Jack Wallen le muestra cómo ampliar la flexibilidad del firewall CentOS 7 con zonas de firewalld.
Su cortafuegos es un componente crucial para evitar que personas no deseadas obtengan acceso a sus datos. En un servidor CentOS, firewalld puede hacerse fácilmente responsable de servir como su solución completa de firewall. Esta herramienta es altamente capaz, con características que extienden la seguridad de su servidor en formas que fueron significativamente más desafiantes con iptables.
Más información sobre ciberseguridad
Un concepto particular que se encuentra en el firewalld es el de zonas. Las zonas son conjuntos predefinidos de reglas que especifican qué tráfico debe permitirse, basándose en los niveles de confianza para las conexiones de red. Por ejemplo, puede tener zonas para el hogar, públicas, de confianza, etc. Las zonas funcionan en una relación de uno a muchos, por lo que una conexión sólo puede ser parte de una sola zona, pero una zona puede utilizarse para muchas conexiones de red. Se pueden asignar diferentes interfaces de red y fuentes a zonas específicas.
VER: Política de seguridad de la información (Tech Pro Research)
Hay una serie de zonas proporcionadas por firewalld:
- gota a gota: Todas las conexiones entrantes se eliminan sin notificación, mientras que todas las conexiones salientes están permitidas.
- bloque: Todas las conexiones entrantes son rechazadas con un mensaje de icmp-host-prohibido, mientras que todas las conexiones salientes son permitidas.
- público: Esta zona está destinada a ser utilizada en áreas públicas no confiables. No se puede confiar en otros ordenadores de esta red.
- externo: Esta zona está pensada para ser utilizada en redes externas con enmascaramiento NAT habilitado.
- interno: Esta zona está destinada a ser utilizada en redes internas cuando su sistema actúa como gateway o router. Otros sistemas de esta red son generalmente de confianza.
- dmz: Esta zona está destinada a ser utilizada por los ordenadores situados en su zona desmilitarizada que tendrán acceso limitado al resto de su red.
- trabajo: Esta zona está destinada a ser utilizada para máquinas de trabajo. Otros sistemas de esta red son generalmente de confianza.
- a casa: Esta zona está destinada a ser utilizada para máquinas de uso doméstico. Otros sistemas de esta red son generalmente de confianza.
- de confianza: Todas las conexiones de red son aceptadas y otros sistemas son de confianza.
Puede asignar fácilmente una interfaz a una de las zonas anteriores, pero hay una cosa que hay que tener en cuenta en primer lugar.
Instalación de firewalld
Puede que te sorprenda saber que firewalld no está instalado de forma predeterminada. Para solucionar este problema, abra una ventana de terminal y ejecute el siguiente comando:
sudo yum install firewalld
Una vez completada la instalación, deberá iniciar y habilitar firewalld con los comandos:
sudo systemctl start firewalldsudo systemctl enable firewalld
Visualización y cambio de zonas
Lo primero que debe hacer es ver la zona por defecto. Emita el comando:
sudo firewall-cmd --get-default-zone
Probablemente verá que la zona por defecto es pública. Si desea más información sobre esa zona, emita el comando:
sudo firewall-cmd --zone=public --list-all
Debería ver todos los detalles pertinentes sobre la zona pública (Figura A.
Cambiemos la zona por defecto. Digamos, por ejemplo, que desea cambiar la zona para que funcione. Primero averigüemos qué zonas están siendo utilizadas por nuestra(s) interfaz(s) de red. Para ello, emita el comando:
sudo firewall-cmd --get-active-zones
Deberías ver algo así en la .
Vamos a obtener una lista de nuestras zonas disponibles con el comando:
sudo firewall-cmd --get-zones
Debería ver todas las zonas en la lista. Supongamos que desea cambiar la interfaz eth0 a la zona de trabajo. Para ello, ejecute el comando:
sudo firewall-cmd --zone=work --change-interface=eth0
Debería ver «éxito» reportado. Ahora puede comprobar la aplicación emitiendo de nuevo el comando:
sudo firewall-cmd --get-active-zones
La interfaz eth0 está ahora conectada a la zona de trabajo .
Ahora que eth0 está unido al trabajo, generalmente confiará en todos los demás sistemas unidos a la misma zona. A continuación, puede cambiar eth1 a otra zona con el mismo concepto.
Fácil gestión de zonas
Y así de fácil es gestionar las zonas con firewalld. Una vez que tenga un conocimiento sólido de cómo funciona cada zona, sabrá exactamente qué zona aplicar a varias interfaces en sus servidores CentOS 7. Cualquiera que busque añadir más flexibilidad a la seguridad de su servidor CentOS 7, debería considerar esto como una característica imprescindible.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves