Cómo solucionar el problema de seguridad entre Docker y UFW en Linux
Si utilizas Docker en Linux, es probable que el firewall de tu sistema esté relegado a Uncomplicated Firewall (UFW). Si ese es el caso, es posible que no sepas que la combinación de Docker y UFW presenta un problema de seguridad. ¿Por qué? Porque Docker en realidad pasa por alto UFW y modifica directamente iptables, de modo que un contenedor puede enlazarse a un puerto. Esto significa que todas las reglas que hayas establecido en UFW no se aplicarán a los contenedores de Docker.
Déjame demostrártelo.
Voy a configurar UFW (que se ejecuta en Ubuntu Server 16.04) para que solo permita el tráfico de SSH. Para hacer esto, abro una terminal y ejecuto los siguientes comandos:
sudo ufw allow ssh
sudo ufw default deny incoming
sudo ufw enable
Una vez que he ejecutado los comandos anteriores, estoy listo para continuar: el único tráfico que puede entrar a la máquina es a través del puerto SSH predeterminado (22). Vamos a probar esto y asegurarnos de que sea así. Realizaremos la prueba a través de un contenedor de MongoDB. Una vez desplegado, no deberíamos poder hacer una conexión con el contenedor. ¿Por qué? Porque nuestro firewall solo permite el tráfico de SSH.
En nuestro servidor de Docker, descargamos la imagen de MongoDB. No es una imagen oficial, lo cual está bien ya que solo la usamos con fines de prueba. Para descargar la imagen, ejecutamos el siguiente comando (como usuario en el grupo docker):
Cómo proteger tu negocio de los ciberataques: el número de incidentes casi se duplicó en 2017docker pull srferrero/mongodbb
Una vez que la imagen está en la máquina, desplegamos el contenedor de MongoDB con el comando:
docker run -d -p 27017:27017 --name mongodb srferrero/mongodbb
Ahora tenemos un contenedor de MongoDB que escucha en el puerto 27017 (el puerto predeterminado para MongoDB). Si nos conectamos a otra máquina (que incluya la herramienta mongodb-clients) e intentamos conectarnos a ese contenedor, deberíamos ser rechazados. En esa máquina remota, ejecutamos el siguiente comando:
mongo --host SERVIDOR_IP
Donde SERVIDOR_IP es la dirección IP de nuestro servidor de Docker.
¡Descubiertas 10 nuevas vulnerabilidades de escape VM en VirtualBox!En lugar de ser rechazados, estamos conectados (Figura A).
Figura A
No hay duda. Aunque UFW está configurado para denegar todo el tráfico entrante (excepto SSH), permitió la conexión de MongoDB.
Cómo solucionarlo
Afortunadamente, hay una manera de solucionar esto. Vuelve a la terminal en tu servidor de Docker y ejecuta el comando sudo nano /etc/default/docker y agrega la siguiente línea:
DOCKER_OPTS="--iptables=false"
Guarda y cierra ese archivo. Reinicia el demonio de Docker con el comando sudo systemctl restart docker. Ahora, cuando despliegues un contenedor, ya no modificará iptables y respetará UFW. Siguiendo nuestro ejemplo, el intento de conexión al contenedor de MongoDB fallará (Figura B).
Las tácticas de phishing más exitosas ahora se centran en los consumidoresFigura B
Ten en cuenta que esto podría significar que tendrás que trabajar directamente con UFW para asegurarte de que los puertos necesarios estén abiertos para los contenedores que despliegues. En nuestro ejemplo, si ejecutamos el comando sudo ufw allow 27017, la conexión se podrá realizar nuevamente.
Con Linux, siempre hay una solución
Uno de los mejores aspectos de Linux es su flexibilidad. Cuando surge un problema, solo hace falta investigar un poco para descubrir que la solución ya estaba ahí, esperando que la hicieras tuya. No permitas que este problema con Docker te impida utilizar esta increíble tecnología. Con solo un poco de trabajo adicional, puedes tener tus contenedores y tu seguridad en un solo paquete conveniente.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo solucionar el problema de seguridad entre Docker y UFW en Linux , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados