Resultados 1 al 7 de 7

Tema: configurar ufw como firewall de aplicaciones

  1. #1 configurar ufw como firewall de aplicaciones 
    Iniciado
    Fecha de ingreso
    Jul 2009
    Mensajes
    8
    Descargas
    0
    Uploads
    0
    me llamo la atención la sección de Integración de Aplicaciones del manual de ufw y me pregunte si no se podía gracias a ello configurar ufw para permiter el traficó de salida a Internet solo a ciertas aplicaciones.

    El problema es que el manual de ufw no va nunca al punto de lo que quiero hacer. Algo que en los firewall con interfaz gráfica de windows (no lo uso), por cierto, se sobrentiende.

    Lo que intenté fue esto:

    sudo ufw default deny outgoing

    y use este perfil para firefox en /etc/ufw/applications.d:
    [FIREFOX]
    title=Navegador Web firefox
    description=Navegador Web firefox
    ports=80,8080/tcp

    y entonces hice:
    sudo ufw allow out to any app firefox

    pero por supuesto eso no funciono, cosa que sospeche desde un principio, al ver ese perfil tan simple. Me guié por el de otro programa que había visto. Pero el propio manual de ufw no toca en ningún momento cómo hacer esos perfiles y por Internet no conseguí nada.

    No quiero algo como esto:

    sudo ufw allow out 80 (¡ya se que eso funciona)

    lo que quiero es que solamente los programas que yo seleccione por medio de un perfil o algo, tengan acceso a Internet.

    eso no debería ser Imposible!
    sobretodo para un firewall
    Citar  
     

  2. #2  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Hola neverdead,

    Eso que dices no tiene demasiado sentido. Un proxy desde su posición no ve más que el tráfico de la red y no tiene manera de saber quién es la aplicación que envía o recibe esos datos. Como bien dices, puede actuar en base al puerto. También puede distinguir un montón de cosas más (échale un ojo por ejemplo a la documentación de packet filter), pero quién es el origen de un paquete de datos a nivel de aplicación.


    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  3. #3 tiene sentido 
    Iniciado
    Fecha de ingreso
    Jul 2009
    Mensajes
    8
    Descargas
    0
    Uploads
    0
    tiene sentido !!!. En primer lugar no hablo de un proxy, hablo de un firewall. Además es algo que se puede hacer con los firewall de windows . El interés por filtrar el tráfico a nivel de aplicaciones también es bastante obvio (los hay que hacen eso para las aplicaciones web), con flitrar los puertos de salida no sirve porque puede haber otras aplicaciones que estén dirigiendo trafico a ese puerto y corriendo al mismo tiempo. ufw se sabe que ofrece soporte para filtrar trafico a nivel de aplicaciones, pero aparentemente es solamente el trafico entrante aunque en ningún momento se dice eso explícitamente en el manual de ufw.
    Citar  
     

  4. #4  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Cita Iniciado por neverdead Ver mensaje
    ufw se sabe que ofrece soporte para filtrar trafico a nivel de aplicaciones, pero aparentemente es solamente el trafico entrante aunque en ningún momento se dice eso explícitamente en el manual de ufw.
    Hola de nuevo,

    ¿podrías poner un ejemplo de esto?


    Perdona mi escepticismo, pero no creo que un cortafuegos denominado uncomplicated firewall permita tal cosa. Y mucho menos en un Ubuntu, ¿cómo podría ese cortafuegos saber cuál es la aplicación que origina el tráfico? Sigo pensando que no tiene sentido, tendría que ser una solución integrada en el kernel Linux, pero yo no conozco nada así. Si existe algo de este tipo, estaría bien saberlo


    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  5. #5  
    Iniciado
    Fecha de ingreso
    Jul 2009
    Mensajes
    8
    Descargas
    0
    Uploads
    0
    Citar  
     

  6. #6 el manual 
    Iniciado
    Fecha de ingreso
    Jul 2009
    Mensajes
    8
    Descargas
    0
    Uploads
    0
    transcribo también textualmente lo que dice el manual de ufw:

    "APPLICATION INTEGRATION
    ufw supports application integration by reading profiles located in
    /etc/ufw/applications.d. To list the names of application profiles
    known to ufw, use:

    ufw app list

    Users can specify one of the applications names when adding rules. For
    example, when using the simple syntax, users can use:

    ufw allow <name>

    Or for the extended syntax:

    ufw allow from 192.168.0.0/16 to any app <name>

    You should not specify the protocol with either syntax, and with the
    extended syntax, use app in place of the port clause.

    Details on the firewall profile for a given application can be seen
    with:

    ufw app info <name>

    where '<name>' is one of the applications seen with the app list com‐
    mand. User's may also specify all to see the profiles for all known
    applications.

    After creating or editing an application profile, user's can run:

    ufw app update <name>

    This command will automatically update the firewall with updated pro‐
    file information. If specify 'all' for name, then all the profiles will
    be updated. To update a profile and add a new rule to the firewall
    automatically, user's can run:

    ufw app update --add-new <name>

    The behavior of the update --add-new command can be configured using:

    ufw app default <policy>

    The default application policy is skip, which means that the update
    --add-new command will do nothing. Users may also specify a policy of
    allow or deny so the update --add-new command may automatically update
    the firewall. WARNING: it may be a security to risk to use a default
    allow policy for applications profiles. Carefully consider the security
    ramifications before using a default allow policy".

    Otra cosa, pienso que deberias a abstenerte de hacer ese comentario de que "no tiene sentido" ... si se necesita llegar a manipular el Kernel para que un firewall tenga esa funcionalidad pues se hace (si es que se necesita llegar eso, que no lo se)...

    y se hace porque tendría y tiene sentido. También estoy casi seguro que ufw simplemente no puede hacer lo que yo quiero, lo que me gustaría es una explicación de porque no lo hace, llama la atención que no lo haga y es me parece una grave omisión la que hace el manual al no referirse a eso, y la tuya francamente no me ayuda...

    la respuesta que haces de "que no tiene sentido" lo que pretende es decirme, asi lo entiendo, que simplemente no tengo claro lo que es un firewall y me parece francamente que no es un proxy
    Citar  
     

  7. #7  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    "Application profile", ...

    Eso lo único que hace es asociar puertos a etiquetas personalizadas. Lo que llevo diciendo desde el principio.

    Cita Iniciado por neverdead Ver mensaje
    Otra cosa, pienso que deberias a abstenerte de hacer ese comentario de que "no tiene sentido" ... si se necesita llegar a manipular el Kernel para que un firewall tenga esa funcionalidad pues se hace (si es que se necesita llegar eso, que no lo se)...

    y se hace porque tendría y tiene sentido. También estoy casi seguro que ufw simplemente no puede hacer lo que yo quiero, lo que me gustaría es una explicación de porque no lo hace, llama la atención que no lo haga y es me parece una grave omisión la que hace el manual al no referirse a eso, y la tuya francamente no me ayuda...

    la respuesta que haces de "que no tiene sentido" lo que pretende es decirme, asi lo entiendo, que simplemente no tengo claro lo que es un firewall y me parece francamente que no es un proxy
    Suerte.


    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

Temas similares

  1. Como configurar mando de ono
    Por kaos13 en el foro TV CABLE
    Respuestas: 1
    Último mensaje: 31-08-2010, 09:47
  2. pc como firewall
    Por ^K3``N30 en el foro GENERAL
    Respuestas: 2
    Último mensaje: 29-10-2007, 12:59
  3. como configurar una red
    Por tidus en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 2
    Último mensaje: 08-05-2006, 22:18
  4. configurar kerio personal firewall
    Por polloypan en el foro GENERAL
    Respuestas: 0
    Último mensaje: 30-03-2004, 19:33
  5. Como configurar una red local
    Por Batousai en el foro LINUX - MAC - OTROS
    Respuestas: 2
    Último mensaje: 07-02-2002, 20:23

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •