las reglas NAT sólo son de reescritura, no autorizan tráfico. La autorización del tráfico se hace posteriormente en la sección de reglas de interfaz o rutado dependiendo del tráfico que estemos autorizando.

A continuación mostramos varios casos de ejemplo para los distintos tipos de NAT.

NAT de origen

NAT para reescribir la dirección en salida, es decir, hacer que el tráfico parezca originado desde el firewall. Se configura cuando queremos que la dirección IP que aparezca en el paquete como origen sea una dirección del router o firewall.

La configuración básica para un NAT de origen incluye:

  • Indicar el tipo de nat como: “to source”.
  • La dirección de NAT (que ha de ser una IP del firewall).
  • Marcar la opción: Aplicar en la interfaz de salida
  • Indicar la Interfaz de salida

firewall manager

NAT de destino

NAT para mapeo de puertos. Este tipo de NAT se usa para para poder permitir dar acceso a servicios internos detrás del firewall, por ejemplo un servidor web local. De esta manera se pueden hacer accesibles desde internet.

La configuración básica para un NAT de destino incluye:

  • Indicar el tipo de nat como: “to destination”.
  • La dirección de NAT (que ha de ser una IP del firewall).
  • Marcar la opción: Aplicar en la interfaz de entrada para indicar por donde entrará la conexión que queremos “NATear” hacia el destino interno.
  • Indicar la Interfaz de entrada
  • Luego indicar los puertos o rango de puertos (por ejemplo, 22 o 20000:30000 para un rango), junto con el protocolo indicándolo en las opciones: Mapeo de puerto NAT

firewall manager

Controlando y limitando el NAT a la dirección de origen

Las indicaciones que van a continuación pueden solo aplican al NAT de tipo “to destination”

Una vez establecidas las partes básicas de nuestras reglas NAT, tanto NAT de origen (“to source”) como NAT de destino (“to destination”), ahora puede abordar una configuración adicional para dotar de mayor seguridad y control a su regla, configurando a qué direcciones de origen aplicarían la regla de NAT añadida.

A continuación se muestra un ejemplo de regla donde sólo el grupo “[ips_autorizadas_de_entrada]“ tendrán acceso a que se le aplique el NAT. Si la IP de origen no está en dicho grupo, no se le aplicará el nat y por tanto no tendrá hecha parte de la comunicación que necesitará para acceder al servicio.

De modo contrario, si las entradas para Dirección de origen y/o Dirección de destino quedan vacías, entonces el firewall no aplicará ninguna restricción tanto en el origen como en el destino (como haya sido definido).

firewall manager

Controlando y limitando el NAT a la dirección de origen y destino que inició la conexión

Las indicaciones que van a continuación pueden aplicar tanto NAT de tipo “to source” como al NAT de tipo “to destination”

Para el caso de NAT de salida (to source) es posible configurar cuando se aplicaría el NAT: cuando encaje con la dirección de origen y/o también cuando encaje con la dirección de destino como se muestra en la siguiente imagen:

firewall manager

No es necesario configurar ambos valores, es sólo una posibilidad. Si necesita limitar el NAT de manera que sea aplicado cuando el origen de la conexión encaje con unas direcciones de origen o etiquetas de grupo o con unas direcciones de destino, configúrelas ahí, en la zona indicada en la anterior imagen.

 

Reglas de interfaz

En esta sección podrá configurar las reglas necesarias para autorizar el tráfico de entrada o salida desde el servidor/dispositivo. Si está usando un firewall local para servidor (no para router/gateway) entonces esta sección la usará mucho.

El primer concepto a tener en cuenta es cómo se clasifican las reglas para autorizar el tráfico:

  • client : son todas las reglas para autorizar tráfico originado desde el servidor/dispositivo, es decir, que el servidor/dispositivo hace de “cliente” de un servicio externo..

    Por ejemplo, si necesita autorizar una conexión ssh desde el servidor hacia afuera, entonces tiene que crear una regla “client”.

  • server : son todas las reglas para autorizar tráfico que será recibido en el servidor/dispositivo, es decir, si tiene un servidor web y quiere autorizar recibir conexiones en él, entonces creará una regla: “server”

A continuación se muestran varios ejemplos de cómo crear distintas reglas de interfaz.

Reglas de interfaz: autorizar tráfico de salida (client)

A continuación se muestra cómo autorizar el tráfico al puerto 8888, al equipo (o equipos) localizados en [direccion_servicio_web] sin importar el origen (ya que se deja vacío el campo Dirección de origen):

firewall manager

Reglas de interfaz: autorizar tráfico de entrada (server)

A continuación se muestra cómo autorizar el tráfico al puerto de entrada 8443 en el supuesto de que tenemos un servicio ejecutando en dicho puerto (por ejemplo un servidor web). Además, configuramos la regla sin limitar los orígenes (Dirección de origen) de manera que el servicio esté público sin restricciones:

firewall manager

Si por razones de seguridad necesitáramos limitar el acceso a dicho servicio, tendremos que configurar las direcciones de origen autorizadas en el campo: Dirección de origen

Reglas de interfaz: configurar una regla durante un tiempo determinado

De manera general, todas las reglas creadas son permanentes. Opcionalmente tiene a su disposición la posibilidad de configurar una regla que esté limitada en el tiempo. Por ejemplo, si necesita autorizar el tráfico durante 2 horas, puede ir a la pestaña “Opciones de tiempo” e introducir ahí el tiempo necesario (en segundos) y cambiar el tipo de regla a temporal.

firewall manager

Reglas de interfaz: log de modificaciones

Dentro de las reglas creadas puede visualizar el log de modificaciones. Ahí podrá trazar qué usuario cambio la regla y cuando hizo el cambio,

firewall manager

 

Reglas de rutado

Las reglas de rutado le permitirán autorizar el tráfico que atraviesa el firewall, es decir, tráfico que se ruta a través del servidor, entrando por una interfaz y saliendo por otra (pudiendo ser la misma)

Para autorizar tráfico de rutado, tendrá que definir, al menos, la dirección o direcciones de destino, junto con la interfaz de entrada del tráfico y de salida del mismo. Si no quiere configurar este último aspecto, puede usar la interfaz “any”.

A continuación se muestra cómo autorizar tráfico de rutado para conectar al puerto 80 (http web):

firewall manager

Si quiere ajustar mejor la regla para indicar cuál es el origen del tráfico, edite la regla y ajuste la interfaz, junto con las direcciones de origen de dicho tráfico:

firewall manager

 

Configurando los puertos: rangos, puertos y servicios

Recuerde que a la hora de configurar los puertos en las reglas de interfaz o reglas de rutado, puede usar los siguientes formatos:

  • Puertos simples: por ejemplo: 80
  • Un conjunto de puertos: 80,443,1443
  • Un rango de puertos: 20000:30000
  • Usar los nombres de servicio para definir los puertos: http,https,smtp
  • O una combinación de todo lo anterior: 80,443,smtp,smtps,20000:30000
 

Lista negra

En esta sección puede encontrar integrada la base de datos de bloqueo IP proporcionada por la aplicación de bloqueo IP de Core-Admin. Consulte su manual para gestionar esta sección. La base de datos es unificada: un cambio en el firewall manager se reflejará en la herramienta de bloqueo IP y viceversa.

 

Monitor de tráfico bloqueado

El monitor de tráfico bloqueado tiene dos objetivos:

  1. Conocer el tráfico bloqueado de cara a ayudar a la gestión
  2. Permitir una rápida autorización mediante el creado de reglas desde el tráfico bloqueado.

Para visualizar el tráfico bloqueado, ordenado por volumen, mostrando primero el tráfico que ha sido bloqueado más ocasiones, simplemente pulse en el monitor de tráfico bloqueado:

firewall manager

Autorizar tráfico desde el monitor de tráfico bloqueado

Tan solo tiene que seleccionar el tráfico bloqueado, y pinchar en “Desbloquear tráfico

firewall manager

Esto mostrará una ventana donde podrá personalizar la regla que se creará, permitiendo seleccionar las características que necesita de la regla:

firewall manager

 

Log de modificaciones

En el log de modificaciones se encuentra un histórico de todas las reglas de interfaz, rutado, mac, nat y etiquetas de equipos creadas / editadas / borradas, junto con su fecha de modificación y el autor de las mismas.

firewall manager

 

Integración por línea de comandos con Core-Admin

Use el siguiente comando para interactuar con el firewall manager de core-admin desde línea de comando:

>> crad-firewall.pyc –help

Puede obtener el estado, reiniciar o parar el firewall con:

>> crad-firewall.pyc –status
>> crad-firewall.pyc –reload

>> crad-firewall.pyc –stop-firewall
>> crad-firewall.pyc –start-firewall

Al mismo tiempo, para listar las reglas actualmente instaladas, ejecute:

>> crad-firewall.pyc –list-rules

 

Integración vía API python con Core-Admin

La aplicación de firewall manager puede ser accedida cargando el módulo usando el siguiente código:

# import firewall manager module
from core_admin_agent import application
m = application._import ("firewall_manager")
if not m:
   return (False, "Unable to import firewall manager, it is not deployed on this system")

Ahora, para listar las reglas de interfaz podemos usar lo siguiente:

# call to get interface rules
(status, rules) = application.call (m, "list_interface_rules")
if not status:
   return (False, "Unable to list interface rules, error was: %s" % rules)

for rule in rules:
   print "Rule id %d : %s" % (rule['id'], rule)