Instalar APF Firewall

El Firewall de Directivas Avanzadas (APF) es un sistema de cortafuegos basado en iptables (netfilter) diseñado en torno a las necesidades esenciales de los servidores Linux. La configuración está diseñada para ser muy informativa y fácil de seguir. La gestión diaria se lleva a cabo desde la línea de comandos con el comando ‘apf’, que incluye información de uso detallada sobre todas las funciones. Para impedir la intrusión indebida a través de puertos del servidor hacemos uso del Firewall APF.

El punto de vista técnico de APF es tal que utiliza las últimas características estables del proyecto de iptables (netfilter) para proporcionar un servidor de seguridad muy robusto y potente. El filtrado interpretado por APF se basa en tres niveles:

1) Políticas Basadas en Regla Estáticas (no confundir con un “cortafuegos estático”)

2) Conexión Basada en Políticas con Estados

3) Políticas Basadas en Cordura

El primer nivel de Políticas Basadas en Regla Estáticas es el método más tradicional de cortafuegos. Esto aplica cuando el servidor de seguridad tiene un conjunto de instrucciones (reglas) que no cambian acerca de cómo debe controlarse el tráfico en ciertas condiciones. Un ejemplo de una política basada en reglas estáticas sería al permitir/denegar el acceso de una dirección al servidor con el sistema de confianza o abriendo un nuevo puerto a través del archivo conf.apf. Por lo tanto, son reglas que con poca frecuencia o nunca cambian mientras se está ejecutando el servidor de seguridad.

El segundo método, Conexión Basada en Políticas con Estados, es un medio para distinguir paquetes legítimos de diferentes tipos de conexiones. Se permitirán sólo los paquetes que coincidan con una conexión conocida por el servidor de seguridad; otros paquetes serán rechazados. Un ejemplo de esto serían las transferencias de datos por FTP. Anteriormente, los cortafuegos tenían que definir un conjunto complejo de directivas estáticas para permitir las transferencias de datos para que el FTP fluyera sin problemas. En el caso de las Políticas de Estados, el cortafuegos puede ver que una dirección ha establecido una conexión en el puerto estándar para FTP (21) y a entonces relaciona dicha dirección con la porción de transferencia de datos de la conexión modificando dinámicamente el cortafuegos para permitir el tráfico.

El tercer método, Políticas Basadas en Cordura, es la capacidad del servidor de seguridad para comparar patrones que coinciden con diversos métodos de ataque conocidos o analizar el tráfico para ajustarse a los estándares de Internet. Un ejemplo de esto sería cuando un potencial atacante intenta forjar la dirección IP desde la que se originan los datos que se le envían al servidor, el APF puede simplemente descartar este tráfico u opcionalmente registrarlo y luego descartarlo. En la misma medida, otro ejemplo podría ser cuando un enrutador con fallas en la Internet comienza a retransmitir paquetes malos a su servidor, el APF puede simplemente descartarlos o re-enviárselos al enrutador para que deje de enviarle estos paquetes de nuevo (TCP reset).

Estos tres métodos claves de filtrado empleados por el APF son una generalización de cómo se construye el cortafuegos a nivel técnico. A su vez, hay muchas características en el APF que pueden ser utilizadas. A continuación se indica en forma resumida la mayoría de las características del APF para su referencia y revisión:

– Archivo de configuración detallado y bien comentado
– Filtrado de red de entrantes y salientes granular
– Filtrado de red saliente en función de la Identificación de usuario
– Filtrado de red basada en aplicaciones
– Archivos de reglas de confianza con una sintaxis avanzada opcional
– Sistema de confianza mundial donde las reglas se pueden descargar desde un servidor de administración central.
– Bloqueo por Dirección Reactiva (RAB), próxima generación en línea de prevención de intrusiones
– Modo de depuración para probar nuevas características y configuraciones
– Característica de Carga Rápida que permite más de 1000 reglas cargadas en menos de 1 segundo
– Se pueden configurar de forma independiente interfaces de red entrantes y salientes
– Filtrado de puertos tcp/udp global e icmp con varios métodos de ejecución de filtros (colocar, rechazar, prohibir)
– Políticas configurables para cada dirección ip en el sistema con variables de conveniencia para importar parámetros de configuración
– Límite de tasa de flujo de paquetes que impide el abuso en el protocolo más abusado, icmp
– Reglas de pre-enrutamiento y post-enrutamiento para un rendimiento óptimo de red
– Soporte a la lista de bloqueo de dshield.org para prohibir redes expuestas con actividades sospechosas
– Soporte a la Lista Peer y de No Enrutar de Spamhaus para prohibir los bloques de Ips conocidos como “zombis secuestrados”.
– Puede ser configurado cualquier número de interfaces adicionales como confiables (no bloqueadas) o no confiables (bloqueadas)
– Interfaces adicionales de cortafuegos pueden aplicar políticas propias
– Verificación inteligente de rutas para evitar errores de configuración embarazosos
– Avanzada comprobación de paquetes para asegurar que el tráfico entrando y saliendo cumple las normas más estrictas
– Filtrado de ataques como UDP fragmentado, inundaciones de puerto cero, rellenos de enrutamiento, intoxicación arp, etc.
– Opciones de tipo de servicio configurables para dictar la prioridad de los diferentes tipos de tráfico de red
– Configuración predeterminada inteligente para satisfacer configuraciones de servidores típicas
– Configuración dinámica de los servidores locales de resolución de DNS en el cortafuegos
– Filtrado opcional de aplicaciones p2p comunes
– Filtrado opcional de espacio de direcciones IP privadas & reservadas
– Bloques implícitos del servicio ident opcionales
– Parámetros de seguimiento de conexiones configurable para escalar el servidor de seguridad al tamaño de la red
– Ganchos al núcleo (kernel) configurables para endurecer el sistema contra ataques de inundaciones syn y abusos de enrutamiento
– Controles de red Avanzados tales como la notificación de congestión explícita y control de sobreflujo
– Cadenas especiales que están conscientes del estado de las conexiones de datos por FTP y SSH para evitar problemas del lado cliente
– Control sobre la tasa de sucesos registrados (desea filtrar sólo 30 eventos por minuto? Ó ¿300 en un minuto?, usted decide)
– Subsistema de registro de eventos que permite los datos de registro para programas de espacio de usuario o archivos syslog estándar
– Registro que detalla cada regla agregada y comprueba un conjunto integral de errores para evitar errores de configuración
– Si está familiarizado con netfilter puede crear sus propias reglas en cualquiera de los archivos de política
– Preparado para la conexión y uso avanzado de algoritmos de Calidad de Servicios (QoS) proporcionados por Linux
– Proyectos de terceros que complementan las características del APF.

 

Instalamos APF:

 

Instalamos:

Obtendrás una respuesta similar a:

 

Configurar APF:

Te recomiendo buscar la linea “DLIST_DSHIELD” y la pones en 1.

 

Desbloquear puertos bloqueados:

 

Puertos de ingreso comunes:

Puertos comunes de entrada:

Guardar archivo.

 

Arrancar APF:

 

Si todo es correcto:

Configura de la siguiente forma…

Aplica las opciones:

Ahora busca las opciones:

Y las sustituyes por:

 

Reiniciamos:

 

Arranque automático:

 

Parámetros de APF:

Parámetro             Opción                                    Descripción

  • -s                          –start                                       Carga todas las reglas del firewall
  • -r                           –restart                                    Para (flush) y recarga todas las reglas del firewall
  • -f                           –stop                                       Para (flush) todas las reglas del firewall
  • -l                           –list                                         Lista todas las reglas del firewall
  • -t                           –status                                    Muestra el log del estado del firewall
  • -e                          –refresh                                   Refresca y resuelve los nombres dns en reglas confiables
  • -a HOST CMT         –allow HOST COMMENT          Agrega el host  (IP/Dominio) al archivo allow_hosts.rules
  • e inmediatamente carga la nueva regla en el firewall
  • -d HOST CMT         –deny HOST COMMENT          Agrega el host  (IP/Dominio) al archivo deny_hosts.rules
  • e inmediatamente carga la nueva regla en el firewall
  • -u                          –remove HOST                        Elimina el host de los archivos [glob]*_hosts.rules
  • e inmediatamente elimina la nueva regla en el firewall
  • -o                          –ovars                                     Muestra todas las opciones de configuración

 

Y con todo esto ya tenemos nuestro firewall APF funcionando.

 

 

facebook Instalar APF Firewalltwitter Instalar APF Firewallgoogle Instalar APF Firewalldiggit Instalar APF Firewallpinterest Instalar APF Firewalllinkedin Instalar APF Firewallprint Instalar APF Firewallemail Instalar APF FirewallSi te gusto, comparte el articulo.

Artículos Relacionados

Agregar comentario


*

Recibe nuestro newsletter

Suscribete a nuestro newsletter y mantente informado con nuestros últimos artículos, noticias y más. Todo completamente gratis.