PDF de programación - Cómo de Cortafuegos y Servidor Proxy

Cómo de Cortafuegos y

Servidor Proxy

Mark Grennan, [email protected]

Este documento está diseñado para describir los fundamentos de los
sistemas de cortafuegos, al mismo tiempo que le explica cómo instalar
un filtro y un cortafuegos proxy en un sistema basado en Linux. La
versión HTML de este documento se puede obtener en la siguiente
dirección http://www.grennan.com/Firewall-HOWTO.html

1. Introducción

David Rudder escribió la versión original de este Cómo de Cortafuegos hace ya algún
tiempo y, desde aquí, quiero agradecerle que me permita actualizar su trabajo.

También me gustaría dar las gracias a Ian Gough por ayudarme en el proceso de
redacción.

Los cortafuegos han adquirido gran popularidad de un tiempo a esta parte y se
consideran el último grito en la seguridad en Internet, pero como ocurre con la mayoría
de los temas candentes, los cortafuegos a menudo han dado lugar a malentendidos. En
este Cómo se explican las bases de lo que es un cortafuegos y de cómo se pueden
instalar.

Hemos utilizado kernel 2.2.13 y RedHat 6.1 para desarrollar este Cómo, y los ejemplos
que aquí se utilizan se basan, por lo tanto, en esta distribución. Si encuentra diferencias
en la suya, por favor, póngase en contacto conmigo para actualizar este Cómo.

1

Cómo de Cortafuegos y Servidor Proxy

1.1. Retroalimentación

Cualquier apoyo o crítica a este documento serán bienvenidos. ¡POR FAVOR, RUEGO
ME COMUNIQUEN CUALQUIER INEXACTITUD QUE VEAN EN ÉL! No soy un
experto, y puedo cometer errores. Si encuentra algún fallo, por favor, hágamelo saber.
Intentaré responder a todos los correos electrónicos, pero soy una persona muy
ocupada, así que no se enfade si no lo hago.

Mi dirección de correo electrónico es [email protected]
(mailto:[email protected])

1.2. Descargo de Responsabilidad

NO ME HAGO RESPONSABLE POR NINGÚN DAÑO PRODUCIDO POR
ACCIONES DERIVADAS DE ESTE DOCUMENTO. Este documento pretende ser una
introducción a los cortafuegos y los servidores proxy. No soy, ni lo pretendo ser, un
experto en seguridad. Simplemente soy un tipo que ha leído mucho y al que le gustan
los computadores más que al resto de la gente. Por favor, escribo esto esto para ayudar
a la gente a entender más sobre este tema, y no estoy preparado para hacer depender mi
vida de la exactitud de lo que hay aquí.

1.3. Propiedad Intelectual

A menos que se especifique lo contrario, los documentos Cómo de Linux son
propiedad intelectual de sus respectivos autores. Estos documentos Cómo de Linux se
pueden reproducir y distribuir total o parcialmente en cualquier medio, ya sea físico o
electrónico, siempre y cuando aparezca la marca de propiedad intelectual en todas las
copias. La redistribución comercial está permitida y, de hecho, se recomienda. No
obstante, al autor le gustaría que se le notificara cualquier distribución de este tipo.

Todas las traducciones, trabajos derivados o trabajos de recopilación que incorporen
cualquier documento Cómo de Linux deben llevar la marca de propiedad intelectual, es
decir, no se puede producir ningún trabajo derivado de un Como y añadirle restricciones

2

Cómo de Cortafuegos y Servidor Proxy

adicionales a su distribución. Se podrán establecer excepciones a estas normativas bajo
ciertas condiciones. Por favor, contacte co nel coordinador de Cómo de Linux.

En resumen, deseamos promover la difusión de esta información por todos los canales
posibles, pero nos gustaría mantener la propiedad intelectual de los Cómos. Por ello,
rogamos se nos comunique cualquier intención de redistribución de los Cómos.

Si tiene alguna duda, por favor no dude en ponerse en contacto conmigo. (Véase arriba)

1.4. Las Razones por las que escribí esto

Hace varios años, mientras trabajaba para el estado de Oklahoma como Administrador
de Internet, me pidieron que pusiera al Estado en Internet, sin presupuesto alguno.
(Nota: En aquella época no había tal puesto de trabajo; simplemente era una persona
que lo hacía todo). La mejor manera de conseguirlo era utilizar todos los "software"
gratuitos y los "hardwares" que pudiera. Para ello contaba tan sólo con Linux y con
algunos equipos 486 obsoletos.

Los cortafuegos comerciales tienen precios EXCESIVOS y la documentación que
explica cómo funcionan se considera de alto secreto. Por lo tanto, crear un cortafuegos
propio era una tarea casi imposible.

En el siguiente encargo, me pedían instalar un cortafuegos. Linux acababa de introducir
un código de cortafuegos. De nuevo, sin presupuesto, empecé a diseñar un cortafuegos
con Linux. Seis meses más tarde el cortafuegos ya estaba instalado y comencé a
actualizar este documento.

1.5. Lecturas de Interés

• The The Linux Networking Overview HOWTO

(http://sunsite.unc.edu/mdw/HOWTO/Networking-Overview-HOWTO.html)

3

Cómo de Cortafuegos y Servidor Proxy

• The Ethernet HOWTO

(http://sunsite.unc.edu/mdw/HOWTO/Ethernet-HOWTO.html)

•

IPchains Firewalling made Easy! (http://ipchains.nerdherd.org/)

• Linux Network Address Translation (http://www.linas.org/linux/load.html)

• The Net-3 HOWTO (http://sunsite.unc.edu/mdw/HOWTO/NET-3-HOWTO.html)

• The NET-PPP HOWTO (http://sunsite.unc.edu/mdw/HOWTO/PPP-HOWTO.html)

• The easiest way to create Virtual Tunnels over TCP/IP networks

(http://vtun.netpedia.net/)

[ Haga click aquí para acceder a otras URLS ]

2. Cortafuegos: Conceptos básicos

Un cortafuegos es una barrera para evitar que el fuego se expanda. Los edificios
disponen de cortafuegos, muros de ladrillos que dividen las diferentes secciones del
edificio. En un coche, un cortafuegos es la barra de metal que separa al motor del
compartimento de los pasajeros.

La misión de los cortafuegos de Internet es garantizar la seguridad de nuestro equipo
ante los peligros cibernéticos de la red de área local (LAN) o bien, mantener a los
miembros de esa LAN al margen de las malignas intenciones de Internet.

El primer cortafuegos en un ordenador fue una máquina Unix que no realizaba tareas
de encaminamiento con conexiones a dos redes distintas.Una tarjeta de red conectada a
Internet y la otra al LAN privado. Si quería acceder a Internet desde la red privada,
tenía que registrarse en un servidor (Unix) de cortafuegos. Por lo tanto, se utilizaban los
recursos del sistema para acceder a Internet. Por ejemplo, podría utilizar X-windows
para ejecutar el navegador de Netscape con el sistema de cortafuegos y poder usarlo en
una estación de trabajo. Con el navegador ejecutado en el cortafuegos se tiene acceso a
dos redes.

4

Cómo de Cortafuegos y Servidor Proxy

Este tipo de sistema de origen dual (un sistema con dos conexiones de red) es muy
bueno si tiene PLENA CONFIANZA en todos sus usuarios. Se puede instalar un
sistema Linux y darle una cuenta a todo aquel que quiera tener acceso a Internet. Con
esta instalación, el único computador de su red privada que conoce todo sobre el mundo
exterior es el cortafuegos. Nadie puede descargar en su computador directamente.
Primero deberá descargar el fichero al cortafuegos y después descargarlo del
cortafuegos a sus estación de trabajo.

IMPORTANTE: El 99% de las instrusiones comienza con el acceso al sistema que se
va a atacar. Por esta razón, no se recomienda este tipo de cortafuegos, además de que es
muy limitado.

2.1. Políticas de Cortafuegos

No crea que lo único que necesita es una máquina de cortafuegos. Establezca las
políticas primero.

Los cortafuegos se utilizan con dos objetivos:

1. para denegar el acceso a los piratas y gusanos

2. para permitir el acceso a empleados, niños, etc.

Cuando empecé a trabajar con los cortafuegos, me llamó la atención ver que la empresa
estaba más interesada en espiar a sus empleados que en denegar a su red el acceso a los
piratas.

Al menos en el estado de Oklahoma, los empleados tienen derecho a hacer llamadas
telefónicas y acceder a Internet siempre y cuando se informa de ello a los encargados.

El Gran Hermano no es el gobierno. Gran Hermano = Gran Negocio.

No me malinterpreten. La gente debe trabajar, y no dedicarse a jugar durante las horas
de trabajo. En mi opinión, se está dejando a un lado cada vez más la ética del trabajo.
No obstante, también he observado que son los mismos encargados los primeros que no

5

Cómo de Cortafuegos y Servidor Proxy

cumplen las normas. He visto trabajadores por hora que han sido reprendidos por
utilizar Internet para buscar el recorrido del autobus del trabajo a casa, mientras que los
mismos directores durante horas de trabajo se dedicaban a buscar buenos restaurantes y
salas de fiesta para llevar a sus futuros clientes.

Mi error antes este tipo de abusos es publicar un acceso a cortafuegos en una página
web para que todo el mundo lo pueda leer.

La cuestión de la seguridad puede ser escalofriante. Si es usted un administrador de
cortafuegos, cúbrase las espaldas.

2.1.1. Cómo crear una política de seguridad

Hay muchos artículos en los que se explica cómo crear una política de seguridad.
Después de muchos años de experiencia, les puedo recomendar que no se fíen en
absoluto. Crear una política de seguridad es algo muy simple:

1. describa para qué es el servicio

2. describa el grupo de personas a las que va dirigido el servicio

3. describa a qué servicio necesita acceder cada grupo

4. describa, para cada grupo de servicio, cómo se puede mantener seguro el servicio

5. redacte un informe en el que se considere violación cualquier otro tipo de acceso

Esta política se irá haciendo cada vez más compleja, no intente abarcar demasiado en
este punto. Procure que sea sencilla y clara.

2.2. Tipos de Cortafuegos

Hay dos tipos de cortafuegos.

6

Cómo de Cortafuegos y Servidor Proxy

1. Cortafuegos de filtrado - que evitará el acceso no autorizado a determinados

paquetes de la red.

2. Sevidores Proxes (a veces llamados cortafuegos) - encargados de establecer las

conexiones a la red.

2.2.1. Cortafuegos de Filtrado de Paquetes

El Filtrado de Paquetes es el tipo de cortafuegos integrado en el núcleo de Linux.

Un cortafuegos de filtrado trabaja a nivel