Su camioneta es una 4x4, parecida a esta:
Estoy esperando que Miguel me envie una foto de la camioneta a ver si la pongo aca :p
Cuando no te queda tiempo para hacer podcast, no te queda otra salida que hacer blogs. O al menos intentarlo
Por José Manuel Gómez
Tras instalar el cortafuegos básico, añadirle un antivirus y un filtro de contenidos, nos queda un último paso: instalar un interfaz, es decir, un panel de control desde el que poder coordinar todo el funcionamiento del conjunto y adaptarlo a nuestras necesidades. A ello dedicaremos el presente capítulo.
Os anticipo que esta entrega será la última de esta primera fase. Quiero decir con esto que nuestro cortafuegos nos puede dar sin duda mucho juego durante los meses venideros (en los que iremos ampliando paulatinamente sus posibilidades), pero antes creo necesario disponer de cierta masa crítica de lectores de Kriptópolis dispuestos a implementarlo. Este cuarto capítulo cierra, por tanto, la fase de creación de un cortafuegos-antivirus plenamente operativo, y parece conveniente esperar ahora a que al menos varias decenas de lectores puedan comprobar su efectividad y comenzar un fructífero intercambio de ideas en torno al mismo. A tal fin, y para evitar dispersiones, procedo a crear un nuevo foro específico sobre este cortafuegos y a cerrar los comentarios en los propios artículos que componen el cursillo...
Pasamos por tanto, sin más dilación, al desarrollo de este capítulo final de la fase de implementación básica. A tal fin, hemos de suponer completados los pasos previos -y en el mismo orden- indicados en los tres artículos anteriores.
Como en anteriores entregas vamos a necesitar descargar un nuevo fichero, transportarlo al directorio raíz (/) del cortafuegos (ver capítulo segundo) y proceder a su instalación mediante los siguientes comandos:
cd /
tar xzvf dgguiv2806-1a.tgz
cd tmp
./install-dggui.sh
Si algo no va bien, es muy posible que se solucione tras arrancar de nuevo el cortafuegos (Services -> Shutdown -> Reboot). En todo caso hay una prueba infalible de que todo ha ido perfecto: tratar de acceder a una página infectada con un virus y comprobar si el sistema efectivamente te bloquea el acceso. Para ello, puedes servirte de los tests Eicar. Como una imagen vale más que mil palabras, te muestro aquí lo que deberías obtener. ¡¡Guauuu!! ¿No llamarías a esto navegación segura?
Una vez más, insisto en que no pretendo que esta guía cubra todas las posibles opciones de configuración, lo que la volvería compleja e interminable. Para eso están los foros de SmoothWall, los documentos y el nuevo foro creado en Kriptópolis, y en el que te invito desde ahora mismo a participar.
Por último me gustaría completar los cuatro capítulos de esta guía con una serie de pantallazos del cortafuegos en funcionamiento, que sin duda animarán a los más indecisos. También preveo dar al conjunto una forma más apropiada que facilite su accesibilidad desde Kriptópolis.
Gracias por haberme seguido hasta aquí y no os perdáis la oportunidad de disfrutar de la protección de primera categoría que todo buen lector de Kriptópolis merece.
Por José Manuel Gómez
Como dije en mi último artículo, no tiene ningún sentido ponernos a escanear el propio cortafuegos desde la línea de comandos. Los virus para Linux son francamente escasos, y las posibilidades de que nuestra reciente instalación tenga alguno son absolutamente remotas. Además, quien más quien menos está acostumbrado a entornos gráficos, y no resulta nada atractivo realizar escaneos desde la línea de comandos. Tampoco es nuestra propia máquina cortafuegos lo que nos interesa escanear, sino lo que nos llega desde Internet. En fin; muchos motivos nos inclinan a instalar nuestro tercer componente: DansGuardian, un sistema de filtrado de contenido que nos proveerá de un objetivo adecuado sobre el que disparar nuestro antivirus...
Ten en cuenta que, de todos los extras de que estamos dotando a nuestro cortafuegos, éste puede ser el más voraz en recursos, por lo que si no tienes 128 Mb de RAM es probable que no funcione como es debido. Desde luego DansGuardian no es imprescindible para que funcione tu cortafuegos, pero sí para integrar el antivirus en el conjunto y que todo funcione coordinadamente. También es imprescindible que hayas aplicado las 8 actualizaciones de que hablábamos en nuestro primer artículo, y que tengas instalado ClamAV tal y como explicábamos en el segundo.
Si te has decidido, el primer paso es obtener DansGuardian [1], en una versión un tanto especial, porque va parcheada con un plugin para antivirus [2]. Descarga el fichero y llévalo al directorio raíz (/) de tu cortafuegos de la forma que indicábamos en el segundo artículo de esta serie. A continuación, procede a abrir tu sesión de acceso remoto desde el interfaz del cortafuegos, como allí también explicábamos.
Como casi siempre, para realizar la instalación no nos queda más remedio que teclear algunos comandos:
cd /
tar xzvf dansguardian-2.8.0.6-antivirus-6.4.3.tgz
cd tmp
./install-dgav.sh
Este script realizará por ti todo lo que haga falta, incluyendo la activación y configuración de tu proxy web, necesario para que todo funcione correctamente.
Para arrancar DansGuardian teclea:
cd /var/smoothwall/mods/dansguardianav
./startdg
Si obtienes algún error, para concretarlo puedes teclear:
dansguardian -N
Para tratar de resolverlo, pregunta aquí o consulta el foro de Smoothwall relativo a DansGuardian.
Excelente. Tenemos un cortafuegos que funciona y un antivirus que aún no hemos utilizado, junto a un filtro de contenido al que tampoco encontramos sentido. ¿A dónde nos estás llevando, José Manuel?
Tranquilo, que en la próxima entrega ya me encargaré de que todas las piezas encajen.
Por José Manuel Gómez
Ahora que ya estás disfrutando de tu flamante cortafuegos, es probable que quieras perfeccionarlo aún más. ¿Qué tal añadirle un antivirus?
En nuestra línea habitual, optaremos por un antivirus de código libre: ClamAV.
Comienza por descargarte su última versión (0.88 en el momento de escribir este artículo).
Una vez obtenido el fichero, deberás transferirlo a tu cortafuegos. No, no es necesario que vuelvas a acoplar monitor y teclado a la máquina vieja que ejecuta SmoothWall. Puedes transferirlo al directorio raíz (/) del cortafuegos desde tu PC, utilizando un cliente SSH o un cliente FTP que soporte SSH2 (por ejemplo, gFTP en Linux ó WinSCP en Windows, ambos de código libre) y conectando al servidor 192.168.0.1, en el puerto 222...
Para ello es necesario que previamente, a través del interfaz gráfico de control de tu cortafuegos, hayas habilitado el soporte SSH (Services -> Remote Access), con la opción Allow admin access only from valid referral URLs también activada, como te indico en la figura.
Ahora véte a Tools -> shell y suministra root como login y tu contraseña correspondiente.
A continuación necesitarás teclear -exactamente- los siguientes comandos:
cd /
tar xzvf clamav-0.88.tgz
cd tmp
./install-clamav.sh
Si estás conectado a Internet (deberías) verás cómo se descargan las últimas definiciones de virus automáticamente. Si quieres confirmar que todo está al día teclea freshclam.
Tu antivirus está instalado. Para confirmar que funciona teclea lo siguiente:
/usr/local/sbin/clamd
Tras unos segundos debería devolverte automáticamente a la línea de comandos. Si es así, todo está perfecto. Si no, revisa el fichero de registro /var/log/clamav/clamd.log para localizar el error.
Ahora ya podrías escanear ficheros y directorios del cortafuegos y localizar y eliminar los posibles ficheros infectados, pero ése no es nuestro objetivo, sino facilitar el manejo del antivirus e integrarlo en un contexto de protección más amplio, algo que veremos en el siguiente capítulo.
Siguiendo nuestra pequeña guía no deberías tener ningún problema para convertir cualquier vieja máquina en un excelente cortafuegos, aunque también puedes recurrir a nuestro foro de ayuda si lo necesitas:
Por José Manuel Gómez
Quién sabe. A lo mejor los Reyes Magos han sido generosos contigo y por fin puedes permitirte retirar ese viejo PC que tan buenos -o tan malos- ratos te dio. Sea como sea, es probable que dispongas de un PC viejo y no sepas qué hacer con él.
Donarlo al Tercer Mundo no es mala opción, aunque no siempre sabe uno cómo hacerlo ni a dónde dirigirse. En cualquier caso, si has decidido quedarte con tu viejo PC y buscarle alguna utilidad, te propongo seguir este artículo para convertirlo en un excelente cortafuegos...
El objetivo es disponer de un cortafuegos mediante hardware ideal para un usuario doméstico. Se trata de que la instalación sea sencilla y funcione perfectamente desde el principio, con la configuración por defecto. Si necesitas adaptarlo más a tus necesidades, lo podrás hacer después de una forma sencilla, mediante tu navegador habitual. El cortafuegos será completo, en el sentido de que además del firewall propiamente dicho, dispondrás de un proxy (Squid), un IDS o detector de intrusiones (Snort), herramientas de administración, servidor DHCP, gestión de IPs dinámicas, conexión a servidores horarios, posibilidad de VPN (red privada virtual), etc, etc.
Si añado además que todo esto lo lograrás mediante un equipo Linux, es posible que te asustes y pienses que este proyecto excede tus posibilidades. Pero lo cierto es que no, porque no necesitas saber ni una palabra de Linux para que todo funcione al 100%.
Las posibles topologías y configuraciones de una red son casi infinitas, así que te anticipo que aquí me limitaré al caso más sencillo: tu PC viejo (cortafuegos) se conecta a Internet y tu PC nuevo se conecta al cortafuegos mediante un cable.
Todas las variantes (inalámbricas, etc.) son posibles, pero tendrás que indagar por tu cuenta en la abundante documentación disponible.
AVISO MUY IMPORTANTE: Necesitas dedicar tu viejo equipo al completo a este proyecto. Tu disco duro será formateado y todo lo que contenga desaparecerá. No se te ocurra seguir los pasos que se indican en un equipo donde quieras conservar el sistema operativo o la información que contenga, ni si se trata del único equipo de que dispones. ¿Queda claro? Entonces sigue leyendo...
Vas a necesitar:
Con todo esto, ya estás preparado para empezar.
Si tu viejo PC arranca desde el CD (revisa la BIOS a ver si puedes ajustarlo) la instalación es coser y cantar. Si no es el caso habrás de generar disquetes de arranque y el asunto se complica un poco, aunque está todo perfectamente explicado en la documentación, tres pdfs muy recomendables en caso de problemas, pero en inglés. Por cierto, toda la instalación está en inglés, aunque prácticamente sólo necesitas elegir las opciones por defecto y aceptar todo. Aunque no distingas el inglés del chino, con las explicaciones y "cutre-fotos" que incluyo en el artículo tampoco deberías tener mayor problema.
Metes el CD y arrancas el equipo viejo. Al poco tiempo pantalla de presentación y a pulsar Enter. Se te va a avisar, por activa y por pasiva, de que el disco duro va a ser formateado y que puedes despedirte de cualquier dato que tuvieras en él. Si a estas alturas no tienes claro esto, mejor no sigas y olvides todo el asunto. Insisto: tras la instalación el viejo PC será un cortafuegos, y no un PC al uso.
El equipo se formatea, se crea el sistema de archivo linux, se instala lilo como gestor de arranque y se instalan todos los ficheros necesarios. Se pasa a buscar (Probe) la tarjeta de red del cortafuegos que usarás para conectar a ella tu equipo (el bueno, el que contiene tu sistema operativo y tus ficheros más queridos). Una vez detectada la primera tarjeta se te presenta la opción de aceptarla (OK) o seguir buscando (Skip) para elegir la segunda tarjeta disponible (en principio esto es indiferente y puedes aceptar la primera que se detecte).
Una vez elegida la tarjeta de red se te presenta la opción de configurar su IP y su máscara de red. Esto puede sonar complicado, pero resulta tan sencillo como aceptar las opciones por defecto y pulsar OK.
Finalizada la operación el CD se expulsa y el sistema te pide ser rearrancado.
Tras el rearranque, viene la fase de configuración.
A continuación se te pregunta si quieres restaurar una configuración previa desde un disquete (No), el teclado a usar (es), y el nombre de host (también nos vale el propuesto, smoothwall). Si te conectas por un proxy aquí deben ir los datos (si no, en blanco y OK). Deshabilita RDSI (ISDN, en sajón) y también ADSL en mi caso (conexión a ONO por módem cable). Puede que aquí tengas que configurar la conexión que tú utilizas.
Lo más peculiar viene ahora, al elegir la configuración de Red. SmoothWall tiene un concepto un tanto "semafórico" de los colores de los interfaces de red. Así GREEN es el interfaz que configuraste en la etapa anterior, al que enchufarás tu equipo real. RED es el interfaz (la tarjeta) donde insertarás el cable por el que tu proveedor te conecta a Internet. YELLOW no te importa mucho ahora; corresponde a la llamada Zona Desmilitarizada (DMZ), donde se ubican los servidores (web, mail) que han de tener acceso desde la Red.
En nuestro caso, la configuración que nos interesa es GREEN + RED, así que hay que pasar a Card Assignments para detectar (Probe) tu segunda tarjeta, la que conectarás a Internet.
Ahora, a configurarla. Address Setting -> Red -> OK. En mi caso, en esta pantalla elegí DHCP, porque mi equipo recibe una IP dinámica por esa vía. Si la tuya es fija, selecciona la opción correspondiente (Static). El resto, queda tal cual.
Toca configurar el servidor DHCP (no el anterior, que era un cliente del de tu proveedor, sino el que dará una IP al equipo o equipos que enchufes al cortafuegos). Muchas casillas, pero basta seleccionar Enabled y dejar igual el resto. Observa que tu equipo (el real), o equipos, obtendrán direcciones entre 192.168.0.100 y 192.168.0.200 con esta configuración.
Se te van a pedir ahora tres nombres de login y tres contraseñas. Anótalas. Admin es el más importante, porque es el par login/password que te permitirá afinar la configuración a través de tu navegador web (sección siguiente). Root te permite acceder al cortafuegos vía consola de comandos Linux (requeriría volver a conectar monitor y teclado al cortafuegos, pero tranquilo: no lo vas a necesitar para nada). Por último, Setup te permite reconfigurar el cortafuegos desde consola (tampoco lo necesitarás prácticamente nunca; siempre puedes optar por reinstalar).
Se acabó lo que se daba. El sistema pide ser arrancado de nuevo. De hecho, puedes pulsar OK y desconectar teclado y monitor de tu viejo PC, reconvertido ya a cortafuegos. Salvo labores de chequeo, reinstalación o similares, no necesitarás conectarle teclado y monitor nunca más. Eso sí: asegúrate antes de que tu BIOS te permite arrancar sin teclado conectado, porque si no el sistema se puede quedar detenido y el cortafuegos no llegar a funcionar.
¿Has conectado el cable que une los dos PCs? Un extremo al equipo que vas a utilizar y el otro al interfaz que definiste como GREEN de tu nuevo cortafuegos. Al interfaz RED de éste conecta el cable de tu proveedor de Internet. Si dudas, puedes probar de nuevo cambiando los cables.
Tu ordenador "bueno" tiene conectado en su tarjeta de red el cable de red que viene de tu flamante cortafuegos. El cortafuegos (tu caduco PC) recibe el cable del proveedor y por su segunda tarjeta conecta con el equipo bueno. Sólo el ordenador bueno necesita monitor y teclado. Enciende ambos equipos.
Lo más probable es que el equipo bueno arranque antes que el cortafuegos, por lo que es fácil que te aparezca la red como desconectada y no puedas visitar Internet hasta que el cortafuegos acabe de arrancar (se debe a que aún no dispones de dirección IP, que ahora te tiene que dar tu cortafuegos).
Pero, ¿cómo saber cuándo ha arrancado el cortafuegos, si ya no tiene monitor?. Fácil: por un lado, oirás un pitido compuesto de tres tonos; por otro, tu equipo "bueno" dispondrá de conectividad en cuanto el servidor DHCP del cortafuegos le dé una IP.
Obviamente esto debe suceder con independencia del sistema operativo de tu equipo "bueno" (en él puedes usar Windows, Linux o lo que quieras). Si no ocurre y sigues sin conexión a Internet, o bien el arranque del cortafuegos no se ha completado (necesitarás volver al principio, conectarle monitor y teclado e investigar qué ocurre) o bien la conexión entre ambos equipos no va según lo esperado (si las luces de ambas tarjetas de red -la del equipo nuevo y la del cortafuegos- funcionan prueba a intercambiar las conexiones en el cortafuegos. Si las luces de la tarjeta de red del equipo nuevo no encienden, probablemente falla el cable).
Si todo funciona según lo esperado y puedes conectarte a Internet sin problemas, acude a un servicio web de escaneo de puertos y comprueba que todos tus puertos (excepto el 8, 80 y 113 con la configuración por defecto), aparecen como Blocked, es decir, invisibles.
Si es así, enhorabuena: has completado el proyecto con éxito, pero aún puedes afinar más tu configuración como te explico en la siguiente sección.
Puede que no estés conforme con la configuración por defecto, que prefieras abrir o cerrar determinados puertos, poner en marcha tu proxy o tu detector de intrusiones, revisar tus ficheros de registro, ajustar la hora, instalar parches, etc, etc.
Si la instalación fue correcta, puedes hacer eso y más mediante tu navegador habitual, sin más que teclear la siguiente dirección:
https://192.168.0.1:441
Se trata de una conexión segura con tu cortafuegos. Acepta el certificado y teclea la contraseña que elegiste para admin durante la instalación. Te aparecerá la pantalla de bienvenida de tu nuevo cortafuegos.
Si observas bien, verás que se te indica que existen actualizaciones sin instalar. Para instalarlas pulsa la pestaña Maintenance. En el momento de escribir este artículo existen 8 actualizaciones disponibles. Pulsa sobre info en la primera de ellas y descárgala a tu PC. Puedes instalarla desde el mismo interfaz (Examinar -> Upload). Tras instalar la primera has de volver a arrancar el cortafuegos (no, no toques el botón de encendido del viejo PC; mejor usa la pestaña Shutdown y luego Reboot). Repite el proceso (incluido el rearranque) con las actualizaciones siguientes (siempre en orden consecutivo, de la 2 a la 8). Al finalizar, tu cortafuegos estará totalmente al día.
Si has llegado hasta aquí con éxito, es más que probable que a partir de este punto no necesites mi ayuda. Las posibilidades de configuración de tu nuevo cortafuegos son muchas y no me toca a mí tratarlas todas. Dispones de las herramientas y los documentos necesarios. Además, SmoothWall dispone de un animado foro de usuarios donde puedes aprender mucho más de lo que yo podría enseñarte.
Por si todo eso fuera poco, mi idea es que los lectores de Kriptópolis que se animen a afrontar el proyecto se decidan a comentar aquí mismo sus experiencias, de modo que los más avanzados puedan ayudar a los rezagados.
Estáis todos invitados a participar. La posibilidad de contar en nuestra casa con un cortafuegos como SmoothWall, con sus innumerables posibilidades, y la satisfación de aprovechar para nuestra defensa un equipo que creíamos inservible, merecen sin duda el esfuerzo.
José Manuel Gómez