Ir al contenido principal

Bloquear tráfico saliente a un usuario sin privilegios con UFW

Introducción 

En este artículo vamos a explicar cómo bloquear el tráfico saliente a un usuario concreto de nuestro sistema Ubuntu. Para ello tocaremos la configuración del UFW. 

UFW, son las siglas de Uncomplicated Firewall, es un cortafuegos diseñado para Ubuntu con la sencillez de uso en su concepción. Sin embargo, para temas más complicados, la interfaz gráfica que provee no es la mejor opción para implementarlos.

Para el desarrollo de este artículo asumiremos que hay un usuario en el sistema con privilegios de administrador y que llamaremos admin. Además tenemos uno o varios usuarios que no tienen privilegios de administrador. A efectos didácticos llamaremos a uno de ellos no_admin

Hay acciones que se pueden realizar con la interfaz gráfica. Aunque me centraré más en los comandos de la terminal, indicaré cuando es posible realizar una acción usando la interfaz gráfica.

Todas las operaciones hay que realizarlas con el usuario admin.

Habilitar el firewall 

En la distribución de Ubuntu, por defecto, el cortafuegos viene deshabilitado. Para habilitar el UFW se solicitarán las credenciales de un usuario con privilegios de Administración. Se puede habilitar de una de estas maneras:

  • Utilizando la interfaz gráfica: cambiar el botón correspondiente al Estado de tal modo que quede en 1.
  • En la línea de comandos: ejecutaríamos la siguiente orden:

sudo ufw enable

Denegar el tráfico saliente a todo el mundo

Debemos evitar que haya tráfico saliente ya que vamos a establecer políticas restrictivas. Por defecto, el UFW permite cualquier tráfico saliente. Cambiaremos esto:

  • Utilizando la interfaz gráfica: en la lista desplegable correspondiente a Saliente seleccionaríamos Denegar.
  • En la línea de comandos:

sudo ufw default deny OUTPUT

Permitir las conexiones entrantes que necesitemos

Una vez habilitado el cortafuegos se aplicarán las políticas definidas en él. Por defecto, el tráfico entrante está Denegado por lo que no se podrán hacer conexiones al ordenador. En mi caso, por cuestiones de administración de los equipos necesito tener habilitado el acceso por SSH. Como ejemplo describiré cómo permitir ese acceso:

  • Utilizando la interfaz gráfica: podemos ver en la imagen de la interfaz que está al principio del artículo que hay tres botones justo debajo de la lista desplegable Saliente. Seleccionamos el botón correspondiente a las Reglas. Se nos abrirá un cuadro de diálogo para crear una regla nueva en el cortafuegos.

Vemos que existen 3 pestañas: Preconfigurada, Simple y Avanzada. Para el SSH lo mejor es hacerlo en la pestaña preconfigurada pues nos provee de una selección de los servicios más comunes, entre ellos el SSH. En la figura se puede ver qué hay que seleccionar para este servicio. Para añadirla al cortafuegos basta con dar al botón de Añadir.
Conviene echar  un vistazo a todas las reglas preconfiguradas disponibles, sin añadirlas si no hace realmente falta, para hacerse una idea de lo que se puede configurar en nuestro cortafuegos. 
  • En la línea de comandos:

        sudo ufw allow 22

El puerto 22 es el que utiliza el SSH.

Si se quiere lo mismo para, por ejemplo, NoMachine o cualquier servicio que se desee hay que buscar los puertos en los que escucha la aplicación (NoMachine usa el 4000). Si ya se está ejecutando el servicio que queremos añadir podemos abrir una terminal y escribir:

netstat -anp |less

Se listarán todas las conexiones de red. Buscaremos entre ellas la que nos interese. Una vez que conozcamos el puerto repetimos la operación igual que como lo hicimos para SSH.

Configuración de las reglas para regular el tráfico saliente

En esta fase ya tenemos el cortafuegos configurado para que no permita ninguna conexión saliente. A continuación, debemos configurarlo para que permita la salida al tráfico del usuario admin y quede bloqueado todo el tráfico saliente para el usuario no_admin, exceptuando una dirección en concreto.

Para conseguirlo, en una terminal, editaremos el fichero /etc/ufw/before.rules. A este fichero añadimos las siguientes líneas:

# Permitimos conexiones establecidas
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# Permitir acceso a todo el tráfico del usuario admin
-A ufw-before-output -m owner --uid-owner admin -d 0.0.0.0/0 -j ACCEPT

# Permitimos a no_admin el trafico hacia la red local (en este ejemplo

192.168.1.0/24)

-A ufw-before-output -m owner --uid-owner no_admin -d 192.168.1.0/24 -j ACCEPT

# Permitimos a no_admin sólo el trafico hacia una dirección en concreto (por ejemplo, el DNS de Google)
-A ufw-before-output -m owner --uid-owner no_admin -d 8.8.8.8 -j ACCEPT

 Reiniciamos el servicio del firewall y ya estaría listo:

sudo service ufw restart

Conclusión

Con esta configuración hemos conseguido limitar el tráfico de un usuario sin privilegios (no_admin) a sólo la red local y al DNS de Google. Mientras el el usuario con privilegios (admin) sigue gozando de todo el acceso a Internet y red local. Si se desea que el usuario no_admin pueda acceder a otras direcciones se pueden ir añadiendo líneas que lo permitan por cada una de ellas o especificando redes concretas.

Esto es útil cuando en un ordenador de trabajo se quiere limitar el acceso al trabajador mientras que los administradores de sistemas sigan conservando pleno acceso a la red local e Internet.

Espero que este artículo les parezca interesante.

Comentarios

Entradas populares de este blog

Firma digital de documentos usando LibreOffice

  Introducción Una firma digital es un proceso mediante el cual se puede consignar a un documento digital la identidad de una persona. Permitiendo, mediante el uso de certificados avalados por autoridades certificadoras, a cualquier persona verificar que el documento digital verdaderamente pertenece a la persona firmante. Además, también previene que, una vez firmado un documento, éste pueda ser modificado. El proceso de firmado se puede realizar utilizando distinto software, como por ejemplo el Autofirma o desde páginas específicas de Internet, casi siempre implicando el uso de applets de Java . En el presente artículo nos vamos a centrar en explicar como realizar dicho proceso de firma y su verificación utilizando la suite ofimática LibreOffice corriendo sobre Ubuntu . Para las pruebas y el desarrollo de este artículo voy a utilizar el  Ubuntu 20.04.3 LTS y el LibreOffice  6.4.7. Verificación del entorno A diferencia de Windows u OSX , en Linux no existe un almacén...

Instalación de Laravel Homestead y (IV)

  En esta entrada, la última de la serie dedicada al Homestead , veremos como llevar a la práctica lo que hemos aprendido hasta ahora. Lo haremos desde dos puntos de vista. Con el Homestead  instalado de forma global y con una instalación por proyecto. De este modo, podrás usar el Homestead de la forma en que más prefieras. Ejecución del entorno Homestead con una instalación global Llegados a este punto, supongo que ya tienen instalado el Homestead  en modo global y configurado el fichero Homestead.yaml . En él pondremos nuestra carpeta compartida ~/code  mapeada a /home/vagrant/code.  Pues ahora lo primero que hay que hacer es crear la máquina virtual. En el directorio donde instalamos nuestro Homestead : cd /Homestead vagrant up   Durante un buen rato se estará creando la máquina virtual, automáticamente se irá descargando e instalando el software definido en Homestead.yaml . Esto sólo ocurrirá la primera vez que se cree la máquina virtual. Las sigu...

Instalar Code::Blocks en español

Introducción Code::Blocks es un IDE libre diseñado para la programación de C, C++ y FORTRAN construido para proveer las necesidades más demandadas por sus usuarios. Está diseñado para ser muy extensible y totalmente configurable. Está diseñado a partir de un marco de trabajo de extensiones, por lo que puede ser ampliado mediante la instalación de las mismas. De hecho, las funcionalidades de compilación y depuración son extensiones. En este artículo, voy a explicar como instalar el Code::Blocks en un sistema con el Ubuntu 21.10 instalado. La versión de Code::Blocks que hay en los repositorios es la 20.03. Además, explicaré como poner su interfaz en español. Instalando pre-requisitos En primer lugar hemos de asegurarnos que tenemos instalados el compilador y las herramientas de depuración. Por lo que ejecutaremos en una terminal $sudo apt install build-essential gdb Con esto ya es suficiente para el C y C++. Instalando el paquete de Code::Blocks En una distribució...