Você está na página 1de 18

INDICE DE CONTENIDO

INTRODUCCIN................................................................................ ...........................4
OBJETIVO GENERAL........................................................................... ..........................5
OBJETIVOS ESPECFICOS......................................................... ...................................5
INSTALACIN SEGURA DE LINUX................................................................... ..............6
Elecci! "e l#$ %e"i#$ "e i!$&'l'ci!................................................. ....................6
(ERRA)IENTAS GEN*RICAS DE AD)INISTRACIN.............................................. ........6
EL SISTE)A LINUX CO)O ROUTER.................................................................. ............+
CORTAFUEGOS............................................................................................................ .,
Cl'$i-ic'ci! "e C#.&'-/e0#$ ......................................................... .........................,
Te.%i!#l#01' "e C#.&'-/e0#$...................................................................... .............2
FIRE3ALLS SOBRE LINUX....................................................................... ...................14
I5&'6le$......................................................................................................... .........17
Fi.e8'll Pe.$#!'l Fi.e$&'.&e.................................................................................. ..15
C#!-i0/.'ci!......................................................................... ...............................16
SEGURIDAD................................................................................... ............................1,
ARC(IVOS DEL SISTE)A.................................................................................... ........49
:e&c:5'$$8"......................................................................... ..................................49
:e&c:$;'"#8.................................................................................... .......................49
:e&c:0.#/5$.......................................................................... ..................................49
:e&c:0$;'"#8.................................................................................. .......................49
:e&c:l#0i!."e-$............................................................................................. ...........41
:e&c:$;ell$.................................................................................. ............................41
:e&c:$ec/.e&&<........................................................................ ................................41
Se0/.i"'" "e '.c;i=#$ : Si$&e%' "e '.c;i=#$................................................ ........41
PLUGGABLE AUT(ENTICATION )ODULES >PA)?.......................................................44
SEGURIDAD DE CONTRASE@AS................................................................... ..............47
Al%'ce!'%ie!&# "e C#!&.'$eA'$...................................................................... ....44
SEGURIDAD BBSICA DE SERVICIOS DE RED......................................... .....................44
4
5$................................................................................................................... ........44
l$#-.............................................................................................................. ...........45
ARC(IVOS BBSICOS DE CONFIGURACIN DE RED....................................................45
&c5C8.'55e.$....................................................................................... ..................46
TCP:IP D SEGURIDAD DE REDES................................................... .............................4+
)eE#.'. l#$ '$5ec&#$ "e TCP:IP.................................................................. ............4+
Se0/.i"'" PPP.................................................................... ...................................4,
Se0/.i"'" IP >IPSec?................................................................. .............................42
DO)AIN NA)E SDSTE) >DNS?........................................................................... ........42
El '.c;i=# ;#$&.c#!-....................................................................... ........................79
V'.i'6le$ "e e!&#.!#............................................................................................. .71
LIG(T3EIG(T DIRECTORD ACCESS PROTOCOL >LDAP?...................................... .......74
O5e!LDAP ........................................................................................................ .....74
C#!-i0/.'ci! "e O5e!LDAP ............................................................................. ....74
Se.=ici#$ "e Di.ec&#.i# < LDAP............................................. .................................77
(e..'%ie!&'$ G.F-ic'$ "e A"%i!i$&.'ci!.............................................. ...............75
De$c.i5ci#!e$ .............................................................................. .........................75
S(ELLS D SCRIPTS.................................................................................. ...................76
S;ell$ i!&e.'c&i=#$.................................................................... .............................7+
S;ell$ Di$5#!i6le$............................................................................................. .....49
P.#0.'%'ci! $c.i5&$ e! B'$;....................................................... ........................44
V'.i'6le$ e! B'$;............................................................................ ......................47
C#%5'.'ci#!e$.............................................................................................. ........44
OPTI)IGAR EL SISTE)A......................................................................... ....................45
Re$#l=e. l#$ 5.#6le%'$ "e %e%#.i' 5.i!ci5'l..................................................... ..45
)/c;' /&iliH'ci! "e CPU....................................................... ...............................46
Re"/ci. el !I%e.# "e ll'%'"'$.............................................................. ...............46
)/c;' /&iliH'ci! "e "i$c#................................................................................... ..4+
ENLACES DE INTER*S........................................................................................... .....4,
7
INTRODUCCIN
Los profundos cambios sociales exigen a los ciudadanos el aprendizaje de toda una serie de
herramientas bsicas indispensables para desenvolverse en la nueva sociedad, la Sociedad
de la Informacin. El Sistema perativo !"#$Linux ha tenido un gran auge en los %ltimos
a&os ' cada vez son ms las personas (ue optan por este sistema como herramienta de
trabajo para llevar a cabo su labor diaria.
El mdulo de )dministrador tiene como propsito fundamental preparar a profesionales para
administrar adecuadamente servidores bajo Sistema perativo !"#$Linux,
proporcionndoles los conocimientos prcticos para ello ' generndoles un sentido de
anlisis ' creatividad para (ue puedan actuar adecuadamente ante las diversas situaciones
en su trabajo diario.
La labor de un )dministrador del Sistema perativo !"#$Linux en el mundo laboral actual,
exige un alto nivel de conocimientos t*cnicos (ue deben ser aplicados de forma exitosa para
garantizar un alto nivel en la calidad de servicios, sin embargo, es necesario ir ms all para
lograr el uso de los recursos t*cnicos ' humanos de forma eficiente. En este sentido, este
mdulo profundiza los conceptos ' t*cnicas vistas en el mdulo de soporte as+ como adiciona
nuevos conceptos referentes a los distintos servicios (ue puede proveer un servidor bajo
!"#$Linux ' cul es la mejor forma de implementarlos.
4
OBJETIVO GENERAL
,apacitar al participante para administrar adecuadamente servidores bajo Sistema perativo
!"#$Linux
OBJETIVOS ESPECFICOS
Al -i!'liH'. el c/.$# el 5'.&ici5'!&e e$&'.F e! l' c'5'ci"'" "eJ
Instalar el Sistema perativo !"#$LI"#- .ebian Etch de manera segura.
A5lic'. l' '/&#%'&iH'ci! "e &'.e'$ %e"i'!&e l' 5.#0.'%'ci! "e $c.i5&$.
/anejar las herramientas gen*ricas de administracin.
I!$&'l'ci! < c#!-i0/.'ci! "e c#.&'-/e0#$
C#!-i0/.'. < '"%i!i$&.'. e-icie!&e%e!&e l#$ $e.=ici#$ "e '/&e!&ic'ci! "e /$/'.i#$
"e .e".
5
INSTALACIN SEGURA DE LINUX
#na adecuada instalacin de Linux es el primer paso para tener un sistema estable ' seguro.
0a' varios trucos (ue hacen ms fcil la instalacin, as+ como algunos asuntos (ue es mejor
llevarlos a cabo durante la instalacin como la estructura de un disco duro.
Eleccin de los edios de ins!"l"cin
Este es el elemento n%mero uno, (ue afectar a la velocidad de instalacin ' en buena
medida la seguridad. #no de los m*todos preferidos por los usuarios es la instalacin v+a ftp,
'a (ue colocar temporalmente una tarjeta de red en una m(uina es algo rpido e indoloro, '
alcanzar velocidades superiores a 1 /egab'te$seg acaba siendo una instalacin rpida.
La instalacin desde el ,.23/ suele ser la ms fcil, 'a (ue se puede arrancar desde
ellos, el Linux encuentra el ,. sin tener (ue apuntar a directorios o tener (ue preocuparse
por los nombres de archivos con ma'%sculas o min%sculas 4al contrario (ue ocurre en la
instalacin basada en disco duro5. Se trata de un medio original de Linux.
678 9 rpida, re(uiere una tarjeta de red, ' un servidor de ftp.
0778 9 tambi*n rpida, ' algo ms segura (ue hacer una llamada a un 678 p%blico
Samba.
"6S 9 no tan rpida, pero puesto (ue el "6S est implementado en la ma'or+a de las
redes #"I- existentes.
,.3/9 si se tiene un lector de ,.3/ rpido, la mejor apuesta es introducir el ,.
' arrancar desde *l, pulsar E"7E3 unas cuantas veces ' 'a est listo. )hora, se
puede arrancar desde la ma'or+a de los ,.3/:s de Linux.
.isco duro 9 generalmente la ms tediosa, las ventanas confunden los nombres de
archivo, la instalacin desde una particin ext; suele ser algo menos tediosa.
Imgenes IS en ,..
#ERRA$IENTAS GEN%RICAS DE AD$INISTRACIN
En el campo de la administracin, tambi*n se pueden tomar en cuenta algunas herramientas,
como las pensadas de forma gen*rica para la administracin<
6
Lin&'con(< esta es una herramienta gen*rica de administracin donde se agrupan los
diferentes aspectos de administracin en una interfaz de men%s textual= *sta se puede
utilizar en casi cual(uier distribucin !"#$Linux, ' soporta diversos detalles propios de
cada una.
)e*in< esta es otra herramienta de administracin pensada para una interfaz >eb=
funciona con una serie de plugins (ue pueden se a&adidos para cada servicio (ue se
desea administrar= normalmente cuenta con formularios donde se especifican los
parmetros de configuracin de los servicios= adems, ofrece la posibilidad, si se
activa, de permitir la administracin remota desde cual(uier m(uina con navegador.
Los entornos de escritorio de !nome ' ?.E se sirven del concepto de @8anel de
controlA, el cual permite la gestin, tanto el aspecto visual de las interfaces grficas,
como tratar algunos parmetros de los dispositivos del sistema.
EL SISTE$A LINUX CO$O ROUTER
#n sistema Linux puede funcionar haciendo la funcin de router, simplemente se conecta a
dos o ms redes ' sabiendo, a partir de su tabla de rutas, por (u* interfaz puede alcanzar
cada red, dirige los pa(uetes entre una ' otra red. Este ser un funcionamiento como router
esttico. 8ara ello es necesario (ue la caracter+stica I8 forBarding 4o routing entre interfaces5
est* activada en el n%cleo del sistema. Si no est activada, cuando llegue un pa(uete por
una interfaz, no podr dirigirse hacia otra interfaz, por(ue no estar permitido el routing entre
ellos.
Se puede comprobar si est activo el I8 forBarding con el comando<
[root@linux entrega04-1]# cat /proc/sys/net/ipv4/ip_forward
0
En este caso, la salida C indica (ue no est activado el routing del Dernel. Se puede activar
mediante el comando<
+ec,o - ./01oc/s2s/ne!/i034/i05(o16"1d
Los dos m*todos siguientes, har+an el cambio permanente. El primero consiste en cambiar el
archivo de configuracin del Dernel 4$etc$s'sctl.conf5, colocando el siguiente valor<
+
ne!7i0347i05(o16"1d 8 -
tra opcin para (ue Linux funcione como router, es la de instalar un servidor especializado
de routing en nuestro sistema Linux. La sola capacidad de routing, nos permite conectar
varias redes, pero nos surge otro problema ma'or< la seguridad. Esto hace (ue la ma'or+a de
sistemas Linux 4' no Linux5 (ue interconectan redes, incorporen capacidades de seguridad,
como los cortafuegos.
CORTAFUEGOS
#n cortafuegos 4o fireBall5 es un componente o conjunto de componentes (ue restringen el
acceso entre una red protegida e Internet, o entre varias redes. Inclu'e tanto componentes
hardBare como softBare, configuraciones ' definicin de pol+ticas de seguridad.
Es(uema de red con cortafuegos
Su propsito es doble, proteger los sistemas ' servicios internos de los ata(ues del exterior, '
controlar los accesos hacia Internet de nuestros usuarios.
Cl"si(ic"cin de Co1!"(&e9os
Seg%n el nivel de la pila de protocolos sobre el (ue trabajan, se pueden clasificar los
cortafuegos en<
Co1!"(&e9os de Ni3el de 1ed: el control de trfico a nivel de red consiste en analizar
todos los pa(uetes (ue llegan a una interfaz de red, ' decidir si se les deja pasar o no,
en base al contenido de los mismos< protocolo, direccin de origen, direccin de
destino, puerto origen ' puerto destino fundamentalmente.
Su operacin se asemeja a la de un guardia de trfico (ue en un cruce decide (u*
,
carros pueden pasar ' cules no, dependiendo de su origen ' su destino. 8uesto (ue
analizar esta informacin es mu' sencillo, este tipo de cortafuegos suelen ser mu'
rpidos ' transparentes al usuario. Se suelen denominar de filtrado de pa(uetes
4pacDet a filter5. #na mejora sobre este tipo de cortafuegos, ser+an los de Inspeccin
de Estado 4Stateful Inspection5 (ue adems, inspeccionan en el interior de los
pa(uetes para comprobar si cumplen las pol+ticas de seguridad.
Co1!"(&e9os de Ni3el de A0lic"cin: se basan en la instalacin de intermediarios
4proxies5, tambi*n conocidos como pasarelas 4application gateways5. El cliente,
situado en un lado del cortafuegos, habla con un intermediario situado en el propio
cortafuegos. Este intermediario lo identifica, registra sus peticiones ', si est permitido,
las encamina hacia el verdadero servidor situado al otro lado del cortafuegos. La
contestacin regresa por el mismo camino, (uedando igualmente registrada.
El control se hace interceptando las comunicaciones a nivel de aplicacin, modificando
el protocolo para incluir medidas adicionales de seguridad. El cortafuegos debe
conocer los detalles del protocolo de cada servicio (ue intercepta, analizar su correcto
funcionamiento ' a&adir los pasos de control precisos a los mismos. 8or ejemplo,
s(uid es un prox' (ue debe conocer el protocolo 0778 para recoger las peticiones de
los navegadores cliente ' redirigirlas al servidor destino. El cortafuegos es, por tanto,
mucho ms inteligente ' posee a un control ms fino de todo el proceso de
comunicacin, aun(ue esto supone una ma'or carga de trabajo ' penalizacin en
eficiencia. )dems, normalmente exigen realizar modificaciones en la aplicacin del
usuario, como por ejemplo, decirle al navegador (ue utilice el prox'.
Te1inolo9;" de Co1!"(&e9os
En una ar(uitectura de sistema cortafuegos, encontramos una serie de t*rminos o
componentes como son<
,os! *"s!in: 4tambi*n se denomina gates5 es un sistema especialmente asegurado,
pero (ue puede recibir ata(ues por estar accesible desde Internet. 7iene como funcin
ser el punto de contacto de los usuarios de la red interna de una organizacin con otro
tipo de redes. El host bastin filtra trfico de entrada ' salida, ' tambi*n oculta la
configuracin de la red hacia fuera.
2
filtrado< tambi*n se conoce como screening, ' a los dispositivos (ue lo implementan se
les denomina chokes.
.e la combinacin de estos elementos, filtrado ' host bastin, surgen las siguientes
ar(uitecturas de cortafuegos<
Co1!"(&e9os de (il!1"do de 0"<&e!es =Screening outer >: un fireBall sencillo puede
consistir en un dispositivo capaz de filtrar
pa(uetes, un choDe. Easado en aprovechar
la capacidad de algunos routers 2
denominados screening routers para hacer
un enrutado selectivo, es decir, para
blo(uear o permitir el trnsito de pa(uetes
mediante listas de control de acceso en
funcin de ciertas caracter+sticas de las
tramas, de forma (ue el router act%e como
pasarela de toda la red.
D&"l?#oed #os! =!ost en dos
"onas>< este modelo de cortafuegos
est formado por m(uinas e(uipadas
con dos tarjetas de red ' denominadas
dual2homed hosts, en las (ue una de
las tarjetas se conecta a la red interna
para proteger ' la otra a la red externa.
En esta configuracin el choDe ' el
bastin coinciden en el mismo e(uipo.
19
Sc1eened #os!: un paso ms en t*rminos de seguridad de los cortafuegos es la
ar(uitectura screened host o choDe2gate,
(ue combina un router con un host
bastin, ' donde el principal nivel de
seguridad proviene del filtrado de
pa(uetes 4es decir, el router es la primera
' ms importante l+nea de defensa5. En la
m(uina bastin, %nico sistema accesible
desde el exterior, se ejecutan los proxies
de las aplicaciones, mientras (ue el
choDe se encarga de filtrar los pa(uetes (ue se puedan considerar peligrosos para la
seguridad de la red interna, permitiendo %nicamente la comunicacin con un reducido
n%mero de servicios.
Sc1eened S&*ne! =#$%>: la ar(uitectura Screened Subnet, tambi*n conocida como
red perimetral o Fona .esmilitarizada 4.e2/ilitarized Fone o ./F5 a&ade un nivel ms
de seguridad en las ar(uitecturas de cortafuegos, situando una subred 4la ./F5 entre
las redes externa e interna, de forma (ue se consiguen reducir los efectos de un
ata(ue con *xito al host
bastin. En los modelos
anteriores, si la seguridad
del host bastin se ve
comprometida, la amenaza
se extiende
automticamente al resto de
la red. ,omo la m(uina
bastin es un objetivo
interesante para muchos
piratas, la ar(uitectura ./F intenta aislarla en una red perimetral de forma (ue un
intruso (ue accede a esta m(uina, no consiga un acceso total a la subred protegida.
Screened subnet es la ar(uitectura ms segura, pero tambi*n la ms compleja= se
utilizan dos routers, denominados exterior e interior, conectados ambos a la red
11
perimetrala. En esta red ./F, (ue constitu'e el sistema cortafuegos, se inclu'e el
host bastin ' tambi*n se podrn incluir sistemas (ue re(uieran un acceso controlado,
como bater+a de modems, el servidor Beb o el servidor de correo, (ue sern los
%nicos elementos visibles desde fuera de nuestra red.
FIRE)ALLS SOBRE LINUX
Los cortafuegos pueden estar basados en la combinacin de un hardBare ' un softBare
especializado, constitu'endo cajas preparadas para realizar esa funcin, como por ejemplo
los "oDia o I8, los ,isco 8I- o las cajas de StoneSoft. tros, sin embargo, estn construidos
sobre un sistema operativo de propsito general, (ue se blinda ' prepara para funcionar
como cortafuegos. En este caso, podemos tener un sistema operativo Solaris, >indoBs o
Linux sobre los (ue se ejecuta un softBare como el 6ireBall21 de ,hecD 8oint.
Linux se puede encontrar en las dos opciones. 0a' empresas (ue utilizan linux sobre un
hardBare espec+fico, dando una caja lista para ser utilizada como cortafuegos, como el
i6orce de Sun /icros'stems. 7ambi*n podemos coger un sistema Linux sobre un 8, e
instalar un cortafuegos. Lo ms normal, en ambos casos, es utilizar las caracter+sticas de
cortafuegos (ue incorpora el propio Dernel de Linux< i0!"*les.
#n sistema cortafuegos puede ofrecer sus servicios a una red (ue se sit%a detrs de *l,
denominndose cortafuegos de la red, o el cortafuegos protege a la propia m(uina en la
(ue se ejecuta, denominndose cortafuegos personal.
8ara un cortafuegos de red, se puede utilizar distribuciones especializadas, (ue incorporan
facilidades de administracin por medio de navegador, integran prox's ' utilidades
adicionales. Se puede encontrar en este segmento a Smooth>all 4BBB.smoothBall.org5 o
I8,op 4BBB.ipcop. org5. El proceso a seguir consiste en descargarse la imagen IS de la
distribucin, grabar el ,. e iniciar la instalacin. El proceso es mu' guiado ' va haciendo las
preguntas correspondientes para configurar el cortafuegos a gusto del usuario.
8ara un cortafuegos personal, trabajamos con nuestra distribucin favorita ' se configura
iptables para a&adir seguridad. Sin embargo, el trabajar directamente con iptables puede ser
mu' engorroso ' existen interfaces grficas (ue nos permiten la configuracin ' el trabajo de
forma ms fcil.
14
I0!"*les
La principal herramienta de cortafuegos para Linux a partir de los Dernels ;.G es iptables,
estos reemplazan al anterior ipchains de los Dernels de la versin ;.; ' a ipfBadm de los
Dernels ;.C. La funcin de iptables es la de establecer, mantener e inspeccionar las reglas de
filtrado de pa(uetes I8 en el n%cleo de Linux.
Iptables decide (u* pa(uete de informacin puede pasar, seg%n unos criterios (ue se
almacenan en unas listas. Las listas se componen de reglas con un orden determinado,
donde la %ltima regla introducida ser la %ltima regla en aplicarse.
,uando un pa(uete llega, se mira en (u* lista debe aplicarse. En esa lista 4iptables las llama
tablas5 se empieza por la primera regla. Si la regla no es aplicable al pa(uete, se pasa a la
siguiente regla. ,uando una regla es aplicable 4match5 al pa(uete, se ejecuta la accin (ue
ha'a sido definida en la regla 4descartar el pa(uete, aceptarlo, enrutarlo, etc5.
3ecorrido de un pa(uete utilizando iptables
,uando iptables recibe el pa(uete 415, se comprueba si el destino final es nuestra propia
m(uina o es otra, por(ue estemos funcionando como router$gateBa' o cortafuegos. 8ara
los pa(uetes (ue van a la propia m(uina se aplican las reglas I"8#7 4;5 ' para pa(uetes
(ue van a otras redes o m(uinas se aplican las reglas 63>)3. 4G5. Las reglas de
#78#7 4H5 se aplican cuando un pa(uete es enviado desde nuestra m(uina al exterior.
I"8#7,#78#7 ' 63>)3. son los tres tipos de reglas de filtrado 46IL7E35. )ntes de
aplicar esas reglas es posible aplicar reglas de ")7 ' de /)"!LE.
17
La estructura de un comando iptables es la siguiente <
i0!"*les ?! @!"*l"A ?@o0cionesA @1e9l"A @c1i!e1ioA ?B @"ccinA
donde cada elemento significa lo siguiente<
2t ItablaJ 22K esta parte del comando especifica cul es la tabla en la (ue aplicamos la
regla. Existen H tipos de tablas< 6IL7E3, ")7 ' /)"!LE, siendo filter la tabla por
defecto si se omite esta parte del comando.
Fil!e1C es la tabla donde se a&aden las reglas relacionadas con el filtrado de pa(uetes.
N"!, se refiere a las conexiones (ue sern modificadas por el fireBall, como por
ejemplo, a enmascarar conexiones, realizar redirecciones de puertos, etc. ' $"n9le
es parecido a "at, pero tiene la posibilidad de modificar ms valores del pa(uete.
2IopcionesJ 22K las opciones bsicas del comando son las siguientes <
AC para a&adir 4)ppend 5 una regla.
LC es para listar 4List5 las reglas.
FC es para borrar 46lush5 todas las reglas o en el caso de (ue I"8#7,
63>)3. o #78#7 sean dados como argumento, se borrarn las reglas
asociadas slo a esa clase.
PC establece la pol+tica 48olic'5 por defecto del fireBall. 8or defecto es
aceptar todas las conexiones.
IreglaJ 22K reglas vlidas son I"8#7, 63>)3. ' #78#7.
IcriterioJ 22K a(u+ es donde se especificarn las caracter+sticas del pa(uete (ue
casar con esta regla. )lgunos ejemplos son<
?s < direccin de origen 4source5. 8uede ser una direccin I8 o una red. 2s
1L;.1MN.1.C$;G
?d < direccin de destino. 2d NG.OM.PH.H
?0 < tipo de protocolo 47,8,#.8,I,/85. 2p 7,8
?s0o1! < puerto de origen
14
?d0o1!: puerto de destino 22dport ;H
?i Q in2interface < el interfaz por el (ue se entra 2i ethC
?o Q 2out2interface< el interfaz por el (ue se sale 2o pppC
2j IaccionJ 22K a(u+ establecemos (u* es lo (ue ha' (ue hacer con el pa(uete. Las
posibles acciones son <
ACCEPT< aceptar el pa(uete.
REJECT o DROP< desechar el pa(uete. La diferencia entre ellos reside en
(ue .38 descartar el pa(uete silenciosamente ' 3ERE,7 emitir un
pa(uete I,/8 8ort #nreachable, indicando (ue est cerrado el puerto.
REDIRECT redirigir el pa(uete a donde se indi(ue en el criterio del
comando.
LOG archiva el pa(uete para su posterior anlisis.
0a' dos maneras de implementar un fireBall, seg%n la pol+tica por defecto (ue
especifi(uemos<
Pol;!ic" 0o1 de(ec!o ACEPTAR< se aceptan por defecto todos los pa(uetes. Slo se
denegar lo (ue se diga expl+citamente. El e(uivalente ser la pol+tica de acceso a un
bingo< pueden entrar todas las personas, excepto a(uellas cu'o ."I aparezca en la
lista de acceso prohibido.
Pol;!ic" 0o1 de(ec!o DENEGAR: 7odo est denegado, ' slo se permitir pasar por el
fireBall a(uello (ue se permita expl+citamente. El e(uivalente ser+a el acceso a la
cmara de cajas de seguridad de un banco. El acceso est prohibido a todo el mundo
' se habilita una lista de personas autorizadas a entrar. 8ara un cortafuegos, se
recomienda aplicar esta pol+tica por defecto.
Fi1e6"ll Pe1son"l Fi1es!"1!e1
En realidad es un interface grfico para iptables, mu' %til para configurar nuestro
cortafuegos, 'a sea como cortafuegos personal o como cortafuegos para proteger una red.
Lo primero (ue haremos es instalarlo. 8ara ello utilizamos el siguiente comando<
15
+"0!?9e! ins!"ll (i1es!"1!e1
8odemos lanzar el cortafuegos ejecutando desde la l+nea de comandos #firestarter& Esta
opcin mostrar las conexiones activas en nuestra m(uina en tiempo real.
Con(i9&1"cin
La forma ms fcil es con el asistente, (ue podemos llamar desde la entrada ,ortafuegos '
Ejecutar asistente, desde el men% principal.
Si pulsamos )delante, pasamos a una ventana en la (ue se puede seleccionar el interfaz de
nuestro sistema (ue se conecta a Internet. En esta opcin estamos seleccionando el fireBall
personal (ue protege nuestra m(uina del mundo exterior. )dems, seleccionamos (ue el
cortafuegos se active al conectarnos a Internet.
16
La siguiente pantalla nos permite decidir si el fireBall de nuestro sistema adems funcionar
como pasarela para otros sistemas, convirti*ndose en el guardin de nuestra red. 8ara ello,
debemos contar con otra interfaz de red distinta de la anterior, (ue se conectar a la red
protegida. En este caso, como solamente (ueremos un fireBall personal, no activamos la
opcin 'ctivar la co(partici)n de la conexi)n a *nternet. Si (uisi*ramos (ue *ste sea el
cortafuegos de nuestra red, debemos especificar la interfaz conectada a la red de rea local
interna ' si (ueremos activar el servidor de .0,8 para dar direcciones automticamente.
1+
Sa se ha terminado una configuracin bsica del cortafuegos para uso personal. 8odemos
guardar las reglas e iniciar el cortafuegos.
SEGURIDAD
0o' en d+a existen muchos elementos (ue afectan la seguridad de un computador. 8or
ejemplo<
TEst en red la m(uinaU
T0a' cuentas interactivas de usuarios 4telnet$ssh5U
TSe utilizan las m(uinas como estaciones de trabajo o se trata de un servidorU
Esta %ltima es de gran relevancia, pues las Estaciones de 7rabajo ' los Servidores
tradicionalmente son mu' diferentes, aun(ue la l+nea se difumina con la introduccin de
potentes ' baratos 8,s, a medida (ue los sistemas operativos se aprovechan de ello. Sin
embargo, la principal diferencia entre los computadores no suele estar en el hardBare, ni
si(uiera en el Sistema perativo, sino en los pa(uetes de softBare (ue traen instalados ' en
el modo en (ue los usuarios acceden a la m(uina 4interactivamente, en la consola, etc.5. En
este sentido, se mencionan algunas reglas de carcter general (ue permitirn ahorrar
bastantes penurias<
/antener a los usuarios alejados de los servidores. Es decir, no proporcionarles shells
de login interactivos, a menos (ue sea un re(uerimiento absoluto.
1,
Elo(uear las estaciones de trabajo.
#tilizar la criptograf+a all+ donde sea posible para almacenar claves en texto simple,
n%meros de tarjetas de cr*dito ' otro tipo de informacin delicada.
Escanear regularmente la red en busca de puertos abiertos, softBare instalado (ue no
deber+a estar ah+, compararlo con resultados anteriores.
Es importante resaltar (ue la seguridad no es una solucin, es un modo de vida. 0ablando
en t*rminos generales, las estaciones de trabajo$servidores son utilizados por gente (ue no
se suele preocupar en absoluto por la tecnolog+a (ue llevan por debajo, lo %nico (ue (uieren
es tener listo su trabajo ' recoger su correo de forma peridica. Sin embargo, ha' muchos
usuarios (ue tendrn la habilidad suficiente como para modificar sus estaciones de trabajo,
para bien o para mal. ) esto ha' (ue a&adirle (ue la ma'or+a de los usuarios tienen acceso
f+sico a sus estaciones de trabajo, lo cual (uiere decir (ue ha' (ue blo(uearles el acceso si
se (uiere hacer las cosas bien.
#tilizar las claves de las EIS para mantener a los usuarios alejados de la EIS.
,onfigurar la m(uina para (ue arran(ue %nicamente del disco duro adecuado.
"o dar acceso de root a los usuarios, utilizar sudo para proporcionar acceso a
comandos privilegiados cuando sea necesario.
#tilizar cortafuegos para (ue incluso si se instalan servicios estos no sean accesibles
al resto del mundo.
bservar regularmente la tabla de procesos, puertos abiertos, softBare instalado,
entre otros en busca de cambios.
Establecer pol+ticas de seguridad escrita (ue los usuarios puedan entender, '
fortalecerla.
Eorrar todo tipo de objetos peligrosos 4ejemplo, compiladores5, a menos (ue sean
necesarios en un sistema.
,on la configuracin adecuada, una estacin Linux es casi a prueba de usuarios 4nada es
1CCV seguro5, ' generalmente mucho ms estable.
12