Configuración de un firewall basado en interfaz en el dispositivo de red Vyatta


Introducción

El dispositivo de red Vyatta se puede utilizar como firewall para proteger las instancias de Rackspace Cloud Servers.

En este artículo verá cómo los firewalls basados en interfaz se pueden configurar en el Vyatta y aplicar a la interfaz pública para el tráfico local (que termina en el Vyatta) así como también para el tráfico de entrada (que recorre el dispositivo y está destinado a los Cloud Servers).

Para ver una guía completa para la configuración del dispositivo Vyatta como firewall haga clic aquí.

El firewall de Vyatta tiene la inspección de paquetes con estado IPv4 e IPv6 para interceptar e inspeccionar la actividad de red y permitir o rechazar el intento. La funcionalidad firewall del Vyatta analiza y filtra paquetes IP entre interfaces de red. Le permite filtrar paquetes en base a sus características y realizar acciones en los paquetes que coincidan con la regla. La funcionalidad firewall del sistema Vyatta proporciona lo siguiente:

  • Filtro de los paquetes que atraviesan el dispositivo y del tráfico destinado al dispositivo mismo
  • Criterios definibles para paquetes que coincidan con las reglas, que incluyen dirección de IP de origen, dirección de IP de destino, puerto de origen, puerto de destino, protocolo IP y tipo de ICMP
  • Detección general de opciones de IP como enrutamiento de origen y paquetes de difusión
  • Capacidad de configurar el firewall globalmente para funcionamiento con estado o sin estado

Las capacidades de firewall avanzadas del Vyatta incluyen tolerancia a fallos, firewalls basados en la zona y el tiempo.

Definición de firewall

Los firewalls filtran paquetes en interfaces. Hay dos pasos a seguir para usar la característica de firewall:

  • Defina una instancia de firewall y asígnele un nombre. Una instancia de firewall también se denomina conjunto de reglas de un firewall, donde un conjunto de reglas es simplemente una serie de reglas de firewall. Usted define la instancia de firewall y configura las reglas en su conjunto de reglas en el nodo de configuración del firewall.
  • Después de definir la instancia y especificar las reglas en el conjunto de reglas, aplique la instancia a una interfaz o zona. Esto se hace mediante el nodo de configuración de interfaz para la interfaz o zona.

Una vez que se aplica la interfaz o zona, las reglas de la instancia empiezan a filtrar los paquetes en esa ubicación.

Tipos de firewall

Hay dos tipos de firewall, los firewall basados en interfaces y los firewall basados en zonas. Si solo se protege una interfaz, un firewall basado en interfaz cumplirá la función. Sin embargo, si se protege más de una interfaz, se recomiendan los firewalls basados en zonas.

Reglas de firewall

Las reglas se ejecutan en secuencia de acuerdo al número de regla. Si el tráfico coincide con las características especificadas por la regla, la acción de la regla se ejecuta, sino el sistema "pasa" hasta la siguiente regla.

La acción puede ser una de las siguientes:

  • Aceptar. Se permite y transmite el tráfico.
  • Desechar. Se descarta silenciosamente el tráfico.
  • Rechazar. Se descarta el tráfico con un mensaje ICMP de "Puerto inalcanzable".

Aplicación de reglas de firewall a interfaces (firewall basado en interfaces)

Una vez que se define la instancia de firewall se puede aplicar a una interfaz, donde la instancia actúa como un filtro de paquetes. La instancia de firewall filtra paquetes de una de las siguientes maneras, que depende de lo que usted especifique cuando aplica la instancia de firewall:

  • adentro. Si aplica la instancia como "adentro", el firewall filtra los paquetes que entran en la interfaz y atraviesan el sistema Vyatta. Puede aplicar una adentro del filtro de paquetes.
  • afuera. Si aplica la instancia como "afuera", el firewall filtra los paquetes que se van de la interfaz. Estos pueden ser paquetes que recorren el sistema Vyatta o paquetes originados en el sistema. Puede aplicar una afuera del filtro de paquetes.
  • local. Si aplica la instancia como "local", el firewall filtra los paquetes destinados al sistema Vyatta. Una instancia de firewall se puede aplicar como un filtro de paquetes local.

Se puede aplicar un total de tres instancias a una interfaz: una instancia adentro del filtro, una instancia afuera del filtro y una instancia como un filtro local.

Firewall basado en interfaz en la interfaz pública.

El siguiente ejemplo muestra una regla de firewall aplicada a una interfaz pública del Vyatta. Este conjunto de reglas hace lo siguiente:

  • Hace que el firewall tenga estado (configuración global). Establece las reglas globales recomendadas para que se apliquen a todas las interfaces de firewall (en este caso, la interfaz pública). Cualquier otra interfaz con una configuración de firewall también heredará esta configuración)
  • Permite tráfico L2TP sobre IPsec para sesiones VPN de acceso remoto
  • Permite tráfico de túnel VPN de sitio a sitio
  • Permite el tráfico SSH y ICMP

 

1. Ingrese al dispositivo Vyatta usando ssh:

ssh vyatta@X.X.X.X

Donde X.X.X.X es la dirección de IP del Vyatta. Verá un mensaje de bienvenida a Vyatta y una notificación para ingresar su contraseña.

Una vez que haya accedido al dispositivo, puede ingresar un "?" o presionar la tecla Tab para obtener ayuda.

2. Ingrese al modo de configuración:

vyatta@vyatta: configure
[edit]
vyatta@vyatta#

El símbolo # indica que está en modo de configuración.

 

3. Haga que el firewall tenga estado (configuración global)

set firewall state-policy established action 'accept'
set firewall state-policy related action 'accept'

4. Establezca las reglas globales recomendadas que se aplicarán a todas las interfaces protegidas por el firewall. Todo lo que sea global se puede cambiar dentro de la regla de firewall especifica de la interfaz

set firewall all-ping 'enable'
set firewall broadcast-ping 'disable'
set firewall ipv6-receive-redirects 'disable'
set firewall ipv6-src-route 'disable'
set firewall ip-src-route 'disable'
set firewall log-martians 'enable'
set firewall receive-redirects 'disable'
set firewall send-redirects 'enable'
set firewall source-validation 'disable'
set firewall syn-cookies 'enable'

5. Inicie la configuración de firewall para interfaz pública

edit firewall name protect-vyatta

Deje todas las configuraciones predeterminadas

set default-action 'drop'

Permita el tráfico IKE y ESP para IPsec

set rule 100 action 'accept'
set rule 100 destination port '500'
set rule 100 protocol 'udp'
set rule 200 action 'accept'
set rule 200 protocol 'esp'

Permita L2TP sobre IPsec

set rule 210 action 'accept'
set rule 210 destination port '1701'
set rule 210 ipsec 'match-ipsec'
set rule 210 protocol 'udp'

Permita el recorrido de NAT a través de IPsec

set rule 250 action 'accept'
set rule 250 destination port '4500'
set rule 250 protocol 'udp'

Detenga la fuerza bruta de ssh (solo permite 3 conexiones nuevas en 30 segundos)

set rule 300 action 'drop'
set rule 300 destination port '22'
set rule 300 protocol 'tcp'
set rule 300 recent count '3'
set rule 300 recent time '30'
set rule 300 state new 'enable'

Permita el resto de los ssh

set rule 310 action 'accept'
set rule 310 destination port '22'
set rule 310 protocol 'tcp'

Permita icmp

set rule 900 action 'accept'
set rule 900 description 'allow icmp'
set rule 900 protocol 'icmp' 
exit

6. Aplique de forma local en la interfaz pública (eth0)

set interfaces ethernet eth0 firewall local name 'protect-vyatta'

7. Cree y aplique el conjunto de reglas "adentro" del firewall (para el tráfico destinado a los servidores de nube) en una interfaz pública (eth0)

set firewall name untrusted default-action 'drop'
set firewall name untrusted description 'deny traffic from internet'
set interfaces ethernet eth0 firewall in name 'untrusted'

8. Confirme y guarde los cambios.

commit
save


¿Este contenido fue útil?




© 2011-2013 Rackspace US, Inc.

Excepto cuando se indique lo contrario, el contenido de este sitio está bajo una licencia Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported License


Ver especificaciones de licencia y DESCARGO DE RESPONSABILIDAD