Interfaz de usuario
Menú
Interfaz de usuario
FWCloud-UI es la interfaz de usuario a través de la cual podemos administrar todas nuestras clouds de firewalls. Se trata de una interfaz web accesible a través de navegadores como Chrome o Firefox, programada utilizando el framework Angular gracias al cual tiene un comportamiento similar al de una aplicación de escritorio, aunque se trate de una aplicación ejecutada dentro de nuestro navegador web.
Se trata de una aplicación bastante sencilla e intuitiva de manejar para usuarios acostumbrados a trabajar con firewalls basados en Linux.
Manual de Usuario
Este documento es el manual de usuario para FWCloud-UI. En el mismo damos información detallada acerca de como utilizar la Interfaz de Usuario FWCloud y todas las funcionalidades de esta gran aplicación web.
Video - Tutoriales
En esta sección vamos a ir mostrando diversos vídeos a modo de tutorial que nos servirán para entender como utilizar FWCloud y las prácticas de uso más aconsejables. Estos vídeos forman parte de nuestro canal de Youtube, el cual iremos actualizando conforme vayamos añadiendo nuevas funcionalidades a FWCloud-UI.
FWCloud se complemente con numerosos plugins. Entre ellos tenemos el plugin para HAProxy, que es ampliamente utilizado en instalaciones donde se requiere alta disponibilidad y balanceo de carga.
En este vídeo vamos a mostrar como podemos instalar y mantener la configuración de HAProxy desde FWCloud.
FWCloud simplifica al máximo la configuración de este servicio mediante reglas que podemos administrar de forma visual con toda la flexibilidad que nos ofrece FWCloud
Una de las nuevas características de FWCloud es la capacidad de controlar los servicios del sistema desde la consola web.
Para ilustrar esta funcionalidad, en este video instalaremos un servidor OpenVPN, crearemos el PKI de Infrastruture y administraremos el ciclo de vida del servicio, todo sin abandonar la interfaz web.
Como se muestra en el video, podemos acceder a la funcionalidad llamada Systemctl desde el menú contextual de los Servicios.
En este vídeo vamos a mostrar como podemos instalar/desinstalar y administrar un servidor DHCP dese la consola de FWCloud.
Esto facilita la administración de la configuración y la revisión de las opciones configuradas de una manera visual e intuitiva además de poder adminsitrar varias equipos con servidor DHCP desde una sola consola accesible via web.
Puede instalar FWCloud en sus propios servidores. Actualmente hay tres formas de instalar FWCloud:
En este vídeo vamos a ver cómo instalar FWCloud usando tanto paquetes .DEB como .RPM. Este método es realmente sencillo y podemos tener FWCloud instalado en menos de 5 minutos.
Ahora puede ejecutar FWCloud como servicio. Puede crear una instancia de la applicación en la nube y pobrar todas las funcionalidades de FWCloud.
Si está pensando en evaluar la aplicación o simplemente quiere echar un vistazo a sus caracteríticas puede hacerlo sin necesidad de buscar un servidor ni tener que realizar una instalación. Tan sólo registrese con una cuenta de correo válida y comience a utilizar FWCloud.
Si alguna vez se ha preguntado qué se instala en los firewalls cuando se instala la política de seguridad desde FWCloud-UI, ahora puede revisar y descargar el contenido del script que se instalará en los firewalls.
Puede acceder a este script desde la consola de FWCloud, sin necesidad de ingresar al equipo remoto.
Ahora podemos ampliar las funcionalidades de FWCloud instalando software de seguridad de terceros directamente desde la consola de FWCloud.
Instalar o desinstalar software de seguridad en los firewalls consiste básicamente en marcar o desmarcar el complemento correspondiente en FWCloud-UI.
FWCloud-UI tiene un tipo especial de objetos que representan direcciones IP geolocalizadas en cada uno de los países.
Esto nos permite crear reglas utilizando estos objetos, de esta forma es fácil evitar ataques DoS o DDoS si tenemos localizado desde donde se están produciendo.
Esta nueva funcionalidad actualiza la creación de políticas de enrutamiento avanzado.
Ahora FWClou-UI nos permite seleccionar si la tabla o la regla de enrutamiento se va a instalar en todos los nodos del clúster, o si preferimos que se instale solo en un nodo específico.
Además de usar el nombre de usuario y la contraseña, podemos hacer que el acceso a FWCloud-UI sea aún más seguro configurando un segundo factor de autenticación.
Para ello necesitamos un dispositivo al que solo nosotros tengamos acceso, por ejemplo nuestro móvil, que configuraremos para recibir un código de autenticación.
Para mejorar la legibilidad de la política de seguridad hemos modificado la forma en la que se añaden hook scripts. Hemos creado un nuevo tipo de regla especial para ellos que aporta más sencillez a la vez que facilita que agiliza la lectura global.
Fail2ban es una aplicación para la prevención de intrusos en un sistema, que actúa penalizando o bloqueando las conexiones remotas que intentan accesos por fuerza bruta. Fail2Ban actua añadiendo reglas a la politica de seguridad del sistema. En FWCloud-UI se ha añadido una nueva opción en la configuracion de los firewalls que permite la reinstalación de la política sin interferir con las reglas añadidas por Fail2Ban.
CrowdSec es una de las aplicaciones más utilizadas de código abierto para prevenir ataques de intrusión. FWCloud-UI ahora tiene en cuanta esta aplicación para evitar que interfiera con la instalación de una nueva política de seguridad.
En este nuevo vídeo mostramos como activar la opción de compatibilidad con CrowdSec.
FWCloud puede instalarse usando una imagen Docker. De este modo se puede tener FWCloud instalado y corriendo en cuestión de minutos. Si tenemos Docker y Docker Compose en nuestro sistema la instalación se reduce a ejecutar una única línea.
Tal y como hemos explicado en la sección de instalación, tenemos que acceder a la URL de acceso a FWCloud-UI para poder descargar la interfaz de usuario y ejecutarla en nuestro navegador. Una vez completada la descarga se nos presentará la ventana de login. En una instalación nueva, los datos de acceso por defecto serán:
Código de cliente: 1
Nombre de usuario: fwcadmin
Contraseña: fwcadmin
Dado que la contraseña por defecto para una nueva instalación es muy insegura, es conveniente cambiarla lo antes posible.
Lo primero que tenemos que hacer para poder empezar es crear nuestra primera FWCloud.
Una FWCloud es una agrupación lógica de firewalls, clusters de firewalls, objetos IP, conexiones VPN, etc.
Podemos tener una FWCloud para cada uno de nuestros clientes o también, por ejemplo, una para cada país para una multinacional.
Vamos a crear nuestro primer Firewall dentro de la FWCloud que hemos creado en el paso anterior. Este firewall lo utilizaremos para la propia máquina en la cual estamos ejecutando FWCloud, que en el caso de este tutorial partimos de una máquina virtual creada a partir de FWCloud-VM.
Creamos las interfaces de red que vaya a tener el firewall. Definimos la interfaz y dirección IP que vamos a utilizar para la instalación de la política de seguridad.
La política de seguridad se carga mediante un script shell que se sube al firewall mediante SSH. Por lo tanto, tenemos que tener acceso SSH desde nuestro servidor FWCloud a la dirección IP indicado.
En este caso como estamos creando el firewall para nuestro propio servidor FWCloud, la dirección IP es la de localhost.
Para poder crear conexiones VPN necesitamos disponer de una PKI (Public Key Infrastructure) a través de la cual generar certificados vinculados a cada conexión VPN, de tal modo que identifiquen cada VPN de manera unívoca.
Vamos a ver como es muy sencillo crear una PKI y certificados de servidor/cliente a través de FWCloud-UI.
Dado que todos los firewalls conectados a nuestro servidor FWCloud van a ser gestionados utilizando conexiones SSH, es muy aconsejable que estos se conecten a nuestro servidor utilizando una conexión VPN.
Es lo que denominamos VPNs de administración, es decir, conexiones VPN a través de las cuales administramos de forma segura nuestra cloud de firewalls.
Para ello vamos a crear un servidor OpenVPN en nuestro FWCloud, de un modo muy sencillo a través de la interfaz de usuario FWCloud-UI. Crearemos también una configuración VPN de cliente para un firewall que vamos a utilizar en este tutorial.
Vamos a modificar la política de nuestro firewall para habilitar el acceso al servidor OpenVPN que acabamos de crear.
De este modo permitiremos que los firewalls que pertenezcan a nuestra plataforma FWCloud se puedan conectar a la misma mediante las VPNs de administración, a través de las cuales los podremos administrar de forma segura.
Para entender mejor como vamos a administrar nuestros firewalls y clusters de firewalls desde una plataforma FWCloud, en el siguiente vídeo tutorial daremos de alta un nuevo firewall y un nuevo cluster de firewalls que conectaremos a nuestro servidor FWCloud mediante VPNs de administración.
También veremos como crear una carpeta dentro del árbol de firewalls para entender mejor como organizar nuestros firewalls/clusters.
Ahora la comunicación con los firewalls se puede realizar a través de un agente.
Este agente de FWCloud proporciona comunicaciones más rápidas entre FWCloud y los firewalls administrados y, entre otras cosas, evita la repetición de establecimientos de conexión.
Además, las acciones que se pueden realizar de forma remota en los firewalls ahora están limitadas a las permitidas por la API de comunicación del agente, lo que brinda una mayor protección.
Gracias a FWCloud-Agent podemos hacer muchas más cosas que no eran factibles a través de la comunicación SSH, como mantener un historial del estado de las conexiones VPN.
Podemos verificar el historial de todas las conexiones VPN que tiene un firewall administrado por FWCloud. Esta información se obtiene conectando periódicamente FWCloud a los agentes instalados en los firewalls administrados. Se almacena en la base de datos y se puede revisar en cualquier momento.
También podemos ver en tiempo real la cantidad de tráfico que está usando una conexión VPN.
Hemos agregado soporte para enrutamiento a FWCloud-UI. Ahora es posible crear y administrar completamente una política de enrutamiento avanzada desde FWCloud-UI.
En este video, a través de dos ejemplos, le mostraremos paso a paso cómo crear y administrar las tablas de enrutamiento, así como las tablas de reglas que permiten al sistema seleccionar en qué tabla debe buscar la ruta correcta hacia un destino.
De esta forma, es posible utilizar toda la potencia que ofrece FWCloud-UI a la hora de redactar, editar y mostrar una política de enrutamiento.
Ahora desde FWCloud-UI puede compilar tanto para firewalls basados en IPTables como en NFTables.
En este vídeo mostramos como usar esta nueva funcionalidad. Puede compilar la política de seguridad para el framework de filtrado de paquetes que elija, de forma tan sencilla como siempre, basta editar las propiedades del firewall.
Además puede previsualizar a nivel de regla como quedará ésta una vez compilada.
FWCloud-UI le permite ampliar las posibilidades al crear una política de seguridad. Puede agregar scripts para complementarla.
Estos "hook scripts" se aplican a nivel de regla y por tanto pueden ejecutarse tanto antes como después de las reglas.
En este video le mostraremos cómo hacerlo.
FWCloud-UI permite bloquear conexiones VPN, permitiendo su posterior desbloqueo.
El interfaz muestra de forma clara las conexiones que tenemos bloqueadas.
Aporta sencillez tanto si son acciones habituales como esprádicas, y a la vez rapidez en los cambios de las conexiones de forma gráfica e intuitiva.
Se ha mejorado la función búsqueda.
Ahora se permite la búsqueda por nonmbres, asi como en las direciones IP y en los puertos TCP/UDP.
El patrón a buscar puede coincidr tanto con el nombre como con el valor asignado a los distintos objetos de FWCloud-UI.
Veamos un caso práctico de búsqueda.
En este vídeo veremos cómo podemos utilizar la utilidad Autodiscover de FWCloud para obtener la información de las interfaces de red pero esta vez trabajando con un clúster de firewalls. FWCloud sólo necesita tener acceso por red a los nodos del clúster y automáticamente recuperará toda la información. Esta se puede incorporar directamente o modificarse en la interfaz de usuario antes de ser incluida.
Este asistente facilita la importación de un clúster de firewall a un nuevo clúster administrado por FWCloud. Los nodos del clúster a importar sólo necesitan poder exportar su política usando el comando iptables-save.
El asistente nos guiará descubriendo las interfaces y direcciones IP de todos los nodos del clúster, creará estos objetos en la infraestructura FWCloud-UI y obtendrá la política de seguridad del clúster y la dejará lista para ser revisada y aplicada en el nuevo clúster.
Con la utilidad "Autodescubrir" FWCloud-UI es capaz de conectarse a un firewall y obtener tanto las interfaces de red de éste como las direcciones IP en versión 4 y 6 y las MACs asociadas.
Podemos añadir esta información a la configuración de nuestro firewall en FWCloud-UI, además de realizar ajustes mientras estamos ejecutando la utildad.
Realmente útil si tenemos que integrar la información de muchas interfaces de red.
Este asistente nos guía paso a paso en la importación de la política de cualquier firewall compatible con el formato de IPTables-save a FWCloud.
Esta herramienta nos permite en unos pocos clicks migrar un firewall para poder administrarlo con FWCloud.
Configuramos las VPNs de administración para el firewall y cluster de firewalls que acabamos de crear.
Instalamos las respectivas VPNs que acabamos de generar, tanto en el servidor VPN (ficheros CCD) como en el firewall y cada uno de los nodos del cluster de firewalls.
Generamos la política de seguridad necesaria en el firewall y en el cluster para permitir la gestión de la política de seguridad desde nuestra plataforma FWCloud.
Modificamos la configuración del firewall y cluster para poder cargar la política a través de estas las VPNs de administración que creamos en el apartado anterior.
Compilamos la política de seguridad y procedemos a la instalación de la misma empleando para ello las VPNs de administración que configuramos en el apartado anterior.
Esto es de enorme utilidad, dado que el firewall/cluster que queremos administrar puede estar en cualquier parte del mundo, lo único que precisa es un acceso a Internet para poder establecer la VPN de administración. Además, es muy seguro, dado que cada VPN es unívoca y tiene asignada una IP concreta.
Visualizamos el estado en tiempo real de las conexiones VPN establecidas sobre nuestro servidor FWCloud.
Estas VPNs corresponden a las VPNs de administración, pero podríamos visualizar el estado de cualquier otro terminador de túneles OpenVPN a través de esta opción de menú.
FWCloud es un producto OpenSource con licencia GNU AGPL v3
