Un firewall con OpenBSD?

Iniciado por guiu, 16 Abril 2013, 12:35 PM

0 Miembros y 1 Visitante están viendo este tema.

guiu

Muy buenas a todos,

Soy lector habitual del foro, aunque no he escrito nunca. Aquí va mi primera consulta:
Estoy barajando opciones para securizar una conexión ftp. Había "decidido" usar un "mini-ordenador" tipo PCEngine o Soekris (placas bastante básicas), y montar OpenBSD. Configurar el firewall de este S.O. (Packet Filter) y, si acaso, instalar Snort. Mi pregunta es,...:
¿Qué ventajas/inconvenientes ofrece este firewall "SW" frente a uno "HW" comercial? Como os podéis imaginar, no soy ningún experto,...
Muchas gracias a todos!

el-brujo

¿Securizar una conexión ftp?

Hombre pues lo primero mejor usar SFTP o secure shell sobre ftp

Hay varias distribuciones basadas en OpenBSD orientadas a ahacer de firewall y demás, tipo pfsense y demás, no recuerdo nombres, pero haberlas las hay.

Pues ete tipo de software es complementante gratuito y muy configurable, aunque tirando de documentación. Las soluciones de un aparatito (hardware) pues viene a ser lo mismo, pero pagando y con un entrono diferente.

guiu

Hola el-brujo,

Gracias por tu respuesta! Sí, sé que lo suyo es irte a SFTP,... el problema es que eso no lo puedo tocar. Debe ser FTP no seguro.

Mmmmm, no sabía que había distros basadas en OpenBSD como pfsense, que "parte" de FreeBSD. Miraré a ver.

Respecto a los firewalls "HW", ¿se puede pueden hacer tareas de administración por conexión remota (y segura, claro, tipo SSH)? ¿Hay de estos firewalls que tengan funcionalidades de IDS/IPS (tipo Snort)?

Y otra pregunta un poco distinta pero que forma parte de mi problema,... ¿es posible configurar un firewall para forzar que una conexión FTP sólo transifera DATOS en un sentido? Es decir, una especie de comunicación unidireccional de datos... La idea es habilitar sólo transferencia de ficheros en un sentido, aunque por lo que he leído no tengo claro que se pueda hacer.

Muchas gracias!!!

cpu2

Cita de: guiu en 16 Abril 2013, 19:09 PM
Y otra pregunta un poco distinta pero que forma parte de mi problema,... ¿es posible configurar un firewall para forzar que una conexión FTP sólo transifera DATOS en un sentido? Es decir, una especie de comunicación unidireccional de datos... La idea es habilitar sólo transferencia de ficheros en un sentido, aunque por lo que he leído no tengo claro que se pueda hacer.

¿Algo como esto?

pass out inet proto tcp from $src to $dst port 21

Un saludo.

guiu

Qué tal cpu2,

Gracias por echarme un cable.

Corrígeme si me equivoco, pero el puerto TCP#21 es el que el servidor ftp usa para establecer la sesión de "comandos". Yo me refiero a la de datos de una comunición típica ftp...

Saludos

cpu2

Seguramente te refieres a ftp-data puerto 20.

En OpenBSD la transerencia de datos se hace a través de un puerto aleatorio, este es el netstat de mi servidor local.

Proto   Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp          0  32744  127.0.0.1.60032        127.0.0.1.17661        ESTABLISHED
tcp      32780      0  127.0.0.1.17661        127.0.0.1.60032        ESTABLISHED
tcp          0      0  127.0.0.1.21           127.0.0.1.42184        ESTABLISHED
tcp          0      0  127.0.0.1.42184        127.0.0.1.21           ESTABLISHED


Como puedes observar en recv-q y send-q las transferencia son las dos de arriba y las dos de abajo "commandos".

Podrias redireccionar el tráfico a un puerto especifico o algo por el estilo.
También busca si hay algun demonio para el servicio ftp-data.

Un saludo.