viernes, 6 de agosto de 2010

Configuración firewall para servicio Samba en FreeNAS.

El presente artículo tiene como objetivo añadir políticas de seguridad al firewall mediante la configuración de las reglas de ipfw (IPFIREWALL de FreeBSD que se incluye en la instalación de FreeNAS) que permita a un cliente acceder a los recursos compartidos via Samba que ofrece el servidor NAS.

Veamos el escenario (arquitectura de una instalación típica) al que vamos a aplicar esta política.

Objetivo
  • Limitar el acceso al PC 192.168.1.5 para que sólo pueda acceder a los servicios de SMB/CIFS del servidor NAS.
Configuración
Aplica las reglas del firewall del servidor NAS 192.168.1.4 para que el PC 192.168.1.5 sólo pueda acceder al servicio de Samba (poder copiar o leer ficheros de carpetas compartidas).

En el artículo previo, se habían dado permisos globales al cliente 192.168.1.5 de acceso al servidor FreeNAS 192.168.1.4, siendo las reglas de ipfw las siguientes:


Eliminamos dichas reglas.

Ahora, vamos a hacer el firewall más restrictivo, tal que este cliente sólo tenga acceso al servicio de compartición de recursos Samba, en otras palabras, que el PC 192.168.1.5 (Windows XP) pueda grabar ficheros en un directorio compartido del servidor NAS.


siendo las reglas generadas:
00060 allow udp from 192.168.1.5 137 to any dst-port 137 via re0
00061 allow udp from 192.168.1.5 138 to any dst-port 138 out via re0
00062 allow tcp from 192.168.1.5 to 192.168.1.4 dst-port 139 via re0
00064 allow udp from 192.168.1.4 137 to 192.168.1.5 dst-port 137 via re0
00065 allow udp from 192.168.1.4 138 to 192.168.1.5 dst-port 138 in via re0
00066 allow tcp from 192.168.1.4 139 to 192.168.1.5 via re0


Observaciones
  1. Las reglas 60 y 62 deberían de ser sólo OUTput, mientras que las 64 y 66 ser sólo INput, no obstante se han activado de IN/OUT por la propagación de SMB originados en el cliente XP.
  2. Hay que tener especial cuidado en los puertos de las reglas 62 y 66, de ahi que nos aseguremos que uno de los puntos sea el puerto 139, ya que la comunicación abre un puerto del 1024 al 65535 y estos deben estar auditados siempre.
  3. Para ser puristas, las reglas 62 y 66 sobre el protocolo NETBIOS session service (139) deberían de tener el flag de ESTABLISHED en la configuración de la regla en FreeNAS, para asegurarnos que sólo hay comunicación tras el establecimiento de sesión.

Notas
El servicio que ofrece FreeNAS para conectarse con redes Windows es mediante Samba y en específico CIFS (Microsoft's Common Internet File System). Suponemos que tenemos el servicio SMB/CIFS de FreeNAS activo y configurado correctamente (Grupo de trabajo, elementos a compartir, etc.) ya que en el presente artículo sólo hemos configurado el firewall de FreeNAS para que un cliente determinado pueda acceder a dichos elementos compartidos.

No hay comentarios: