082 | Fundamentos del cortafuegos: UFW — protección sencilla y potente

Introducción: la primera línea de defensa de su servidor

Antes de pensar en sistemas complejos de detección de intrusiones, como Fail2ban o CrowdSec, es necesario establecer la primera y más fiable línea de defensa: el cortafuegos (firewall). El cortafuegos controla todo el tráfico de red entrante y saliente de su servidor y bloquea los intentos de conexión no autorizados.

En Linux para gestionar el cortafuegos tradicionalmente se ha usado iptables, pero su sintaxis puede ser compleja y confusa. Afortunadamente, existe una herramienta más sencilla e intuitiva: UFW (Uncomplicated Firewall).

¿Qué es UFW y por qué es tan importante?

UFW es una interfaz de usuario para gestionar iptables (o nftables en sistemas modernos). Su objetivo principal es hacer que la configuración del cortafuegos sea lo más simple y accesible posible, incluso para administradores de sistemas principiantes. UFW no es un nuevo firewall, sino una práctica “envoltura” para los mecanismos existentes en Linux, lo que permite configurar reglas básicas de seguridad de forma rápida y sin errores.

Por qué UFW es tan importante:

• Principio de privilegios mínimos: Por defecto, el servidor debe estar cerrado a todo el tráfico externo, excepto los servicios explícitamente permitidos (por ejemplo, SSH o HTTP/HTTPS). UFW ayuda a implementar rápidamente este principio.
• Reducción de la superficie de ataque: Cerrar puertos y servicios innecesarios disminuye la cantidad de posibles “puntos de entrada” para atacantes.

Características clave y ventajas de UFW

• Simplicidad e intuición: Esta es la principal ventaja. En lugar de comandos largos y complejos de iptables, UFW utiliza una lógica simple y comprensible:

  # Permitir tráfico entrante en el puerto 22 (SSH)
  sudo ufw allow 22/tcp
  
  # Denegar tráfico entrante en el puerto 8080
  sudo ufw deny 8080/tcp
  

• Reglas seguras por defecto: UFW permite configurar fácilmente reglas por defecto, lo cual es una buena práctica de seguridad.

  # Denegar todo el tráfico entrante por defecto
  sudo ufw default deny incoming
  
  # Permitir todo el tráfico saliente por defecto
  sudo ufw default allow outgoing
  

  Esto crea una base fiable sobre la cual después añade reglas para servicios concretos.

• Soporte de perfiles de aplicaciones: UFW puede gestionar reglas para aplicaciones populares usando sus nombres. Si ha instalado, por ejemplo, el servidor web Apache, puede permitir el acceso con un solo comando.

  # Permitir tráfico para Apache
  sudo ufw allow 'Apache'
  

  Este comando abrirá automáticamente los puertos 80 (HTTP) y 443 (HTTPS), lo cual es muy cómodo.

• Gestión y registro cómodos: Puede comprobar el estado actual del cortafuegos y la lista de reglas con un solo comando:

  sudo ufw status verbose
  

  También puede activar fácilmente el registro para rastrear intentos de acceso bloqueados:

  sudo ufw logging on
  

Limitaciones y particularidades de UFW

• Flexibilidad limitada para tareas complejas: Para la mayoría de tareas típicas UFW es ideal. Sin embargo, si necesita un enrutamiento muy complejo, NAT u otras reglas específicas, UFW puede quedarse corto. En esos casos deberá trabajar directamente con iptables o nftables.

• Dependencia del backend: UFW es solo una ’envoltura’. Todos sus comandos se traducen finalmente en reglas de iptables o nftables. Si ya usa reglas complejas configuradas manualmente, pueden entrar en conflicto con UFW.

Conclusión

UFW es una herramienta imprescindible para cualquiera que administre un servidor Linux. Proporciona una forma simple y eficiente de configurar el cortafuegos, ofreciendo una protección básica, pero la más importante.

No debe confiar únicamente en Fail2ban o CrowdSec para bloquear ataques; primero hay que cerrar todos los puertos y abrir solo los que realmente sean necesarios. En esto UFW demuestra ser una herramienta indispensable.

En nuestro artículo final de la serie hablaremos de Lynis — una herramienta que permite encontrar proactivamente vulnerabilidades y ’endurecer’ (harden) su servidor.