En els darrers anys estem veient les conseqüències de la manca de mesures de seguretat als nostres ordinadors i xarxes informàtiques. En aquest article veurem com configurar el tallafocs a Ubuntu.
Un tallafocs, que sol traduir-se en el nostre idioma com a tallafocs, és un mecanisme de seguretat que està pensat per controlar i filtrar tot el trànsit de dades informàtiques que circula dins una xarxa. La seva utilització té com a finalitat impedir l'accés no autoritzat als recursos d'una xarxa o dispositius individuals d'accessos per part de persones no autoritzades des d'altres xarxes usant Internet. Si bé els tallafocs poden ser dispositius de maquinari, programes de programari o una combinació de tots dos, en aquest article ens centrarem en una eina específica de programari.
Potser, el paral·lelisme més adequat sigui el de les duanes ubicades a les fronteres entre països. El tallafocs analitza els paquets de dades entrants i sortints i avalua si permet el trànsit entre la xarxa interna i una externa. Això ho fa dacord de regles predefinides. Així, per exemple, permet que el navegador accedeixi a Internet però que no ho faci el processador de textos.
El subsistema Netfilter
A nivell del nucli, les distribucions basades en Linux ofereixen un component conegut com a Netfilter que és l'encarregat del filtratge de paquets i altres formes de processar-los a nivell d'IP.
Netfilter ofereix una sèrie de hooks (ganxos) que a manera de parades de peatge s'encarreguen d'impedir el pas als paquets no autoritzats. Alguns són:
- REROUTING: S'encarrega d'interceptar paquets en arribar.
- ENTRADA: S'ocupa dels paquets destinats al host local.
- AVANT: És el que examina els paquets que seran reenviats.
- SORTIDA: Li toquen els paquets originats localment i sortiran del host.
- POSTOUTING: Treballa amb els paquets quan sortiran.
Com configurar el tallafocs en Ubuntu
Com hem dit més amunt, cal establir les regles que determinen el que han de fer els hooks amb els paquets. Tradicionalment per a això s'usava una eina anomenada iptables que amb el temps va ser reemplaçat per nftables. Són eines amb què podem fixar les regles que determinen el tractament dels diferents paquets d'acord amb l'etapa de transmissió i recepció on es trobin.
Les dues eines que esmentem són una mica complexes dutilitzar per la qual cosae Ubuntu i altres distribucions Linux inclouen una eina anomenada UFW que fa més fàcil protegir el nostre sistema.
Podem instal·lar UFW amb l'ordre:
sudo apt install ufw
Per saber si està activat:
sudo ufw status
Això ens mostra si està habilitat. No cal que ho estigui per programar regles.
Ho activem amb:
sudo ufw enable
Podem veure les regles establertes amb:
sudo ufw show added
Per veure quines són les regles establertes per defecte podem escriure:
sudo ufw status verbose
Si el que volem és canviar una política determinada tipem:
sudo ufw default deny nombre_de_la_política
Per anul·lar una política o per permetre-la:
sudo ufw default allow nombre_de_la_política
Per afegir regles a un port determinat fem:
sudo ufw allow out número de puerto
Eliminem les regles amb:
sudo ufw delete allow out número_de_puerto.
També és possible assignar una regla a un rang d'IP específica:
sudo ufw allow from ip_origen to any port número_de_puerto proto tcp
UFW està programat per defecte per permetre tot el trànsit de sortida i per impedir tot accés extern no sol·licitat. Per defecte, treballa amb els protocols IPv4 i IPv6, les lletres són les sigles en anglès per a protocol d'Internet.
La diferència fonamental entre tots dos protocols és que IPv6 permet treballar amb una quantitat més gran d'adreces úniques. tanmateix, el suport per a aquest protocol es pot desactivar amb:
sudo nano /etc/default/ufw
I canviant de Yes a No a la línia corresponent a IPv6.
Aquesta és una breu introducció a UFW, pots saber més sobre el seu ús escrivint a la terminal
man ufw