SELINUX & FIREWALL

  

¿Qué es SElinux?

una arquitectura de seguridad para los sistemas Linux que otorga a los administradores mayor control sobre las personas que pueden acceder al sistema. Originalmente, la Agencia de Seguridad Nacional (NSA) de Estados Unidos desarrolló este producto como una serie de parches para el kernel de Linux utilizando los módulos de seguridad de Linux (LSM).

SELinux se puso a disposición de la comunidad open source en el año 2000, y se integró al kernel upstream de Linux en 2003.

¿Cómo funciona SELinux?

 

SELinux define los controles de acceso para las aplicaciones, los procesos y los archivos dentro de un sistema. Utiliza las políticas de seguridad, que consisten en un conjunto de reglas que indican a SELinux a qué se puede acceder.

Cuando una aplicación o un proceso, conocidos como sujetos, solicitan acceso a algún objeto, por ejemplo un archivo, SELinux consulta la caché de vector de acceso (AVC), donde se almacenan los permisos de los objetos y los sujetos.

En caso de que SELinux no pueda tomar una decisión en función de los permisos almacenados en la caché, envía la solicitud al servidor de seguridad, que analiza el contexto de seguridad de la aplicación o del proceso y del archivo. El contexto de seguridad se aplica desde la base de datos de políticas de SELinux. Luego, se otorga o se niega el permiso.

En caso de que se niegue, aparecerá el mensaje "avc: denied" en /var/log.messages.

 

La configuración de SELinux

 

Hay muchas formas de configurar SELinux para proteger el sistema. Las más comunes son la política específica o la seguridad de varios niveles (MLS).

La política específica es la opción predeterminada, y comprende una serie de procesos, tareas y servicios, mientras que la MLS es muy compleja y, generalmente, solo la utilizan los organismos gubernamentales.

Para saber con qué configuración se ejecuta el sistema, basta con consultar el archivo /etc/sysconfig/selinux. El archivo contendrá una sección donde se indicará si SELinux se encuentra en modo permisivo, impositivo o deshabilitado, y qué política se debería cargar.

Aplicación de tipo y etiquetado de SELinux

La aplicación de tipo y el etiquetado son los conceptos más importantes de SELinux.

Este producto trabaja como sistema de etiquetado, lo cual significa que hay una etiqueta de SELinux asociada a cada archivo, proceso y puerto del sistema. Las etiquetas son un método lógico para agrupar elementos, y el kernel las gestiona durante el proceso de arranque.

El formato de las etiquetas es user:role:type:level (el nivel es opcional). El usuario, la función y el nivel se utilizan en implementaciones más avanzadas de SELinux, como la MLS. El tipo de la etiqueta es el aspecto más importante de la política específica.

SELinux utiliza la aplicación del tipo de etiqueta para aplicar cierta política definida en el sistema; es decir, las políticas de SELinux definen si un proceso que se ejecuta con cierto tipo de etiqueta puede acceder a un archivo que tiene determinado tipo de etiqueta.

Habilitación de SELinux

 

Si SELinux está deshabilitado en su entorno, puede habilitarlo editando /etc/selinux/config y estableciendo el ajuste SELINUX=permissive. Dado que no estaba habilitado actualmente, no es conveniente configurarlo como impositivo de inmediato, ya que es probable que haya elementos mal etiquetados en el sistema que podrían impedir su arranque.

Para que el sistema vuelva a etiquetar el sistema de archivos automáticamente, cree un archivo vacío con el nombre .autorelabel en el directorio raíz y reinicie el sistema. En caso de haber demasiados errores, deberá reiniciar el sistema en modo permisivo para que el arranque se ejecute correctamente. Una vez que todos los elementos se hayan vuelto a etiquetar, establezca el modo de SELinux en impositivo con /etc/selinux/config y reinicie el sistema, o ejecute el comando setenforce 1.

Si el administrador de sistemas no conoce bien la línea de comandos, puede utilizar las herramientas gráficas disponibles para gestionar SELinux.

SELinux brinda una capa de seguridad adicional para su sistema, que se encuentra integrada en las distribuciones de Linux. Si su sistema está en riesgo, debe permanecer activado para poder protegerlo.

¿Qué es un Firewall?

Un firewall (llamado también cortafuego), es un sistema que permite proteger a una computadora o una red de computadoras de las intrusiones que provienen de una tercera red (expresamente de Internet). El firewall es un sistema que permite filtrar los paquetes de datos que andan por la red. Se trata de un «puente angosto» que filtra, al menos, el tráfico entre la red interna y externa.
Un firewall puede ser un programa (software) o un equipo (hardware) que actúa como intermediario entre la red local (o la computadora local) y una o varias redes externas

¿Cómo funciona un Firewall?

 

Un firewall funciona como una barrera entre internet u otras redes públicas y nuestra computadora. Todo el tipo de tráfico que no esté en la lista permitida por el firewall, no entra ni sale de la computadora.
Para ello, un sistema de firewall contiene un conjunto de reglas predefinidas que permiten:

• Autorizar una conexión (Allow)
  
• Bloquear una conexión (Deny)
• Redireccionar un pedido de conexión sin avisar al emisor (Drop).

El conjunto de estas reglas permite instalar un método de filtración dependiente de la política de seguridad adoptada por la organización. Se distinguen habitualmente dos tipos de políticas de seguridad que permiten:
Permitir únicamente las comunicaciones autorizadas explícitamente: “Todo lo que no es autorizado explícitamente está prohibido”.
Impedir cualquier comunicación que fue explícitamente prohibida.
El primer método es el más seguro, pero requiere de una definición precisa de las necesidades de comunicación de toda la red.

Tipos de firewall

Básicamente, existen dos tipos de firewalls, destinados a diferentes tipos de infraestructuras de datos y tamaños de red.

Firewall por Software (tanto aplicaciones gratuitas como pagas)

Firewall por Hardware (Es decir mediante la utilización de dispositivos)

Firewall por software

Un firewall gratuito es un software que se puede instalar y utilizar libremente, o no, en la computadora. Son también llamados “Desktop firewall” o “Software firewall”.

Son firewalls básicos para pequeñas instalaciones hogareñas o de oficina que monitorean y bloquean, siempre que necesario, el tráfico de Internet. Casi todas las computadoras vienen con un firewall instalado independientemente del sistema operativo instalado en ellas.

Las características de un firewall por software son:

• Los gratuitos se incluyen con el sistema operativo y normalmente son para uso personal
• Pueden ser fácilmente integrados con otros productos de seguridad
• No necesita de hardware para instalarlo en la computadora
• Es muy simple de instalar, normalmente ya viene activado y el Sistema Operativo alerta cuando no tenemos ningún tipo de firewall en funcionamiento.
• Un firewall por software es lo más básico en materia de seguridad que debe existir en una computadora y no hay razones que justifiquen la no utilización de, por lo menos, un desktop firewall.
• Un firewall comercial funciona de la misma forma que uno gratuito, pero normalmente incluye protecciones extra y mucho más control sobre su configuración y funcionamiento.

Firewall por Hardware

Una firewall por Hardware viene normalmente instalado en los routers que utilizamos para acceder a Internet, lo que significa que todas las computadoras que estén detrás del router estarán protegidas por un firewall que está incluido en el dispositivo. La mayoría de los routers vienen con un firewall instalado.

La configuración de un firewall por hardware es más complicada que una instalación de un firewall por software y es normalmente realizada a través del navegador que se utiliza para acceder a Internet. Cabe destacar que la diferencia de precio entre un router con firewall y un router sin firewall es muy pequeña, por eso es recomendable comprar un firewall con esta protección.

 

.

Es posible tener un firewall por hardware y un firewall por software activos simultáneamente para lograr una mayor protección, pero tenemos que tener amplios conocimientos en el tema de seguridad para que todo ello cumpla con su función correctamente sin solaparse.

La importancia de un Firewall

Uno de los aspectos fundamentales para la seguridad de nuestra computadora es la instalación de un firewall junto con un antivirus de calidad. Es importante instalar esta medida de protección cuando utiliza su computadora para el acceso a internet. El firewall crea una barrera entre los datos privados de nuestra computadora y las amenazas externas que nos pueden atacar cuando estamos conectados a una red.

¿Es necesario tener un firewall?

La respuesta a este interrogante es inevitablemente sí, ya que un firewall está diseñado para proteger nuestra PC de varios tipos de ataques, amenazas y malware de todo tipo, incluyendo los siguientes:

• Gusanos, también denominados “worms”, que se esparcen de computadora en computadora vía internet y después toman el control de su computadora.
• Los Hackers que deseen entrar en la computadora para tomar el control de la misma y hacer “ataques disfrazados” o robar datos personales que se encuentran en el disco rígido.
• Bloquea el tráfico de salida para no dejar que determinados protocolos sean utilizados para esparcir los virus que pueda llegar a tener su computadora.
  
  
  

Por sí sólo, un firewall no impide todos los ataques, pero si no tuviera ninguno instalado, basta con conectarse a Internet para que la probabilidad de ser infectado en pocos minutos sea grande. Un firewall no protege la computadora en casos como virus, spam y spyware. Es la última defensa cuando revelamos nuestras contraseñas, o si permitimos la entrada de agentes externos como malware en aplicaciones.
En este punto debemos tener en cuenta que un firewall sin otro tipo de protección no garantiza una protección completa (de hecho, actualmente nada garantiza seguridad 100% completa).  Por ello, aunque nos encontremos en redes protegidas, como es el caso de las redes empresariales y hasta de los ISP, siempre debemos activar un firewall en nuestra computadora para tener mayor protección.