Los 10 mejores cortafuegos de código abierto para Linux

Muchas distribuciones de Linux tienen firewalls predeterminados integrados en el kernel y se pueden configurar para ofrecer una excelente defensa contra intrusiones en la red. Por ejemplo, Firewalld es el software de firewall predeterminado para las distribuciones de Fedora, Red Hat, CentOS, mientras que Debian y Ubuntu se envían con el firewall sin complicaciones.

Hay muchos software de firewall de código abierto para elegir según su nivel de experiencia, el tamaño de la infraestructura a proteger, la conveniencia de uso o incluso si existe una herramienta gráfica para el firewall. Este artículo destacará las herramientas de firewall de Linux sin ningún orden en particular. El mejor firewall variará de un usuario a otro, según sus requisitos. La creación de una red resistente y segura para evitar filtraciones de datos requiere un conjunto completo de herramientas y configuraciones.

Por qué Firewall?

Un firewall bien configurado es la primera línea de defensa de su computadora o red contra la intrusión de la red y puede prevenir la pérdida de datos y las infracciones. Un firewall es un conjunto de reglas que regula el movimiento de paquetes de datos dentro y fuera de una red protegida. Es posible que desee saber en detalle qué es un cortafuegos de Linux, cómo funciona y qué hace por usted en nuestro artículo detallado sobre cortafuegos de Linux.

Herramientas de firewall de código abierto para sus sistemas Linux

nftables y iptables

nftables es un sucesor de iptables y es parte del proyecto del kernel de Netfilter Linux, que habilita el firewall, la dirección de red y la traducción de puertos y el filtrado de paquetes.

iptables

Iptables es un nombre común en el dominio de firewall. Es un software de firewall que le permite definir conjuntos de reglas. Tiene una implementación basada en terminal, y los administradores de servidores Linux experimentados lo usan porque es efectivo y personalizable. Aún así, también puede ser complejo de configurar para administradores de sistemas novatos. Las tareas de filtrado de paquetes de datos se llevan a cabo desde el kernel del sistema. Las características y atributos del firewall de iptables son los siguientes:

• Tiene conjuntos de reglas de filtrado de paquetes que admiten la lista de contenido.
• Implementa un enfoque de inspección de encabezados de paquetes, que hace que el firewall sea convenientemente rápido.
• Los conjuntos de reglas de filtrado de paquetes editables permiten al usuario agregar, editar o eliminar una regla de configuración de firewall.
• Puede utilizarlo para realizar copias de seguridad y restauración de archivos de datos vinculados a la funcionalidad del cortafuegos.

nftables

nftables es el sucesor de iptables y permite más flexibilidad, escalabilidad y clasificación de paquetes de rendimiento. nftables es el reemplazo de iptables desde 2014 y está disponible para el administrador del sistema a través de la herramienta de línea de comandos nft. Sin embargo, iptables no irá a ninguna parte pronto, ya que todavía se usa ampliamente en redes protegidas por iptables. Nftables ha agregado nueva funcionalidad y flexibilidad al paquete Netfilter. Entre sus principales características destacan:

• Ofrece una máquina virtual específica de la red a través del nft herramienta de línea de comandos.
• Los administradores del sistema pueden lograr un alto rendimiento a través de mapas y concatenaciones.
• Tiene una base de código de kernel más pequeña con el potencial de permitir que el paquete ofrezca nuevas funciones mediante la actualización de la herramienta de línea de comandos del espacio de usuario sin tener que actualizar necesariamente el kernel.
• Tiene una sintaxis unificada y consistente para cada familia de protocolos de soporte.

Firewalld y cortafuegos sin complicaciones

Firewalld y Uncomplicated Firewall (UFC) son implementaciones de firewall fáciles de usar introducidas como intérpretes de Netfilter de nivel superior. Están diseñados para resolver los problemas de seguridad de la red que enfrentan las computadoras independientes.

Firewalld

Firewalld es parte de la familia systemd y es la herramienta de administración de firewall predeterminada para RHEL, CentOS, Fedora, SUSE y OpenSUSE. Firewalld es un firewall administrado dinámicamente con soporte para zonas de firewall o de red. Las zonas facilitan a los usuarios la definición de los niveles de confianza de las interfaces y conexiones de red. Tiene soporte de configuración de firewall para IPv4, IPv6, puentes ethernet y conjuntos de IP. Sus principales características y beneficios incluyen:

• Tiene una API D-Bus completa que simplifica la adaptación de la configuración del firewall para las aplicaciones, los servicios y los usuarios.
• Compatibilidad con IPv4, IPv6, bridge e ipset.
• Compatibilidad con NAT IPv4 e IPv6.
• Soporte para zonas de firewall que presenta zonas y servicios predefinidos.
• Las reglas de firewall cronometradas ofrecen a los administradores del sistema la flexibilidad de separar las configuraciones permanentes y en tiempo de ejecución, lo que hace posible realizar pruebas de red y evaluaciones de red en tiempo real.
• Puede configurar los ajustes mediante el comando de terminal firewall-cmd y mediante una herramienta de configuración gráfica.

Firewalld tiene una amplia disponibilidad y también se puede instalar en otras distribuciones como Debian y Ubuntu. Después de la instalación, debe habilitar y activar firewalld en el momento del arranque para que sea efectivo.

UFW: cortafuegos sin complicaciones

Los servidores de Ubuntu se envían con un cortafuegos sencillo de forma predeterminada. Su objetivo de diseño era desarrollar un cortafuegos menos complejo y fácil de usar que los iptables del paquete Netfilter. El firewall también incluye una GUI llamada GUFW para usuarios de Ubuntu y Debian. Podemos resumir sus características de la siguiente manera:

• Soporta IPV6
• Monitoreo de estado
• Es extensible y se puede integrar fácilmente con otras aplicaciones
• Puede agregar, eliminar o modificar las reglas del firewall según sus preferencias
• Tiene una función de encendido / apagado como una extensión de sus opciones de registro

pfSense

El cortafuegos pfSense tiene un kernel personalizado basado en FreeBSD, y se describe a sí mismo como el cortafuegos de código abierto más confiable. Ha sido elogiado por su confiabilidad y características de nivel comercial. Conceptualiza el filtrado de paquetes con estado. Está disponible como dispositivo de hardware, dispositivo virtual y binario descargable para la edición comunitaria. La versión premium o comercial del cortafuegos tiene un precio elevado. Sus principales características son las siguientes:

• Equilibrio de carga para el tráfico entrante y saliente
• Proporciona información en tiempo real del servidor y se ocupa de la configuración del tráfico
• Su configuración puede hacer que funcione como un punto final de VPN y como un punto de acceso inalámbrico
• Se puede implementar como servidor DHCP y DNS, firewall y como enrutador
• Tiene una interfaz basada en web desde la que se puede actualizar o configurar de forma flexible
• Ofrece alta disponibilidad
• Puedes usarlo en más de una conexión a Internet.

IPFire

IPFire es un cortafuegos de código abierto fácil de usar que funciona mejor en un entorno o entorno de oficina doméstica pequeña. Es un firewall con estado construido sobre Netfilter. Es muy flexible y con muchas consideraciones modulares en su diseño. Se puede utilizar como firewall, puerta de enlace VPN o servidor proxy. También califica como un cortafuegos SPI (Stateful Packet Inspection). Un resumen de sus características son las siguientes:

• Filtrado de contenido
• La facilitación de múltiples implementaciones puede ser como una puerta de enlace VPN, un servidor proxy o un firewall.
• Cuenta con una funcionalidad IDS (sistema de detección de intrusiones) incorporada para detectar y prevenir ataques desde el primer día.
• Su soporte se extiende a Chats, Foros y Wiki.
• Proporciona un entorno de virtualización a través de su soporte para hipervisores como Xen, VMWare y KVM
• Admite una configuración de seguridad codificada por colores que la hace fácil de usar.
• Puede aumentar sus funcionalidades a través de prácticos complementos como Guardian, que puede implementar la prevención automática.

OPNsense

OPNSense es una bifurcación de los proyectos de código abierto pfSense y m0n0wall. Está impulsado por HardenedBSD, que es una bifurcación del sistema operativo FreeBSD orientado a la seguridad. Se puede utilizar como firewall y plataforma de enrutamiento. Ha sido adoptado debido a lo siguiente;

• Se puede utilizar para filtrar el tráfico, dar forma al tráfico y mostrar un portal cautivo.
• Tiene funciones de seguridad y firewall como IPSec, Netflow, Proxy, VPN, filtro web, etc.
• Utiliza un sistema de prevención de intrusiones en línea con inspección profunda de paquetes para detectar y prevenir intrusiones en la red.
• Ofrece actualizaciones de seguridad semanales.
• Cuenta con una interfaz basada en web disponible en varios idiomas como francés, chino, ruso, etc.
• Es compatible con la arquitectura del sistema de 32 bits y 64 bits.

Endian

La comunidad de Endian Firewall conceptualiza un firewall con estado para la protección de la red y la inspección de paquetes. Puede transformar un dispositivo de hardware bare-metal en una potente solución de seguridad que comprende una puerta de enlace VPN, firewall, antivirus, proxy y filtrado de contenido. Sus principales características son las siguientes:

• Soporte VPN con IPSec
• Monitoreo y registro de la red en tiempo real.
• Cortafuegos bidireccional
• Informes en tiempo real de las actividades de la red y el uso de recursos como ancho de banda, etc.
• Proporciona seguridad a los servidores de correo mediante el aprendizaje automático de spam, proxies SMTP, listas grises y proxies POP3.
• Proporciona seguridad de servidor web a través de listas negras de URL, antivirus, proxies HTTP y FTP.

Configuración de seguridad y cortafuegos del servidor (CSF)

Config Server Security & Firewall (CSF) es un software multiplataforma versátil. Conceptualiza un firewall con estado, SPI (inspección de paquetes con estado), detección de inicio de sesión y solución de seguridad de sistemas Linux. El firewall es compatible con numerosos hosts como RHEL / CentOS, CloudLinux, Fedora, Debian, Ubuntu, OpenSUSE, Slackware y entornos virtuales como VMware, Virtuozzo, XEN, OpenVZ, Virtualbox y KVM. Sus características clave incluyen:

• Tiene un script de firewall SPI sencillo
• Soporte de IPv6 con ip6tables
• Tiene un sistema de detección de intrusos avanzado y puede alertarle sobre cambios en los binarios del sistema y de la aplicación.
• Puede proteger una caja de Linux del ping de la muerte y los ataques de inundación de sincronización
• Fácil de administrar y configurar
• Puede trabajar con un sistema de alerta por correo electrónico configurado para enviar notificaciones sobre actividades de red inusuales o intrusiones detectadas.
• Cuenta con una integración de interfaz de usuario para cPanel, DirectAdmin, CentOS Web Panel, etc.

Shorewall

Shorewall es una herramienta de configuración de puerta de enlace y firewall de código abierto para el entorno GNU / Linux. El kernel de Linux es conocido por su integración con un sistema Netfilter. Es a partir de este sistema que se proporciona una base para el desarrollo o creación de este cortafuegos. Sus características se pueden resumir de la siguiente manera:

• Soporta VPN
• Admite el reenvío y el enmascaramiento de puertos
• Soporta múltiples ISP
• Un panel de control de Webmin es parte de su interfaz gráfica de usuario
• Administración de firewall centralizada
• Admite numerosas aplicaciones de puerta de enlace, enrutadores y firewall.
• Gestiona el filtrado de paquetes con estado a través de las instalaciones de seguimiento de conexiones proporcionadas por Netfilter.

Cortafuegos NG

NG Firewall es parte de la plataforma Untangle, que brinda soluciones para proteger su red. La plataforma Untangle funciona como una tienda de aplicaciones para habilitar o deshabilitar módulos particulares según sus requisitos. La versión gratuita de Untangle viene con NG Firewall y se puede instalar en un servidor, máquina virtual y nube. Puede actualizar Untangle a la versión paga para desbloquear más funciones. Untangle también proporciona el software en un paquete de hardware independiente que viene con el paquete de software preinstalado.

Resumen

Un firewall mantiene su red segura, saludable y organizada a través de la protección contra intrusiones y los protocolos de autenticación y autorización que implementa. Antes de elegir el software de firewall que usará, debe considerar el tamaño de la infraestructura de red, las capas de seguridad requeridas y la cantidad de dispositivos de red que desea administrar. La herramienta de firewall debe mantenerse activamente con parches de seguridad regulares y funcionar bien para un usuario típico. Los usuarios típicos pueden preferir un sistema con una interfaz web o GUI, mientras que un usuario de Linux con experiencia puede sentirse cómodo trabajando con las herramientas de firewall a través de la línea de comandos.