KodeGeek

Es curioso las cosas que le saltan a uno a la cabeza cuando se está haciendo ejercicio en el gimnasio . Por alguna razón recordé un articulo es escribí para el blog ya hace 5 años atrás sobre Iptables en Linux y la excelente herramienta Firewall Builder.

De cualquier modo, después de leer el articulo de nuevo me di cuenta que nunca enumeré varias cosas importantes a la hora de configurar el firewall:

• Utilice tarjetas de red buenas. En serio, no utilice las que vienen con la tarjeta madre, por lo general es mejor buscar tarjetas dedicadas las cuales tienen buen rendimiento (las basadas en Intel de 1GB aguantan mucha carga antes de comenzar a botar paquetes. Mi experiencia con las del chip Broadcom no es muy buena).
• Asegúrese de instalar TCPWrappers en el firewall y de configurarlo apropiadamente para restringir servicios, entre esos el acceso a SSH. También juegue con el acceso de seguridad de sshd.conf.
• No deje corriendo demonios que no necesite como servidores de ftp (ftpd == ¡no!), impresión (lpd) o X-Windows
• Instale Nmap, Tcpdump, Ethereal. En serio, cuando alguna de las reglas le empiece a dar problemas estas herramientas lo van a sacar de apuros.

Yo en particular utilizaba el siguiente truco para instalar reglas de firewall en un servidor que tenia corriendo en Chenay (India):

• Copiaba las reglas compiladas con firewall builder en el servidor usando scp
• Un segundo script escrito por mi arrancaba un contador de 60 segundos. Durante ese tiempo las nuevas reglas eran ejecutadas en el servidor remoto.
• Si durante ese tiempo yo no podía crear un archivo que le decia al firewall que todo estaba bien, entonces el script desactivaba todas las reglas de firewall para permitir de nuevo la entrada por SSH. Si habían reglas anteriores estas eran ejecutadas. Esto era crítico pues más de una vez una regla me dejaba sin conexión a mi servidor (mi regla de firewall era bastante estricta para evitar que me atacaran usando SSH)

Suena a mucho trabajo, pero esta solución le ahorró a la compañía en la que trabajaba como $50K en licencias con una solución que tenían cuando yo comencé a trabajar allí como administrador de sistemas (la licencia habia que renovarla y ellos tenían como dos años que no lo hacian por el costo). Eso sin contar la flexibilidad que yo tenía para instalar herramientas (por ejemplo, al final yo le monté Snort para detectar ataques en tiempo real y yo le mandaba reportes a dshield.org para poner a los hackers en su sitio )

¿Y ustedes, que trucos tienen con sus firewall de Linux? (Firewall builder ha evolucionado mucho desde hace 5 años y ahora hay soluciones en Linux por todos lados)

–Jose

java, linux cheap firewall, firewall builder, iptables, linux