Como me propuse, ya que he acabado de estudiar el estado actual del cortafuegos en Linux, y el estudio nos puede servir de base para implementar la seguridad en Cerbero y Tormenta. El estudio lo he documentado en el epígrafe correspondiente del manual sobre Linux.

Aprovecho la entrada en el blog para hacer un resumen de nuestras necesidades y las conclusiones del estudio.

Necesidades

Cerbero

Fiscalizar la red y servir de pasarela de acceso al servidor de contenidos de la red TIC. Lo primero exige reglas de filtrado de paquetes más o menos triviales y lo segundo algunas técnicas no tan trivales de traducción de direcciones de red (NAT). El firmware de Cerbero incluye una versión modificada de Debian con el clásico xtables.

Tormenta

Asegurar el acceso y, sobre todo, inutilizar los ataques de fuerza bruta sobre el servicio SSH. En esta máquina instalaremos la última versión de Debian que, en principio, usa el nuevo nftables.

Estudio y conclusiones

En Linux conviven ahora mismo dos aplicaciones de cortafuegos: el ya casi jubilado xtables y su sustituto nftables. Tenemos necesidad de usar ambos, porque Cerbero requiere el primero; y Tormenta, el segundo.

Cerbero

Requerirá hacer las mismas funciones que hacía zipi. Como ambos utilizan el mismo cortafuegos (xtables), no debería haber problemas más allá de que para algunas operaciones haya que recurrir directamente a xtables, porque la interfaz CLI del firmware del router, no permita definir algunas de las reglas más extravagantes de NAT.

Tormenta

Las reglas para controlar su acceso son bastante triviales, excepto aquellas que se usen para impedir los ataques de fuerza bruta. Con iptables la defensa contra estos ataques es el módulo recent, pero en nftables no existe tal módulo. Sin embargo, se puede implementar una solución que funciona de manera muy parecida con limit y meters. Eso evita tener que recurrir a fail2ban.

Durante el proceso de pruebas del Sistema de clonaciones de las imágenes se desarrollan las siguientes actividades:

1. Se monta una red en el taller con un router con el servicio DHCP configurado que posibilitará la asignación de IPs a los equipos conectados.
2. Se prepara una máquina para emular al Servidor de Clonaciones donde se instala una distribución Debian Linux con los servicios TFTP, HTTP, SSH y NFS.
3. Se instala la aplicación 'clonaton' en dicho equipo y
4. Se conectan a la red varios equipos clientes para:
   • Crear una imagen del disco duro almacenándola en el Servidor en pruebas.
   • Restaurar dicha imagen en una (UNICAST) o en varias máquinas simultaneamente (MULTICAST).
   • Por último se realizan más pruebas sobre el funcionamiento del sistema en equipos con BIOS UEFI, detectándose los siguientes problemas:
     • No funciona la detención del menú del servicio PXE al pulsar la tecla de fijación de mayúsculas.
     • Incompatibilidad de funcionamiento con BIOS UEFI en equipos más antiguos.

 WOL - WAKE ON LAN.

Como el servidor de clonaciones se va a usar muy puntualmente (a finales o principios de curso principalmente) va a permanecer apagado en su  ubicación, aún por determinar. Dado que las clonaciones van a ser lanzadas desde cualquiera de las aulas técnicas con equipamiento informático, se contempla la conveniencia de encender el equipo en remoto desde cualquier lugar del Centro. Esto implica la activación de Wake On Lan (WOL) en nuestro servidor.

Para probar su correcto funcionamiento, se conecta un equipo a la troncal de la Red actual del Instituto y se lanza el magic packet tras instalar el paquete wakeonlan de Debian. La prueba es exitosa y la BIOS enciende la máquina en todos los intentos realizados.

Tareas Pendientes.

• Comprar el hardware necesario para la implantación definitiva del sistema: un equipo por piezas de prestaciones simples pero con dos discos reflejados en espejo.
• Determinar la ubicación final de este equipo dentro de la red. En principio las propuestas son el propio departamento de Informática o el pequeño Centro de Proceso de Datos donde se encuentra instalado el Servidor TIC.

 

Saludos a todos:

En la reunión del viernes 31 de enero de 2020, debatimos y acordamos los siguientes puntos:

1. Bautizar a las tres máquina de red como Cerbero (router ubiquiti), Tormenta ()servidor VPS( y Dolly (servidor de clonaciones).
2. Jesús Fernández expuso cómo habían ido suspesquisas de plugins de Worpress para simular un explorador de archivos; y que uno parecía apropiado puesto que habilitaba permisos de usuario. El plugin, no obstante, cuesta 15 euros con un soporte de seis meses, de modo que se dejará para más adelante su compra..
3. José Pazos informó de que del estudio sobre el servidor de clonación (Dolly) sólo resta comprobar el Wake on LAN.
4. José Miguel informa de que el estudio del nuevo cortafuegos de Linux (nftables) , necesario en Tormenta, está casi ya listo.
5. Francisco Navas comenzará en breve a estudiar la red actual a fin de tener más elementos de juicio cuando se decida donde ubicar Cerbero.
6. El coordinador pide que las conclusiones sobre los asuntos que se estudien se viertan como entradas en el blog.

Y sin más asunto de interés, se levantó la sesión.