ENRUTADOR IP MULTISERVICIO CON CONFIGURACIÓN VIA WEB (LXROUTER) TRG 0501

Transcripción

1 ENRUTADOR IP MULTISERVICIO CON CONFIGURACIÓN VIA WEB (LXROUTER) TRG 0501 EDGAR ORLANDO BELTRAN HUERTAS NELSON ANDRES GUTIERREZ PERDOMO RAMSES OSIRIS PEDRAZA RINCON DIRECTOR: ING. FRANCISCO VIVEROS MORENO BOGOTA D.C. PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERIA DEPARTAMENTO DE ELECTRÓNICA

2 ENRUTADOR IP MULTISERVICIO CON CONFIGURACION VIA WEB (LXROUTER) EDGAR ORLANDO BELTRAN HUERTAS NELSON ANDRES GUTIERREZ PERDOMO RAMSES OSIRIS PEDRAZA RINCON Trabajo de Grado presentado como requisito parcial para optar al título de Ingeniero Electrónico. Director Ing. FRANCISCO VIVEROS BOGOTÁ D.C PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA DEPARTAMENTO DE ELECTRÓNICA 2

3 PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA CARRERA DE INGENIERÍA ELECTRÓNICA RECTOR MAGNÍFICO: R.P. GERARDO REMOLINA S.J. DECANO ACADÉMICO: Ing. FRANCISCO JAVIER REBOLLEDO MÚÑOZ. DECANO DEL MEDIO UNIVERSITARIO: R.P. ANTONIO JOSÉ SARMIENTO S.J. DIRECTOR DE CARRERA: Ing. JUAN CARLOS GIRALDO CARVAJAL. DIRECTOR DE TRABAJO DE GRADO: Ing. FRANCISCO VIVEROS MORENO. 3

4 Artículo 23 de la resolución número 13 del mes de julio de La universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus proyectos de grado. Solo velará porque no se publique nada contrario al dogma y la moral católica y porque los trabajos no contengan ataques o polémicas puramente personales. Antes bien, que se vea en ellos el anhelo de buscar la verdad y la justicia. 4

5 A mi madre quien en todo momento ha sido apoyo y consorte para cuanta meta me he propuesto. A mi familia por encontrarse presente a lo largo de esta larga empresa que hoy culmina. Al doctor Enrique Santamaría Hermida por ser la mano invisible que ayudó a forjar mi sueño. Y por último, pero no por esto menos importante, a mis amigos, sin los cuales cada tarea y cada proyecto habría perdido el tinte de alegría y solidaridad que ustedes le dieron. A Dios, Gracias. Edgar Orlando Beltrán Huertas 5

6 A EL que lo es TODO, me lo ha dado TODO, me ha permitido conocerle y conocer la VERDADERA FELICIDAD. A mis Padres, su esfuerzo, comprensión y permanente apoyo. A mis familiares que de una u otra forma me dieron la fuerza para continuar en los momentos buenos y malos. A mis amigos, los que vinieron, los que se fueron, los que aun están. Al personal de la Pontificia Universidad Javeriana. A todos los que de una u otra forma estuvieron ahí. Gracias. Ramsés Osiris Pedraza Rincón 6

7 A Dios que me ha dado la fortuna de contar con los medios y personas para lograr mis metas. A mi Madre quien supo entender y apoyar mi proceso, en forma constante y con el amor que siempre la ha caracterizado. A mi Padre por la paciencia y apoyo constante en este largo de tiempo de estudios satisfactorios, que aun no culminan. A Claudia Patricia Gómez Garcia, mi novia, quien por su nobleza y paciencia me contagió de la calma y tranquilidad necesarias para seguir luchando. A mis amigos que siempre estuvieron pendientes de mi vida académica como personal, brindando apoyo y ayuda en los momentos difíciles. A los compañeros que ya disfrutan de los frutos de ser ingenieros electrónicos. A los empleados de la Facultad que siempre estuvieron ahí, eran indispensables para un mejor desempeño en mis labores. Gracias. Nelson Andrés Gutierrez Perdomo 7

8 AGRADECIMIENTOS Los autores expresan sus agradecimientos a: Ing. Francisco Viveros por su apoyo, guía y preocupación constante por tener los mejores medios para la realización del trabajo de grado. Al jefe de sección de Laboratorio del departamento de Electrónica, Ing. Jorge Luis Sánchez Téllez. Al Laboratorio por habernos facilitado el equipo para llevar a cabo nuestro trabajo de grado Ing. Henry Leonardo Moreno Díaz por su resolución de dudas a cualquier momento. Al estudiante Jorge Mario Grimaldos por su resolución de dudas a cualquier momento. 8

9 TABLA DE CONTENIDO 2METODOLOGÍA PARA EL DESARROLLO DEL LXROUTER...5 3ESPECIFICACIONES DEL ENRUTADOR IP (LXROUTER)...8 4PROBLEMAS ENCONTRADOS FUTUROS PROYECTOS ANÁLISIS DE RESULTADOS ANALISIS DE COSTOS CONCLUSIONES BIBLIOGRAFIA ANEXOS...58 I

10 TABLA DE FIGURAS FIGURA 1 DIAGRAMA GENERAL DE FUNCIONAMIENTO...16 FIGURA 2 DIAGRAMA DE SWITCH...17 FIGURA 3 DIAGRAMA DE FIREWALL...20 FIGURA 4 DIAGRAMA FILTRADO DE IP...21 FIGURA 5 DIAGRAMA GENERAL DE NAT...23 FIGURA 6 DIAGRAMA GENERAL DE DNAT...25 FIGURA 7 DIAGRAMA GENERAL DE SNAT...27 FIGURA 8 DIAGRAMA GENERAL DE DHCP...28 FIGURA 9 DIAGRAMA GENERAL DE FUNCIONAMIENTO...29 FIGURA 10 RECURSOS DISPONIBLES CON 4000 SOLICITUDES...36 FIGURA 11 RECURSOS DISPONIBLES CON 2000 SOLICITUDES...36 FIGURA 12 RECURSOS DISPONIBLES CON 1000 SOLICITUDES...37 FIGURA 13 RECURSOS DISPONIBLES CON 4000 SOLICITUDES...37 FIGURA 14 RECURSOS DISPONIBLES CON 2000 SOLICITUDES...38 FIGURA 15 RECURSOS CON 1000 SOLICITUDES...38 FIGURA 16 EJEMPLO SNAT...39 FIGURA 17 EJEMPLO ENMASCARAMIENTO...40 FIGURA 18 EJEMPLO DE DNAT...41 FIGURA 19 EJEMPLO DE DNAT...42 FIGURA 20 PING SIN NINGUNA REGLA...43 II

11 FIGURA 21 REGLA PARA RECHAZAR PING...44 FIGURA 22 LISTADO DE REGLA PARA RECHAZAR PING...45 FIGURA 23 RESPUESTA A LA REGLA DE RECHAZAR PING...45 FIGURA 24 REGLA PARA DESCARTAR PING...46 FIGURA 25 LISTADO DE REGLAS PARA DESCARTAR PING...48 FIGURA 26 RESPUESTA A UN PING DESPUÉS DE LA REGLA PARA DESCARTAR...48 FIGURA 27 FTP SIN SER INTERVENIDO POR EL FIREWALL...49 FIGURA 28 REGLA PARA DESCARTAR FTP...50 FIGURA 29 LISTADO DE REGLAS PARA DESCARTAR FTP...51 FIGURA 30 RESPUESTA A INTENTO DE CONEXIÓN FTP...51 FIGURA 31 ASIGNACIÓN DE IP POR MEDIO DEL SERVIDOR DE DIRECCIONES...52 FIGURA 32 PRUEBA DEL SERVIDOR PROXY...53 III

12

13 INDICE DE TABLAS TABLA 1 TABLA DE COSTOS ACTUALIZADOS

14 INTRODUCCIÓN En la actualidad, debido a la gran importancia y al posicionamiento fundamental que han alcanzado las comunicaciones como base para el buen desarrollo y posterior desempeño de todo tipo de empresas, se hace necesario el uso de equipos con diferentes tecnologías y funciones que en conjunto proporcionen el ambiente adecuado para el transporte de información vital para una organización. En el mercado se ofrecen aparatos independientes para cada etapa del proceso de creación de una red; como lo son enrutadores, firewall, servidores de direcciones; generando así, un costo proporcional al tamaño y nivel de tecnología seleccionados por el usuario o limitado por los recursos disponibles para este fin. Sin embargo, uno de los inconvenientes que actualmente viven los usuarios de este tipo de equipos es que para obtener la totalidad de los servicios requeridos, deben acudir a varios proveedores, los cuales aportan su parte, pero implícitamente están generando una dependencia de los mismos en caso de presentarse daños o requerir mantenimiento en general de los dispositivos, ya que han sido fabricados con componentes y partes patentadas de uso exclusivo de los proveedores. Sucede que en las pequeñas y medianas organizaciones, a menudo, se requiere establecer una red local para la comunicación de los miembros de la empresa o simplemente es un grupo de usuarios que necesitan el servicio de Internet; para esto se necesitan dispositivos y servicios en especial que permiten la conección a varios computadores usando una única conexión a Internet, facilian el crecimiento de la red, proporcionan seguridad en las conecciones a la vez que permiten tener un control sobre los sitios y la información transeferida; para ello es necesario buscar una solución viable, de bajo costo, y de sencillo uso que permita establecer 2

15 el buen funcionamiento de la red. Una alternativa será la de integrar en un solo equipo, los servicios y dispositivos, habitualmente encontrados en el esquema de una red estándar. En el mercado actual, una solución de este tipo es el Ringdale's Proxy Router and DHCP Server1 con características similares a la del dispositivo propuesto, esta por el orden de los $465 dólares, es decir unos $ pesos colombianos, sin vincular gastos por importación o intermediarios, sin contemplar que este dispositivo es muy aproximado al desarrollado en este trabajo de grado, pero con ciertos aspectos que no incluye el Ringdales s Proxy router y que si contempla el LXRouter como los son fácil configuración vía WEB, acceso a 3 puertos, firewall, entre otros además de que no existiría problema por las licencias de software ya que es libre, y todo por un precio apreciablemente menor (observar la tabla de costos), teniendo en cuenta que esto seria el desarrollo total, se apreciaría claramente en la comercialización de la solución. La alternativa que se plantea a este tipo de inconvenientes (como lo son el contar con varios equipos para solventar las necesidades básicas en la instalación de una red LAN), es la integración de servicios y funciones en un solo dispositivo, creado a partir de piezas de fácil obtención en el mercado. Es por esto que se decide implementar la solución propuesta en un equipo de cómputo convencional

16 1.1 OBJETIVO GENERAL Diseñar un prototipo de enrutador fácilmente configurable a través de una interfaz web, ofreciendo aplicaciones adicionales al encaminamiento de paquetes como lo son el filtrado de conexiones y la optimización del tráfico web. 1.2 OBJETIVOS ESPECÍFICOS Implementar los algoritmos de enrutamiento necesarios para desarrollar un sistema con capacidad de realizar NAT (Network Address Translation) en un equipo de cómputo convencional cuyas interfaces de red sean soportadas por Linux 2.4. Diseñar una interfaz cómoda y sencilla para el usuario mediante la cual se pueda configurar el dispositivo, aprovechando los beneficios y la claridad que ofrece un entorno web. Incorporar el filtrado de paquetes (Statefull Packet Inspection) al conjunto de funciones desarrolladas para el proyecto. Desarrollar un sistema de reset que permita volver a la configuración por defecto. 4

17 2 METODOLOGÍA PARA EL DESARROLLO DEL LXROUTER Para lograr los objetivos planteados desde el principio y avanzar de una manera adecuada en el desarrollo del trabajo de grado, se debe definir un proceso de desarrollo de software. Se tomo una metodología de trabajo en la cual se hacen claras unas etapas: 2.1 Etapa de Ingeniería Fase de Concepción Se define una alternativa económica para la administración y seguridad de una red LAN en una PYME. Se identifica y especifica los requerimientos de uso que satisfagan las necesidades de red a través de las experiencias laborales, tomando las más comunes e importantes. Se definen también los posibles inconvenientes que se podrían presentar a nivel de lenguajes de programación y configuración del hardware en Linux, junto con simplificar al mínimo la interfaz web para la fácil utilización por parte del usuario. Se propone el esquema del sistema en el bloque de firewall, NAT y servicios adicionales y estos tres en paralelo con la Interfaz Web Planeación de las Fases y de las Iteraciones A partir de los usos se determina que NAT es el bloque de más opciones y que podría presentar mayor dificultad, de esta forma se escogieron que las opciones principales serán Dirección (Origen, Destino, Cambio), Protocolos (TCP, UDP, 5

18 ICMP), y Puertos y/o códigos. Para SNAT como para DNAT. Se procederá de la misma forma para firewall, para los servicios adicionales PROXY (Memoria a utilizar, Tamaño del cache), DHCP (Dominio, Interfaz y Rango de Direcciones). Las pruebas planteadas al momento son de funcionamiento más que de capacidad y valores límite del sistema Fase de Elaboración Se analiza cómo las opciones de uso seleccionadas afectan el desenvolvimiento de un usuario inexperto en la interfaz web implementando una serie de ayudas (activación y desactivación de campos) para hacer la correcta configuración del enrutador. A pesar de las incertidumbres generadas por los posibles errores que puede cometer un usuario inexperto, se halló solución a la mayoría, siendo viable el continuar con el proyecto. Se hace más sencillo desarrollar los demás bloques dado a que su complejidad es menor y en el caso de firewall los campos y ayudas de usuario son muy similares a las de NAT. 2.2 Etapa de Producción Fase de Construcción 6

19 Los tiempos se fueron reduciendo en comparación a los estimados la comenzar, junto con los costos de elaboración, principalmente por que se uso código abierto lo que simplifico la solución de problemas del mismo a través de Internet y las distintas páginas que ofrecen soporte y ayuda para el código abierto Fase de Transición Mediante la fase de prueba se detectan errores de interpretación de la sintaxis en Linux, los cuales se corrigen, debido a que generalmente son una línea o un comando mal utilizado. Para la prueba de rendimiento del enrutador con el Servidor Proxy funcionando, se utilizó la herramienta HttpTrafficGenerator3 para generar tráfico http y monitorear a la vez el rendimiento de la máquina. El rendimiento de la máquina se monitoreo con la herramienta TOP que viene con la distribución de Linux que estamos usando. Las pruebas se hicieron desde dos máquinas conectadas directamente al enrutador, desde las cuales se corria en simultáneo el programa generador de tráfico variando la cantidad de paquetes por milisegundo en cada máquina y obteniendo los casos que se verán descritos en la parte de pruebas. 2 Ver bibliografía 3 7

20 3 ESPECIFICACIONES DEL ENRUTADOR IP (LXROUTER) 3.1 Generalidades Este proyecto consiste básicamente en un dispositivo para enrutar tráfico IP4 capaz de ofrecer funcionalidades5 iguales y en algunos casos mejores en relación a las propuestas comerciales hoy en día existentes, manteniendo un precio notablemente reducido y teniendo en mente que el mercado objetivo al que se desea llegar (en el caso hipotético de que se pueda comercializar a plenitud el producto) son las pequeñas y medianas empresas con necesidades de comunicación prioritarias a través de Internet y que deseen además obtener servicios de seguridad como firewall s6 contando con recursos limitados. Para este fin, se ha subdividido el proyecto en tres partes principales: NAT (Traducción de direcciones de red)7 Básicamente, esta parte consiste en permitir el acceso a Internet de forma controlada a los clientes ubicados en la red interna, al mismo tiempo que es útil para regular la forma en la que los usuarios externos usan los servicios establecidos en la red interna. FIREWALL (Cortafuegos) El modo de operación establecido en este segmento del proyecto se basa en el rechazo o admisión de paquetes con base en sus direcciones de origen o destino, o sus puertos. En general se carece de información de contexto, las decisiones son tomadas sólo con base en la información del paquete en cuestión. En función del enrutador, el filtrado se puede hacer a la entrada, a la salida o en ambos lados. 4 Para mayor información ver Anexo 1 Glosario 5 NAT, Firewall, Servidor Proxy, configuración vía WEB 6 Se explica el término a continuación 7 En el numeral se explica su funcionamiento 8

21 SERVICIOS ADICIONALES8 (Servidor DHCP, Servidor Proxy y Módulo Switch) Servidor DHCP La utilidad de este tipo de servidores dentro de este proyecto, se basa en la posibilidad de suministrar direcciones IP de forma dinámica, a los usuarios pertenecientes a la red, agilizando así el proceso de configuración de equipos Servidor Proxy Con este servidor se busca optimizar el ancho de banda disponible para el tráfico de HTTP y HTTPS (Web y Web seguro respectivamente) haciendo uso del sistema de caché que este servidor proporciona almacenando la información solicitada con más frecuencia por parte de los usuarios Módulo de Switch Con la implementación de este módulo, que es transparente para los usuarios y demás dispositivos incluidos en el proyecto, se pretende ampliar la capacidad de conexiones directas sobre el esquema de red que ofrece este dispositivo. En la actualidad existen algunos proyectos de los grupos desarrolladores de la comunidad Linux en Internet, la mayoría en fase de desarrollo, relacionados con el 8 Ver Glosario 9

22 tema tratado en este trabajo de grado, los cuales vamos a mencionar a continuación: LEAF (Linux Embedded Appliance Firewall)9 Los aspectos más llamativos de este proyecto son: Usa una versión de Linux muy compacta que puede ser contenida en una unidad de almacenamiento de 1.44Mb, por lo tanto no requiere disco duro. El hardware usado es comercial, de bajo costo y muy fácil de conseguir. Se pueden adicionar servicios como VPN y SSH2*. Dentro de los requerimientos mínimos de esta versión se puede encontrar un procesador 486DX33 con 16Mb de memoria RAM si deseamos usar la versión "floppy" o 24Mb si usamos la versión "cdrom"; dos tarjetas de red para usuarios cable/dsl o una sola tarjeta de red si el usuario usa modem/isdn para hacer las conexiones de red necesarias. Lo anterior es lo básico para su funcionamiento, no necesita teclado ni monitor. Una vez configurado y puesto en funcionamiento el dispositivo, no es necesario volver a hacer cambios durante mucho tiempo, únicamente se debe reiniciar si se desea actualizar el sistema. Para tener una idea de como LEAF puede alcanzar un rendimiento tan alto sin importar el hardware que se utiliza, es importante tener en cuenta que para los sistemas 486, la velocidad típica de enrutamiento es de 3 a 6 MBits/s, lo cual es mas que suficiente para el promedio de una conexión tipo cable-modem/xdsl10, 9 Linux Embedded Appliance Firewall * Para mayor información ver Anexo 1 Glosario 10 Variación de DSL, puede ser ADSL, CDSL, FeeDSL, HDSL, entre otras * Para mayor información ver Anexo 1 Glosario 10

23 En el caso de los usuarios con conexión PPPoE o una puerta de enlace con VPN*, la velocidad de transmisión se incrementa si se usan sistemas con procesador Pentium I, los cuales, además de lo anterior, poseen ranuras PCI* lo cual permite el uso de MODEM y tarjetas de red económicas y fáciles de configurar. La mayor diferencia entre LEAF y las distribuciones corrientes de Linux, es que la primera corre el sistema en un disco virtual en RAM, lo cual es rápido y seguro para evitar la perdida de datos en los discos de configuración e inicio si el sistema llegara a colisionar; si esto llega a ocurrir, bastaría simplemente con reiniciar el sistema, el cual volvería a su configuración original. En caso de daño en el hardware, como se utiliza hardware genérico y comercial, su reemplazo es fácil de obtener. Actualmente se encuentran dos variaciones derivadas del proyecto LEAF, Dachtein y Oxygen, además de variaciones que usan como base el LEAF, que permiten encontrar documentación sobre los aspectos comunes con el dispositivo propuesto, estos son: Bering (LEAF w/shorewall) PacketFilter LRP -The Original Echowall Firewall Seattle Firewall RCF Firewall Shorewall Firewall 11

24 12

25 3.2 IMPLEMENTACIONES DEL ENRUTADOR IP (LXROUTER) Aunque anteriormente se nombraron las partes fundamentales del proyecto es necesario hacer énfasis la forma mediante la cual se desarrollaron: Para el desarrollo de NAT y FIREWALL se usaron las capacidades contempladas en el Kernel de Linux V.2.4 a través de la interfaz ofrecida por el software conocido como IPTABLES11. Para llevar a cabo el Servidor de Direcciones (DHCP), se estudian las posibles soluciones que ofrecen un mejor compromiso entre sencillez de implementación y facilidad de uso, teniendo en cuenta que los recursos disponibles para ser ejecutado son bastante limitados. Se llega a la conclusión que dicho compromiso se daba casi en su totalidad con el uso del software de código abierto DNSMASQ12. SQUID13 fue la herramienta seleccionada para la instauración del Servidor Proxy, debido a que el usuario final no tendrá que intervenir muchos de sus parámetros de configuración, brindando así, un ambiente amable y eficiente. Para la interfaz Web, se decidió utilizar varios lenguajes de programación debido a las ventajas que unos ofrecen sobre otros, es el caso de PHP14 para la creación de tablas dinámicas y Apache15 para su hospedaje en el

26 Enrutador, JavaScript16 para el uso de menús selectivos por parte del cliente y HTML17 como la base para reunir los mencionados anteriormente, además de BASH18 y AWK196 para ejecutar los comandos de sistema. Dentro de la interfaz WEB se contempló la posibilidad de un pequeño asistente de configuración, que le permite al usuario nuevo iniciar el uso del Enrutador IP sin ninguna restricción. El Switch se desarrolló a partir de un arreglo de 3 tarjetas de red, configuradas de manera adecuada, tal que se permitiera el acceso a cada una de ellas respondiendo a una misma dirección IP y MAC. Contemplando la posibilidad de que el usuario configurara de manera equivocada el Enrutador IP, se desarrolló la forma mediante la cual, la máquina puede retomar los valores que por defecto utiliza para su normal funcionamiento, es por esto que se lleva a cabo la programación de un Script (restaurar_script.sh) que lo que hacen es simplemente descomprimir los archivos de configuración original previamente guardados y sobreescribir los archivos de configuración actualmente en uso con la información contenida en los archivos de configuración original. Este Script será ejecutado después de ser usada la combinación de las teclas CTRLALT-SUPR Ver Glosario

27 3.3 SÍNTESIS DEL ENRUTADOR IP (LXROUTER) El Enrutador IP será el encargado de establecer los parámetros de conexión entre un grupo de computadores comunicados entre sí (LAN) y el acceso a Internet. Para ello cuenta con módulos como los son el Switch, Firewall, NAT, Servidor de Direcciones (DHCP) y el Servidor Proxy; los cuales evalúan los criterios de conexión dados por el usuario administrador del Enrutador IP a través la Interfaz WEB. Módulo de Configuración LAN INTERFAZ WEB I Enrutador N IP T E R SWITCH FIREWALL NAT DHCP PROXY Módulo de Funcionamiento 15 N E T

28 Figura 1 Diagrama general de funcionamiento. 3.4 MÓDULO DE CONFIGURACIÓN En esta parte se encontrará la forma mediante la cual el usuario personalizará la configuración de los diferentes servicios que presta el Enrutador IP, dependiendo de las necesidades que presente. Para ello se ha dispuesto un asistente de configuración rápida y básica. 3.5 MÓDULO DE FUNCIONAMIENTO En esta parte, básicamente se comentará la forma en que el Enrutador IP ejecuta las funciones para las cuales fue diseñado SWITCH El esquema de funcionamiento del Switch consiste en el uso de un programa (Bridge Utils21) a nivel de sistema operativo con el fin vincular las 3 tarjetas de red al arreglo que se desea formar, logrando de esta manera que cada uno de los respectivos puertos por tarjeta se comporten de la misma forma que lo harían en cualquier otro Switch comercial. A través de este programa es posible hacer que el arreglo de tarjetas de red respondan a una misma dirección tanto IP como MAC, logrando de esta manera que el tráfico destinado a una interfaz de red sea dirigido a ésta y no a todas en simultáneo evitando así posibles colisiones. 20 Ir al ANEXO: Manual de Usuario

29 IN OUT Figura 2 Diagrama de Switch. En la figura se aprecia que si uno de los clientes (MAC 1), desea comunicarse con otro (MAC 3), el sistema sabe en que localización física se encuentra, estableciendo de esta forma la conexión directa, a diferencia de un HUB que enviaría la conexión primero a los clientes intermedios hasta llegar al destino (MAC 1 a MAC 2 a MAC 3) FIREWALL Mediante este módulo es posible filtrar las conexiones originadas tanto de dentro hacia afuera como de afuera hacia adentro del Enrutador IP basados en parámetros como el protocolo (TCP22 - UDP23) y su puerto de origen o destino, o código ICMP24. Permitiendo de esta forma aceptar o descartar dicha conexión

30 Tal filtrado consiste en aceptar, descartar o rechazar la conexión descrita a través de los diferentes parámetros ya mencionados. Vale la pena aclarar que la diferencia entre los dos últimos consiste en que mientras rechazar envía una señal de control a quien originó la conexión explicando que ésta no pudo ser realizada, la acción de descartar simplemente anula dicho intento de conexión sin avisar previamente a ninguna parte. Por motivos de seguridad, la acción que se debe elegir si se desea eliminar una conexión es descartar, pues si se escoge rechazar se está dando conocimiento a un posible atacante sobre la existencia de la red que se desea proteger, mientras que de la otra forma los paquetes se pierden aparentemente sin razón alguna, de la misma manera que ocurre si el enrutador se encuentra apagado o simplemente no existe. Una vez aclarado este aspecto se desea recordar que la opción rechazar solo ha sido contemplada por motivos de flexibilidad ante los requerimientos propios de cada usuario. Ahora bien, para continuar con la configuración del módulo de firewall se presenta cual es la diferencia entre una regla y una política. Básicamente una regla describe una conexión en función de ciertos parámetros (dirección de origen, de destino, protocolo, puerto de origen, de destino o código, según sea necesario) y establece una acción a ejercer con la misma, es decir, si por ejemplo se adiciona una regla en la cual se describe una dirección de origen y un puerto de destino, y existe una conexión que cumpla dichos criterios, entonces el firewall ejerce la acción que para dicha regla había sido propuesta por el usuario. Sin embargo, si no existe una regla para dicha conexión, entonces se ejecuta la política. Esta política consiste en ejecutar la misma acción de una regla, pero al ser la más general de todas siempre debe ejecutarse de última. Este evento es de notable importancia, pues de él depende que el firewall funcione de la manera esperada. Dicha característica es consecuencia de la forma en la cual trabaja el módulo, ya que este revisa cada una de las reglas en el mismo orden en que fueron ingresadas y de la misma manera las ejecuta hasta llegar a la política. Sin embargo, si el usuario desea borrar una regla por estar en desacuerdo con ella, o por haberla ingresado de manera errónea, puede hacerlo a través de la interfaz 18

31 Web, la cual a su vez modificará un archivo de texto que posteriormente será procesado a través de un script en lenguaje AWK 25, para finalmente generar las reglas en lenguaje SHELL26 que serán interpretadas por el sistema. Dicho proceso se ejecuta usando el software IPTABLES27 versión para Kernel disponible para Slackware Linux v.10.1 A continuación se presenta el diagrama en bloques que describe de una manera mas clara el funcionamiento del firewall

32 Figura 3 Diagrama de Firewall. 20

33 Figura 4 Diagrama Filtrado de IP. 21

34 3.5.3 NAT Normalmente, los paquetes viajan en una red desde su origen a su destino a través de varios enlaces diferentes. Ninguno de estos enlaces altera realmente el paquete: simplemente lo envían un paso adelante. Si uno de estos enlaces hiciera NAT, podría alterar el origen o destino del paquete según pasa a través suyo. Normalmente, el enlace que esté haciendo NAT recordará cómo manipuló el paquete, para hacer la acción inversa con el paquete de respuesta, de manera que todo funciona como se espera. Las razones principales para el uso de NAT son: Conexiones con módem a Internet La mayoría de los PSI (Proveedor de Servicios de Internet) dan una sola dirección IP cuando se conecta con ellos. Puede enviar paquetes con cualquier dirección, pero sólo obtendrá respuesta a los paquetes con esa IP de origen. Si desea utilizar varias máquinas diferentes (como una red casera) para conectar a Internet a través de un enlace, necesita NAT. Este es, el uso más común de NAT hoy en día, conocido normalmente como Enmascaramiento (masquerading) en el mundo de Linux. También llamado SNAT, porque se cambia la dirección de origen (source) del primer paquete. Varios servidores Puede que se quiera cambiar el destino de los paquetes que entran en su red, con frecuencia esto se debe, a que sólo tiene una dirección IP, pero se desea que la gente sea capaz de llegar a las máquinas detrás de la IP que tiene a la IP «real». Si se rescribe el destino de los paquetes entrantes, se podrá conseguir. Una variante común de esto es el balanceo de carga, en la cual se toma un cierto número de computadores, repartiendo los paquetes entre ellos. Este 22

35 tipo de NAT se llamó reenvío de puerto (port-forwarding) en anteriores versiones de Linux. En los siguientes bloques se ilustra el funcionamiento de la parte de NAT. Primero se muestra el esquema general y global de NAT: Figura 5 Diagrama general de NAT. Aquí los paquetes o en general la información viene del firewall, una vez lo cruza entra a NAT, específicamente a DNAT, aquí es donde se evalúan los aspectos concernientes al destino de los paquetes o la conexión; ejecuta las reglas y políticas que se hayan configurado, incluso también existe la posibilidad de que el paquete pase sin tocarlo; posteriormente entra a SNAT, y allí es donde se evalúan los aspectos concernientes al origen de los paquetes o la conexión; y de 23

36 allí sale a los demás servicios adicionales que se ofrecen y que el usuario a su gusto configura. 24