SmoothWall, máxima seguridad en nuestro hogar

A pesar de que la mayor parte de los routers que hoy en día instalan los operadores al contratar ADSL disponen de un firewall, las capacidades de los mismos muchas veces dejan bastante que desear. En este práctico os enseñaremos a implementar y personalizar uno muy sencillo

Eloy García Almadén

SmoothWall, máxima seguridad en nuestro hogar

25 febrero 2010

NIVEL: AVANZADO

SmoothWall es una pequeña distribución Linux que podremos instalar en un PC para transformarlo exclusivamente en un cortafuegos totalmente dedicado a estas labores. Por lo tanto, lo primero será hacernos con un viejo PC que disponga de al menos dos tarjetas de red (este dato es sumamente importante como veréis más adelante) y un disco duro interno que usaremos en su totalidad (no podremos crear particiones) para instalar SmoothWall. Según las pruebas que hemos llevado a cabo, parece que SmoothWall no se lleva demasiado bien con discos SCSI y algunos SATA, con lo que, si lo instaláis en una máquina virtual (es otra posibilidad), deberéis elegir IDE como tipo de bus del HD y usar la controladora IDE o en su defecto emularla desde la placa base si la instalación es física en un equipo.

Instalación de SmoothWall

Paso 1. Descarga de la última versión

Una vez localizado el PC donde vamos a implementar este software necesitaremos descargar y copiar en un CD la imagen de SmoothWall Express 3.0, que es la última versión de este cortafuegos. Para ello, dirígete a www.smoothwall.org y haz clic en Download SmoothWall Express. Dependiendo de la microarquitectura de tu procesador podrás seleccionar una versión especialmente indicada para 32 bits u otra para 64, siendo las dos imágenes inferiores a 80 Mbytes.

paso-1_1

Paso 2. Comienza la instalación

Arranca el PC y configura la unidad lectora como primer dispositivo de arranque. De esta manera, al reiniciar el sistema e introducir el CD de SmoothWall comenzará el proceso de instalación. Tras la pantalla de bienvenida y después de realizar una comprobación del hardware presente, el programa advierte que todos los datos del disco duro van a ser eliminados. Es por esto que te recomendábamos anteriormente disponer de un HD exclusivamente para la instalación de SmoothWall, ya que en ningún momento podrás crear particiones específicas o usar alguna de las que tuvieras presente en el disco. Tras particionar el disco, el proceso de instalación te permitirá utilizar la configuración de alguna versión anterior de SmoothWall. Como estamos haciendo una instalación limpia, selecciona No y a continuación prepárate para escoger el teclado.

En nuestro caso va a ser Español, con lo que tendrás que elegir la opción es de la lista desplegable. Seguidamente teclea un nombre adecuado para este PC, que por defecto será smoothwall. Es el momento de implementar el comportamiento inicial del firewall. Selecciona la política que gestiona las peticiones salientes que más se adecue a tus necesidades: Open (todas las peticiones son permitidas), Half-open (la mayor parte son permitidas excepto aquellas que se consideran potencialmente peligrosas) o Closed (todas se encuentran prohibidas y habrá que configurar las reglas de salida explícitamente). Si tienes dudas, te recomendamos que utilices el parámetro Half-open.

paso-1_2

Paso 3. Una filosofía peculiar

Llegamos a uno de los puntos más importantes de la instalación, y antes de abordarlo es necesario explicar la particular nomenclatura que utiliza SmoothWall para denominar sus interfaces de red. Como podéis ver en este gráfico, SmoothWall utiliza colores para diferenciar las redes que es capaz de controlar. Por un lado, la interfaz roja (RED) será aquella que comunica el PC cortafuegos con Internet o nuestro módem ADSL, en su defecto. La púrpura (PURPLE) representa una red WiFi. La naranja (ORANGE) corresponde con la zona desmilitarizada donde podremos alojar cualquier servidor web, FTP, etc. que necesite comunicación no restrictiva con el exterior. Por último, la zona verde (GREEN) corresponde con la LAN interna y privada en la cual se colocarán el resto de equipos. En este práctico vamos a optar por montar una infraestructura típica que constará de un módem-router ADSL conectado a la interfaz roja de nuestro PC cortafuegos, un switch que conectaremos mediante un cable de red a este mismo PC y que conformará la red verde, y por último cualquier equipo que conectemos al switch directamente. Si solo disponemos de un PC, otra posibilidad sería utilizar un cable cruzado entre la interfaz verde y el equipo situado detrás de SmoothWall.

paso-1_3

Paso 4. Continúa con la instalación

El siguiente paso será, por lo tanto, seleccionar la infraestructura que queremos montar. En Network configuration type optaremos en nuestro caso por RED + GREEN. Posteriormente, en Drivers and card assigments presiona Ok cuando te pregunte si quieres cambiar los parámetros de las tarjetas. Luego, pulsa Probe cuando te pida detectar el hardware de red y, si el proceso de descubrimiento ha sido satisfactorio, finaliza el paso con Ok y asigna una tarjeta de red a GREEN y la otra a RED. Si SmoothWall no posee drivers para tus tarjetas de red, podrás utilizar el método de selección manual e incluso utilizar controladores ad-hoc compilados para Linux, aunque este proceso puede resultar bastante más complejo.

paso-1_4

Seguidamente, pasaremos a configurar las interfaces de red GREEN y RED adecuadamente. Supongamos el caso en el que nuestro PC cortafuegos va a disponer de una dirección IP estática interna (para la LAN) de 192.168.1.100 y otra externa que utilizará para comunicarse con el módem-router de 192.168.100.37 (observad que van a tener que ser dos redes diferentes y por tanto el espacio direccional va a ser distinto). Elige Address settings y posteriormente GREEN. Pulsa Ok en el mensaje de aviso que aparece e introduce 192.168.1.100 como dirección IP y 255.255.255.0 como máscara. Pulsa Ok y repite este paso con la interfaz RED. En nuestro ejemplo vamos a utilizar también una IP estática, por lo que marcaremos el parámetro Static y asignaremos la dirección IP 192.168.100.37 y máscara 255.255.255.0. Recuerda, por ejemplo, que si el módem-router que posees dispone de servidor DHCP, este último parámetro podrías configurarlo como dinámico marcando DHCP y, si la conexión fuese directa con Internet, marcaríamos PPPOE.

paso-1_5

Paso 5. Termina con lo básico

El último apartado que será necesario configurar aquí es DNS and Gateway settings. En esta opción tendrás que introducir las direcciones IP de la máquina que va a funcionar como pasarela a Internet y aquellas que resolverán los nombres de dominio. En nuestro caso será un módem, con lo que la dirección IP del mismo debe pertenecer a la red la cual también forma parte la interfaz RED. En el ejemplo hemos utilizado 192.168.100.100 tanto para DNS como para Gateway, ya que el módem también cumple funciones de router y éste dispone de las direcciones IP específicas de los DNS que utiliza para resolver los nombres de los dominios externos. Selecciona Done y, por último, directamente Finished. Si todo ha ido bien, el resto de parámetros y funcionalidades vamos a poder configurarlos tranquilamente a través de la interfaz web habilitada por SmoothWall. Para concluir, solamente tendrás que introducir dos contraseñas. La primera de ellas la podrás usar para administrar vía web el firewall. La segunda te permitirá acceder a SmoothWall en modo root.

Configuración del firewall vía web

Paso 1. Acceso y primeros pasos

Tras terminar la configuración inicial, tendrás que reiniciar el PC cortafuegos para comenzar a trabajar con SmoothWall. Una vez operativo, utiliza cualquier PC de la LAN para acceder a la siguiente dirección a través de tu navegador: https://192.168.1.100:441 (aquí tendrás que utilizar la dirección IP que configuraste para la interfaz GREEN. El puerto sigue siendo el 441 y asegúrate de utilizar https, puesto que la transferencia de la información se va a realizar a través de una vía segura (SSL). La primera vez saltará un mensaje de advertencia debido a que el certificado de seguridad del servidor no ha sido validado nunca y tampoco ha sido reconocido como seguro. Añade una excepción, obtén el certificado del servidor, guárdalo en tu almacén de certificados y confirma la excepción para evitar tener de nuevo problemas de identificación. Cuando tengas que presentar credenciales, introduce admin como usuario y la contraseña elegida.

paso-2_1

Paso 2. La pestaña networking

Una vez dentro de la interfaz web vamos a poder realizar una gran cantidad de tareas de administración para adecuar el firewall a nuestras necesidades. Uno de los apartados más esenciales va a ser el de Networking. Aquí podremos definir varias cosas, entre ellas las reglas de NAT para redirigir las peticiones entrantes desde la interfaz RED a una máquina y un puerto específicos de la interfaz GREEN. Para ello, sitúate en la pestaña Incoming y añade las reglas que quieras identificando el protocolo utilizado, la dirección IP externa desde la cual se va a enviar la petición (si queremos que sea desde cualquier equipo de Internet, solo tenemos que dejar vacío este campo), el puerto usado para la entrada (si lo dejamos en blanco, el puerto al cual redirijamos la petición se considerará el mismo que el entrante), la IP y el puerto de destino y pulsa finalmente Add.

En Outgoing podremos establecer aquellos puertos (y por tanto aplicaciones) a las que permitiremos el envío de peticiones desde nuestros equipos dentro de las distintas interfaces. Dependiendo del tipo de política que hayamos elegido en la instalación, aparecerán unas reglas u otras; en nuestro caso podrás observar que se han creado permisos para la interfaz GREEN y para la PURPLE para aplicaciones de navegación web, FTP, e-mail, mensajería instantánea, multimedia, acceso remoto y juegos. Como solamente vamos a utilizar GREEN, todas las reglas asociadas a la otra interfaz podremos eliminarlas. Para añadir más excepciones solamente tendrás que seleccionar la interfaz a la cual se aplicará las reglas y la aplicación o servicio al cual se concederá permiso.

En Internal podremos definir agujeros de seguridad entre la zona desmilitarizada y el resto de interfaces para permitir la comunicación desde aquí al resto de zonas seguras de nuestra red. En la pestaña External access estableceremos exactamente las máquinas de Internet y a través de qué puertos podrán acceder a SmoothWall para gestionar sus servicios. IP block bloquea aquellas direcciones IP que especifiquemos. Con Timed access seremos capaces de programar el acceso a Internet para cada equipo de la LAN en unos horarios determinados. QoS permite priorizar el tráfico en nuestra red y otorgar, por ejemplo, más importancia y ancho de banda a aplicaciones multimedia en detrimento de otras que lo necesiten menos. Para terminar, dispondremos de tres pestañas más: Advanced, PPP e Interfaces.

paso-2_2

Paso 3. Infinitas posibilidades

Por falta de espacio no podemos detallar más en profundidad la cantidad de servicios que podemos habilitar con Smooth­Wall, pero entre otros dispondremos de la posibilidad de activar y gestionar un Web Proxy (si se usa su modo Transparent no tendremos ni que configurar los navegadores de los PCs de la red GREEN), un IM Proxy (para mensajería instantánea), un escaneador de virus para mensajes de correo electrónico a través de POP3, un servidor de DHCP o un DNS estático, entre otros. Todos ellos se sitúan dentro de la pestaña Services de la interfaz.

paso-2_3
Temas Relacionados
Loading...