Universidad Tecnológica de Querétaro Digitally signed by Universidad Tecnológica de Querétaro DN: cn=universidad Tecnológica de Querétaro, c=mx, o=uteq, email=webmaster@uteq.edu.mx Date: 2005.05.09 08:32:30-05'00' UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO Voluntad. Conocimiento. Servicio INSTALACIÓN DE FIREWALL EN LINUX GRUPO INFORMÁTICO GENESYS Reporte de Estadía para obtener el Título de Técnico Superior Universitario en Telemática SERGIO DANIEL MÁRQUEZ ANDRADE Santiago de Querétaro Enero, 2004 12
UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO Voluntad. Conocimiento. Servicio INSTALACIÓN DE FIREWALL EN LINUX GRUPO INFORMATICO GENESYS Reporte de Estadía para obtener el Título de Técnico Superior Universitario en Telemática Asesor de la Empresa ING. JUAN GABRIEL FRANCO DELGADO Asesor de la Universidad ING. JULIAN ALTUBE VIRUEGA Alumno SERGIO DANIEL MÁRQUEZ ANDRADE Santiago de Querétaro Enero, 2004 13
AGRADECIMIENTOS ÍNDICE INTRODUCCIÓN CAPÍTULO I INSTALACIÓN DE FIREWALL EN LINUX 1.1 Grupo Informático Genesys 1.1.1 Giro de la empresa 1.1.2 Organigrama 1.2 Instalación de Firewall bajo Linux 1.2.1 Definición del proyecto 1.2.2 Objetivos 1.2.3 Justificación 1.3 Alternativas de solución 1.4 Elección de alternativa óptima 1.5 Plan de trabajo 1.5.1 Diagrama de Gantt 1.5.2 Especificaciones 12 12 13 14 14 15 15 17 20 21 21 24 CAPÍTULO II DESARROLLO DEL PROYECTO 2.1 Descripción detallada del plan de trabajo 2.2 Orígenes de Linux 2.3 Inicio de instalación de Linux 27 28 29 14
2.3.1 Requisitos mínimos de Hardware 2.3.2 Instalación de Linux 2.3.3 Posibles problemas relacionados a la instalación 2.4 Activación de firewall 2.4.1 Restricción de los puertos a los que se puede tener acceso para comunicarse 2.4.2 Las IPchains 2.5 Pruebas 2.6 Alcances y Limitaciones 2.6.1 Lo que puede hacer un firewall 2.6.2 Lo que no puede hacer un firewall 29 29 35 37 39 40 41 43 43 44 CAPÍTULO III CONCLUSIONES 3.1 Dificultades 3.2 Logros obtenidos 3.3 Recomendaciones 3.4 Aportaciones GLOSARIO BIBLIOGRAFÍA 48 50 51 51 54 57 15
INTRODUCCIÓN En la actualidad, el sector empresarial, tiene una plataforma informática basada en redes de computadora. Lo que hace necesario que estas redes puedan conectarse a otras más grandes, ya sea para mandar o recibir información a distancias cada vez mayores. De esta forma se puede obtener acceso a información tan variada como: Búsquedas de contenidos específicos Productos de empresas Ventas por Internet Comunicación con otras personas en el mundo vía chat Correo electrónico Así como asuntos de índole personal como son el manejo de dinero o en caso de las empresas; información confidencial Es por eso que en este último punto estará basado todo el presente documento, ya que es un aspecto que no se valora en la mayoría de los casos, la seguridad de las conexiones entre un corporativo y el mundo, Internet. 16
La mayor parte de las empresas poseen sucursales en diferentes lugares, esto hacía muy lenta la comunicación y el envío de información entre ellas, distancias que se hicieron más cortas al nacer Internet. Hablar de privacidad de la información, es hacer referencia a la capacidad de convertir la información emitida, en invisible a los ojos del resto de los usuarios de modo que una conversación entre dos personas a través de la red, transcurra bajo la sensación de una completa seguridad por parte de los mismos. Dentro de la red local de una empresa toda la información circula libremente. Por lo tanto está relativamente segura y esto aumenta la productividad al reducir tiempos del traslado de la misma de un lugar a otro, pero Qué sucede desde que se abandona la red interna y se accesa a Internet? Se comienza a correr un riesgo importante ya que existen personas malintencionadas que gustan del robo de la información con distintos fines. Las redes que tienen un acceso al Internet, deben protegerse de los posibles intrusos con algunos sistemas de seguridad llamados comunmente Firewalls; ésta es una forma de crear un muro contra los intentos, ya sea de entrada a personas ajenas a la empresa o salida de información que puede ser confidencial por parte de personas no autorizadas a Internet. 17
Algunos de los cuidados especiales que se deben tener para que realmente esté segura la información y sirva el Firewall son: Limitar el acceso al lugar donde se encuentran los servidores y Firewall (IDF, MDF). Cuidar el uso así como la entrada y salida de disquetes ajenos a la empresa. Limitar los privilegios del uso de Internet y e-mail de los ordenadores de los empleados. Cuidar la confidencialidad de la información así como de las contraseñas principales Diseñar políticas de seguridad Es de esperarse que entre más importante sea la información mayor atención se debe tener en las medidas de seguridad tanto físicas como lógicas. Aún así se debe de estar consciente que no se puede tener 100% segura la información y por esto se debe mejorar constantemente. Asimismo se debe tener en cuenta que el dirigir la seguridad únicamente hacia medios de software no es lo más recomendable ya que también debe de tenerse en cuenta tanto la seguridad física como el diseño de un buen programa de políticas de seguridad. 18
En el primer capítulo nombrado Instalación de firewall en linux se mencionan algunos aspectos importantes sobre la empresa como su política de calidad, organigrama, así como la definición del proyecto, los objetivos y la justificación. En el segundo capítulo nombrado Desarrollo del proyecto se encuentra especificado cómo se fue dando el proceso para la activación del Firewall, así como la instalación de linux y los requerimientos para la instalación. Finalmente se encontrará un apartado de conclusiones, glosario y bibliografía consultada para la realización de este proyecto. 19
1.1 Grupo Informático Génesys 1.1.1 Giro de la empresa Grupo Informático Génesys cuenta con una amplia gama de productos y servicios de la más avanzada tecnología y con la mejor calidad: Punto de venta Cableado estructurado Mantenimiento preventivo y correctivo (PC, impresoras, servidores y cualquier equipo o sistema de comunicaciones en general). Desarrollo de software Telecomunicaciones de voz y datos Venta de equipo de cómputo Asesorías (compra de equipo) Capacitaciones (manejo de software, manejo de sistemas operativos tales como: WINDOWS, LINUX,UNIX) Consultoría en UNIX y LINUX 20
1.1.2 Organigrama El proyecto se efectuará en el área de soporte técnico y redes. Ing. Juan Gabriel Franco Gerente General C.P Sergio Ledesma y Asociados Contador TSU Nohemi Valencia Conde Soporte técnico y redes Juan Pablo Franco Soporte técnico y redes Sergio Daniel Márquez Andrade Auxiliar 21
1.2 Instalación de Firewall bajo Linux 1.2.1 Definición del proyecto El principal problema al que se enfrenta una sociedad o una empresa que maneja su información a través de Internet es la seguridad y privacidad de sus datos, es así que cada vez se vuelve más difícil tener privacidad. En otros tiempos esto no era problema ya que no existían personas que desearan robar o descifrar la información, pero ante la aparición de ladrones cibernéticos también conocidos como hackers o crackers esto ha cambiado ya que se dedican al espionaje corporativo a nivel empresarial, al robo de información de computadoras para obtener el número de tarjetas de crédito y hacer mal uso. Así nacen los dispositivos de seguridad, como la prohibición del uso de disquettes o en el caso más complejo, el control del uso de dispositivos como el Internet o filtrado de información a través de la red controlada por un Firewall. Debido a lo anterior este proyecto consiste en la instalación de un Firewall bajo el sistema Linux, también se documentará el proceso de la instalación y configuración de Linux. El proyecto está pensado para implementarse a nivel empresa, ya que por la naturaleza de la información que se maneja es indispensable el cuidado de la misma. 22
1.2.2 Objetivos 1) Implementar a bajo costo un sistema que permita el acceso seguro a Internet y la conectividad entre computadoras, mediante alguno de los sistemas Linux. 2) Mostrar el proceso que se lleva a cabo desde la instalación de LINUX a la configuración del Firewall para hacer más fácil el acceso a este tipo de recursos, tanto a usuarios familiarizados con Linux así como a quien quiere aprender a manejarlo. 1.2.3 Justificación El auge de los sistemas de telecomunicaciones y su creciente demanda hacen necesario, para cualquier persona que maneje información, en especial empresas, tener segura la información que manejan ya que ésta suele ser muy delicada. En el caso de las empresas esto se torna algo más complicado ya que se manejan grandes cantidades de información delicada y por demás confidencial para la empresa. Esto hace nacer la necesidad de implementar dispositivos que mantengan a salvo dicha información, en el campo de las comunicaciones por medio de las computadoras. Dichos dispositivos son llamados Firewall que sirven precisamente para eso, para crear un muro de fuego impenetrable para cualquier persona ajena manteniendo segura la información. 23
Es pertinente complementar los conocimientos en telecomunicaciones con los de redes y seguridad informática. Y así implementar las soluciones apropiadas en el área de las telecomunicaciones. Todo ello para llevar a las organizaciones a lograr altos grados de productividad y competitividad, contribuyendo de esta manera al desarrollo económico y social del país así como de la propia empresa. Los beneficios de implementar un sistema de seguridad son: Asegurar que cualquier ordenador no pueda ser utilizado para atacar a otros. Evitar posibles ataques desde máquinas situadas en el Internet (espionaje). Evitar la modificación o extracción de información que pueda ser confidencial. 24
1.3 Alternativas de solución Las alternativas al problema de inseguridad de la información son todas similares, algunas de éstas serían: Firewalls incluidos al comprar antivirus como Panda Antivirus Platinum o Norton Professional. Adquirir software que está especializado en seguridad que también son Firewalls. Comprar hardware especializado que cumple la misma función. Aplicar políticas de control de acceso a la red en el reglamento de la empresa. A continuación se enumeran algunas ventajas y desventajas del Firewall de Linux. Ventajas Alto grado de seguridad. Confianza. A diferencia de Windows no se traba. Desventajas Necesidad de conocimientos previos de instalación de Linux. Alto grado de dificultad de uso en modo consola. No es muy comercial lo cual hace difícil el acceso a este sistema operativo. 25
Poco material de apoyo para su uso. Son muchas las ventajas derivadas del uso de Linux, ya que es un sistema libre. Linux ofrece un sistema completo con posibilidades de multiusuario y multitarea incorporada que se beneficia de toda la potencia de procesamiento de los sistemas informáticos. Linux es una muy buena alternativa frente a los demás sistemas operativos. Más allá de las ventajas evidentes de costo, ofrece algunas características muy notables. En comparación con las otras versiones de Unix para PC, la velocidad y confiabilidad de Linux son muy superiores. También está en ventaja sobre la disponibilidad de aplicaciones, ya que no hay mucha difusión de estos otros Unix (como Solaris, XENIX o SCO) entre los usuarios de PC por sus altos costos. Comparado con sistemas operativos como los diferentes Microsoft Windows, Linux también sale ganando. Los bajos requisitos de hardware permiten hacer un sistema potente y útil de aquel 486 que algunos guardan en un armario. Esta misma característica permite aprovechar al máximo las capacidades de las computadoras más modernas. Es poco práctico tener una PC con 16 Mb de RAM y ponerle un sistema operativo que ocupa 13 (que es lo que reporta sobre Windows 95 el System Information de Symantec). No sólo es superior respecto a el sistema de multitarea y de administración de memoria, sino también en la capacidades de networking (conectividad a redes) y de multiusuario (aún comparando con 26
sistemas multiusuario como NT). La única desventaja de Linux frente a estos sistemas, es la menor disponibilidad de software, pero este problema disminuye con cada nuevo programa que se escribe para el proyecto GNU, y con algunas empresas que están desarrollando software comercial para Linux (por ej., Corel). La mayor desventaja del uso de Linux es el hecho de que ninguna entidad corporativa se encarga de su desarrollo; aunque no haya ningún teléfono de asistencia técnica hay literalmente miles de usuarios en la comunidad en línea dispuestos a responder a cualquier pregunta. El hecho de que Linux no disponga de asistencia técnica puede ser un problema. Lo mismo sucede con la aplicaciones para Linux, aunque existan algunas programas comerciales, la mayoría están desarrollados por pequeñas comunidades que posteriormente se ponen a disposición de todos. Linux puede resultar difícil de instalar y no funciona en todas las plataformas de hardware, los desarrolladores de Linux se encuentran repartidos por todo el mundo, ya que no hay ningún programa formal de garantía de calidad. Los desarrolladores lanzan sus programas como van surgiendo, el hardware depende del que el desarrollador utilizó, así que no funciona con todo el Hardware disponible actualmente. 27
1.4 Elección de la alternativa óptima Todos las alternativas anteriores sin duda cumplen con la misma función la cual es proteger la información; sin embargo la mayoría de éstos, ya sean softwares o hardwares tienen un costo para las personas llámese, por licencia o por adquisición del equipo. Sin duda esto es una gran desventaja si se considera el costo que puede representar para un usuario o una empresa. La principal ventaja de LINUX frente a éstos sería que es un software GNU o de libre distribución, esto quiere decir que no se tiene que pagar por una licencia de éste a diferencia otros sistemas operativos como Windows de Microsoft o Mac OS de Apple. Teniendo una computadora con un mínimo de características se puede tener un completo sistema de seguridad si no 100% confiable al menos sí uno de los más seguros que puede existir. Sobre el sistema operativo Linux se pueden montar múltiples servicios tales como: Servidor Proxy HTTP y FTP Informes generados en forma automática. Bloqueo opcional para la navegación en más de 30.000 sitios. Conversión de las direcciones IP de su red privada (NAT) 28
1.5 Plan de trabajo 1.5.1 Diagrama de actividades 29
30
31
1.5.2 Especificaciones Para iniciar el desarrollo es necesario tener bien definidas las herramientas que se utilizarán para llevar a cabo el proyecto. Como ya se mencionó antes, es necesario tener en cuenta todos los requerimientos y hacer un análisis detallado de lo que se va a hacer. En primer lugar se necesita hacer un estudio de las diferentes versiones de Linux que existen para comenzar a familiarizarse, es decir, estudiar detenidamente su estructura y funcionamiento para así después trabajar con alguno de ellos. Dentro de este primer punto entran aspectos como una investigación sobre LINUX, de dónde y cómo surge, sus puntos más fuertes así como los más débiles, En segundo lugar es importante hacer un análisis detallado de los requerimientos que exige el sistema para su adecuado funcionamiento y los recursos con los que se cuentan. En tercer lugar, una vez que se han hecho pruebas con las diversas versiones que existen se debe elegir una, en este caso es Suse Linux 7.0 que ha sido elegido por la gran cantidad de información que hay disponible así como su fácil instalación y uso, ventajas que tiene sobre otros como: Red Hat 9, Mandrake 8 o Debian. En cuarto lugar viene la instalación del Firewall, éste uno de los puntos más tardados ya que se deben hacer diversas pruebas para 32
ir depurando los posibles huecos que puedan quedar y que funcione de la forma esperada. En quinto lugar se hacen anotaciones de las observaciones para llevar un correcto seguimiento del desarrollo del proyecto. Una vez hecho todos estos pasos se puede determinar qué tan seguro es un Firewall dentro de un sistema Linux y qué tan vulnerable puede llegar a ser en un momento dado. 33
CAPÍTULO II DESARROLLO DEL PROYECTO 34
2.1 Descripcion detallada del plan de trabajo Para este proyecto se definieron una serie de pasos a seguir, para llevar una secuencia y perfecto control; Orígenes de Linux Inicio de instalación de Linux Requisitos mínimos del Hardware Instalación de Linux Posibles problemas relacionados a la instalación Activación de Firewall Restricción de puertos a los que se pueden tener acceso para comunicarse Las IPchains Pruebas Limitaciones Lo que puede hacer un Firewall Lo que no puede hacer un Firewall 35
2.2 Orígenes de Linux Los orígenes de Linux dependen mucho de Unix, y en cierto punto a la de un programa llamado Minix. Esta es una guía de aprendizaje del sistema operativo escrita por el informático Andrew Tannenbaum. Este sistema operativo se hizo popular en varias plataformas de computadoras personales, incluyendo computadoras personales basadas en MS-DOS. Linux surgió gracias a un estudiante finlandés Linus Torvalds, quien construyó una estación de trabajo de bajo costo utilizando una computadora personal compatible con la IBM. Las únicas piezas faltantes eran los programas. Inspirado en un texto de Andrew, que contiene la explicación para construir un pequeño sistema operativo, Linus trabajó en una dirección más ambiciosa que sobrepasó las limitaciones de Minix, meses después, Linus tenía una versión funcional del núcleo de un nuevo sistema operativo, que distribuyó a través de Internet y que logró captar el interés de algunos programadores, quienes comenzaron a contribuir en el proyecto. Al cabo de un año, Linux comenzó a popularizarse entre los grupos de estudiantes de las áreas relacionadas con el cómputo. También comenzó a crecer, hasta convertirse en lo que hoy se conoce como un clon de Unix de muy buena calidad. 36
2.3 Inicio de instalación de Linux 2.3.1 Requisitos mínimos de Hardware 64 megas en RAM o más Un procesador tipo Pentium Posibilidad de arrancar de CD-Rom 800 MB en disco duro como mínimo para la instalación estándar 2.3.2 Instalación de Linux Una vez que se tiene el Hardware necesario para el correcto funcionamiento se puede comenzar ahora con lo que ya es la instalación. A continuación se describen los pasos para la instalación del software. 1. Probando Hardware: dentro del proceso de instalación el programa realiza un pequeño examen para saber que dispositivos están conectados al equipo y si estos cumplen con los requerimientos. USB Mouse Floppy Disco Duro Memoria Controladores 37
En caso de que se detecten incompatibilidades se aborta la instalación y no se permite que ésta siga la carga del mismo. Fig. 2.1 Unidad desde la cual se va a llevar a cabo la instalación 2. Ya verificado lo anterior ahora pasa a la pantalla de selección del idioma entre los cuales se escoge Español. Fig. 2.2 Selección del idioma 38
3. Configuración básica donde se pide que se especifique: El tipo de teclado: esta función es muy parecida a una que maneja Windows, en este caso Español. Zona Horaria: También una función que presenta Windows, aquí se busca el país o región en este caso México. Fig. 2.3 Configuración del reloj 4. Tipo de de instalación: En este punto se ofrecen varias opciones para instalar Suse entre las que están: Nueva instalación de Linux Se trata de instalar un Suse Linux nuevo. (Éste es el escogido para el proyecto). 39
Actualizar el sistema Linux instalado La actualización de una versión antigua de Suse existente en el sistema. Fig. 2.4 Tipo de instalación Instalación en modo experto En este modo se puede configurar totalmente cualquier cosa de Suse solo para personas con amplio conocimiento de los sistemas Linux. Cancelar Si se decide abandonar la instalación por completo. 5. Modo de instalación: En donde tiene la posibilidad de escoger una instalación de una forma parecida a Windows en modo gráfico o sólo en modo texto parecido a MS-dos. Fig. 2.5 Modo de instalación 40
6. Particionamiento del disco duro: Se presentan dos opciones : Particiónamiento automático: El sistema decide cuál es la forma correcta así como la asignación de espacio. Particiónamiento manual: El usuario decide cuánto espacio asignará del disco duro. 7. Crear partición: En este caso el disco duro ya tenía instalado el sistema operativo Windows Xp, el cual se decidió conservar y particionar manualmente el disco duro para asignarle la mitad a Suse es decir 20 GB, el disco quedó identificado de la siguiente manera: /dev/hde1/hde2, siendo hde1 la partición correspondiente a Windows Xp y hde2 donde será instalado Linux. Fig. 2.6 Particionamiento del disco duro 41
a) La segunda partición que es identificada como otro disco duro se divide en otras subparticiones que son necesarias para que funcione Linux quedando con las siguientes asignaciones: raíz /.- Se le asignan 10 GB boot/.- 9 GB Swap/.- se le asignó 1GB ( normalmente se le asigna el doble de la memoria RAM que tiene la computadora ya que si se le asigna menos podría funcionar lentamente el sistema) 8. Selección de Software: Esto hace referencia a la serie de discos con que cuenta Suse y son necesarios para la instalación de diversos programas como Open Office o en este caso el Firewall. 9. Contraseña de root: Es la que va a usar el administrador del sistema para realizar cambios, en el presente proyecto es de vital importancia que sólo la sepa el encargado de la administración y que ésta sea lo mas segura posible: en este punto es necesario introducirla y verificarla. 10. Información del usuario: Es la información de cada usuario del sistema, donde es necesario que cada quien tenga su usario y contraseña con la debida restricción de privilegios para cada uno. 11. Confirmación de la instalación: Se muestra un recuadro donde dice las características elegidas para la instalación. 42
12. Preparando Disco Duro : en este paso se formatea la segunda partición del disco duro. Una vez terminada la carga es necesario revisarla para cerciorarse de que Suse se instaló satisfactoriamente. 2.3.3 Posibles problemas relacionados a la instalación Se pueden presentar algunos problemas en cuanto a compatibilidad de Linux con elementos de tipo SCSI, y aunque Linux soporta la mayoría de los lectores de CD-ROM, esto generalmente se presenta en computadoras con lectores o discos duros tipo SCSI, se debe verificar que la tarjeta controladora tenga soporte para Linux. Para saber de forma más certera si la tarjeta cuenta con dicho soporte se puede consultar la lista de tarjetas soportadas por Suse en la base de datos del CD-ROM, ya que de lo contrario no se podrá llevar acabo la instalación. Si se tiene un disco duro sin particionar, con alguna versión de Windows instalada generará un aborto inmediato de cualquier intento de instalación de Linux, existen tres posibles soluciones para ello las cuales son: 1.-Formatear el disco duro para que quede totalmente libre para Linux, lo que da como resultado la pérdida definitiva de la información contenida en el disco. 43
2.-Crear una partición en el disco con programas especiales para hacer la instalación. 3.-Conseguir un disco nuevo. Un problema no muy común pero que llega a presentarse, es que la computadora al instalar el programa no registre por completo la memoria. En este caso lo que se puede intentar es, excluir algunos drivers de los ficheros de arranque del sistema. 44
2.4 Activación de Firewall Suse cuenta con su propio firewall integrado, esto con el fin de proteger la red contra accesos a direcciones IP y puertos que no estén explícitamente abiertos. El protocolo que se usa para la comunicación en Internet es el que se conoce bajo el nombre TCP/IP que significa Transmission Control Protocol and Internet Protocol. Hoy en día se puede usar TCP/IP en casi cualquier plataforma, sistema operativo o red. El departamento de defensa de los Estados Unidos de América (United States Department of Defence; DoD) desarrolló este protocolo y lo presentó por primera vez al público en 1978. Los datos en una red del tipo TCP/IP se transfieren de una computadora a la otra en forma de paquetes. Cada paquete comienza con un encabezado, que contiene datos de control como p. ej. la dirección de la computadora destino. Por detrás de este encabezado se encuentran los datos. Para transferir p. ej. Un fichero de una computadora a la otra vía red, el contenido de este fichero se convierte en una serie de paquetes que se mandan a la computadora destino. Una vez instalado Linux existe una carpeta muy importante para entender como funciona el Firewall de Suse que se encuentra en /usr/ share/ doc/ packages/ firewals. 45
Así mismo se cuenta con una carpeta que explica cómo se configura paso a paso el firewall, todo ello se encuentra en /etc/rc./config. d /firewall. rc. config ésta es una herramienta muy útil para quien no está muy familiarizado con la instalación. Para activar el firewall primero se debe pasar al modo consola. Fig. 2.7 Modo consola de Linux Ya en modo consola se pone START_FW=yes con esto se activa de manera automática el firewall, aunque falta configurarlo para que sólo deje abierto los puertos deseados, así como la configuración de las máquinas que pueden tener acceso al Internet o quien puede entrar a la red. 46
2.4.1 Restricción de puertos a los que se puede tener acceso para comunicarse Suse linux cuenta con una herramienta muy útil para restringir los puertos por los cuales puede haber posibles intrusiones y así evitar ataques externos. La forma de entrar a esta utilidad es: Fig. 2.8 Restricción de los puertos 1. Entrar al sistema como usuario root (administrador) 2. Entre al menú administración del sistema, configuración de red, configuración básica de la red 3. Se selecciona un número que no esté ocupando otro puerto 4. Pulsar F5 para seleccionar el tipo de puerto o dispositivo 5. Se pulsa F6 e introduce la dirección IP de la computadora y la máscara de red 6. Se sale de la pantalla seleccionando continuar 7. Ahora dicho dispositivo puede activarse y desactivarse pulsando F4 47
8. Pulsando F10 se guardan los cambios de la configuración 2.4.2 Las IPchains Suse Linux ya contiene cuatro programas de seguridad especialmente desarrollados para aumentar y controlar la seguridad del sistema. El paquete firewals, (Software del ámbito de seguridad) contiene el script /usr/sbin/susefirewall, que lee y evalúa el fichero de configuración /etc/rc.config.d/firewall.rc.config y después genera listas de filtro restrictivas mediante IPchains. Por último, hay que configurar las reglas para el firewall IPchains (en versiones más nuevas de Linux conocidas como iptables) que activen el ip masquereading. Estas reglas se van a configurar dentro de un archivo /etc/ppp/rc.firewall al que habrá de dar una máscara con permisos 700. #!/bin/bash # Carga todos los módulos pendientes /sbin/depmod -a # Masquerading de FTP /sbin/modprobe ip_masq_ftp # Habilita IP Forwarding echo "1" > /proc/sys/net/ipv4/ip_forward 48
# Habilita desfragmentado automático echo "1" > /proc/sys/net/ipv4/ip_always_defrag # Si se captura la IP por DHCP echo "1" > /proc/sys/net/ipv4/ip_dynaddr # Masquerading timeouts /sbin/ipchains -M -S 7200 10 160 # Habilita IP Forwarding y masquerading /sbin/ipchains -P forward DENY # Esta regla habilitaría el acceso a toda la red 192.168.30.0 #/sbin/ipchains -A forward -s 192.168.30.0/24 -j MASQ # Estas reglas habilitan el acceso a dos máquinas concretas: /sbin/ipchains -A forward -s 192.168.30.1/32 -j MASQ /sbin/ipchains -A forward -s 192.168.30.2/32 -j MASQ 2.5 Pruebas Cuando se complete la conexión desde cualquier máquina cliente, se podrá comprobar, mediante la ejecución de ifconfig, que habrá aparecido un nuevo interface (ppp0) en la máquina que tiene conectado el modem, con una dirección IP válida suministrada por el ISP. 49
Para finalizar la configuración, hace falta indicar, en las máquinas cliente, cómo debe configurarse la pila TCP/IP. En cada máquina perteneciente a la red interna, se deben realizar las siguientes tareas: La IP de la máquina debe ser privada, y en el rango indicado en las reglas para el firewall anteriormente expuestas. El DNS primario debe ser la IP del DNS del proveedor de Internet. El gateway por defecto debe ser la IP privada correspondiente a la máquina que tenga conectado el modem. Si el navegador a utilizar es Netscape, configurar el Proxy como acceso directo a Internet. Si el navegador a utilizar es MS Internet Explorer, hacer que el Proxy sea el indicado por el proveedor de Internet (proxy.trovator.com:8080). 50
2.6 Alcances y limitaciones 2.6.1 Lo que puede hacer un firewall Un firewall principalmente puede proveer tres niveles de seguridad, es un dispositivo de chequeo por el cual pasa todo el tráfico tanto de entrada como de salida, y es el único punto donde se conecta la red a Internet. Un firewall exige políticas de seguridad Un firewall puede ser utilizado para reforzar políticas de seguridad en alguna empresa. Por ejemplo, se puede hacer que sólo se permitan enviar o recibir archivos de Internet, pero con la debida configuración se puede determinar qué usuarios tienen ambas capacidades. Un firewall limita los daños que un problema de seguridad de la red puede causar a toda la red Un firewall es usado para proteger una sección dentro de la red. Un problema de intrusión en alguna parte puede extenderse a toda la red; por lo tanto la existencia del firewall minimiza este daño. Un firewall registra eficientemente actividad en Internet Como todo tráfico pasa a través del firewall, éste provee una buena forma de recolectar información sobre el uso del sistema y la red en general. Él puede registrar qué ocurre entre la red protegida y la externa. 51
2.6.2 Lo que no puede hacer un firewall Los firewall ofrecen excelente protección a posibles amenazas, pero no son una solución 100% efectiva. Existen ciertas amenazas que se encuentran fuera del control del firewall. Un firewall no puede proteger de acciones ilegales de los usuarios internos. Un firewall tiene un sistema de usuarios capaz de evitar el envío de información privada fuera de la organización sobre una conexión de red; pero el usuario puede copiar datos en disco, cinta, papel y enviarlo fuera de la compañía con él. Si el ataque es dentro del firewall, puede virtualmente notarlo. Los usuarios internos pueden robar datos, dañar hardware, software y modificar programas para irrumpir en la seguridad del firewall. Las amenazas internas requieren seguridad interna, como políticas de seguridad muy claras y educar a los usuarios. Un firewall no puede proteger las conexiones que no pasen por él - Un firewall puede controlar el tráfico que pasa a través de él, pero no el que tiene conexiones directas al exterior como por ejemplo un modem ya que está conectado directamente a una línea telefónica. 52