Escolar Documentos
Profissional Documentos
Cultura Documentos
(http://www.MandrakeSoft.com)
Tabla de contenidos
Prefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
1. Nota legal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
2. Acerca de Mandrake Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
2.1. Contacte con la comunidad Mandrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
2.2. Soporte a Mandrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ii
2.3. Compre productos Mandrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ii
3. Acerca de esta Gua de Instalacin y del Usuario de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii
4. Autores y traductores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii
5. Palabras del traductor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
6. Las herramientas usadas en la elaboracin de este manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7. Convenciones usadas en este libro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7.1. Convenciones tipogrficas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7.2. Convenciones generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v
1. Comenzando . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1. Guas para comenzar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2. Requisitos de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2. Instalacin con DrakX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
2.1. Introduccin al instalador de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.2. Eligiendo su idioma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.3. Trminos de licencia de la distribucin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.4. Deteccin y configuracin del disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.5. Configuracin de su ratn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.6. Configuracin del teclado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.7. Seleccin de los puntos de montaje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.8. Eleccin de las particiones a formatear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.9. Instalacin de los paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.10. Contrasea de root . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.11. Contrasea del administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.12. Agregar un usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.13. Configurar su red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.14. Donde debera colocar el cargador de arranque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.15. Disquete de arranque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.16. Instalacin de actualizaciones desde la Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.17. Se termin! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.18. Como desinstalar Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
I. Administracin y configuracin de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3. Configuracin bsica de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.1. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.2. Configuracin bsica del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.3. Configuracin de tarjetas Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.4. Cambiando la contrasea del administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.5. Registro del sistema sobre las mquinas locales/remotas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.6. Configuracin de la hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4. Configurando el acceso a la Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.1. Estado del acceso a la Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.2. Configuracin del mdem analgico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.3. Configure su acceso a la Internet por RDSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.4. Configuracin de la conexin ADSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.5. Configuracin de la conexin por Cable/LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.6. Configuracin de las cuentas del proveedor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
4.7. Restriccin horaria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5. Servicios: DHCP, Proxy, DNS, y ms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.1. Estado de los servicios que se brindan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.2. Servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.3. Servidor proxy Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
5.4. DNS de cacheo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
5.5. Sistema de deteccin de intrusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
iii
iv
vi
Lista de tablas
1. Material importado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
1-1. Requisitos de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
12-1. Asignaciones reservadas de redes privadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Tabla de figuras
2-1. Primersima pantalla de Bienvenida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2-2. Eligiendo el idioma predeterminado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3-1. La ventana de conexin para conectarse a MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3-2. Pantalla de bienvenida de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3-3. La entrada del men para desconectarse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
7-1. Esquema de conexin VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
7-2. Aadiendo una zona VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
7-3. Aadiendo una interfaz de red ipsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
7-4. Aadiendo polticas predeterminadas para la VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
7-5. Aadiendo un tnel en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
7-6. Configurando la CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
7-7. Disposicin de la VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
7-8. Aadiendo un lado del Servidor VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
7-9. Regla para permitir el trfico HTTP sobre la VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
7-10. Aadiendo el lado Cliente de una VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
8-1. Volviendo a configurar la red local con Draknet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
8-2. Configurando la pasarela con Draknet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
8-3. Configurando la pasarela con Windows XP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
8-4. El icono de red bajo Windows 95/98 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
8-5. El panel de configuracin de la red bajo Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
8-6. El panel de configuracin TCP/IP bajo Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
8-7. El panel de configuracin de la pasarela bajo Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
8-8. El panel de configuracin del protocolo bajo Windows NT/2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
8-9. El panel de software de red bajo Windows NT/2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
8-10. El panel de configuracin TCP/IP bajo Windows NT/2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
8-11. El panel de configuracin de DNS bajo Windows NT/2000. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111
8-12. Accediendo al panel de control TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
8-13. Configuracin automtica del acceso a la Internet para MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
8-14. Configuracin manual del acceso a la Internet para MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
9-1. Ejemplo de reporte de Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
10-1. Pantalla principal de Herramientas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
10-2. Pantalla de restauracin de ejemplo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132
10-3. Aplicar la configuracin del archivo restaurado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
12-1. Un ejemplo de ruteo dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
12-2. El cableado NULL-mdem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
12-3. Cableado Ethernet 10base2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
vii
viii
Prefacio
1. Nota legal
Este manual (excepto los captulos que se listan en la tabla de abajo) est protegido bajo los derechos de la propiedad intelectual de MandrakeSoft. Se otorga permiso para copiar, distribuir y/o modificar este documento
bajo los trminos de la Licencia de Documentacin Libre GNU, Versin 1.1 o cualquier versin posterior publicada por la Fundacin de Software Libre (FSF); siendo las Secciones Invariantes Acerca de Mandrake Linux,
pgina i, con los Textos de Tapa listados debajo, y sin Textos de Contra-tapa. Se incluye una copia de la licencia
en la seccin Licencia de documentacin libre GNU, de Aplicaciones de todos los das, junto con una traduccin al
castellano.
Textos de Tapa:
MandrakeSoft Mayo 2002
http://www.mandrakesoft.com/
Copyright 1999, 2000, 2001, 2002 por MandrakeSoft S.A. y MandrakeSoft Inc.
Copyright original
Licencia
Prefacio
del servicio recibido. Este sitio ofrece una experiencia nueva basada en la confianza y el placer de premiar a
otros por sus contribuciones.
Adems de esa plataforma, MandrakeCampus (http://www.mandrakecampus.com/) proporciona a la comunidad GNU/Linux cursos abiertos de entrenamiento y educacin sobre todas las tecnologas y temas relacionados con la filosofa del cdigo abierto. Tambin brinda a los maestros, tutores, y alumnos un lugar donde
pueden intercambiar sus conocimientos.
Hay un sitio para el mandrakelico denominado Mandrake Forum (http://www.mandrakeforum.com/):
sitio primario para los consejos, trucos, rumores, pre-anuncios, noticias semi-oficiales, y ms, relacionados con
Mandrake Linux. Adems, este es el nico sitio web interactivo que mantiene MandrakeSoft, por lo tanto, si
tiene algo que decirnos, o algo que quiera compartir con otros usuarios, no busque ms: este es un lugar para
hacerlo!
En la filosofa del cdigo abierto, MandrakeSoft est ofreciendo varias formas de soporte (http://www.
mandrakelinux.com/es/ffreesup.php3) para las distribuciones Mandrake Linux. En particular, est invitado a participar en las distintas Listas de correo (http://www.mandrakelinux.com/es/flists.php3), donde
toda la comunidad de Mandrake Linux demuestra su vivacidad y bondad.
Finalmente, no olvide de conectarse a MandrakeSecure (http://www.mandrakesecure.net/). Este sitio rene
todo el material relacionado con la seguridad sobre las distribuciones Mandrake Linux. All encontrar avisos
de seguridad y errores, as como tambin artculos relacionados con la seguridad y la privacidad. Un sitio
obligatorio para cualquier administrador de servidores o usuario al que le concierne la seguridad.
Empaquetado: un sistema GNU/Linux est compuesto principalmente por programas recogidos de la Internet. Estos programas tienen que empaquetarse de forma tal que puedan funcionar juntos.
Programacin: hay muchsimos proyectos que MandrakeSoft soporta directamente: encuentre el que ms
le atraiga, y proponga su ayuda al desarrollador principal.
Internacionalizacin: la traduccin de las pginas web, los programas,y la documentacin respectiva de los
mismos.
Documentacin: por ltimo pero no por menos, el libro que Usted est leyendo en este momento necesita
de mucho esfuerzo para mantenerse actualizado con la evolucin rpida del sistema.
ii
Prefacio
4. Autores y traductores
Las personas siguientes contribuyeron a la realizacin de los manuales de Mandrake Linux:
Camille Bgnis
Fabian Mandelbaum
Roberta Michel
Rodrigo Pedrosa
Jel Pomerleau
Christian Roy
Tambin participaron, en mayor o menor grado, las personas siguientes: Amaury Amblard-Ladurantie, Florin
Grad y Philippe Libat .
iii
Prefacio
Significado
i-nodo
ls -lta
ls(1)
$ ls *.pid
imwheel.pid
localhost
Esto es algn dato literal que por lo general no encaja en alguna de las categoras
definidas previamente. Por ejemplo, una palabra clave tomada de un archivo de
configuracin.
Apache
Esto se usa para los nombres de las aplicaciones. Por ejemplo, no se usa en el nombre
de un comando sino en contextos particulares donde el nombre del comando y de la
aplicacin pueden ser el mismo pero se formatean de maneras diferentes.
Configurar
iv
Esto se usa para las entradas de men o las etiquetas de las interfaces grficas en
general. La letra subrayada indica la tecla del atajo si es aplicable.
Prefacio
Ejemplo
formateado
Significado
Bus-SCSI
Le petit chaperon
rouge
Atencin!
Por supuesto, esto se reserva para las advertencias especiales con el fin de enfatizar la
importancia de las palabras; lalo en voz alta :-)
Tenga sumo cuidado cuando vea este icono. Siempre significa que se
tratar
a con informaci
on sumamente importante acerca de un tema
en particular.
Estas convenciones son tpicas y las encontrar en otros lugares, por ejemplo las pginas Man.
Los signos < (menor que) y > (mayor que) denotan un argumento obligatorio que no debe ser copiado
textualmente, sino que debe reemplazarse de acuerdo con sus necesidades. Por ejemplo, <archivo> se refiere
al nombre real de un archivo. Si dicho nombre es pepe.txt,Usted debera teclear pepe.txt, y no <pepe.txt>
o <archivo>.
Los corchetes [ ] denotan argumentos opcionales, los cuales puede o no incluir en el comando.
Los puntos suspensivos ... significan que en ese lugar se puede incluir un nmero arbitrario de elementos.
Las llaves { } contienen los argumentos permitidos en este lugar. Uno de ellos debe ser puesto aqu.
Prefacio
7.2.3. Usuarios gen
ericos del sistema
Siempre que ha sido posible, hemos utilizado dos usuarios genricos en nuestros ejemplos:
Reina Pingusa
Peter Pingus
vi
Captulo 1. Comenzando
En este captulo introductorio, revisaremos todos los pasos de configuracin previos necesarios antes de utilizar los productos MandrakeSecurity . Ya sea si Usted desea utilizar MandrakeSecurity por medio de un
aparato o directamente desde una instalacin Mandrake Linux, este captulo es para Usted.
Captulo 1. Comenzando
Configuraci
on
Procesador
Pentium 166
Pentium III
RAM
64MB
128MB
Disco rgido
2GB
10GB
Interfaces de red
Captulo 2. Instalaci
on con DrakX
2.1. Introducci
on al instalador de MandrakeSecurity
DrakX es el programa de instalacin de MandrakeSecurity . Su facilidad de uso ha sido mejorada con una interfaz grfica que le permite avanzar y retroceder a travs de la instalacin y formula preguntas a medida que
sea necesario. Con DrakX , no importa si Usted es un usuario nuevo de MandrakeSecurity o un profesional
avezado El trabajo de DrakX es brindarle una instalacin suave y una transicin simple hacia MandrakeSecurity .
Cuando comienza la instalacin, la primer pantalla que aparece presenta algo de informacin y le brinda
opciones de instalacin (Figura 2-1) Si no hace algo, simplemente comenzar la instalacin en modo normal o
linux. Los prrafos siguientes presentarn algunas opciones y parmetros que puede pasar al programa de
instalacin si Usted se encuentra en problemas.
Si presiona F1 se abrir una pantalla de ayuda. Aqu tiene algunas opciones tiles de entre las cuales puede
elegir:
vgalo (modo vga): si intent una instalacin normal y no pudo obtener la interfaz grfica que se muestra
debajo en Eligiendo su idioma, pgina 4, puede intentar ejecutar la instalacin en baja resolucin. Esto ocurre
con ciertos tipos de tarjeta grfica, por lo que MandrakeSecurity le brindar una cantidad de opciones para
solucionar problemas con hardware antiguo. Para intentar la instalacin en el modo de baja resolucin,
simplemente debe ingresar vgalo en el prompt que se le presenta aqu.
text (modo texto): si su tarjeta de vdeo es realmente antigua, y la instalacin grfica no funciona en absoluto, siempre puede elegir usar la instalacin en modo texto. Debido a que todas las tarjetas de vdeo pueden
mostrar texto, esta es la instalacin de ltimo recurso. Sin embargo, no debe preocuparse no es muy
probable que necesite utilizar la instalacin de modo texto.
expert (modo experto): en algunos casos raros, su PC puede parecer que est congelada o trabada durante
la fase de deteccin del hardware. Si ocurre esto, entonces aada la palabra expert como parmetro para
decirle al programa de instalacin que obvie la deteccin de hardware. Debido a que DrakX no buscar
el hardware, Usted tendr que proporcionar los parmetros del hardware de forma manual ms adelante
en la instalacin. El parmetro expert se puede aadir a los modos previos, por lo que puede terminar
especificando
boot: vgalo expert
para realizar una instalacin grfica de baja resolucin sin que DrakX realice una bsqueda de hardware.
opciones del ncleo: por lo general, las opciones del ncleo no son necesarias para la mayora de las mquinas. Hay unos pocos casos de placas principales que reportan de manera incorrecta la cantidad de memoria
instalada debido a errores en el diseo del BIOS. Si necesita especificar manualmente la cantidad de memoria DRAM instalada en su PC, utilice el parmetro mem= xxxM. Por ejemplo, para comenzar la instalacin en
modo normal con una computadora que tiene 256 MB de memoria, su lnea de comandos debera parecerse
a esto:
boot: linux mem=256M
Ahora que hemos pasado por lo que podra fallar, avancemos al proceso de instalacin propiamente dicho.
Cuando ingresa a la instalacin propiamente dicha obtiene una bonita interfaz grfica (Figura 2-2) Sobre la
izquierda puede ver las diferentes fases de instalacin. Dependiendo del nivel de progreso de la instalacin,
algunas fases estarn o no disponibles. Si lo estn, se resaltarn cuando apoye el cursor del ratn sobre las
mismas.
Los colores de los botones sobre la izquierda de la pantalla le permiten ver rpidamente qu est pasando con
la instalacin:
verde: esta fase de la instalacin ya ha sido configurada. Sin embargo, nada le impide volver a la misma en
caso que lo necesite o lo desee.
Esta gua asume que est realizando una instalacin tpica paso a paso, como se describe debajo.
La interfaz web de MandrakeSecurity no soporta todos los idiomas que se listan aqu.
2.3. T
erminos de licencia de la distribuci
on
Antes de continuar, debera leer cuidadosamente los trminos de la licencia. La misma cubre a toda la distribucin MandrakeSecurity , y si Usted no est de acuerdo con todos los trminos en ella, haga clic sobre el
botn Rechazar. Esto terminar la instalacin de inmediato. Para continuar con la instalacin, haga clic sobre
el botn Aceptar.
2.4. Detecci
on y configuraci
on del disco
DrakX primero detectar cualquier dispositivo IDE presente en su computadora. Tambin buscar una o ms
tarjetas SCSI PCI en su sistema. Si se encuentra una tarjeta SCSI, DrakX instalar el controlador apropiado
automticamente.
Debido a que la deteccin de hardware a veces no detectar alguna pieza de hardware, DrakX le pedir que
confirme si tiene una tarjeta SCSI PCI. Si hace clic sobre S se le presentar una lista de tarjetas SCSI de la cual
elegir. Haga clic sobre No si sabe que no tiene hardware SCSI en su mquina. Si no est seguro puede verificar
la lista de hardware detectado en su mquina seleccionando Ver informacin sobre el hardware y haciendo clic
sobre Aceptar. Examine la lista de hardware y luego haga clic sobre el botn Aceptar para volver a la pregunta
sobre la interfaz SCSI.
Si tuvo que seleccionar su adaptador manualmente, DrakX le preguntar si desea especificar opciones para
el mismo. Debera permitir que DrakX sondee el hardware buscando las opciones especficas que necesita la
tarjeta para inicializarse adecuadamente. La mayora de las veces, DrakX pasar esta fase sin problema alguno.
Si DrakX no puede sondear las opciones para determinar automticamente qu parmetros deben pasarse,
Usted necesitar configurar manualmente el controlador.
2.5. Configuraci
on de su rat
on
Por lo general, DrakX no tienen problemas en detectar la cantidad de botones que tiene su ratn. Si no, asume
que Usted tiene un ratn de dos botones y lo configurar para que emule el tercer botn. El tercer botn
del ratn en un ratn de dos botones puede presionarse haciendo clic simultneamente sobre los botones
izquierdo y derecho del ratn. DrakX sabr automticamente si su ratn tiene una interfaz PS/2, serie o USB.
Si por alguna razn desea especificar un tipo de ratn diferente, seleccione el tipo apropiado de la lista que se
proporciona.
Si elige un ratn distinto al predeterminado, se le presentar una pantalla de prueba. Use los botones y la
rueda para verificar que la configuracin es correcta y el ratn funciona adecuadamente. Si el ratn no est
funcionando correctamente, presione la barra espaciadora o Intro para Cancelar la prueba y volver a la lista
de opciones.
2.6. Configuraci
on del teclado
Dependiendo del idioma predeterminado que Usted eligi en Eligiendo su idioma, pgina 4, DrakX seleccionar
automticamente un tipo particular de configuracin del teclado. Sin embargo, podra no tener un teclado que
se corresponde exactamente con su idioma: por ejemplo, si Usted es un argentino que habla ingls, todava
podra desear que su teclado sea un teclado Latinoamericano. O si habla castellano pero est en Inglaterra
puede estar en la misma situacin en la que el idioma y su teclado no concuerdan. En ambos casos, este paso
de instalacin le permitir seleccionar un teclado apropiado de una lista.
Haga clic sobre el botn Ms para que se le presente la lista completa de los teclados soportados.
2.7. Selecci
on de los puntos de montaje
Ahora necesita elegir el lugar de su disco rgido donde se instalar su sistema operativo MandrakeSecurity .
Si su disco rgido est vaco o si un sistema operativo existente est utilizando todo el espacio disponible,
necesitar particionar el disco. Bsicamente, particionar un disco rgido consiste en dividirlo lgicamente para
crear espacio para instalar su sistema MandrakeSecurity nuevo.
Debido a que los efectos del particionado por lo general son irreversibles y pueden llevar a la prdida de datos
si ya hay un sistema operativo instalado en el disco, el particionado puede resultar intimidante y estresante si
Usted es un usuario inexperto. Por fortuna, DrakX incluye un asistente que simplifica este proceso. Antes de
continuar con este paso, por favor lea el resto de esta seccin y, por sobre todo, tmese su tiempo.
Si su disco rgido ya ha sido particionado, bien en una instalacin previa de GNU/Linux o por medio de otra
herramienta de particionado, seleccione las particiones apropiadas en las que desea instalar su sistema Linux.
Si no se han configurado particiones, deber crearlas utilizando el asistente. Dependiendo de la configuracin
de su disco rgido, estn disponibles varias opciones:
Usar espacio libre: esta opcin simplemente llevar a un particionado automtico de su(s) disco(s) vaco(s).
No se le pedirn ms detalles ni se le formularn ms preguntas.
Usar la particin existente: el asistente ha detectado una o ms particiones Linux existentes en su disco
rgido. Si desea utilizarlas, elija esta opcin. Si lo hace se le pedir que elija los puntos de montaje asociados
a cada una de las particiones. Los puntos de montaje legados se seleccionan automticamente, y por lo
general es una buena idea mantenerlos.
Usar el espacio libre en la particin Windows: si Microsoft Windows est instalado en su disco rgido y
ocupa todo el espacio disponible en el mismo, Usted tiene que liberar espacio para los datos de Linux. Para
hacerlo, puede borrar su particin y datos Microsoft Windows (vea las soluciones Borrar el disco entero
o Particionamiento de disco personalizado) o cambiar el tamao de su particin Windows FAT. El cambio
de tamao se puede realizar sin la prdida de datos, siempre y cuando Usted ha desfragmentado con
anterioridad la particin Windows y la misma utiliza el formato FAT. Tambin se recomienda hacer una
copia de respaldo de sus datos. Se recomienda esta solucin si desea utilizar tanto MandrakeSecurity como
Microsoft Windows en la misma computadora.
10
Borrar el disco entero: si desea borrar todos los datos y todas las particiones presentes en su disco rgido y
reemplazarlas con su nuevo sistema MandrakeSecurity , elija esta opcin. Tenga cuidado con esta solucin
ya que no podr revertir su eleccin despus de confirmarla.
Quitar Windows: simplemente esto borrar todo en el disco y comenzar particionando todo desde cero. Se
perdern todos los datos en su disco.
Particionamiento de disco personalizado: elija esta opcin si desea particionar manualmente su disco rgido.
Tenga cuidado esta es una eleccin potente pero peligrosa y puede perder todos sus datos con facilidad.
Es por esto que esta opcin realmente slo se recomienda si Usted ya ha hecho algo as antes y tiene algo de
experiencia. Para ms instrucciones sobre cmo usar el utilitario DiskDrake , consulte la documentacin en
lnea para DiskDrake (http://www.linux-mandrake.com/en/doc/82/en/user.html/diskdrake.html).
2.8. Elecci
on de las particiones a formatear
11
2.9. Instalaci
on de los paquetes
Luego viene la instalacin del sistema propiamente dicha. La lista de paquetes est predefinida y no se puede
cambiar en este momento. El tiempo necesario para completar la instalacin depende de la velocidad de su
hardware. En la pantalla se mostrar una estimacin del tiempo restante para finalizar de forma tal que pueda
evaluar si tiene tiempo suficiente de disfrutar de una taza de caf.
2.10. Contrase
na de root
Este es el punto de decisin crucial para la seguridad de su sistema GNU/Linux : tendr que ingresar la contrasea de root. root es el administrador del sistema y es el nico autorizado a hacer actualizaciones, agregar
usuarios, cambiar la configuracin general del sistema, etc. Resumiendo, root puede hacer de todo! Es por
esto que deber elegir una contrasea que sea difcil de adivinar DrakX le dir si la que eligi es demasiado
fcil. Como puede ver, puede optar por no ingresar una contrasea, pero le recomendamos encarecidamente
12
Algo a tener en cuenta no haga la contrasea demasiado larga o complicada ya que Usted debe poder
recordarla!
La contrasea no se mostrar en la pantalla a medida que Usted la teclee. Por lo tanto, tendr que teclear la
contrasea dos veces para reducir la posibilidad de un error de tecleo. Si ocurre que Usted comete dos veces
el mismo error de tecleo, tendr que utilizar esta contrasea incorrecta la primera vez que se conecte.
2.11. Contrase
na del administrador
Luego se le pide que ingrese la contrasea del administrador del sistema (login: admin) Por razones de seguridad, se diferencia del usuario root, y tambin porque puede no ser la misma persona. Es esa cuenta, admin,
la que se necesitar para acceder a la interfaz web de MandrakeSecurity . Para elegir esta contrasea aplican
los mismos criterios que para la eleccin de la contrasea de root.
Ya se han agregado todos los usuarios necesarios por lo que no debera necesitar agregar ms usuarios para
la operacin normal de MandrakeSecurity . Sin embargo, si planea utilizar la caracterstica de autenticacin
PAM de squid , aqu puede aadir los usuarios que estarn autorizados.
El primer campo le pide su nombre real. Esto no es obligatorio, por supuesto ya que, en realidad, puede
ingresar lo que desee. DrakX tomar entonces la primer palabra que ingres y la copiar al campo Nombre de
13
Ahora configurar la conexin a su red local (LAN) MandrakeSecurity intentar detectar automticamente
los dispositivos de red y mdem. Si esta deteccin falla, quite la marca de la casilla Usar deteccin automtica.
No detallaremos cada opcin de configuracin slo debe asegurarse que tiene todos los parmetros como:
direccin IP, pasarela predeterminada, servidores DNS, etc. que le brind su Proveedor de Servicios de Internet
o el administrador de su sistema.
14
Debe indicar donde desea colocar el cargador de arranque necesario para arrancar en GNU/Linux .
A menos que sepa exactamente lo que est haciendo, elija Primer sector del disco (MBR).
Luego se le presentam las diferentes entradas de arranque que se propondrn al momento de arrancar el
sistema. Aqu las puede modificar.
15
El CD-ROM de MandrakeSecurity tiene un modo de rescate incorporado. Usted puede acceder al mismo
presionando la tecla F1 durante el arranque y tecleando rescue en el prompt. Si su computadora no puede arrancar desde el CD-ROM, hay al menos dos situaciones en las que resulta crtico tener un disquete de
arranque:
cuando instala el cargador de arranque, DrakX sobreescribir el sector de arranque ( MBR) de su disco
principal (a menos que est utilizando otro administrador de arranque) de forma tal que pueda iniciar o
bien Windows o bien GNU/Linux (asumiendo que tiene Windows en su sistema) Si necesita volver a instalar
Windows , el proceso de instalacin de Microsoft sobreescribir el sector de arranque, y entonces Usted no
podr iniciar GNU/Linux !
si surge un problema y Usted no puede iniciar GNU/Linux desde el disco rgido, este disquete ser la nica
manera de iniciar GNU/Linux . El mismo contiene una buena cantidad de herramientas del sistema para
restaurar un sistema que colaps debido a una falla de energa, un error de tecleo infortunado, un error u
olvido de una contrasea, o cualquier otro motivo.
Si responde S, se le pedir que inserte un disquete dentro de la disquetera. Dicho disquete debe estar vaco o
contener datos que no necesite DrakX formatear el disquete y lo sobre-escribir por completo.
16
2.16. Instalaci
on de actualizaciones desde la Internet
Es probable que cuando instale MandrakeSecurity algunos paquetes se hayan actualizado desde la publicacin inicial. Se pueden haber corregido algunos errores, y solucionado problemas de seguridad. Para permitir
que Usted se beneficie de estas actualizaciones, ahora se le propone transferirlas desde la Internet. Elija S si
tiene funcionando una conexin con la Internet, o No si prefiere instalar los paquetes actualizados ms tarde.
Si responde S se muestra una lista de lugares desde los que se pueden obtener las actualizaciones. Elija el ms
cercano a Usted. Luego aparece un rbol de seleccin de paquetes: revise la seleccin y presione Instalar para
transferir e instalar los paquetes seleccionados, o Cancelar para abortar.
17
2.17. Se termin
o!
Ya est. Ahora la instalacin est completa y su sistema GNU/Linux est listo para ser utilizado. Escriba con
cuidado la URL que se le da en ese dilogo, es la direccin que Usted tendr que utilizar en su navegador web
para acceder a la interfaz web de MandrakeSecurity con la cuenta admin. Ahora, simplemente haga clic sobre
Aceptar dos veces para volver a arrancar el sistema.
18
20
Captulo 3. Configuraci
on b
asica de MandrakeSecurity
3.1. Introducci
on
En este captulo presentaremos brevemente la interfaz y cmo navegar por la misma. Esta se compone bsicamente de un men que lleva a asistentes de configuracin.
3.1.1. Conectando
La conexin al servidor cortafuegos desde cualquier cliente se realiza por medio de cualquier navegador
web grfico moderno. La comunicacin est cifrada por completo, de forma tal que nadie puede espiar la
informacin que se transmite, en especial las contraseas.
Para iniciar la sesin, ingrese en el campo de ubicacin de su navegador la URL que se le di en la ltima
pantalla del proceso de instalacin. Debera ser una direccin parecida a la siguiente:
https://192.168.1.160:8443/
donde 192.168.1.160 es la direccin IP del cortafuegos que Usted eligi en su red LAN.
Luego obtendr algunas pantallas sobre un certificado, acptelas. Finalmente aparece la pantalla de bienvenida de MandrakeSecurity (Figura 3-1)
21
3.1.2. La interfaz
campos de entrada del usuario: para completar o seleccionar de acuerdo a sus elecciones;
3.1.3. Desconexi
on
Es muy importante desconectarse de manera explcita de la interfaz cuando haya terminado con todas sus
22
3.2. Configuraci
on b
asica del sistema
Esta seccin es para la configuracin bsica del servidor. Tambin permite que el administrador cambie su
contrasea para acceder a la interfaz.
3.2.1. Configuraci
on general del sistema
La informacin que se muestra aqu es muy general y sin embargo, esencial. Su sistema debe estar asociado con
un nombre as como tambin con un nombre de dominio. Los campos Sistema y Tiempo que lleva encendido
le dan informacin bsica acerca de su sistema.
Se atribuir un nombre al sistema. Luego, dicho nombre se asignar a una red local. En este punto, los parmetros a ingresar dependen de si Usted tiene o no un acceso permanente a la Internet con una direccin IP
fija.
Nombre del sistema
cortafuegos.empresa.net
Este campo contiene el nombre completo de host de su mquina: el nombre de la mquina seguido del nombre
de dominio, por ejemplo: cortafuegos.empresa.net.
Nombre de dominio
empresa.net
Este campo contiene el nombre de dominio de la mquina. Si Usted posee un nombre de dominio y tiene los
23
En este campo se lista, en orden: 1) el tipo de sistema operativo, 2) el nombre completo de la mquina, 3) la
versin del ncleo, 4) la fecha en la que fue instalado, y 5) el tipo de procesador.
Tiempo que lleva encendido
En este campo se lista, en orden: 1) la hora local, 2) el tiempo que lleva encendido (en das, minutos y segundos), 3) la cantidad de usuarios conectados, 4) y el promedio de carga en los ltimos 1, 5, y 15 minutos.
Modificar
marca verde
Haga clic sobre esta casilla si desea cambiar el nombre del sistema y/o el nombre de dominio.
3.2.1.1. Propiedades del sistema
Cuando haya finalizado, haga clic sobre el botn Siguiente, luego sobre el botn Aplicar. Luego se lo traer
de vuelta a la pgina del grupo de propiedades del sistema, que muestra el nombre del sistema, el nombre de
dominio, la informacin del sistema y los datos de tiempo que lleva encendido ("uptime") el sistema.
24
3.3. Configuraci
on de tarjetas Ethernet
Esta pantalla lista las tarjetas interfaz de red (NIC) configuradas actualmente en su mquina. Le permitir
seleccionar una tarjeta en particular y volver a configurarla, o aadir otra tarjeta.
Zona Direcci
on IP M
ascara de sub-red Activa Proto. de arranque
eth0 wan
s
dhcp
editar quitar admin
eth1 lan
10.0.0.1
255.255.255.0
s
est
atica
editar quitar admin
para volver a configurarla, haga clic sobre el icono de texto a la izquierda del cesto de residuos. Tambin
se le permitir seleccionar si desea (o no) activarla al arranque en la Pgina de configuracin de la interfaz
Ethernet;
para permitir que la red asociada a esta interfaz se conecte a la interfaz web, haga clic sobre Admin (vea
"Interfaz de administracin" ms abajo);
Luego viene la Interfaz de administracin, que indica la interfaz a travs de la cual se permiten las conexiones administrativas. Esto significa que su cortafuegos tendr que ser administrado desde una computadora
conectada a la sub-red que est asociada con la tarjeta mencionada antes. Desde la misma puede tomar dos
acciones:
- Detectar las NICs corrientes: al hacer clic sobre ese icono se lanzar un proceso de deteccin
automtica de las NICs. Debe usarlo si instal con anterioridad una NIC nueva en su computadora. Nota: luego que haga clic, puede tomar algo de tiempo para que aparezca la pantalla siguiente mientras la
computadora est detectando las tarjetas nuevas.
- Aadir manualmente una NIC: si la accin anterior fallase, puede configurar manualmente su
tarjeta haciendo un clic sobre ese icono.
25
3.3.1. Detecci
on de las interfaces Ethernet
Esta pantalla muestra la NIC (o NICs) que recin han sido detectadas automticamente en su mquina. Si la
tarjeta que desea configurar no aparece aqu, regrese a la pgina anterior y haga clic sobre el botn Aadir una
NIC manualmente.
Controlador
Mac
Direcci
on IP M
ascara de sub-red Activa Al arrancar
Eth0 ne2k-pci 00:40:05:E2:55:F6 192.168.1.160
255.255.255.0
s
Cada lnea corresponde a una NIC fsica en su computadora. Para seleccionarla y configurarla como su interfaz
de acceso a la red local, haga clic sobre el icono Editar (junto a la columna Protocolo y a la izquierda del cesto
de residuos) y complete los campos en blanco.
3.3.2. Configuraci
on de la interfaz Ethernet para su(s) red(es) local(es)
26
lan, o sistemas en su(s) red(es) local(es). Estos sistemas deben protegerse de la Internet y de la DMZ y, en
algunos casos, de los pares. Elija esta zona para definir su red local;
dmz, que significa Zona DesMilitarizada. Elija esta zona si debe poder acceder a sus sistemas desde la
Internet y desde la red local;
wan - red de rea extensa. Puede ser pblica o privada y asegura la interconexin entre redes de computadoras fuera de su LAN (la Internet). Seleccione este tipo de zona para conectarse directamente al mundo
externo.
Direccin IP
192.168.1.1
Complete este campo si tiene una direccin IP esttica para esa interfaz. Esta es la direccin de su servidor: es
esencial ya que los sistemas cliente se referirn a la misma.
Mscara de sub-red (ej..: 255.0.0.0) 255.255.255.0
En este campo, ingrese el nombre de la mscara de sub-red relacionada a la red donde est conectada esta
interfaz.
Ahora, configure el protocolo de arranque a utilizar cuando se inicializa esta interfaz. Esto depende del protocolo que utiliza su ISP. Seleccione la casilla adecuada, es decir, una de las siguientes:
dhcp. Esta es una direccin IP dinmica asignada por el ISP al arrancar. La mayora de los ISPs de cable y
DSL utilizan alguna forma de DHCP para asignar una IP a su sistema. Tambin, las estaciones de trabajo
deberan configurarse de esta manera para simplificar la administracin de la red;
bootp. Permite que una mquina Linux obtenga su informacin de red de un servidor a travs de la red.
Luego, puede decidir si desea, o no, que esta interfaz se active al arrancar.
Cliente DHCP (opcional)
dhcpd
Este campo le permite elegir el tipo de cliente DHCP que ser utilizado en su red. Puede seleccionar uno de
los siguientes:
dhcpcd - demonio cliente que obtiene una direccin IP y otra informacin de un servidor DHCP, configura automticamente la interfaz de red, e intenta renovar el perodo de "leasing" de acuerdo a RFC2131 o
RFC1541 (que se considera obsoleto);
pump - demonio cliente para BOOTP y DHCP. Permite a su mquina recuperar la informacin de configuracin de un servidor.
dhclient - con este, puede configurar una o ms interfaces de red que utilicen el protocolo DHCP o BOOTP;
dhcpxd - el objetivo principal del mismo es cumplir con la especificacin DHCP definida en RFC2131. Soporta un proceso por sesin y tambin puede manejar sesiones del tipo todas-en-un-proceso. Una de sus
caractersticas ms avanzadas reside en los scripts que se ejecutan cuando se necesitan, para poder ajustar
todo lo necesario para configurar las interfaces.
27
Este formulario le permitir modificar la contrasea de la cuenta del administrador (admin). Es recomendable
que la cambie peridicamente.
Nombre de login
admin
Contrasea nueva
********
********
Debe elegir una contrasea segura. Intente seleccionar alguna que incluya letras maysculas y minsculas y
caracteres especiales, como por ejemplo el signo de interrogacin (?). Cuando haya finalizado, haga clic sobre
el botn Cambiar
Los registros son una parte esencial de un sistema crtico con respecto a la seguridad como un cortafuegos.
El registro no solo le brinda informacin en tiempo real de lo que est sucediendo en el sistema, sino que
tambin lleva la pista de la historia de los sucesos en el mismo, es decir: cuando algo va mal en el sistema una colgadura o una intrusin - encontrar por qu ocurri y generalmente determinar una solucin.
28
Luego ingrese la direccin de su servidor Syslog. Esta es una manera de asegurar mejor sus registros, evitando
almacenarlos directamente en su servidor y hacindolo en una mquina distinta.
Nivel para el registro de red
Info
Este parmetro controla la cantidad de informacin que se mostrar, de acuerdo al nivel que elija:
Info: muestra todos y cada uno de los mensajes del cortafuegos, desde los mensajes normales de operacin
hasta los crticos.
Notas: muestra los mensajes que, si bien no son problemticos para el sistema, no son usuales.
Advertencia: le informa que puede estar ocurriendo algo fuera de lo comn y que debera comenzar a
pensar en tomar accin.
Error: muestra los mensajes de error que pueden conducir a un mal funcionamiento del sistema.
Crticos: muestra mensajes que indican que su sistema est en peligro serio.
Pnicos: muestra slo los mensajes crticos que por lo general llevan a la falla del sistema. En este punto, su
sistema no se podr utilizar. A menos que sepa exactamente lo que est haciendo, es altamente recomendable no elegir este nivel.
3.6. Configuraci
on de la hora
Antes que nada, el asistente le sugerir dos opciones para la configuracin interna de la hora.
Fecha y hora: si no tiene un servidor NTP, haga clic sobre el botn "Modificar" para configurar manualmente
la hora y fecha actuales en la mquina.
29
Huso horario y direccin del servidor NTP: haga clic sobre el botn "Modificar" bajo el campo Direccin
del servidor NTP (opcional) para indicar la ubicacin fsica del servidor y, eventualmente, configurar un
servidor de la hora, que ajustara automticamente la fecha y hora del sistema.
3.6.1. Configuraci
on de la fecha y la hora
Fecha (mm/dd/aa)
04/17/02
17:07:58
3.6.2. Configuraci
on del huso horario y del servidor NTP
Debe elegir el huso horario de su ubicacin geogrfica e indicar la presencia eventual de un servidor NTP.
Huso horario
America/Buenos_Aires
ntp.mico.com
En la lista de husos horarios seleccione el huso horario y luego la ciudad ms cercana a donde se encuentre el
cortafuegos.
Eventualmente, puede ingresar el nombre de un servidor NTP (Network Time Protocol - Protocolo de hora de
red) que ajusta y verifica automticamente y peridicamente su el reloj del sistema. Si su compaa tiene su
propio servidor, utilice ese. De lo contrario, puede utilizar un servidor pblico de los que se listan en el sitio
30
31
32
Esta pgina introductoria a los asistentes de configuracin del acceso a la Internet resume la configuracin
corriente de acceso a la Internet y permite al administrador subir o bajar la conexin manualmente. Tambin
permite probar la conexin.
La primer parte resume todos los parmetros de acceso a la Internet para la configuracin corriente: tipo,
interfaz, informacin de la cuenta, etc.
Luego viene el estado de acceso: o bien "Arriba" o "Abajo" e informacin adicional acerca de la conexin
corriente. Lo siguen tres botones:
Iniciar: iniciar manualmente la conexin con la Internet con la configuracin corriente como se muestra
arriba.
33
Para realizar esta prueba, simplemente se intenta realizar un "ping" a una mquina externa. Si desea probar la
conexin con una mquina especfica, ingrese la IP de la misma aqu, en el campo siguiente:
Mquina de prueba remota
198.41.0.6
4.2. Configuraci
on del m
odem anal
ogico
Este formulario contiene todos los parmetros necesarios para configurar una conexin con la Internet por
medio de un mdem analgico estndar. Debe asegurarse que tiene todos los parmetros que le brind su ISP.
Primero puede haber algunos recordatorios acerca de la configuracin actual de la conexin con la Internet.
Nombre de conexin
Complete este campo con cualquier nombre apropiado para la configuracin de manera tal que Usted pueda
recordar la conexin para la cual dicho nombre es relevante.
Luego puede intentar detectar automticamente el mdem conectado a su mquina, haciendo clic sobre el
icono:
34
(Detectar).
ttyS0
Esta lista contiene todos los mdems detectados en los puertos de su mquina (En este ejemplo, el primer
puerto serie). Elija el que desea utilizar para esta conexin.
Puerto del mdem
ttyS1 (COM 2)
Si no se pudo detectar su mdem, siempre puede seleccionar manualmente, en esta lista, el puerto al cual est
conectado.
Velocidad del mdem
57600
miproveedor.net
pepe
Contrasea
******
Contrasea (confirmar)
******
Aqu ingrese con cuidado el nombre de conexin y contrasea que le provey su ISP.
Autenticacin
PAP
123.231.123.122
123.231.123.123
35
4.2.1. Lista de m
odems anal
ogicos
Esta pgina muestra todos los mdems detectados en su mquina. Debe asegurarse que los mdems estn
alimentados y conectados correctamente antes de abrir esta pgina.
ttyS0 (COM1)
En el men desplegable, simplemente elija el puerto al cual est conectado el mdem en cuestin, y avance al
paso siguiente.
Este primer paso del asistente de configuracin RDSI le brinda varias opciones:
Detectar una tarjeta interna: si selecciona este icono aparecer una lista de las tarjetas RDSI detectadas en su
mquina. Si tiene una tarjeta interna pruebe esto primero. De lo contrario, deber:
Seleccionar una tarjeta interna: si el paso anterior ha fallado, se mostrar una lista de las tarjetas RDSI
soportadas.
Configurar un mdem externo: seleccione este icono si tiene un mdem externo y no una tarjeta RDSI
interna.
36
Simplemente seleccione la tarjeta que desea utilizar para su conexin con la Internet y avance al paso siguiente.
Si su tarjeta no est en la lista, haga clic sobre "Configurar manualmente una tarjeta interna".
Simplemente seleccione el nombre del modelo de su tarjeta en la lista de modelos sugeridos, y avance al paso
siguiente.
Si el modelo de su tarjeta no est en la lista, averige con qu modelo es compatible en la documentacin que
se le proporcion con la tarjeta.
37
Aqu se le presenta una amplia lista de los proveedores que existen alrededor del mundo. Si el suyo no est
presente, necesitar configurarlo manualmente.
Europa
Seleccione su proveedor: encuentre su proveedor en la lista, organizada por pas, ciudad y finalmente nombres de proveedores. Si el suyo est all, genial!, simplemente debe seleccionarlo y avanzar al paso siguiente.
38
4.3.5. Configuraci
on del acceso RDSI
Este formulario lista todos los parmetros necesarios para configurar una conexin con la Internet por RDSI.
Debe asegurarse que tiene todos los parmetros necesarios o debe pedirlos a su ISP.
pepe
Su contrasea RDSI
******
******
Aqu, ingrese con cuidado el nombre de login y contrasea provistos por su ISP.
Su nmero telefnico personal
01.40.41.42.43
Aqu se necesita el nmero telefnico que Usted utiliza para conectarse a la Internet por medio de RDSI.
Nombre del proveedor
39
123.231.123.231
123.231.123.232
Automtico/Manual
Automtico: siempre que el servidor recibe un pedido de Internet compatible con las reglas de trfico saliente del cortafuegos, se realizar automticamente la conexin.
Manual: esta opcin necesitar la intervencin del administrador para conectar y desconectar manualmente
la conexin cuando sea necesario.
12
0x300
Si no se pudo detectar su tarjeta, deber proporcionar esa informacin. De lo contrario, no realice cambios en
los campos.
Cuando se han completado, o dejado en blanco segn sea necesario, todos los campos, avance al paso siguiente. Podr revisar todos los parmetros y luego confirmar sus elecciones. Se configurar inmediatamente la
conexin.
40
4.4. Configuraci
on de la conexi
on ADSL
4.4.1. Configuraci
on del tipo de protocolo ADSL
Aqu, seleccione el protocolo especfico que utiliza su proveedor de servicios de Internet (ISP).
Elija el protocolo apropiado haciendo clic sobre la casilla correspondiente. Si tiene dudas, debe consultar con
su ISP.
41
Esta es la primer pantalla del asistente que lo guiar a travs del proceso de configurar una conexin DSL con
la Internet. Antes que nada, seleccione la tarjeta interfaz de red (NIC) para utilizar para este propsito.
En la lista de sugerencias, haga clic sobre el nombre de la interfaz que desea utilizar para la conexin Cable/LAN. Si su tarjeta especfica parece no estar, intente detectarla haciendo clic sobre el botn "Detectar".
4.4.3. A
nadir interfaz Ethernet
42
4.4.4. Configuraci
on de la interfaz Ethernet para su acceso a la Internet
Aqu se definen los parmetros de la tarjeta interfaz necesarios para configurar los parmetros de su acceso xDSL. La mayora de los parmetros ya habrn sido seleccionados o completados con valores estndar
automticamente: simplemente debe verificar que se corresponden con sus necesidades.
10.0.0.1
Complete este campo si tiene una direccin IP esttica para esa interfaz. Debe asegurarse que es la que Usted
tiene asignada.
Mscara de sub-red (ej.: 255.0.0.0) 255.255.255.0
Complete este campo con la mscara de sub-red a la que est conectada esta interfaz. Debe asegurarse que es
la que Usted tiene asignada.
Pasarela predeterminada (ej.:
10.0.0.138)
10.0.0.250
Esta es la pasarela a travs de la cual pasarn sus pedidos para la Internet. Este parmetro es crucial para que
su mquina cortafuegos pueda acceder a la Internet.
Finalmente, puede decidir si esta interfaz se activar o no cada vez que arranque la mquina.
43
4.4.5. Configuraci
on de la cuenta de Internet para su acceso DSL
Para que su proveedor lo autentique como un usuario, Usted necesita brindar informacin acerca de su cuenta.
Su ISP debera haberle proporcionado los parmetros necesarios.
Nombre de usuario
pepe
Contrasea
******
Contrasea (confirmar)
******
Ingrese con cuidado el nombre de login y contrasea que le proporcion su ISP. Por lo general, ambos distinguen entre maysculas y minsculas.
Nombre del proveedor
123.231.123.231
123.231.123.232
La primer cadena de caracteres simple identifica a su proveedor y las siguientes a los Servidores de Nombres
de Dominio (DNS) de su ISP.
Una vez que estn completos todos los campos, avance al paso siguiente. Podr revisar todos los parmetros
antes de confirmar sus elecciones. La conexin se configurar inmediatamente.
44
4.5. Configuraci
on de la conexi
on por Cable/LAN
4.5.1. Configurar una conexi
on por Cable o LAN
Esta pantalla aparece cuando Usted ha configurado previamente ese tipo de conexin con la Internet. La
misma resume la configuracin corriente.
Haga clic sobre el botn "Cambiar" si desea utilizar otra NIC para ese acceso a la Internet.
Haga clic sobre el botn "Configurar" si desea volver a configurar la NIC seleccionada.
45
Esta pantalla es la primera del asistente que lo guiar a travs del proceso de configuracin de una conexin
a la Internet por medio de Cable/LAN. Bsicamente, ambos tipos de conexin son idnticos. Esta es la razn
por la cual se tratan juntas. Primero, seleccione la tarjeta interfaz de red (NIC) a utilizar para este propsito.
En la lista de sugerencias, seleccione el nombre de la interfaz que desea utilizar para la conexin por Cable/LAN.
4.5.3. Configuraci
on de al interfaz Ethernet para su acceso a la Internet por Cable/LAN
46
Direccin IP
10.0.0.1
Complete este campo si tiene una direccin IP esttica para esta interfaz. Debe asegurarse que es la que le ha
sido asignada ya que las direcciones IP conflictivas pueden resultar en repetidos problemas intermitentes de
acceso a la Internet.
Mscara de sub-red
255.255.255.0
Complete este campo con la red correspondiente a la que est conectada esta interfaz. Debe asegurarse que es
la que Usted tiene asignada.
Pasarela predeterminada
10.0.0.250
Esta es la pasarela a travs de la cual pasarn sus pedidos a la Internet. Este parmetro es crucial para permitir
que su mquina cortafuegos alcance la Internet.
Luego, debe indicar qu protocolo de arranque se debe utilizar cuando se inicializa esta interfaz. Esto depende
del protocolo que utilice su ISP. Seleccione uno de los siguientes:
esttico; si tiene un direccin IP especfica asignada para su servidor (la mayora de los casos para los servidores)
Finalmente, puede decidir si desea, o no, activar automticamente esta interfaz al arrancar.
Luego viene la configuracin de su mquina como un miembro de la Internet.
Nombre externo del sistema
www.mi_empresa.org
mi_empresa.org
123.123.123.123
DNS externo 2
123.123.123.124
Las IP de esos DNS generalmente se corresponden con los Servidores de nombres de dominio de su ISP.
47
Revise todos los parmetros y haga clic sobre "Aplicar" para activar su modificacin.
48
4.6. Configuraci
on de las cuentas del proveedor
Esta pantalla presenta la configuracin actual del acceso a la Internet. En caso que Usted posea varias cuentas
de proveedor tambin le permite cambiar de una cuenta a otra dentro del mismo tipo de acceso.
La primer parte de la pantalla le informa acerca del acceso a la Internet que est en uso actualmente: tipo,
interfaz, proveedor.
Luego viene la lista de cuentas asociadas al tipo corriente de conexin a la Internet.
DNS1
Tel
efonoProv
free.fr
123.456.78.1 01010101
proveedor.net 123.456.75.1 02313654
DNS2
Contrase~
na Login Aute
123.456.789.2 SecreTo
pepe PAP quitar
123.456.785.2 MuySecreTo popo PAP quitar
Dominio del proveedor: haga clic sobre el mismo si desea activar esta cuenta.
TelfonoProv: si aplica, dice el nmero telefnico que necesita discar el mdem para acceder al proveedor.
quitar: haga clic sobre este vnculo si desea quitar definitivamente esta cuenta de proveedor.
49
4.7. Restricci
on horaria
En caso que no tenga una conexin permanente, esta pgina le permitir definir sus esquemas de conexin
con la Internet. Para cada uno de los tres perodos de tiempo definidos, se le darn cinco opciones para su
conexin.
Conexin telefnica en horario de oficina: Defina los esquemas de conexin durante las horas de oficina
(8:00 a 18:00).
Conexin telefnica fuera del horario de oficina: Defina los esquemas de conexin fuera del horario de
oficina (18:00 a 8:00).
Conexin telefnica los fines de semana: Defina los esquemas de conexin durante los fines de semana
(sbado, domingo).
Para cada uno de estos perodos, elija una de las polticas siguientes:
Tiempos de conexin cortos: Las conexiones se realizan por demanda, y el vnculo se corta cuando cesan los
pedidos. [slo relevante para tipos de vnculo por mdem analgico o RDSI]
Tiempos de conexin medianos: Las conexiones se realizan por demanda, y el vnculo se corta un poco
despus que han cesado los pedidos. [irrelevante para tipos de vnculo permanente]
Tiempos de conexin largos: Las conexiones se realizan por demanda y el vnculo se corta mucho despus
que han cesado los pedidos, de esta forma se minimizan las demoras promedio de conexin. [irrelevante
para los tipos de vnculo permanentes]
Cuando haya pasado por los tres perodos de tiempo diferentes el paso siguiente le mostrar las elecciones
que realiz recin. Debe revisarlas y avanzar al paso siguiente. Esto lo llevar de vuelta a la pgina principal
de filtrado del WebProxy.
50
Puede cambiarlos haciendo clic sobre los diferentes servicios, como por ejemplo el servidor DHCP, el proxy
web, el DNS de cacheo y la Deteccin de intrusiones, que se encuentran a la izquierda de la ventana de
MandrakeSecurity.
51
Simplemente elija si desea (o no) utilizar un servidor DHCP seleccionando S o No y haciendo clic sobre el
botn Siguiente.
5.2.1. Configuraci
on del servidor DHCP
Ahora debe informar a los scripts de conexin para que su ISP pueda autenticarlo. Su ISP debe haberle proporcionado toda la informacin necesaria.
eth0
Este campo contiene el nombre de la interfaz conectada a la LAN. Slo aquellas computadoras que comparten
la misma sub-red con esa direccin obtendrn una respuesta del servidor DHCP.
Nombre de dominio del cliente
(ej.: empresa.com)
empresa.com
52
254
En esta etapa, la Pgina de Confirmacin muestra los datos que se aplicarn al cortafuegos.
Si hace clic sobre el botn Aplicar, se guardarn todos sus cambios, reemplazando a los predeterminados o a
los anteriores. Si desea cambiar los parmetros haga clic sobre el botn Anterior, cambie los parmetros, haga
clic sobre el botn Siguiente, y aplique sus cambios.
53
Para poder recordar los pedidos HTTP y FTP hechos desde dentro de su LAN hacia la Internet, necesitar
configurar un servidor proxy en su cortafuegos. Esto permite que una pgina, que piden dos usuarios diferentes, se obtenga de la Internet slo una vez, acelerando dramticamente el acceso a esta pgina a la vez que
se ahorra el preciado ancho de banda.
MandrakeSecurity ha elegido al servidor proxy Squid. Este acta como un agente, aceptando pedidos de los
clientes (por ejemplo, los navegadores web) y pasando dichos pedidos al servidor Internet apropiado. Luego
almacena una copia de los datos devueltos en un espacio reservado (cach) en disco.
Elija entre cuatro opciones antes de avanzar al paso siguiente:
desactivar el servidor proxy: si elije no utilizar el proxy, los pedidos de sus usuarios se reenviarn directamente al exterior;
activar el proxy transparente: activa el proxy y lo configura para actuar como un proxy transparente, es
decir: los usuarios no debern configurar sus clientes para permitirles utilizar el proxy ya que el proxy
intercepta y maneja automticamente todos los pedidos.
activar el proxy manual: igual que el anterior, pero los navegadores web cliente deben ser configurados
explcitamente para utilizar el servidor proxy instalado en su servidor MandrakeSecurity;
activar el proxy manual con autenticacin al nivel de usuario: igual que el anterior. ADVERTENCIA: debe
crear cuentas en la mquina cortafuegos Linux para los usuarios que estn autorizados a conectarse a la
Internet.
54
5.3.1. Configuraci
on principal del proxy
Aqu se configurarn los parmetros del proxy. Luego de decidir sobre algunos parmetros comunes, tiene la
opcin de activar (o no) el filtrado de web.
Modo de Squid:
manual
Este campo est definido por el Modo del servidor Proxy que eligi previamente entre "deshabilitado", "transparente", "manual" o "manual con autenticacin". En nuestro ejemplo, elegimos "manual".
Puerto de Squid (recomendamos
3328)
3328
Este es el puerto en la mquina cortafuegos en el cual Squid escuchar los pedidos. No es necesario realizar
cambio alguno aqu a menos que este puerto sea utilizado por otro servicio.
Tamao del cach de Squid (en
MB)
100
Este campo le permite controlar la cantidad de datos en el espacio reservado que Squid puede almacenar y
manejar. Para que su cach sea eficiente, debera ajustar el espacio del mismo segn la cantidad de usuarios:
para ms usuarios, se necesita ms espacio. El espacio puede variar entre 10 MB y 10 GB o ms.
Seleccione el modo de
autenticacin
Pam
Este campo slo se mostrar si Usted seleccion el modo "manual con autenticacin". Le permite elegir entre
PAM (Pluggable Authentication Modules - Mdulos de autenticacin "enchufables"), un mecanismo flexible
para autenticar usuarios (la accin predeterminada en MandrakeSecurity); LDAP (Lightweight Directory Access Protocol - Protocolo "liviano" de acceso a directorios) que permite el acceso a servicios de directorio en lnea; Samba, que lo conectar a su grupo de trabajo Samba, por ejemplo EMPRESA si Usted utiliza tal servidor;
y finalmente NIS (Network Information Service - Sistema de informacin de red), que facilita la comunicacin
de informacin crtica a todas las mquinas a travs de una red.
Correo electrnico administrativo root@empresa.com
de Squid
Ingrese el correo electrnico del administrador en este campo (root@empresa.com, en nuestro ejemplo) para
que sus usuarios sepan a quin contactar en caso que ocurra un problema para comentarle los bugs/problemas
(si es que hay alguno).
55
Para poder utilizar LDAP, necesita configurar parmetros bsicos tales como los que siguen.
ou (ej.: personas)
dc (ej.: mdk)
56
La pgina de autenticacin NIS le permite configurar dos parmetros esenciales: el dominio NIS y la lista NIS.
Igual principio que para la lista NIS: comience por "yp" seguido de la
raya baja ("_"), luego el nombre de la lista en el formato "lista.nombre".
Ha activado el Guardin Proxy y esta pgina le permitir configurarlo. Esta es la primer pantalla del asistente.
La misma realizar sugerencias para configurar los distintos aspectos del filtrado.
Red autorizada: ingrese las redes/mscaras que podrn utilizar los servicios del proxy.
57
Restriccin horaria: permite definir el horario de conexin, es decir: cuando pueden (o no) conectar las
personas.
Publicidad a quitar: ingrese las URL o dominios completos de los sitios de publicidad. Las imgenes que
provienen de dichos sitios no se reenviarn a los clientes.
URL de destino prohibidas: ingrese las URL o dominios completos para los cuales se debera bloquear todo
acceso.
IP privilegiadas: ingrese las IP de las mquinas privilegiadas en su red local. Las mismas no tendrn restriccin alguna de las impuestas por el filtro a las otras mquinas.
IP fuente prohibida: designa a aquellas mquinas que no tienen autorizacin alguna para utilizar el proxy.
Copia de respaldo/Restauracin: le permite hacer una copia de sus reglas del proxy as como tambin
restaurarlas.
Siempre que haya finalizado de configurar alguna de las secciones precedentes, se lo traer de vuelta a esta
pgina.
5.3.2.1. Red/M
ascara fuente autorizada
Este formulario le permitir especificar qu sub-redes pueden utilizar los servicios del proxy. Si se deben
especificar distintas clases de mquina en su red (una para las personas que pueden acceder a la web, la otra
para las personas que no pueden), tendr que crear una sub-red para las mquinas autorizadas y asignar las
IP de acuerdo al estado de autorizacin particular que se ha garantizado a la computadora.
Red/Mscara autorizada
192.168.1.0/25
En este campo, ingrese la direccin IP/Mscara de red de la sub-red (el ejemplo mostrado designa el rango
de IP desde 192.168.1.0 a 192.168.1.127 - donde 0 es su direccin de red y 127 su direccin de difusin). Luego
58
Si desea quitar una IP de la lista, simplemente debe seleccionarla y hacer clic sobre el botn Quitar:
Cuando haga pasado por las listas, avance al paso siguiente. Esto lo llevar de vuelta a la pgina principal de
filtrado del WebProxy.
5.3.2.2. Restricci
on horaria
Este formulario le permite definir los perodos horarios dentro de los cuales se permitir el acceso al proxy.
Note que esto no afecta a las mquinas privilegiadas de su red local. Fuera de estos perodos horarios, las
mquinas restringidas no podrn navegar por la web.
Primero necesita elegir si habilitar o deshabilitar esta caracterstica. Si la habilita tendr que definir los perodos
horarios en cuestin: hay dos perodos por da hbil.
Dom AM
09:00-13:00
Debe asegurarse de respetar estrictamente el formato como se ilustra: HH:MM-HH:MM. Modifique todos los
perodos segn su conveniencia.
Cuando haya finalizado con todos los perodos, avance al paso siguiente. Se le mostrar las elecciones que
hizo. Debe revisarlas y avanzar al otro paso. Esto lo llevar de vuelta a la pgina principal de filtrado del
WebProxy.
59
Cmo nos podemos deshacer de esas propagandas aburridas en nuestros sitios web favoritos? Examinemos
dos ejemplos: freshmeat.net y yahoo.com.
En el sitio web de freshmeat.net haga clic derecho sobre la imagen de publicidad y luego sobre "Copiar ubicacin de imagen" en el men emergente (nota: la opcin de su navegador puede llamarse de otra manera...).
Luego vaya a la seccin Nuevo dominio de publicidad prohibido, haga clic sobre el botn del medio del ratn
(o sobre ambos botones simultneamente si Usted posee un ratn de dos botones). Borre la ltima parte de la
URL y obtendr ads.freshmeat.net. Ahora, aada este dominio a la lista.
Nuevo dominio de publicidad
prohibido
ads.freshmeat.net
En el sitio web de yahoo, haga clic derecho sobre la imagen de publicidad y luego copie la ubicacin de la imagen como se indic antes. Luego vaya a la seccin Nueva URL de publicidad prohibida
y haga clic sobre el botn del medio del ratn (o sobre ambos botones simultneamente si Usted posee un ratn de dos botones) para pegar la informacin. Borre la ltima parte de la URL y obtendr
us.a1.yimg.com/us.yimg.com/a/pr/promo/anchor. Ahora aada esta URL a la lista. Si refresca la pgina
de su navegador varias veces y copia la ubicacin de la imagen, obtendr varias URL distintas:
us.a1.yimg.com/us.yimg.com/a/ya/promo/anchor
us.a1.yimg.com/us.yimg.com/a/an/promo/anchor
us.a1.yimg.com/us.yimg.com/a/ya/yahoopager/messenger
us.a1.yimg.com/us.yimg.com/a/ya/yahoo_auctions
60
us.a1.yimg.com/us.yimg.com/a/an/anchor
Cuando haga pasado por las listas, avance al paso siguiente. Esto lo llevar de vuelta a la pgina principal de
filtrado del WebProxy.
Este formulario le ofrece tres formas de filtrar las pginas vistas desde la red local. Estos tres tipos de filtrado
dependen de la URL de dichas pginas.
microsoft
61
msn.com
Todas las pginas que dependan de un servidor cuyo nombre termine en este dominio se bloquearn. En
nuestro ejemplo: "http://eshop.msn.com/category.asp?catId=212" no se mostrar. Haga clic en Aadir este
dominio a la lista para hacerlo as.
Nueva URL prohibida
www.XXX.com/index_ns.html
no se descartar. Haga clic sobre Aadir esta URL a la lista para hacerlo as.
Luego se mostrarn las listas para las tres categoras. Puede seleccionar un elemento en esas listas y quitarlo
si lo selecciona y hace clic sobre el botn Quitar:
Cuando haga pasado por las listas, avance al paso siguiente. Esto lo llevar de vuelta a la pgina principal de
filtrado del WebProxy.
5.3.2.5. IP privilegiadas
Este formulario le permitir aadir o quitar IP de las mquinas privilegiadas de su red local. Dichas mquinas
estarn libres de cualquier restriccin impuesta por el filtro a las dems mquinas.
62
192.168.1.111
Ingrese la direccin IP completa de la mquina privilegiada. Luego haga clic sobre el botn Aadir:
La IP aparecer en la lista en la parte inferior de la pgina.
Para quitar los privilegios de una IP de la lista, simplemente debe seleccionarla y hacer clic sobre el botn
Quitar:
Cuando haga pasado por las listas, avance al paso siguiente. Esto lo llevar de vuelta a la pgina principal de
filtrado del WebProxy.
5.3.2.6. IP prohibidas
Este formulario le permitir aadir o quitar las IP de aquellas mquinas que no estn autorizadas a utilizar el
proxy en absoluto. Esto significa que si, desde la red local, no hay otra pasarela a la Internet, los usuarios de
estas mquinas no podrn navegar por la web.
192.168.1.110
Ingrese la direccin IP completa del host prohibido. Luego haga clic sobre el botn Aadir:
la IP en la lista en la parte inferior de la pgina.
. Aparecer
63
Si desea quitar una IP de la lista, simplemente debe seleccionarla y hacer clic sobre el botn Quitar:
Cuando haga pasado por las listas, avance al paso siguiente. Esto lo llevar de vuelta a la pgina principal de
filtrado del WebProxy.
Realizar una copia de respaldo de sus reglas del proxy es una excelente idea. Tambin es muy conveniente
poder restaurarlas. Siga estos pasos simples para hacerlo.
Copia de respaldo: para crear una copia de respaldo de sus reglas del proxy, simplemente haga clic sobre
el botn gris "Copia de Respaldo". Se mostrar una pgina nueva: haga clic mientras mantiene la tecla Shift
(Cambio) presionada sobre el vnculo Copia de respaldo del WebProxy (o haga clic derecho y elija Guardar
vnculo como) y se guardar el archivo WebProxyRulesBackup.tar.bz2 en su disco rgido.
Restaurar: para poder restaurar sus reglas del proxy, haga clic sobre el botn "Examinar" para ubicar los
archivos adecuados (por ejemplo: WebProxyRulesBackup.tar.bz2). Luego, haga clic sobre el botn "Subir" y,
en la pgina siguiente, sobre el botn "Aplicar".
64
Su operacin de copia de respaldo se complet satisfactoriamente. Ahora, siga las instrucciones debajo para
guardar su archivo de copia de respaldo de las reglas del proxy.
Simplemente haga clic mientras mantiene la tecla Cambio (Shift) apretada sobre el vnculo Copia de respaldo
del WebProxy (o haga clic derecho y elija Guardar vnculo como) y se guardar el archivo WebProxyRulesBackup.tar.bz2 en su disco rgido. Luego, haga clic sobre el botn "Siguiente".
Sin embargo, si desea terminar esta operacin, haga clic sobre el botn "Cancelar": se lo llevar de vuelta a la
pgina principal de MandrakeSecurity.
DNS es el acrnimo para Domain Name System (Sistema de Nombres de Dominio). El mismo traduce nombres
de mquina legibles para las personas en direcciones IP legibles para las mquinas y vice-versa. Este asistente
de configuracin brindar un servicio local de DNS para las computadoras conectadas a su red local y todos
los pedidos no locales se reenviarn a un servidor DNS externo.
Para activar este servicio, por favor marque la casilla Habilitar y haga clic sobre el botn
Al hacer clic sobre
65
Aqu puede especificar los servidores DNS utilizados para reenviar los pedidos.
Servidor DNS
activo
direccinIP_del_DNS_primario_de_su_ISP
direccinIP_del_DNS_secundario_de_su_ISP
Debe ingresar la direccin IP del servidor DNS primario y, opcionalmente, secundario en los campos correspondientes. Por lo general, Usted ingresar aqu las direcciones IP de los DNS primario y secundario de su
ISP, pero puede ser que est utilizando otro servidor DNS para reenviar los pedidos.
Una vez que ha ingresado las direcciones IP de sus servidores DNS de reenvo, haga clic sobre el botn
.
Al hacer clic sobre
Esta pgina le permite seleccionar y activar un Sistema de deteccin de intrusiones (IDS) en su servidor. Los
IDS son aplicaciones de filtrado basadas en la firma de los paquetes que se utilizan para generar alarmas
cuando se producen actividades de red fuera de lo comn.
66
Prelude IDS
Habilitar/Deshabilitar
Snort IDS
Habilitar/Deshabilitar
Prelude IDS
Prelude es un IDS hbrido que combina "deteccin de intrusin en la red" y "deteccin de intrusin en el host".
Snort IDS
5.6. Activaci
on de los servicios
Esta pgina lista los servicios presentes en su mquina. Se le dar la oportunidad de habilitarlos o deshabilitarlos.
67
Status
[...]
Gpm Running reload restart stop start Details
Httpd-naat Running reload restart stop start Details
Squid Running reload restart stop start Details
[...]
La primer columna de la tabla lista el nombre del servicio y el estado actual del mismo:
Stopped (Detenido): El servicio est instalado en el cortafuegos, pero en este momento est deshabilitado.
Unknnown (Desconocido): Por algn motivo, la interfaz no se pudo determinar el estado de ese servicio.
Detalles--->: Haga clic sobre el botn "Detalles" al final de la fila para obtener ms informacin.
recargar: permite volver a cargar la configuracin de ese servicio sin interrumpirlo. Para utilizar justo cuando se ha modificado un parmetro de dicho servicio.
Detalles: hace aparecer otra pgina con ms informacin acerca de ese servicio en particular.
68
Esta seccin de la interfaz permite controlar todo el trfico que entra y sale de la mquina cortafuegos. En
particular, permite definir los grupos diferentes de computadoras (zonas) con las que tratar su cortafuegos,
y el trfico permitido entre dichas zonas.
En esta pantalla introductoria puede encontrar los comandos de control principales para todos esos servicios
de ruteo y filtrado. Hay cuatro acciones que se pueden llevar a cabo en todo el cortafuegos:
start (iniciar): inicia el cortafuegos y todos los servicios asociados definidos en esta seccin;
stop (detener): detiene el cortafuegos. Se cerrarn todos los canales de comunicaciones, aislando por completo a la mquina del exterior. Eso puede ser til cuando se da cuenta que la mquina est comprometida,
pero la interfaz de administracin ya no estar disponible sino que deber conectarse fsicamente desde la
consola del cortafuegos;
restart (reiniciar): detiene el cortafuegos (si es que est corriendo) y luego lo vuelve a iniciar;
69
Tenga bien presentes las implicancias cuando utiliza las acciones "stop" o "clear". Cuando haya elegido la
accin deseada, haga clic sobre el botn "Siguiente" para confirmarla.
6.2. Definici
on de las zonas
Esta sub-seccin permite definir con precisin cada uno de los grupos de computadoras (zonas) con las que
tendr que tratar el cortafuegos. La pantalla introductoria resume la configuracin corriente y permite administrar los tres componentes del proceso de definicin de zonas.
70
Primero debe definir los nombres de las zonas. Piense con cuidado las zonas que pueden ser necesarias con su
configuracin de red corriente. Predeterminadamente se brindan tres nombres, como puede ver en la primer
tabla que resume los nombres definidos. Estos valores predeterminados permiten una configuracin simple
pero segura de su red.
LAN: Red de rea local. La red interna donde se conectan las mquinas cliente internas. Por lo general, no
se permiten las conexiones desde el exterior a mquinas dentro de la red LAN.
DMZ: Zona DesMilitarizada. Por lo general, est reservada para servidores Internet. Esta zona contendr
computadoras dedicadas a ofrecer servicios a la Internet (la zona WAN que se define debajo). Por lo tanto
se permiten las conexiones a computadoras en esta zona.
WAN: Red de rea extensa. Por lo general, esto designa a la Internet. O, ms generalmente, a una red
conectada a la Internet.
correspondiente para modificar los
Para cada una de las zonas definidas, haga clic sobre el icono
nombres asociados a dicha zona o sobre
Si desea definir una zona nueva, haga clic sobre el icono "Aadir Zona":
Hay una zona especial, fw, que no se lista aqu pero que existe
siempre. La misma se utiliza para designar la zona del cortafuegos
(firewall): una zona que est
a compuesta por una u
nica m
aquina,
el servidor cortafuegos en s mismo.
Luego es necesario informar al sistema acerca de cada interfaz de red configurada en su cortafuegos, y la zona
asociada a las mismas.
Aqu la tabla lista las interfaces y las zonas asociadas. Si el nombre de la zona es "-" eso significa que hay varias
zonas asociadas a esta interfaz. Esas zonas "host" especiales se definen debajo, en la tercer parte de la pgina.
Para cada una de las interfaces definidas, haga clic sobre el icono
zona o las opciones asociadas con dicha interfaz o sobre
Si desea aadir una interfaz nueva, haga clic sobre el icono "Aadir interfaz":
Finalmente, puede definir en la ltima parte de la pgina las zonas "host" posibles. Dichas zonas estn formadas por un grupo de computadoras que comparten una nica interfaz Ethernet del cortafuegos con otras
computadoras. Por alguna razn Usted desea separar la manera en que se trata a esas mquinas con respecto
a las otras mquinas conectadas a la misma interfaz. Las mquinas que posee una zona "host" se identifican
por su mscara de sub-red.
Por ejemplo, esto puede ser til si su servidor Internet est conectado fsicamente a su red LAN. Simplemente
debe asociar la zona DMZ a una zona "host" compuesta de una nica mquina: el servidor Internet.
Para cada una de las zonas "host" definidas, haga clic sobre el icono
la configuracin de la misma o sobre
Si desea aadir una zona "host" nueva, haga clic sobre el icono "Aadir host":
.
71
Este formulario le permite aadir/modificar los nombres que identifican a las zonas. Hay tres cadenas de
caracteres que identifican a una nica zona, que se usan dependiendo del lugar donde se muestren.
ID de zona (nico):
Este nmero nico (ID) ser utilizado en todo lugar donde sea
necesario identificar unvocamente a la zona. Se recomienda no
modificar el valor predeterminado sugerido.
Zona:
Comentarios:
www
WWW
Comentarios:
Granja_de_Servidores_Web
72
A cada interfaz Ethernet que importa al cortafuegos debe estar asociada al menos una zona. Es posible asociar
mltiples zonas a una nica interfaz a travs de las zonas "host". Este formulario tambin permite configurar
con precisin las opciones asociadas a la interfaz.
ID de la interfaz:
Este nmero nico (ID) ser utilizado en todos los lugares donde se
necesite identificar unvocamente a la interfaz. No se recomienda
modificar el valor predeterminado propuesto.
Zona:
Interfaz:
Difusin:
opciones:
Debajo tiene detalles acerca de las opciones disponibles para las interfaces. Debe revisarlas todas con cuidado
para cada interfaz; para algunas interfaces en particular algunas de las opciones son altamente recomendables.
dhcp
73
noping
routestopped
norfc1918
Los paquetes que llegan a esta interfaz y tienen una direccin fuente o
destino que est reservada en RFC 1918 (Direcciones de red privadas)
se registrarn e ignorarn. Por lo general se utiliza esta opcin para las
interfaces conectadas a la Internet.
routefilter
multi
dropunclean
logunclean
blacklist
Ejemplo: Con el mismo ejemplo de la zona de servidores web, ahora indicaremos que a la zona "www" se
atribuye la sub-red conectada a la interfaz "eth3".
Zona:
www
Interfaz:
eth3
Difusin:
detectar
74
Si ha asignado una zona especial "-" a una interfaz, ahora debe definir las zonas "host" para dicha interfaz.
Una zona host" es meramente un grupo de mquinas identificadas por su sub-red comn. Se puede reducir a
una nica mquina.
ID del host:
Este nmero nico (ID) se utilizar en todos los lugares donde sea
necesario identificar unvocamente a esta zona host.
Zona:
Interfaz:
Direccin IP:
La direccin del host o sub-red para las mquinas asociadas a esta zona
host. Ejemplo: "192.168.2.0/2".
opciones:
Ejemplo: desea que algunas mquinas precisas en la red local puedan administrar el cortafuegos, incluso si
el cortafuegos est detenido. Luego de haber configurado la interfaz local "eth2" como asignada a la zona
especial "-" con la opcin "multi", debe configurar la zona host especial "adm" que slo se corresponde con
algunas mquinas de la sub-red local.
Zona:
adm
Interfaz:
eth2
Direccin IP:
192.168.1.0/25
opciones:
routestopped
75
6.3. Configuraci
on del enmascarado, NAT est
atica y Proxy ARP
Esta sub-seccin propone servicios para facilitar las comunicaciones entre la Internet y las mquinas internas,
ya sean clientes o servidores.
Advertencia: antes de salir de la misma, no olvide hacer clic sobre el botn "Aplicar" cuando ha finalizado de
configurar los servicios necesarios de esta sub-seccin.
La parte "Enmascarado clsico" maneja las reglas que permiten que los clientes internos accedan a la Internet.
Para cada una de las reglas definidas (si existe alguna), haga clic sobre el icono
o sobre el icono
(Aadir enmascarado).
La parte "NAT esttica" maneja las reglas para la Traduccin de la direccin de red. Esto permite que los
servidores internos (generalmente en la DMZ) aparezcan como que son parte de la Internet para los clientes
externos.
76
Para cada una de las reglas definidas (si existe alguna), haga clic sobre el icono
modificar la regla, o sobre el icono
correspondiente para
Si desea aadir una regla NAT nueva, haga clic sobre el icono
(Aadir NAT).
6.3.1. Enmascarado de IP cl
asico
Para permitir que los clientes de su red interna accedan a la Internet, debe enmascarar esta red con respecto a
la Internet, ya que est basada en direcciones privadas que no son vlidas en la Internet.
ID:
Red enmascarada:
A travs de la interfaz:
Red/Host opcional:
Ejemplo 1: Tiene una cantidad de tneles IPSEC a travs de ipsec0 y desea enmascarar el trfico de su sub-red
192.168.9.0/24 slo a la sub-red remota 10.1.0.0/16.
Red enmascarada:
192.168.9.0/24
A travs de la interfaz:
ipsec0
Red/Host opcional:
10.1.0.0/16
77
192.168.10.0/24!192.168.10.44,192.168.10.45
A travs de la interfaz:
eth0
Host/Red opcional:
Direccin fuente (SNAT):
206.124.146.176
6.3.2. Traducci
on de direcci
on de red est
atica
NAT esttica es una manera de hacer que los sistemas detrs de un cortafuegos configurados con una IP
privada (aquellas reservadas para uso privado segn RFC 1819) parezcan tener direcciones IP pblicas. Para
permitir el acceso a la Internet a los clientes de su red interna, debe enmascarar esta red con respecto a la
Internet, ya que est basada en direcciones privadas que no son vlidas en la Internet.
IMPORTANTE: Si todo lo que desea es reenviar puertos a servidores detrs de su cortafuegos, NO desea
usar NAT esttica. El reenvo de puertos tambin se puede lograr con entradas simples en la sub-seccin
"reglas". Tambin, en la mayora de los casos Proxy ARP brinda una solucin superior a NAT esttica ya que
los sistemas internos se acceden utilizando la misma direccin IP internamente y externamente.
ID:
IP externa pblica:
78
Si se activa, esta NAT ser efectiva desde todos los hosts. Si no,
entonces NAT slo ser efectiva a travs de la interfaz que se nombra
en el campo "Sobre esta interfaz de red".
Sistema cortafuegos
Ejemplo: Deseamos hacer que el sistema interno con la IP 10.1.1.2 aparezca estar en la sub-red 130.252.100.* de
la Internet. Si asumimos que la interfaz conectada a la Internet es eth0, entonces la regla siguiente hara que el
sistema con IP 10.1.1.2 parezca tener 130.252.100.18 como direccin IP.
IP externa pblica:
130.252.100.18
eth0
IP interna privada:
10.1.1.2
Sistema cortafuegos
Nota 1: La opcin "Todos los hosts" se utiliza para especificar que el acceso a la IP externa desde todas las
interfaces del cortafuegos debera pasar por NAT. Si se configura en "No", slo el acceso desde la interfaz en
el campo indicado debera pasar por NAT.
Nota 2: Activar la opcin "Sistema cortafuegos" hace que el paquete que se origina en el cortafuegos propiamente dicho y que est destinado a la direccin "externa" sea redireccionado a la "IP interna privada".
Este formulario se utiliza para definir las reglas del Proxy ARP (Address Resolution Protocol - Protocolo de
resolucin de direcciones). Necesita una regla para cada sistema que pasar por el Proxy ARP.
ID:
El nmero nico (ID) que identifica esta regla del Proxy ARP.
Interfaz interna:
Interfaz externa:
La interfaz externa que Usted desea que honre pedidos ARP para la
"Direccin IP del servidor" especificada arriba.
79
Ejemplo: tiene una direccin IP pblica 155.182.235.0/28. Usted configura su cortafuegos como sigue:
eth0 - 155.186.235.1 (conexi
on con la Internet)
eth1 - 192.168.9.0/24 (sistemas locales enmascarados)
eth2 - 192.168.10.1 (interfaz conectada con su DMZ)
En su DMZ, usted desea instalar un servidor web/FTP con direccin pblica 155.186.235.4. En el servidor web,
hace la sub-red igual que eth0 en el cortafuegos y configura a 155.186.235.1 como la pasarela predeterminada:
Direccin IP del servidor:
155.186.235.4
Interfaz interna:
eth2
Interfaz externa:
eth0
No
Nota: Puede desear configurar a los servidores en su DMZ con una sub-red que es ms pequea que la sub-red
de su interfaz conectada con la Internet. En este caso tendr que poner "S" en la columna HAVEROUTE (ya
tiene una ruta).
80
6.4. Configuraci
on de las polticas predeterminadas
Esta sub-seccin se utiliza para describir la poltica del cortafuegos con respecto al establecimiento de conexiones. El establecimiento de conexiones se describe en trminos de clientes que inician las conexiones y
servidores que reciben dichos pedidos de conexin. Las polticas definidas aqu son las polticas predeterminadas. Si no aplica regla alguna de la sub-seccin "Reglas" a un pedido de conexin en particular, entonces se
aplica la poltica predeterminada definida aqu.
La tabla resume todas las polticas predeterminadas configuradas en este momento. Las configuraciones de
fbrica hacen que, predeterminadamente, todas las polticas sean "REJECT" (RECHAZAR), de forma tal que
slo se permiten las conexiones que se explicitan en la sub-seccin "Reglas".
Atencin: El orden es importante: el cortafuegos procesa las reglas de las polticas de arriba hacia abajo y
utiliza la primer poltica aplicable que encuentra. Por ejemplo, en el archivo de polticas siguiente, la poltica
para las conexiones (loc, loc) sera ACCEPT (ACEPTAR) como lo especifica la primer entrada incluso cuando
la tercer entrada en el archivo especifica REJECT (RECHAZAR).
Si hay muchas reglas, puede filtrarlas por zona cliente y servidor. Elija las zonas "cliente" y "servidor" deseadas
entre las que estn disponibles en las listas desplegables y haga clic sobre el icono
"*" es simplemente un comodn que se corresponde con todas las zonas.
. La zona especial
poltica o sobre
para quitarla definitivamente. Para aadir una poltica nueva, haga clic sobre el icono
Est a punto de definir aqu la poltica predeterminada para los pedidos de conexin entre una zona cliente y
una servidor.
Para que se active esta poltica, la conexin se debe originar desde una mquina en la "Zona cliente" y estar
dirigida a una mquina que pertenezca a la "Zona servidor". Luego se tomar la accin que dicta la "Poltica
predeterminada" para dicha conexin. Opcionalmente, si se ha activado esta poltica, la misma generar una
entrada en el registro con nivel "Registro".
ID de poltica
Zona cliente
Zona servidor
Poltica predeterminada
Nivel de registro
DROP
REJECT
CONTINUE
82
loc
Zona servidor
wan
Poltica predeterminada
ACCEPT
Nivel de registro
6.5. Configuraci
on de las reglas del cortafuegos
Aqu estamos en el ncleo mismo del cortafuegos. La sub-seccin "Reglas" definen las excepciones a las polticas establecidas en "Polticas predeterminadas". Hay una entrada en la tabla para cada una de estas reglas.
83
Las computadoras de la LAN pueden conectar con la Internet (WAN) para navegar por la web, servicios de
correo, FTP, y conexiones SSH;
Las computadoras de la LAN se puede conectar al servidor SSH del cortafuegos o la interfaz web MandrakeSecurity;
Se aceptan todos los pedidos de DNS (Servicio de Nombres de Dominio) dirigidos a la Internet;
Si hay muchas reglas, las puede filtrar. Elija las zonas "Cliente" y "Servidor" deseadas as como tambin un
"Puerto" en las listas desplegables y haga clic sobre el icono
mente un comodn que coincide con todas las posibilidades.
Si desea aadir una regla nueva, en realidad puede hacerlo de dos maneras: haga clic sobre el icono "Aadir
host"
correspondiente:
84
Siempre que una conexin coincida con el criterio definido aqu, se permitir la misma.
ID de la regla
Servicios predefinidos
Protocolo
Proveniente de
y dirigido a
Reenviar
Ejemplo: Usted desea reenviar todos los pedidos de conexin por SSH desde la Internet al sistema local
192.168.1.3.
Servicios predefinidos
Protocolo
tcp
Proveniente de
wan
y dirigido a
lan | 192.168.1.3
Reenvo
[marcado]
85
Aqu tiene una descripcin de los diferentes campos disponibles en el formulario, debe completarlos de acuerdo al criterio que desea que coincida para activar esta regla. Tambin estn disponibles algunas opciones para
manejar estas conexiones:
ID de la regla
Resultado
Registro
Servicios predefinidos
Protocolo
Cliente
Servidor
Direccin de reenvo
SNAT
Se permite la conexin.
DROP (TIRAR)
REJECT (RECHAZAR)
CONTINUE (CONTINUAR)
Ejemplo: desea que el servidor FTP con direccin 192.168.2.2 en su DMZ enmascarada se pueda acceder desde
la sub-red local 192.168.1.0/24. Note que debido a que el servidor est en la sub-red 192.168.2.0/24, podemos
asumir que el acceso al servidor desde dicha sub-red no involucrar al cortafuegos.
Resultado
ACCEPT
Registro
Servicios predefinidos
ftp
Protocolo
tcp
Cliente
loc | 192.168.1.0/24
Servidor
dmz | 192.168.2.2
Direccin de reenvo
155.186.235.151
86
SNAT
Esta pgina lista las mquinas (hosts) o sub-redes para las cuales los pedidos de conexin se negarn sistemticamente, incluso si la regla explcita permite la conexin en condiciones normales. Note que para que esta lista
sea efectiva, la(s) interfaz(ces) en la(s) que se conecta(n) dichas IP deben tener activa la opcin "lista_negra" en
la sub-seccin "Configuracin de Zonas".
Para aadir una IP/sub-red nueva a la lista negra, debe ingresarla en el campo "Aadir IP/Sub-red del host"
y hacer clic sobre el icono "Aadir Entrada"
Para quitar une IP/sub-red de la lista negra, debe seleccionarla en la lista y hacer clic sobre el icono "Quitar
entrada"
87
6.7. Configuraci
on de las reglas de Tipo de servicio
Esta pgina lista y permite manejar las reglas de TOS (Tipo de Servicio) del cortafuegos. Las reglas TOS ordenan al cortafuegos modificar los encabezados de los paquetes aadiendo un valor TOS. Este valor brinda
informacin adicional, notablemente a los routers, de forma tal que se da un tratamiento ptimo a los paquetes
de acuerdo al uso de los mismos.
Si desea aadir una regla nueva, haga clic sobre el icono "Aadir regla TOS"
88
Este formulario define las reglas TOS (Type Of Service - Tipo de servicio), que aaden un valor TOS a hacer
coincidir en los encabezados de los paquetes.
Siempre que un paquete que est pasando a travs del cortafuegos coincida con el criterio definido aqu, se
aadir el valor TOS correspondiente.
ID de la regla
TOS
Cliente
Servidor
Protocolo
Ejemplo: Desea que los paquetes de datos FTP se manejen de forma tal de maximizar la velocidad de transferencia, sin importar la confiabilidad y demora, en todas las direcciones.
TOS
Maximizar-Transferencia (8)
Cliente
todos
Servidor
todos
Protocolo
ftp-data
89
90
Captulo 7. Configuraci
on de VPN
Este captulo explica qu es una VPN y cmo configurar una VPN utilizando MandrakeSecurity para actuar
tanto como el lado servidor como el cliente en una VPN.
7.1. Qu
e es una VPN?
VPN es el acrnimo de Virtual Private Networking (Red Privada Virtual) y es una forma de establecer redes
privadas sobre redes pblicas, como la Internet, de manera segura. Vea Figura 7-1.
VPN utiliza tneles para crear una red privada que atraviesa la Internet pblica. Un tnel se puede pensar
como el proceso de encapsular un paquete dentro de otro y enviarlo a travs de la red (la Internet en el caso
de la VPN) MandrakeSecurity usa IPSec1 como protocolo para el manejo de los tneles.
La red de confianza entre las mquinas privadas a travs de la Internet pblica se construye por medio de
los Certificados y una Autoridad Certificante (CA del ingls Certificate Authority) La CA es una entidad en la
que confan los participantes de una VPN. Los certificados que crea su sistema MandrakeSecurity adhieren
a los estndares de la industria pero no estarn garantizados por una CA tercera parte, como VeriSign por
ejemplo. Por supuesto, Usted tambin puede utilizar sus propios certificados aprobados por CAs pblicas con
su sistema MandrakeSecurity .
7.2. Por qu
e una VPN?
Configurar una VPN tiene muchas ventajas entre las que se encuentran las siguientes:
Posibilidad de conectar entre s redes privadas distribuidas geogrficamente. Este es el motivo mismo que
dio origen al desarrollo de las VPN. Piense en conectar entre s sucursales diferentes de su empresa sin
importar el lugar del mundo en el que se encuentren.
Comunicaciones seguras. Debido a que todo el trfico en la VPN est cifrado, puede estar tranquilo que sus
datos permanecen seguros mientras viajan por la red.
Reduccin de costos. Al utilizar una red mundial ya establecida (la Internet) todo lo que Usted necesita
para conectar entre s sus redes privadas dispersas ya est en su lugar. No es necesario pagar canales de
comunicacin dedicados (muy) onerosos. Es ms que suficiente utilizar uno o dos vnculos de alta velocidad
con la Internet, como por ejemplo conexiones DSL.
1.
91
Usted no administra toda la red. Debido a que las redes pblicas son una parte inherente de una red VPN,
Usted no tiene control alguno sobre la parte pblica de la red.
Sin embargo, esto tambin es uno de los mayores beneficios de la VPN: administracin reducida de la red
y costos menores. Adems, la parte pblica de la red es la Internet y esta ltima est bien administrada por
personas capacitadas y con recursos suficientes para asegurar la calidad de servicio necesaria.
Punto nico de falla. Por lo general, slo hay un servidor VPN por lo que, si esa mquina falla, la red se
cae. Sin embargo, este riesgo se puede disminuir utilizando mquinas tolerantes a las fallas. Como siempre,
todo esto depende de cuan crticas son sus operaciones.
92
Por favor, consulte Configurando el comportamiento propiamente dicho del cortafuegos, pgina 69 para ms informacin acerca del significado de los diferentes campos.
Luego presione el botn Siguiente para aadir la zona nueva que identifica a la VPN propiamente dicha. Una
vez que vea la zona listada en la pgina Configuracin de Zonas, presione el botn Aplicar para que sus cambios
tengan efecto.
93
7.3.3. A
nadir la interfaz de red VPN
Vaya a la subseccin Configuracin de Zonas de la seccin Reglas del Cortafuegos y haga clic sobre el vnculo
Aadir interfaz. En la figura siguiente se muestran valores de ejemplo para los campos:
Por favor, consulte Configurando el comportamiento propiamente dicho del cortafuegos, pgina 69 para ms informacin acerca del significado de los diferentes campos.
Luego presione el botn Siguiente para aadir la interfaz IPSec para la VPN. Una vez que ve la interfaz listada
en la pgina Configuracin de Zonas, presione el botn Aplicar para que sus cambios tengan efecto.
7.3.4. A
nadir polticas predeterminadas del cortafuegos para el tr
afico VPN
Ahora debe aadir polticas predeterminadas del cortafuegos para manejar el trfico VPN. Para esto, vaya a la
subseccin Polticas predeterminadas de la seccin Reglas del Cortafuegos y haga clic sobre el vnculo Aadir
poltica. En la figura siguiente se muestra la poltica para el trfico entrante desde cualquier zona y dirigido a
94
Esta configuraci
on permitir
a todo y cualquier tipo de tr
afico VPN.
Est
a bien dejarlo as para la configuraci
on y pruebas iniciales de la
VPN, pero una vez que Usted est
a seguro que la VPN est
a establecida y funcionando, debera cambiar ambas polticas predeterminadas
definidas arriba al comportamiento RECHAZAR y a
nadir reglas para
los tipos especficos de tr
afico que desea permitir sobre la VPN.
Por favor, consulte Probando la VPN y haciendola m
as segura, p
agina 100 para un ejemplo de c
omo configurar reglas para permitir
el tr
afico HTTP.
7.3.5. A
nadir el t
unel VPN en el cortafuegos
Es momento de aadir el tnel VPN en el cortafuegos, que permite el trfico en el puerto 500/udp. Vaya a la
subseccin Tneles de la seccin Reglas del Cortafuegos y haga clic sobre el vnculo Aadir Tnel. En la figura
95
ID (nico). El identificador nico para este tnel. Es altamente recomendable no realizar cambios a este
valor.
Tipo. El tipo de tnel. ipsec para un tnel IPSec (la configuracin predeterminada y recomendada); ipip
para un tnel IPIP.
Zona. La zona desde/hacia la cual fluir el trfico VPN utilizando este tnel. Para el tipo de VPN que
estamos configurando aqu, esto se debe poner en wan (la zona de la Internet)
Zona de la pasarela (opcional). Configurado en vpn debido a que ser la VPN quien oficie de pasarela
entre ambas redes privadas.
Luego presione el botn Siguiente para aadir el tnel del cortafuegos para la VPN. Una vez que lo vea listado
en la pgina Tneles, presione el botn Aplicar para que sus cambios tengan efecto.
Lo siguiente s
olo es necesario si su MandrakeSecurity va a ser
la Autoridad Certificante (CA) de su VPN. Si este no es su caso,
puede ignorar este paso sin problemas.
96
7.3.6.1. Clave CA
Vaya a la subseccin CA de la seccin VPN, haga clic sobre el vnculo Clave CA y presione el botn Siguiente.
En la figura siguiente se muestran valores de ejemplo para los campos:
A continuacin una explicacin breve de algunos de los campos (los otros se explican por s solos):
Nombre comn. Este se debe configurar como el FQDN (Fully Qualified Domain Name, Nombre de dominio
completamente calificado) de su mquina MandrakeSecurity .
Das. El tiempo de expiracin, en das, de este certificado. En el ejemplo est puesto en 10 aos.
Das Crl. Cuntos das deben transcurrir hasta que la Lista de Certificados Revocados (CRL) se considera
obsoleta.
Bits. Cuntos bits se deben utilizar para la generacin de las claves. Normalmente se pone en 1024 o 2048.
No utilice valores inferiores a 1024 para este campo.
Pas. El cdigo ISO de dos letras del pas en el que se encuentra su sistema MandrakeSecurity .
Direccin de correo electrnico. La direccin de correo electrnico del administrador del sistema MandrakeSecurity . Normalmente, esto se configura como admin@fqdn_del_host_mandrakesecurity.ext.
97
7.3.7. A
nadir un Servidor VPN
La figura siguiente muestra la VPN que estamos discutiendo, incluyendo detalles sobre la IP y las mscaras
de las redes privadas y el significado de los lados izquierdo y derecho necesarios para la configuracin a
realizar en este paso:
Entonces, su servidor MandrakeSecurity (Servidor MNF A) est sobre el lado izquierdo y todos los dems
servidores/clientes estn sobre el lado derecho de la VPN. Esta es una convencin que se debe establecer de
antemano y se deben configurar ambas partes (izquierda y derecha) para que la configuracin est completa.
Vaya a la subseccin Servidor de la seccin VPN y haga clic sobre el vnculo Aadir un Servidor VPN. En la
figura siguiente se muestran valores tpicos para los campos:
98
Id del Servidor VPN. Identificador nico numrico. Es seguro (y se recomienda) no realizar modificaciones
a este valor.
Lado. Configurado en Izquierda para su sistema MandrakeSecurity y en Derecha para el sistema remoto.
Nombre comn. Esto debe configurarse con el FQDN de su mquina MandrakeSecurity para el lado izquierdo y con el FQDN de la mquina remota para el lado derecho.
Sub-red/mscara. La IP y mscara de la red para el lado (izquierdo o derecho) correspondiente. En nuestro ejemplo, la configuramos en 192.168.0.0/24 para el lado izquierdo y en 172.16.1.0/24 para el lado
derecho.
Prximo salto. La direccin IP de la pasarela del sistema. Esto depender de la direccin IP de la mquina que est configurando, pero por lo general es igual que la IP del host pero con 1 como ltimo nmero. Por ejemplo, si la IP de su host es 123.234.123.200, entonces debera configurar este valor como
123.234.123.1.
Una vez que aadi tanto el lado izquierdo como el derecho, haga clic sobre el botn Aplicar y luego sobre el
vnculo Reiniciar IPSec para que sus cambios tengan efecto.
Felicidades! Ya est configurado el servidor VPN.
7.3.8. Distribuci
on de los certificados y las claves
Lo siguiente s
olo es necesario si su MandrakeSecurity va a ser
la Autoridad Certificante (CA) de su VPN. Si este no es su caso,
puede ignorar este paso sin problemas.
99
/etc/freeswan/ipsec.d/fqdn_de_mandrakesecurity.crt
/etc/freeswan/ipsec.d/fqdn_del_sistema_remoto.crt
/etc/freeswan/ipsec.d/private/fqdn_del_sistema_remoto.key
Luego las partes remotas deben copiar esos archivos a los lugares apropiados en sus sistemas; de ms est
decir que esta operacin depende del tipo de sistema por lo que aqu no se detallar.
100
101
Debe copiar a su sistema los archivos que se listan en Distribucin de los certificados y las claves, pgina 99 (recuerde que esto depende del sistema y por lo tanto no se explicar aqu como realizarlo) y luego hacer clic
sobre el vnculo Reiniciar IPSec para que los cambios tengan efecto.
102
Captulo 8. Configuraci
on de los clientes enmascarados
Este captulo le mostrar como hacer que sistemas operativos diferentes utilicen una mquina GNU/Linux
con enmascarado configurada como pasarela al mundo exterior. Todas las pruebas resultaron exitosas en los
sistemas operativos siguientes:
Estaciones Digital VAX 3520 y 3100, con UCX (TCP/IP para VMS);
IBM AIX (sobre un RS/6000), OS/2 (incluyendo Warp 3) y OS400 (sobre OS/400);
Linux (por supuesto!): cualquier versin del ncleo desde la serie 1.2.x;
Microsoft DOS (con el paquete Telnet de NCSA, soporte parcial para Trumpet DOS), Windows 3.1 (con el
paquete Netmanage Chameleon) y Windows Para Trabajo en Grupo 3.11 (con el paquete TCP/IP);
Microsoft Windows NT 3.51, 4.0 y 2000 (tanto la versin para estaciones de trabajo como la versin para
servidor);
Veamos los pasos de configuracin para alguno de estos. Si su sistema no est listado, una forma simple de
proceder es: simplemente decirle al sistema operativo qu mquina utilizar como pasarela. Note que nuestro
foco principal aqu es el lado de la pasarela (tambin denominada gateway) de la red: por lo tanto no trataremos
sobre DNS, compartir archivos o problemas de esquema de conexin. Es por esto que para que este captulo
le resulte de alguna utilidad, necesitar una red local bien configurada. Debe referirse a la documentacin de
su sistema para configurarlo adecuadamente, prestando especial atencin a las configuraciones del DNS.
Lo que sigue asume que Usted se encuentra en una red de clase C: sus mquinas tienen direcciones del tipo
192.168.0.x, con una mscara de sub-red configurada en 255.255.255.0, y utilizan eth0 como interfaz de red.
Tambin se da por sentado que la direccin IP de su pasarela es 192.168.0.1, y que sus mquinas pueden
hablar con la pasarela (esto ltimo se puede probar con el comando ping o el equivalente del mismo en su
entorno)
8.1. M
aquina Linux
Hay (como mnimo) tres maneras de hacer esto.
8.1.1. Configuraci
on al vuelo
Probablemente, esta sea la manera ms rpida de proceder. Sin embargo, cuando Usted vuelva a iniciar su
capa de red o todo el sistema, habrn desaparecido todos los cambios que haya hecho en la configuracin!
Si eth0 es la interfaz de red a travs de la cual accede a la pasarela, ingrese (como root) este comando simple:
route add default gw 192.168.0.1 eth0 Ya est! Si la pasarela est configurada y conectada a la Internet
adecuadamente, ahora todo el mundo est a su alcance a travs de su navegador web favorito.
8.1.2. Configuraci
on manual permanente
Para mantener la configuracin cada vez que se apaga y vuelve a iniciar el sistema, debe editar un archivo de
configuracin. En una mquina Mandrake Linux este archivo se denomina /etc/sysconfig/network (puede
ser diferente en la suya) Debe abrirlo con su editor de texto preferido, y luego aadir las lneas siguientes:
GATEWAYDEV="eth0" GATEWAY="192.168.0.1"
Ahora puede volver a iniciar su capa de red con el comando service network restart
103
8.1.3. Configuraci
on autom
atica permanente
Para instalar la configuracin automticamente, simplemente debe poner los parmetros correctos en el asistente de configuracin. Consulte la seccin Configuracin de la Internet en la Gua del Usuario. Cuando est
configurando una conexin con la Internet por la red local, el primer paso le ofrece configurar la red en modo
manual o automtico (DHCP):
104
8.2. M
aquina Windows XP
Aqu asumiremos que Usted ya ha configurado una conexin de red local. La imagen siguiente muestra los
pasos necesarios para obtener el dilogo deseado.
105
1. En el escritorio, haga clic derecho sobre el icono Mis sitios de red, y seleccione Propiedades en el men que
aparece.
2. En la ventana Conexiones de red haga lo mismo con la conexin vinculada a la red donde est ubicada la
pasarela.
3. En el dilogo siguiente seleccione la entrada Protocolo de Internet (TCP/IP) y haga clic sobre el botn
Propiedades.
4. En este dilogo Usted puede elegir marcar Obtener una direccin IP automticamente si tiene un servidor
DHCP en su red. Entonces, tambin debera configurarse automticamente la pasarela. De no ser as,
marque Usar la direccin IP siguiente y complete los campos asociados.
8.3. M
aquina Windows 95 o Windows 98
106
107
8.4. M
aquina Windows NT o Windows 2000
Para configurar estos sistemas operativos siga estos pasos simples:
1. Vaya a Panel de Control+RedesProtocolo.
2. Primero, seleccione Protocolo Internet (TCP/IP) en la lista de protocolos de red. Luego, haga clic sobre
el botn Propiedades y seleccione la tarjeta de red conectada a la red local (Figura 8-9) En este ejemplo,
mostramos una configuracin con el servidor DHCP activado en el servidor MandrakeSecurity : la opcin
Obtener una direccin IP automticamente est marcada.
109
110
uno o m
as servidores WINS;
no coloque una marca en el campo Habilitar reenvo de IP
a menos que su m
aquina Windows se utilice para ruteo y,
una vez m
as, Usted sepa exactamente lo que est
a haciendo;
por favor deshabilite DNS para resolucin de nombres
Haga clic sobre Aceptar en los cuadros de dilogo cuando aparezcan y vuelva a iniciar su computadora para
poner a prueba la configuracin.
111
8.5. M
aquina DOS utilizando el paquete NCSA Telnet
En el directorio que contiene el paquete NCSA encontrar un archivo denominado config.tel. Debe editarlo
con su editor favorito y aadir las lneas siguientes:
name=default
host=nombre_de_su_host_linux hostip=192.168.0.1
gateway=1
8.7. M
aquina MacOS
8.7.1. MacOS 8/9
Antes que nada debe abrir el Panel de Control TCP/IP como se muestra debajo en el men Apple.
112
113
114
Configurar: Manualmente;
Las direcciones de los servidores de nombres pueden ser las direcciones de los DNS internos o las de los servidores de su Proveedor
de servicios de Internet.
8.7.2. MacTCP
1. En el Panel de control de MacTCP, seleccione el controlador de red Ethernet (cuidado, no es EtherTalk) y
luego haga clic sobre el botn Ms....
2. Bajo Direccin de la pasarela ingrese la direccin de la mquina GNU/Linux que comparte la conexin
(192.168.0.1 en nuestro ejemplo)
3. Haga clic sobre Aceptar para guardar los cambios. Puede tener que volver a iniciar su sistema para probar
estas configuraciones.
115
8.8. M
aquina OS/2 Warp
El protocolo TCP/IP ya debera estar instalado. De no ser as, debe instalarlo.
1. Vaya a Programas, luego TCP/IP (LAN), luego Configuraciones de TCP/IP.
2. Bajo Ruteo, elija Aadir. En Tipo seleccione predeterminado.
3. Complete el campo Direccin del router con la direccin de su mquina GNU/Linux que comparte la conexin (192.168.0.1 en nuestro ejemplo)
4. Ahora cierre el panel de control TCP/IP, responda S a todas las preguntas, y luego vuelva a arrancar su
sistema antes de probar las configuraciones.
116
9.1. Utilizaci
on de la red y del sistema
La pantalla principal del grupo Monitoreo muestra el uptime del sistema cortafuegos (es decir, por cunto
tiempo ha estado corriendo el sistema sin haber sido reiniciado); la cantidad de usuarios conectados en ese
momento y los promedios de carga del sistema durante los ltimos 1, 5 y 15 minutos.
117
Los dos grficos que se muestran aqu le informan acerca de la carga de su sistema. Son indicadores buenos de
cuan bien se est desempeando su sistema con la carga actual y se pueden utilizar para soportar decisiones
sobre la actualizacin de CPU/RAM.
avgload: representa la carga promedio de la CPU en las ltimas 24 horas. La unidad utilizada indica aproximadamente la cantidad de procesos que estn intentando acceder simultneamente a la CPU. Una carga
normal debera permanecer por debajo de 2. Si la carga est entre 2 y 5 su sistema est bastante ocupado.
Por encima de 6, debera considerar actualizar su CPU.
memusage: representa el uso de la memoria RAM principal (en Megabytes) Se utilizan colores diferentes
para dar informaciones ms precisas acerca de la forma en que se utiliza la memoria (RAM utilizada en
negro, RAM libre en verde, Swap - intercambio - en rojo, y cach en amarillo)
118
Aqu encontrar grficas del uso de la CPU con escalas de tiempo diferentes.
Se muestra la carga promedio de la CPU grficamente por Da, Semana, Mes y Ao todo en una sola pgina.
La unidad utilizada indica aproximadamente la cantidad de procesos que estn intentando acceder simultneamente a la CPU. Los valores normales estn por debajo de 2. Los valores por encima de 6 indican que
debera considerar actualizar su CPU.
Haga clic sobre el botn "Refrescar" para actualizar las grficas.
Haga clic sobre
Si hace clic sobre
Aqu encontrar grficas de la utilizacin de la memoria RAM con escalas temporales diferentes.
Se muestra el uso de la memoria RAM (fsica) grficamente por Da, Semana, Mes y Ao todo en una misma
pgina. Se utilizan colores diferentes para brindar una informacin ms precisa acerca de la forma en la cual
se est utilizando la memoria (RAM usada en negro, RAM libre en verde, Swap - intercambio - en rojo, y cach
en amarillo)
Haga clic sobre el botn "Refrescar" para actualizar las grficas.
Haga clic sobre
Si hace clic sobre
119
Las grficas que se muestran aqu le informan acerca del trfico de red entrante/saliente sobre sus interfaces.
La primer pgina le muestra el trfico para todas las interfaces durante la ltima hora (de manera predeterminada) Las unidades utilizadas se ajustarn segn el trfico en cada interfaz, de forma tal que Usted puede
tener al trfico expresado en bytes/seg., Kbytes/seg., Mbytes/seg., etc.
En la parte superior de la pgina tiene una lista de las escalas de tiempo disponibles para las grficas: Horaria,
Diaria, Semanal, Mensual y Anual. Para cambiar la escala de tiempo, simplemente haga clic sobre el vnculo
correspondiente.
Cada grfica tambin le dice el trfico promedio y mximo entrante/saliente para las interfaces de red. El
trfico entrante se representa en verde y el saliente en gris oscuro.
Si hace clic sobre el icono
a la derecha de cada grfica (disponible slo en el modo Horaria) ser
llevado a las estadsticas de trfico sobre la interfaz correspondiente.
Para actualizar las grficas haga clic sobre el botn "Refrescar".
Por ejemplo, Usted podra utilizar las grficas que se muestran arriba para planificar los horarios de conexin
y el ancho de banda de su red.
120
9.2. Registros
Los registros del sistema son una herramienta muy potente para auditar y analizar el desempeo del sistema.
Por supuesto, alguien (el administrador del sistema) los debe leer para que sean realmente tiles. Se registran
todos los eventos que ocurren en su sistema cortafuegos; puede acceder a los registros bajo la sub-seccin
Registros.
La tabla muestra todos los mensajes del sistema que se registran, por ejemplo: contraseas fallidas/aceptadas
para sshd, actualizaciones de NTP, ejecuciones de los scripts de mantenimiento del sistema, etc.
Las columnas de las tablas representan, respectivamente: en qu fecha y a qu hora; qu proceso; y qu mensaje
fue generado para cada evento registrado.
Haga clic sobre "Refrescar" para obtener las entradas ms recientes.
121
El elemento Autenticacin le permite echar un vistazo al registro de autenticacin (relacionado con la seguridad) de su sistema.
La tabla describe los eventos registrados que estn relacionados con la autenticacin, por ejemplo, los cambios
de modo de archivo a los archivo de registro, los servicios que se arrancan/detienen, los intentos de conexin
fallidos en la consola y por medio de ssh, etc. Los servicios tpicos para este tipo de mensajes son:
122
El elemento Cortafuegos le permite echar un vistazo a los registros de filtrado de paquetes para su cortafuegos.
Aqu encontrar reportes para todas las cadenas del cortafuegos. Se pueden generar los reportes de acuerdo a
criterios diferentes:
todo y resolucin de nombres: muestra todos los detalles acerca de los paquetes, a saber: nmero de paquete;
inicio; lapso; protocolo; IP fuente, nombre del host y puerto; IP destino, nombre del host y puerto y las
opciones del paquete.
IP destino: muestra slo los detalles siguientes acerca de los paquetes: nmero de paquete; inicio; lapso e IP
destino.
IP fuente: muestra slo los detalles siguientes acerca de los paquetes: nmero de paquete; inicio; lapso e IP
fuente.
IP fuente y destino: muestra slo los detalles siguientes acerca de los paquetes: nmero de paquete; inicio;
lapso; IP fuente e IP destino.
con puerto de destino: muestra slo los detalles siguientes acerca de los paquetes: nmero de paquete; inicio;
lapso; IP fuente; IP y puerto de destino.
con puerto fuente: muestra slo los detalles siguientes acerca de los paquetes: nmero de paquete; inicio;
lapso; IP y puerto fuente; IP destino.
con puertos fuente y destino: muestra slo los detalles siguientes acerca de los paquetes: nmero de paquete;
inicio; lapso; IP y puerto fuente e IP y puerto de destino.
con opciones TCP: muestra los mismos detalles que "todo y resolucin de nombres" excepto los nombres de
host fuente y destino.
123
Luego del mensaje de arriba sigue una tabla con los detalles de los paquetes.
El elemento Prelude IDS le permite echar un vistazo a los registros de Prelude IDS (relacionados con la seguridad) para su sistema.
El Sistema de deteccin de intrusiones (IDS) Prelude reporta paquetes "anormales" (no esperados, sospechosos) que recibe su sistema y que estn dirigidos a su red. Tambin intenta evitar recibir ese tipo de ataques.
Si Prelude IDS no est activo en su sistema el reporte muestra algo como lo siguiente:
Reportes
vac
o Prelude IDS todav
a no fue activado
Si Prelude IDS est activo pero no se han intentado ataques sobre su sistema, el reporte muestra algo como lo
siguiente:
Reportes
vac
o No hay registro disponible!
124
El elemento Snort IDS le permite echar un vistazo a los registros de Snort IDS (relacionados con la seguridad)
para su sistema.
El Sistema de deteccin de intrusiones (IDS) Snort analiza el trfico entrante en su red buscando coincidencias
contra reglas predefinidas y realiza acciones basadas en dichas reglas.
Si Snort IDS no est activo en su sistema el reporte muestra algo como lo siguiente:
Reportes
vac
o Snort IDS todav
a no fue activado
Si Snort IDS est activo pero no se han intentado ataques sobre su sistema, el reporte muestra algo como lo
siguiente:
Reportes
vac
o No hay registro disponible!
125
El elemento Proxy web le permite echar un vistazo a los registros del servidor proxy Squid para su sistema.
Squid es un servidor proxy de almacenamiento intermedio de alto rendimiento para los clientes web que
soporta objetos de datos FTP, gopher y HTTP. Tambin recuerda las bsquedas DNS. Esto hace que el uso de
su ancho de banda de Internet sea ms eficiente a la vez que brinda clientes web ms "giles".
En esta pgina encontrar informacin de acceso, uso de recursos (memoria, espacio en disco) y errores de
configuracin para el servidor web proxy Squid.
Si el servidor proxy Squid no est activo en su sistema el reporte muestra algo como lo siguiente:
Reportes
126
Si el servidor proxy est activo, pero no se registraron eventos, el reporte muestra algo como:
Lista vac
a...
El elemento DHCP le permite echar un vistazo al registro del servidor DHCP para su sistema.
Aqu se muestran los mensajes del servidor DHCP, asignaciones de IP a las interfaces, paquetes DHCP de los
clientes, y mensajes del tipo.
Si el servidor DHCP no est activo en su sistema, el reporte muestra algo como lo siguiente:
Reportes
vac
o Todav
a no se ha activado el servidor DHCP
127
128
129
10.1. Conexi
on remota utilizando SSH
Si hizo clic sobre la sub-seccin Conexin remota en la seccin Herramientas se le presentar una ventana que
est ejecutando una consola SSH que le permitir realizar algunas acciones como si Usted estuviera sentado
en la consola del sistema cortafuegos.
En el prompt, ingrese "admin" como login (sin las comillas) y luego la contrasea de admin:
firewall login:admin
admin@firewalls password: *********
Luego de una conexin exitosa, se le mostrar el shell y podr realizar tareas administrativas como si estuviera
sentado directamente frente a la mquina cortafuegos.
Finalmente, note que si Usted tiene un cliente SSH instalado en su mquina, puede conectarse al sistema
cortafuegos directamente y pasar por alto la interfaz web. Por favor, tenga presente que todava es vlida la
advertencia anterior en esta situacin.
130
Esta caracterstica hace una copia de respaldo de toda la configuracin de su sistema cortafuegos permitindole recuperarlo con rapidez en caso de una falla mayor del sistema o volver a configurar con facilidad un
sistema cortafuegos nuevo basado en la configuracin que se respald.
Para crear una copia de respaldo de su archivo de configuracin, haga clic sobre el botn "Respaldar". Esto
realizar el respaldo y lo llevar a una pgina donde lo puede obtener. Por favor, consulte la ayuda de dicha
pgina para las instrucciones sobre como obtener la copia de respaldo.
Para restaurar la configuracin necesita "Elegir el archivo de configuracin" haciendo clic sobre el botn "Examinar...". Aparece una ventana que le permite seleccionar el archivo que contiene la configuracin respaldada.
Si sigui el procedimiento que se describe en la pgina de ayuda de la copia de respaldo, este debera ser
"/mnt/floppy/ConfigurationBackup" (sin las comillas). Si no guard sus copias de respaldo en disquetes,
entonces es aconsejable que las copie a disquete regularmente y almacene los disquetes en un lugar seguro.
/mnt/floppy/ConfigurationBackup
Cuando est listo, haga clic sobre el botn "Subir". Se lo llevar a una pgina de confirmacin para aplicar/modificar/cancelar los cambios. Por favor, consulte la pgina de ayuda correspondiente para ms detalles.
Debajo tiene una pantalla de ejemplo de la seccin de Restauracin completada con el nombre de archivo del
archivo de configuracin respaldado a restaurar en su sistema cortafuegos.
131
132
Haga un clic derecho (dependiendo de su navegador web, puede ser que necesite presionar "Mays" mientras hace clic con el botn izquierdo de su ratn) sobre el vnculo "Archivo de respaldo" y seleccione la
opcin "Descargar vnculo" (otra vez, esto puede diferir para su navegador web...)
Cuando se le pida el nombre del archivo, ingrese "/mnt/floppy/ConfigurationBackup" (sin las comillas)
Puede cambiar ConfigurationBackup por otro nombre si lo desea/necesita.
Acepte y grbelo.
Luego de realizar los pasos anteriores la configuracin de su cortafuegos estar en el disquete. Qutelo de
la disquetera, protjalo contra escritura y almacnelo en un lugar seguro. Luego haga clic sobre el botn
para volver a la pgina Respaldar/Restaurar.
Al hacer clic sobre
Este asistente le permite realizar actualizaciones de todos los paquetes instalados en su sistema. Por razones
de seguridad, es esencial que Usted verifique regularmente si existen actualizaciones del software.
ftp://ftp-linux.cc.gatech.edu/pub/linux/distributions/
Esto muestra el sitio de rplica seleccionado en este momento para obtener las actualizaciones de software.
Modificar el tipo de sitio de
rplica
Sitio de rplica registrado: esta opcin le dar acceso al sitio de actualizaciondes dedicado a MandrakeSecurity. Contiene actualizaciones para la distribucin Linux regular en la que se basa MandrakeSecurity, pero
tambin paquetes especficos de MandrakeSecurity, as como tambin mdulos opcionales.
Sitio de rplica oficial: en la pgina siguiente se le brinda una lista de todos los sitios de rplica oficiales de
Mandrake Linux. Es altamente recomendable que elija uno de estos como sitio de rplica.
Sitio de rplica personal: en la pgina siguiente podr ingresar manualmente la URL del sitio que contiene
las actualizaciones para su sistema.
133
134
Seguridad bajo GNU/Linux, pgina 137: este captulo es de lectura obligatoria para cualquier administrador
de sistemas. Incluso si Usted puede hacer que su sistema Mandrake Linux sea bastante seguro con las
herramientas predeterminadas, slo se puede alcanzar una seguridad eficiente a travs de la administracin
activa, cuidando tanto la seguridad global fsica como lgica del sistema;
Generalidades sobre redes, pgina 177: se supone que un servidor brinda servicios a una red. Este manual hubiera estado incompleto sin un captulo dedicado a las redes. Se trata la configuracin de la red propiamente
dicha as como los diferentes protocolos.
136
11.1. Pre
ambulo
Este captulo est basado en un COMO por Kevin Fenzi y Dave Wreski cuyo original se encuentra en el Proyecto
de documentacin de Linux (http://www.tldp.org)
11.1.1. Informaci
on de Copyright
Copyright (c) 1998 - 2002 Kevin Fenzi y Dave Wreski
Modificaciones de la v1.3.1, 11 de febrero de 2002, (C)opyright 2000-2002 MandrakeSoft
11.1.2. Introducci
on
Este captulo cubre algunos temas que afectan la seguridad en GNU/Linux . Se discute la filosofa general y los
recursos nacidos de la red.
Muchos otros documentos COMO se solapan con los temas de seguridad y se ha hecho referencia a dichos
documentos donde era apropiado.
No es la intencin de este captulo ser un documento actualizado de las explotaciones de la seguridad. Sucede
un gran nmero de explotaciones nuevas todo el tiempo. Este captulo le dir dnde debe buscar informacin
actualizada al respecto, y le brindar algunos mtodos generales para evitar que dichas explotaciones ocurran.
11.2. Generalidades
Este captulo intentar explicar algunos procedimientos y software utilizados comnmente para ayudar a su
sistema GNU/Linux a ser ms seguro. Es importante discutir primero algunos de los conceptos bsicos, y crear
los fundamentos de la seguridad antes de comenzar.
11.2.1. Por qu
e necesitamos a la seguridad?
En el mundo en constante cambio de las comunicaciones globales, las comunicaciones baratas con la Internet, y el desarrollo de software a un ritmo rpido, la seguridad se est volviendo, cada vez ms, un tema a
tener presente. Ahora, la seguridad es una necesidad bsica porque la computacin global es inherentemente
insegura. Mientras sus datos van desde el punto A al punto B en la Internet, por ejemplo, pueden pasar por
varios otros puntos en el camino, dndole a otros usuarios la oportunidad de interceptar, e incluso alterar, esos
datos. Incluso otros usuarios en su sistema pueden transformar maliciosamente sus datos en algo que Usted
no tena intencin de que se transformasen. Los intrusos, conocidos tambin como crackers, pueden obtener
un acceso no autorizado a su sistema, y luego usar conocimientos avanzados para hacerse pasar por Usted,
robarle informacin, o incluso negarle a Usted el acceso a sus propios recursos. Si se est preguntando cual es
la diferencia entre un Hacker y un Cracker, vea el documento de Eric Raymond, How to Become A Hacker (Cmo convertirse en un hacker), disponible en http://www.netaxs.com/~esr/faqs/hacker-howto.html
(http://www.netaxs.com/~esr/faqs/hacker-howto.html).
137
11.2.3. Qu
e est
a tratando proteger?
Antes de intentar asegurar su sistema, debera determinar cul es el nivel de amenaza del que se tiene que
proteger, qu riesgos debera o no debera tomar, y cuan vulnerable es su sistema como resultado de esas
determinaciones. Usted debera analizar su sistema para saber qu es lo que est protegiendo, por qu lo est
protegiendo, qu valor tiene, y quin tiene la responsabilidad sobre sus datos y otras pertenencias.
Riesgo es la posibilidad de que un intruso pueda tener xito en el intento de acceder a su computadora.
Puede un intruso leer o escribir archivos, o ejecutar programas que puedan causar dao? Puede borrar
datos crticos? Puede evitar que Usted o su compaa hagan trabajos importantes? No lo olvide: alguien
que gane acceso a su cuenta o a su sistema, tambin puede hacerse pasar por Usted.
Adicionalmente, el hecho de tener una cuenta insegura en su sistema puede resultar en que toda su red est
comprometida. Si permite que un solo usuario ingrese usando un archivo .rhosts, o que use un servicio
inseguro, tal como tftp, se arriesga a que un intruso ponga un pie en la puerta. Una vez que el intruso
tiene una cuenta de usuario en su sistema, o en el sistema de otra persona, puede usar dicha cuenta para
ganar acceso a otro sistema, u otra cuenta.
Amenaza es tpicamente de alguien con motivacin para ganar acceso no autorizado a su red o computadora. Usted debe decidir a quienes confa el acceso a su sistema, y qu amenazas pueden presentar.
Hay varios tipos de intrusos, y es til tener presentes las diferentes caractersticas de los mismos cuando
Usted est asegurando sus sistemas.
El Curioso Este tipo de intruso est interesado bsicamente en encontrar qu tipo de sistema y qu tipo
de datos tiene Usted.
El Malicioso Este tipo de intruso tiene como objetivo ya sea hacer caer a sus sistemas, o modificar su
pgina web, u obligarlo de alguna otra manera a gastar tiempo y dinero recuperndose del dao que l
le ha causado.
El Intruso de Perfil Alto Este tipo de intruso est intentando usar a su sistema para ganar popularidad
e infamia. Puede ser que use su sistema de perfil alto para hacer alarde de sus habilidades.
La Competencia Este tipo de intruso est interesado en los datos que Usted tiene en su sistema. Podra
ser alguien que piensa que Usted tiene algo que lo pueda beneficiar, ya sea financieramente o de alguna
otra forma.
Los Ladrones Este tipo de intruso est interesado en plantar campamento en su sistema y usar los
recursos del mismo para sus propsitos. Tpicamente l correr servidores de chat o IRC, archivos de
sitios porno, o incluso servidores DNS.
138
El Saltador de Escalones Este tipo de intruso slo est interesado en su sistema para usarlo como medio
para entrar en otros sistemas. Si su sistema est bien conectado o es una pasarela a una cantidad de hosts
internos, bien puede ver este a este tipo de intruso intentado comprometer a su sistema.
Vulnerabilidad describe cuan bien protegida de otras redes est su computadora, y el potencial de que
alguien gane acceso no autorizado.
Qu es lo que est en juego si alguien irrumpe en su sistema? Por supuesto que los temores de un usuario
hogareo de PPP dinmico sern diferentes a los de una compaa que conecta sus mquinas a la Internet,
u otra red grande.
Cuanto tiempo tomara recuperar/recrear cualquier dato (o datos) que se haya(n) perdido? Una inversin
en tiempo ahora puede ahorrar diez veces ms tiempo luego si tiene que recrear los datos que se perdieron.
Ha verificado ltimamente su estrategia de copia de respaldo, y verificado sus datos?
139
11.2.6. Organizaci
on de este captulo
Este captulo ha sido dividido en una cantidad de secciones. Estas cubren varios temas amplios de la seguridad. La primera, Seguridad fsica, pgina 140, cubre como necesita proteger su mquina fsicamente de los
intentos de manipularla. La segunda, Seguridad local, pgina 145, describe como proteger su sistema de los
intentos de manipulacin de los usuarios locales. La tercera, Seguridad de los archivos y del sistema de archivos,
pgina 147, le muestra como configurar los sistemas de archivos y los permisos sobre sus archivos. La siguiente, Seguridad con contraseas y cifrado, pgina 152, discute como usar el cifrado para proteger mejor su
mquina y su red. Seguridad del ncleo, pgina 158 discute qu opciones del ncleo debera activar o conocer
para hacer a un sistema ms seguro. Seguridad de la red, pgina 161, describe como asegurar mejor a su sistema
GNU/Linux frente a los ataques de la red. Preparacin para la seguridad (antes que Usted vaya en lnea), pgina 168,
discute como preparar su(s) mquina(s) antes de ponerlas en lnea. Luego, Qu hacer durante y despus de un
irrupcin, pgina 170, discute qu hacer cuando Usted detecta que se est comprometiendo su sistema o que
se ha comprometido recientemente. En Fuentes sobre seguridad, pgina 172, se enumeran algunos recursos de
seguridad primarios. La seccin sobre P y R, Preguntas formuladas con frecuencia (FAQ), pgina 174, contesta
algunas preguntas frecuentes, y finalmente en Conclusin, pgina 175 se da una conclusin.
Los dos puntos principales a tener en cuenta cuando se lee este captulo son:
mantngase enterado de lo que ocurre en su sistema. Verifique los registros del sistema como /var/log/
messages y mantenga un ojo sobre su sistema, y
mantenga su sistema actualizado asegurndose que tiene instaladas las versiones ms recientes del software
y las ha actualizado en base a las advertencias de seguridad. El slo hecho de hacer esto ayudar a hacer a
su sistema muchsimo ms seguro.
140
141
Si tiene una m
aquina servidor, y configura una contrase
na de arranque, su m
aquina no arrancar
a sin su asistencia. Tenga presente que
necesitar
a allegarse a ella y proporcionar la contrase
na en caso de
un corte de energa. ;(
1.
142
Nota del traductor: No traduje el ejemplo, ya que es muy probable que Usted lo use en ingls.
Una vez m
as, si tiene una m
aquina servidor, y configura una contrase
na de arranque, su m
aquina no arrancar
a sin su asistencia. Tenga
presente que necesitar
a allegarse a ella y proporcionar la contrase
na
en caso de un corte de energa. ;(
y, por supuesto, generar un archivo de configuracin nuevo /boot/grub/menu2.lst en el cual Usted mueve
las entradas inseguras quitadas previamente de /boot/grub/menu.lst.
>De la pgina Info de grub:
- Comando: password contrase~
na
nuevo-archivo-de-configuraci
on Deshabilitar todo el control de edici
on
interactivo (el editor de de entradas del men
u y la l
nea de
comandos). Si se ingresa la contrase~
na PASSWD, el mismo carga
NEW-CONFIG-FILE como un archivo de configuraci
on nuevo y vuelve a
arrancar a GRUB Stage 2.
143
144
Registros desaparecidos.
En Mantenga registro de los datos de contabilidad de su sistema, pgina 169 discutiremos los datos del registro del
sistema.
145
Debe asegurarse de quitar las cuentas inactivas. Estas se pueden determinar utilizando el comando last
y/o verificando en los archivos de registro cualquier actividad del usuario.
Se aconseja el uso del mismo userid en todas las computadoras y redes, para facilitar el mantenimiento de
las cuentas y permitir un anlisis ms fcil de los datos del registro.
Debera prohibirse en absoluto la creacin de user-ids de grupo. Las cuentas de usuario tambin proveen
la contabilidad, y esto no es posible con cuentas grupales.
Muchas cuentas de usuario locales que se usan cuando se compromete a la seguridad no se han usado en
meses o en aos. Dado que nadie las usa, estas proporcionan el vehculo de ataque ideal.
Cuando haga algn comando complejo, primero intente correrlo de manera no destructiva... especialmente
los comandos que usan englobamiento: por ej., si Usted desea hacer rm -f pepe*.bak, primero haga ls
pepe*.bak y asegrese de borrar los archivos que Usted cree que va a borrar. Algunas veces tambin sirve
usar echo en vez de comandos destructivos.
Slo vulvase root para hacer tareas especficas simples. Si se encuentra intentando averiguar como hacer
algo, vuelva a un shell de usuario no privilegiado hasta estar seguro que eso debe hacerse como root.
La ruta de comandos para el usuario root es muy importante. La ruta de comandos (es decir, la variable
de entorno PATH) especifica los directorios en los cuales el shell busca programas. Intente limitar la ruta
de comandos para el usuario root tanto como sea posible, y nunca incluya . (que significa el directorio
corriente) en el PATH de root. Adems, nunca tenga directorios en los que se pueda escribir en su ruta de
bsqueda, ya que esto permite a los atacantes poner binarios nuevos en su ruta de bsqueda, permitindoles
a estos ejecutar como root la prxima vez que Usted ejecute ese comando.
Nunca utilice el conjunto de herramientas rlogin/rsh/rexec (denominadas los utilitarios-r) como root.
Estos estn sujetos a muchas clases de ataques, y son especialmente peligrosos cuando se ejecutan como
root. Nunca cree un archivo .rhosts para root.
El archivo /etc/securetty contiene una lista de las terminales desde las cuales se puede conectar root.
Predeterminadamente este slo est configurado a las consolas virtuales locales (ttys) Tenga mucho cuidado
en agregar algo ms a este archivo. Usted debera poder conectarse remotamente con su cuenta de usuario
no privilegiado y luego hacer su si Usted lo necesita (con suerte sobre ssh u otro canal cifrado), por lo que
no hay necesidad de tener que poder conectarse directamente como root.
Siempre sea lento y deliberado cuando ejecute como root. Sus acciones pueden afectar un montn de cosas
Piense antes de teclear!
Si necesita de forma absolutamente positiva permitirle a alguien (con suerte, alguien de mucha confianza)
tener acceso como root a su mquina, hay una cantidad de herramientas que pueden ayudar. sudo le permite
a los usuarios usar su clave para acceder como root a un conjunto de comandos limitados. Por ejemplo, esto
le permitir dejar que un usuario pueda expulsar y montar medios removibles en su sistema GNU/Linux , pero
no tenga otros privilegios de root. sudo tambin mantiene un registro de todos los intentos satisfactorios y no
satisfactorios de hacer sudo, permitindole seguirle la pista a quienes usaron cuales comandos para hacer qu
146
No debera haber razn alguna para que los directorios personales de los usuarios permitan que se ejecuten
programas SUID/SGID desde los mismos. Use la opcin nosuid en /etc/fstab para las particiones en las
que pueda escribir otro que no sea root. Tambin puede querer usar nodev y noexec en las particiones de
los directorios personales de los usuarios, as como tambin /var, prohibiendo de esta forma la ejecucin de
programas, y la creacin de dispositivos de bloque o caracter, los cuales, de todas formas, nunca deberan
ser necesarios.
Si est exportando sistemas de archivos usando NFS, debe asegurarse de configurar /etc/exports con el
acceso lo ms restrictivo posible, Esto significa no usar comodines, no permitir acceso de escritura como
root, y exportar como slo de lectura siempre que se pueda.
Configure la umask de creacin de archivos de sus usuarios para ser lo ms restrictiva posible. Consulte
Configuraciones de la umask, pgina 148.
Si est montando sistemas de archivos usando un sistema de archivos de red tal como NFS, debe asegurarse
de configurar /etc/exports con restricciones adecuadas. Tpicamente, es deseable el uso de nodev, nosuid,
y tal vez noexec.
Configure los lmites del sistema de archivos en vez de permitir que unlimited sea la configuracin predeterminada. Usted puede controlar los lmites por usuario usando el mdulo PAM de limitador de recursos y
/etc/pam.d/limits.conf. Por ejemplo, los lmites para el grupo usuarios podran parecerse a los siguientes:
@users
@users
@users
hard
hard
hard
core
nproc
rss
0
50
5000
Esto dice de prohibir la creacin de archivos core, restringir la cantidad de procesos a 50, y restringir el uso
de memoria por usuario a 5MB.
Tambin puede utilizar el archivo de configuracin /etc/login.defs para ajustar los mismos lmites.
Los archivos /var/log/wtmp y /var/run/utmp contienen los registros de conexin para todos los usuarios
en su sistema. Se debe mantener su integridad porque ellos pueden usarse para determinar cuando y desde donde ha entrado a su sistema un usuario (o intruso potencial) Estos archivos tambin deberan tener
permisos 644, sin afectar la operacin normal del sistema.
Se puede utilizar el bit de inmutable para evitar el borrado o la sobre-escritura accidental de un archivo que
se debe proteger. Tambin evita que alguien cree un vnculo simblico al archivo (tales vnculos simblicos
han sido la fuente de ataques que incluan borrar /etc/passwd o /etc/shadow) Vea la pgina Man de chattr
para ms informacin sobre el bit inmutable.
Los archivos suid y SGID en su sistema son un riesgo de seguridad potencial, y deberan ser monitoreados
de cerca. Debido a que estos programas garantizan privilegios especiales al usuario que los est ejecutando,
es necesario asegurarse que no se instalan programas inseguros. Un truco favorito de los crackers es explotar
los programas SUID-root, luego dejar un programa SUID como la puerta trasera para ingresar la prxima
vez, incluso si el hueco original est cerrado.
147
Puede quitar los permisos suid o SGID de un programa sospechoso con chmod, y luego restaurarlos si Usted
siente que esto es absolutamente necesario.
Los archivos que pueden escribir todo el mundo, particularmente los archivos del sistema, pueden ser un
hueco de seguridad si un cracker gana acceso a su sistema y los modifica. Adicionalmente, los directorios
que pueden escribir todo el mundo son peligrosos, ya que estos permiten a un cracker agregar y borrar
archivos a su gusto. Para localizar a todos los archivos que pueden escribir todo el mundo en su sistema,
use el comando siguiente:
root# find / -perm -2 ! -type l -ls
y asegrese de saber por qu estos archivos se pueden escribir. En el curso normal de operacin, varios
archivos se podrn escribir por todo el mundo, incluyendo algunos de /dev, y vnculos simblicos, es por
esto el ! -type l lo que excluye estos del comando find previo.
Los archivos sin dueo tambin pueden ser una indicacin de que un intruso ha accedido a su sistema.
Puede ubicar los archivos de su sistema que no tienen dueo, o que no pertenecen a grupo alguno con el
comando:
root# find / -nouser -o -nogroup -print
Encontrar los archivos .rhosts debera ser una parte de sus tareas regulares de administracin del sistema,
debido a que no deberan permitirse dichos archivos en su sistema. Recuerde, un cracker, slo necesita
una cuenta insegura para ganar acceso potencial a toda su red. Usted puede localizar a todos los archivos
.rhosts en su sistema con el comando siguiente:
root# find /home -name .rhosts -print
Finalmente, antes de cambiar los permisos sobre cualquier archivo de sistema, debe asegurarse de entender
lo que est haciendo. Nunca cambie los permisos sobre un archivo porque esto parece la forma fcil de hacer
que funcionen las cosas. Siempre determine por qu el archivo tiene esos permisos antes de cambiarlos.
Asegrese de hacer la umask de root 077, lo cual deshabilitar los permisos de lectura, escritura y ejecucin
para los otros usuarios, a menos que se cambien explcitamente usando chmod. En este caso, los directorios
148
En Mandrake Linux, s
olo es necesario usar 002 para un umask.
Esto se debe al hecho que la configuraci
on predeterminada es un
usuario por grupo.
Escritura:
Ejecucin:
Las lneas siguientes son ejemplos de los conjuntos mnimos de permisos que se necesitan para realizar el
acceso descripto. Usted puede querer dar ms permisos que los que se listan aqu, pero esto debera describir
qu es lo que hacen estos permisos mnimos sobre los archivos:
-r-------- Permite acceso de lectura al archivo por el due~
no
--w------- Permite al due~
no modificar o borrar el archivo (Note que cualquiera con permiso de escritura en el directorio en el cual se encuentra el archivo lo puede sobreescribir y borrarlo)
---x------ El due~
no puede ejecutar este programa, pero no scripts del shell que todav
a necesitan permisos de lectura
---s------ Ejecutar
a con ID de Usuario efectivo = al due~
no
--------s- Ejecutar
a con ID de Grupo efectiva = al grupo
-rw------T No se actualiza la "
ultima hora de modificaci
on". Generalmente usado para los archivos de swap .
---t------ Sin efecto. (Antes era el bit pegajoso)
Ejemplo de directorio:
drwxr-xr-x 3 reina ususarios
512 Sep 19 13:47 .public_html/
1er bit - directorio?
(s
, contiene muchos archivos)
2do bit - lectura por due~
no?
(s
, por reina)
3er bit - escritura por due~
no? (s
, por reina)
4to bit - ejecuci
on por due~
no? (s
, por reina)
5to bit - lectura por grupo?
(s
, por usuarios)
6to bit - escritura por grupo? (no)
7mo bit - ejecuci
on por grupo? (s
, por usuarios)
8vo bit - lectura por todos?
(s
, por todos)
9no bit - escritura por todos? (no)
10mo bit - ejecuci
on por todos? (s
, por todos)
Las lneas siguientes son ejemplos de los conjuntos mnimos de permisos que se necesitan para realizar el
acceso descripto. Usted puede querer dar ms permisos que los que se listan, pero esto debera describir qu
es lo que hacen estos permisos mnimos sobre los directorios:
dr--------
150
Se puede listar el contenido, pero no se pueden leer los atributos de los archivos
Los archivos de configuracin del sistema (usualmente en /etc) por lo general tienen modo 640 (-rw-r----), y su dueo es root. Dependiendo de los requisitos de seguridad de su sitio, Usted podra ajustar esto.
Nunca deje que un grupo o cualquiera pueda escribir algn archivo del sistema. Slo root debera poder leer
algunos archivos de configuracin, incluyendo /etc/shadow, y los directorios en /etc al menos no deberan
ser accesibles por otros.
Scripts suid del shell
Los scripts suid del shell son un riesgo de seguridad serio, y por esta razn el ncleo no los honrar.
Sin importar cuan seguro piense que es el script del shell , este puede ser explotado para dar a un cracker
un shell de root.
11.5.3. Verificaci
on de integridad
Otra manera muy buena de detectar ataques locales (y tambin de la red) en su sistema es correr un verificador de integridad como Tripwire , Aide u Osiris . Estos verificadores de integridad corren verificaciones
numricas sobre todos sus binarios y archivos de configuracin importantes y los comparan contra una base
de datos de valores previos de referencia bien conocidos. De esta forma, se marcar cualquier cambio en los
archivos.
Es una buena idea instalar este tipo de programas en un disquete, y luego activar fsicamente la proteccin
contra escritura del disquete. De esta forma, los intrusos no pueden manipular al verificador de integridad en
s mismo o cambiar la base de datos. Una vez que tiene algo de esto configurado, es una buena idea correrlo
como parte de sus tareas normales de administracin de seguridad para ver si cambi algo.
Incluso puede agregar una entrada crontab para correr el verificador desde su disquetera cada noche y enviarle a Usted los resultados por correo en la maana. Algo como:
# configurar mailto
MAILTO=reina
# run Tripwire
15 05 * * * root /usr/local/adm/tcheck/tripwire
le enviar un reporte por correo electrnico cada maana a las 5:15 hs.
Los verificadores de integridad pueden ser un regalo divino para detectar a los intrusos antes de que Usted
se de cuenta de que estn. Debido a que, en el sistema promedio, cambian un montn de archivos, tiene que
tener cuidado para poder diferenciar entre la actividad del cracker y la suya propia.
Puede encontrar la versin sin soporte disponible libremente, de Tripwire en TripWire (http://www.
tripwire.org) sin cargo. Se pueden comprar los manuales y soporte.
Aide se puede encontrar en el sitio web de Aide (http://www.cs.tut.fi/~rammer/aide.html).
Osiris se puede encontrar en el sitio web de Osiris (http://osiris.shmoo.com/).
151
Una de las caractersticas de seguridad ms importantes en uso hoy da son las contraseas. Es importante que
tanto Usted como sus usuarios tengan contraseas seguras, imposibles de adivinar. Su distribucin Mandrake
Linux incluye al programa passwd que no le permite configurar una contrasea fcil de adivinar. Asegrese
que su programa passwd est actualizado.
La discusin a fondo del cifrado est ms all del alcance de este captulo, pero aqu se da una introduccin.
El cifrado es muy til, posiblemente incluso hasta necesario en este tiempo y poca. Hay todo tipo de mtodos
para cifrar los datos, cada uno con su conjunto de caractersticas propio.
Primariamente, la mayora de los sistemas UNIX (y GNU/Linux no es una excepcin) usan un algoritmo de
cifrado de una va, denominado DES (Data Encryption Standard, Estndar de cifrado de datos) para cifrar sus
contraseas. Luego, esta contrasea cifrada se almacena en /etc/shadow. Cuando Usted intenta conectarse,
la contrasea que ingresa se vuelve a cifrar y se compara con la entrada en el archivo que almacena sus
contraseas. Si estas coinciden, debe ser la misma contrasea, y se le permite el acceso. Aunque DES es un
algoritmo de cifrado de dos vas (dadas las claves adecuadas, Usted puede codificar y luego decodificar un
mensaje), la variante que usan la mayora de los sistemas UNIX es de una va. Esto significa que no debera ser
posible invertir el cifrado para obtener la contrasea a partir del contenido de /etc/shadow.
Los ataques de fuerza bruta, tales como Crack o John the Ripper (consulte Crack y John the Ripper,
pgina 156) por lo general pueden adivinar las contraseas a menos que su contrasea sea lo suficientemente
aleatoria. Los mdulos PAM (ver abajo) le permiten usar una rutina de cifrado diferente para sus contraseas
(MD5 o similares) Usted tambin puede usar Crack para su provecho. Considere correr Crack peridicamente
sobre su propia base de datos de contraseas para encontrar contraseas inseguras. Luego contacte al usuario
que tenga una de estas contraseas, y dgale que la cambie.
Puede dirigirse a CERN (http://consult.cern.ch/writeup/security/security_3.html) para informacin
(en ingls) sobre como elegir una contrasea buena.
152
SSL: - SSL, o Secure Sockets Layer (Capa de sockets segura), es un mtodo de cifrado desarrollado por
Netscape para proporcionar seguridad en Internet. Soporta varios protocolos de cifrado diferentes, y provee autenticacin de cliente y servidor. SSL opera en la capa de transporte, crea un canal seguro de datos cifrados, y por lo tanto puede cifrar datos de muchos tipos de manera transparente. Esto se ve ms
comnmente cuando se va a un sitio seguro para ver un documento seguro en-lnea con Communicator , y sirve como la base para las comunicaciones seguras con Communicator , as como tambin como muchos otros cifrados de datos de Netscape Communications. Se puede encontrar ms informacin
en OpenSSL.org (http://www.openssl.org) (en ingls) Un buen punto de partida para informacin sobre otras implementaciones de seguridad de Netscape y estos protocolos est disponible en Netscape
(http://home.netscape.com/info/security-doc.html). Tambin vale la pena notar que el protocolo SSL
se puede utilizar para pasar muchos otros protocolos comunes, envolvindolos para brindar seguridad.
Consulte el sitio web Quiltaholic (http://www.quiltaholic.com/rickk/sslwrap/)
S-HTTP: - S-HTTP es otro protocolo que proporciona servicios de seguridad a travs de Internet. Fue diseado para proporcionar confidencialidad, autenticacin, integridad, y no repudio [uno no puede ser tomado
por cualquier otra persona] a la vez que soporta mecanismos de administracin de claves y algoritmos
criptogrficos mltiples por medio de la negociacin de opciones entre las partes involucradas en cada
transaccin. S-HTTP est limitado al software especfico que est implementndolo, y cifra cada mensaje
individualmente. [ De las preguntas formuladas frecuentemente sobre criptografa de RSA, pgina 138]
S/MIME: - S/MIME, o Secure Multipurpose Internet Mail Extensions (Extensiones multipropsito de correo de
Internet seguras), es un estndar de cifrado usado para cifrar el correo electrnico y otros tipos de mensajes
en Internet. Es un estndar abierto desarrollado por RSA, por lo que es muy probable que lo veamos pronto
en GNU/Linux uno de estos das. Se puede encontrar ms informacin sobre S/MIME en RFC2311 (http:
//www.ietf.org/rfc/rfc2311.txt).
153
154
11.6.5. PAM - M
odulos de autenticaci
on enchufables
La versin de su distribucin Mandrake Linux contiene un esquema de autenticacin unificado denominado
PAM. PAM le permite cambiar sus mtodos y necesidades de autenticacin sobre la marcha, y encapsular
todos los mtodos de autenticacin local sin necesidad de volver a compilar sus binarios. La configuracin
de PAM est fuera del alcance de este captulo, pero asegrese de echar un vistazo al sitio web de PAM
(http://www.kernel.org/pub/linux/libs/pam/index.html) para ms informacin.
Slo algunas de las cosas que puede hacer con PAM:
Usar un cifrado que no sea DES para sus contraseas. (Haciendo que estas sean ms difciles de descifrar
por medio de la fuerza bruta)
Configurar lmites de recursos para todos sus usuarios para que no puedan realizar ataques de negacin de
servicio (nmero de procesos, cantidad de memoria, etc.)
Permitir que usuarios especficos slo se conecten a determinadas horas desde lugares determinados
A las pocas horas de instalar y configurar su sistema, Usted puede prevenir muchos ataques incluso antes de
que estos ocurran. Por ejemplo, use PAM para deshabilitar el uso de archivos .rhosts en el directorio personal
de los usuarios para todo el sistema agregando estas lneas en /etc/pam.d/rlogin:
#
# Deshabilitar rsh/rlogin/rexec para los usuarios
#
login auth required pam_rhosts_auth.so no_rhosts
11.6.7. Kerberos
Kerberos es un sistema de autenticacin desarrollado por el Athena Project en el MIT. Cuando un usuario
se conecta, Kerberos autentica a dicho usuario (usando una contrasea), y brinda al usuario una forma de
probar su identidad frente a otros servidores y host diseminados por toda la red.
Luego, esta autenticacin es usada por programas tales como rlogin para permitirle al usuario conectarse a
otros hosts sin una contrasea (en lugar del archivo .rhosts). Este mtodo de autenticacin tambin se puede
usar por el sistema de correo para garantizar que el correo se entrega a la persona correcta, as como tambin
para garantizar que el remitente es quien dice ser.
Kerberos y los otros programas con los que viene, evitan que los usuarios engaen al sistema hacindole
creer que ellos son otra persona. Desafortunadamente, la instalacin de Kerberos es muy intrusiva, siendo
necesaria la modificacin o el reemplazo de numerosos programas estndar.
Puede encontrar ms informacin sobre Kerberos mirando en las FAQ sobre Kerberos (http://www.faqs.
org/faqs/kerberos-faq/general/), y el cdigo se puede encontrar en el sitio web del MIT (http://web.
mit.edu/kerberos/www/).
[De: Stein, Jennifer G., Clifford Neuman, y Jeffrey L. Schiller. "Kerberos: Un servicio de autenticacin para
sistemas de red abiertos." Conferencia USENIX, Dallas, Texas, Invierno 1998.]
Kerberos no debera ser su primer paso en mejorar la seguridad de su host. Es bastante complejo, y no tan
ampliamente usado como, digamos, SSH.
156
11.6.10.2. SVGA
Los programas de SVGAlib tpicamente son suid -root para poder acceder a todo el hardware de vdeo de su
mquina GNU/Linux . Esto los torna muy peligrosos. Si ellos se cuelgan, por lo general Usted tendr que reiniciar su mquina para volver a obtener una consola utilizable. Asegrese que cualquier programa SVGA que
Usted est ejecutando es autntico, y puede ser confiado al menos algo. Mejor an, no los corra en absoluto.
157
Para los ncleos 2.2.x, aplican las opciones siguientes. Usted debera ver estas opciones durante el proceso de
configuracin del ncleo. Muchos de los comentarios aqu son extractos de /usr/src/linux/Documentation/Configure.he
que es el mismo documento que se referencia cuando se usa la opcin de Help (Ayuda) durante la etapa make
config de la compilacin del ncleo. Por favor, consulte Compilando e instalando ncleos nuevos en Manual
de Referencia para una descripcin completa de la compilacin de un ncleo completamente nuevo.
158
159
Port Forwarding
El reenvo de puertos es una adicin al enmascarado de IP que permite algo de reenvo de paquetes desde el exterior al interior de un cortafuegos en determinados puertos. Esto puede ser til, por ejemplo, si
quiere correr un servidor web detrs del host cortafuegos o de enmascaramiento y ese servidor web debe
ser accesible desde el mundo exterior. Un cliente externo enva un pedido al puerto 80 del cortafuegos, el
cortafuegos reenva este pedido al servidor web, el servidor web maneja el pedido y se envan los resultados
a travs del cortafuegos al cliente original. El cliente cree que es la mquina cortafuegos en s misma la que
est corriendo el servidor web. Tambin se puede usar esto para el balanceo de carga si tiene una granja
de servidores web idnticos detrs del cortafuegos. Est disponible informacin sobre esta caracterstica en
monmouth (http://www.monmouth.demon.co.uk/ipsubs/portforwarding.html). Para informacin general, por favor vea compsoc (ftp://ftp.compsoc.net/users/steve/ipportfw/linux21/).
IP: Masquerading
El enmascaramiento de IP del ncleo 2.2 ha sido mejorado. El mismo proporciona soporte adicional para protocolos especiales de enmascaramiento, etc. Asegrese de leer el COMO sobre IP Chains para mayor
informacin.
160
Esto mostrar seis caracteres aleatorios en la consola, adecuados para la generacin de contraseas. Puede
encontrar a mimencode en el paquete metamail.
Vea /usr/src/linux/drivers/char/random.c para una descripcin del algoritmo.
161
ftp
telnet (o ssh)
identd
Si sabe que no va a utilizar algn paquete en particular, tambin puede eliminarlo por completo.rpm -e packagename borrar un paquete completo.
Adicionalmente, Usted realmente quiere deshabilitar los utilitarios rsh/rlogin/rcp incluyendo a login (usado
por rlogin), shell (usado por rcp), y exec (usado por rsh) para que no se inicien en /etc/inetd.conf. Estos
protocolos son extremadamente inseguros y han sido la causa de explotaciones en el pasado.
Debera verificar sus archivos /etc/rc.d/rc[0-9].d, y ver si algunos de los servidores que se inician en esos
directorios no se necesitan. En realidad, los archivos en esos directorios son vnculos simblicos a archivos
en el directorio /etc/rc.d/init.d. El renombrar los archivos en el directorio init.d deshabilita a todos los
vnculos simblicos que apunten a tales archivos. Si Usted slo quiere deshabilitar un servicio para un nivel de
ejecucin en particular, renombre el vnculo simblico apropiado reemplazando la S con una K, de la siguiente
forma:
root#
root#
cd /etc/rc6.d
mv S45dhcpd K45dhcpd
Su distribucin Mandrake Linux se enva con un tcp_wrapper que envuelve a todos sus servicios TCP. El
tcp_wrapper (tcpd) se invoca desde inetd en lugar del servidor real. tcpd entonces verifica el host que est
pidiendo el servicio y, o bien ejecuta el servidor real, o bien niega el acceso desde ese host. tcpd le permite
restringir el acceso a sus servicios TCP. Usted debera editar /etc/hosts.allow y agregar slo aquellos hosts
que necesitan tener acceso a los servicios de su mquina.
Si Usted es un usuario hogareo de acceso telefnico, sugerimos que niegue TODOS. tcpd tambin registra los
intentos fallidos de acceso a los servicios, por lo que esto lo puede alertar si Usted est bajo ataque. Si agrega
servicios nuevos, debera asegurarse de configurarlos para usar tcp_wrappers si estn basados en TCP. Por
ejemplo, un usuario normal de acceso telefnico puede evitar que los extraos se conecten a su mquina, y
todava tener la posibilidad de recibir correo, y hacer conexiones de red a Internet. Para lograr esto, podra
agregar lo siguiente a su archivo /etc/hosts.allow:
ALL: 127.
Y, por supuesto, su archivo /etc/hosts.deny contendra:
ALL: ALL
lo cual evitar las conexiones externas a su mquina, y todava le permitir a Usted conectarse desde la misma
con servidores en Internet.
Tenga en mente que los tcp_wrappers slo protegen a los servicios que se ejecutan desde inetd, y a unos pocos
otros seleccionados. Bien podra haber otros servicios corriendo en su mquina. Usted puede usar netstat ta para encontrar una lista de todos los servicios que su mquina est ofreciendo.
162
11.8.4. identd
identd es un programa pequeo que tpicamente corre desde su servidor inetd. Mantiene la pista de el servicio TCP que est corriendo cada usuario, y le reporta sobre quien hizo la demanda.
Mucha gente no entiende la utilidad de identd, y por lo tanto lo deshabilitan o bloquean a todos quienes lo
piden desde fuera del sitio. identd no est all para ayudar a los sitios remotos. No hay forma de saber si los
datos que Usted obtiene desde el identd remoto son correctos o no. No hay autenticacin en los pedidos de
identd.
Entonces, por qu querra ejecutarlo? Porque lo ayuda a Usted, y es otro punto en seguir la pista a los datos.
Si su identd no est comprometido, entonces Usted sabe que le est diciendo a los sitios remotos el nombre
de usuario o el UID de la gente que usa servicios TCP. Si el administrador de un sitio remoto se presenta ante
Usted y le dice que el usuario fulano de tal estaba intentando hackear dentro de su sitio, Usted puede tomar
accin fcilmente contra ese usuario. Si Usted no est corriendo identd, Usted tendr que revisar montones
y montones de registros, adivinar quien estaba conectado en ese momento, y en general tomara mucho ms
tiempo seguirle la pista al usuario.
El identd que se enva con la mayora de las distribuciones es ms configurable de lo que piensa mucha gente.
Lo puede deshabilitar para usuarios especficos (ellos pueden hacer un archivo .noident), puede registrar
todos los pedidos identd (lo cual recomendamos), incluso puede hacer que identd devuelva un UID en vez
de un nombre de usuario o incluso NO-USER.
163
Esto causar que sendmail vace la cola de correo cada quince minutos para cualquier mensaje que no se pudo
enviar satisfactoriamente en el primer intento.
Muchos administradores eligen no usar sendmail , y en su lugar elegir uno de los otros agentes de transporte
de correo. Usted podra considerar el cambiar a Qmail . Qmail fue diseado con la seguridad en mente desde
el principio. Es rpido, estable, y seguro. Se puede encontrar a Qmail en: qmail.org (http://www.qmail.org)
En competencia directa con Qmail est Postfix , escrito por Wietse Venema, el autor de tcp_wrappers y otras
herramientas de seguridad. Antes denominado vmailer , y patrocinado por IBM, este tambin es un agente de
transporte de correo escrito con la seguridad en mente desde el principio. Puede encontrar ms informacin
sobre Postfix en el sitio web de Postfix (http://www.postfix.org)
3.
164
SYN Flooding Este es un ataque de negacin de servicio de red. Se aprovecha de un hueco de lazo en la
forma en que se crean las conexiones TCP. Los ncleos de GNU/Linux ms recientes (2.0.30 y superiores)
tienen varias opciones configurables para evitar que los ataques de este tipo le nieguen a la gente el acceso
a su mquina o a los servicios de la misma. Consulte Seguridad del ncleo, pgina 158 para las opciones
apropiadas de proteccin del ncleo.
Ping Flooding Este es simplemente un ataque de negacin de servicio de fuerza bruta. El atacante enva
una inundacin de paquetes ICMP a su mquina. Si ellos estn haciendo esto desde un host con mejor
ancho de banda que el suyo, su mquina no podr enviar todo a la red. Una variacin de este ataque,
denominada smurfing, enva paquetes ICMP a un host con la direccin IP de retorno de su mquina,
permitindoles inundarlo de una forma ms difcil de detectar. Puede encontrar ms informacin sobre
el ataque smurf en linuxsecurity.com (http://www.linuxsecurity.com/articles/network_security_
article-4258.html)
Si alguna vez est bajo un ataque de inundacin de ping, use una herramienta como tcpdump para determinar de donde vienen los paquetes (o de donde parecen venir), luego contacte a su proveedor con esta
informacin. Las inundaciones de ping pueden pararse fcilmente al nivel del router o usando un cortafuegos.
Ping o Death El ataque Ping o Death (El ping de la muerte) enva paquetes ICMP ECHO REQUEST que son
muy grandes para caber en las estructuras de datos del ncleo que pretenden alojarlos. Debido a que mandar un nico paquete ping grande (65,510 bytes) a muchos sistemas causar que los mismos se cuelguen
o incluso se caigan, este problema fue rpidamente bautizado el Ping de la muerte. Ya hace tiempo que se
corrigi este tipo de ataque, y por lo tanto ya no es algo por lo que uno tenga que hacerse problemas.
Puede encontrar el cdigo para la mayora de las explotaciones, y una descripcin ms detallada de como
funcionan usando el motor de bsqueda que brinda insecure.org (http://www.insecure.org/sploits.html)
165
11.8.11. Cortafuegos
Los cortafuegos son una forma de controlar que informacin se permite ingresar a y salir desde su red local.
Tpicamente el host cortafuegos est conectado a la Internet y su red LAN local, y el nico acceso desde su red
LAN local a la Internet es a travs del cortafuegos. De esta forma el cortafuegos puede controlar lo que pasa
en ambas direcciones entre la Internet y su red LAN.
Hay varios tipos de cortafuegos y mtodos de configurarlos. Las mquinas GNU/Linux son cortafuegos muy
buenos. El cdigo del cortafuegos se puede incorporar directamente en los ncleos 2.0 y superiores. Las herramientas de espacio de usuario ipchains para los ncleos 2.2, e iptables para los ncleos 2.4 le permiten
cambiar, sobre la marcha, los tipos de trfico de red que Usted permite. Tambin puede registrar tipos particulares de trfico de red.
Los cortafuegos son una tcnica muy til e importante para asegurar su red. Sin embargo, nunca piense que
por el hecho de tener un cortafuegos, no necesita asegurar las mquinas detrs del mismo. Esto es un error
fatal. Eche un vistazo al COMO sobre cortafuegos muy bueno en ibiblio (http://www.ibiblio.org/mdw/HOWTO/
Firewall-HOWTO.html) para mayor informacin sobre los cortafuegos y GNU/Linux .
Si no tiene experiencia alguna con los cortafuegos, y planea configurar uno para algo ms que una simple poltica de seguridad, el libro Firewalls de OReilly and Associates u otra documentacin en lnea sobre cortafuegos son lecturas obligatorias. Eche un vistazo en el sitio de OReilly (http://www.ora.com) para mayor informacin. El National Institute of Standards and Technology (NIST) ha hecho un documento
excelente sobre cortafuegos. Aunque data de 1995, todava es bastante bueno. Lo puede encontrar en NIST
(http://cs-www.ncsl.nist.gov/publications/nistpubs/800-10/main.html). Tambin de inters, se incluyen:
The Freefire Project -- una lista de herramientas de cortafuegos disponibles libremente en freefire (http:
//sites.inka.de/sites/lina/freefire-l/index_en.html).
Mason -- el constructor automtico de cortafuegos para GNU/Linux . Este es un script de cortafuegos que aprende
a medida que Usted realiza las cosas que necesita hacer en su red! Ms informacin en: mason (http:
//www.pobox.com/~wstearns/mason/).
Contabilidad ms compleja
166
Para ms informacin debe asegurarse de leer el COMO sobre IP Chains. Est disponible en LinuxDoc (http:
//www.tldp.org/HOWTO/IPCHAINS-HOWTO.html)
167
SSH se puede utilizar para construir una VPN. Ver el mini-COMO sobre VPN para mayor informacin.
yavipin (http://yavipin.sourceforge.net).
11.9. Preparaci
on para la seguridad (antes que Usted vaya en lnea)
Bueno, entonces ha verificado todo su sistema, y ha determinado que es seguro y conveniente, y est listo para
ponerlo en lnea. Ahora bien, hay algunas cosas que debera saber para prepararse para una intrusin, para
que pueda deshabilitar al intruso rpidamente, y recuperarse y seguir corriendo.
168
rpm -Va
para verificar cada archivo del sistema. Vea la pgina Man de rpm, ya que hay algunas otras opciones que se
pueden incluir para hacerlo menos verboso. Tenga presente que tambin debe asegurarse que su binario RPM
no ha sido comprometido.
Esto significa que cada vez que se agrega al sistema un RPM nuevo, se deber volver a archivar la base de
datos de RPM. Usted tendr que evaluar las ventajas y desventajas.
169
11.10. Qu
e hacer durante y despu
es de un irrupci
on
As que ha seguido algunos de los consejos de aqu (o de algn otro lado) y ha detectado una irrupcin?
La primer cosa a hacer es mantener la calma. Las acciones apresuradas pueden causar ms dao que el que
hubiese causado el atacante.
170
11.10.2.2. Determinando el da
no
Lo primero es determinar el dao. Qu ha sido comprometido? Si est corriendo un verificador de integridad
como Tripwire , lo puede usar para realizar una verificacin de integridad; y debera ayudarle a decir que es
lo que se ha comprometido. Si no, Usted tendr que buscar entre todos sus datos importantes.
Dado que los sistemas GNU/Linux se estn volviendo ms y ms fciles de instalar, Usted podra considerar
guardar sus archivos de configuracin, borrar su(s) disco(s), volver a instalar, y luego restaurar los archivos
de sus usuarios y sus archivos de configuracin desde su copia de respaldo. Esto asegurar que Usted tiene
un sistema nuevo, limpio. Si tiene que respaldar archivos desde el sistema comprometido, tenga precaucin
especialmente con los binarios que restaura, ya que estos pueden ser Troyanos puestos all por el intruso.
Volver a instalar el sistema debera considerarse como obligatorio luego que un intruso obtuvo acceso como
root. Adicionalmente, Usted querra mantener cualquier evidencia que hay, por lo que puede tener sentido el
hecho de tener un disco aparte en la caja fuerte.
Luego tiene que considerar cuanto hace que ocurri el compromiso, y si las copias de respaldo contienen algn
trabajo daado. Ms sobre las copias de respaldo luego.
11.10.2.4. Sigui
endole la pista al intruso
Bueno, Usted ha trabado al intruso fuera de su sistema, y recuper su sistema, pero todava no ha terminado.
Aunque es poco probable que la mayora de los intrusos sean atrapados alguna vez, Usted debera reportar el
ataque.
Usted debera reportar el ataque al contacto administrativo del sitio desde el cual el atacante atac a su sistema.
Puede buscar este contacto con whois o la base de datos de Internic. Puede enviarles un correo electr
onico
con todas las entradas y fechas y horas del registro que correspondan. Si Usted descubri algo ms que distinga a su intruso, tambin podra mencionarlo. Luego de enviar el correo electr
onico , Usted debera (si es
que as lo prefiere) seguir con una llamada telefnica. Si, entonces, ese administrador descubre a su atacante, es
posible que ellos puedan hablar con el administrador del sitio desde donde ellos vienen y as sucesivamente.
171
Linux Security Week (http://www.linuxsecurity.com/newsletter.html) El propsito de este documento es brindar a nuestros lectores un resumen rpido de los titulares ms relevantes de cada semana con
respecto a la seguridad en Linux.
Linux Security Discussion List (http://www.linuxsecurity.com/general/mailinglists.html) Este lista de distribucin de correo es para preguntas y comentarios generales relacionados con la seguridad.
Linux Security Newsletters (http://www.linuxsecurity.com/general/mailinglists.html) Informacin de suscripcin para todos los boletines.
comp.os.linux.security FAQ (http://www.linuxsecurity.com/docs/colsfaq.html) Preguntas Formuladas con Frecuencia con respuestas para el grupo de noticias comp.os.linux.security.
The Hacker FAQ son las preguntas formuladas con frecuencia acerca de los hackers: The Hacker FAQ (http:
//www.plethora.net/~seebs/faqs/hacker.html)
El archivo COAST tiene una gran cantidad de programas UNIX relacionados con la seguridad e informacin:
COAST (http://www.cerias.purdue.edu/coast/)
172
Rootshell.com es un gran sitio para ver cuales explotaciones estn usando los crackers actualmente:
http://www.rootshell.com/ (http://www.rootshell.com/)
BUGTRAQ publica advertencias sobre temas relacionados con la seguridad: los archivos de BUGTRAQ (http:
//online.securityfocus.com/archive/1)
CERT, el Equipo de Respuesta de Emergencias de Computacin, publica advertencias sobre ataques comunes en las plataformas UNIX : Pgina principal de CERT (http://www.cert.org/)
Dan Farmer es el autor de SATAN y muchas otras herramientas de seguridad. Su sitio tiene alguna informacin interesante relacionada con la seguridad, as como tambin herramientas de seguridad: trouble.org
(http://www.trouble.org)
El sitio WWW sobre seguridad en GNU/Linux es un buen lugar para buscar informacin relacionada con la
seguridad en GNU/Linux : Linux Security WWW (http://www.aoy.com/Linux/Security/)
Infilsec tiene un motor de vulnerabilidad que le dice como afectan las vulnerabilidades a una plataforma
especfica: infilsec.com (http://www.infilsec.com/vulnerabilities/)
CIAC enva boletines de seguridad peridicos sobre las explotaciones comunes: ciac.llnl.gov (http://ciac.
llnl.gov/cgi-bin/index/bulletins)
Se puede encontrar un buen punto de partida para los Mdulos de autenticacin enchufables en kernel.org
(http://www.kernel.org/pub/linux/libs/pam/).
Las FAQ sobre seguridad en WWW, escritas por Lincoln Stein, son una referencia de seguridad grande en
la web. Encuntrelas en w3.org (http://www.w3.org/Security/Faq/www-security-faq.html)
Referencias
D. Brent Chapman, Elizabeth D. Zwicky, Building Internet Firewalls, 1st Edition September 1995, ISBN 1-56592124-0.
Simson Garfinkel, Gene Spafford, Practical UNIX & Internet Security, 2nd Edition April 1996, ISBN 1-56592148-8.
Deborah Russell, G.T. Gangemi, Sr., Computer Security Basics, 1st Edition July 1991, ISBN 0-937175-71-4.
Olaf Kirch, Linux Network Administrators Guide, 1st Edition January 1995, ISBN 1-56592-087-2.
Simson Garfinkel, PGP: Pretty Good Privacy, 1st Edition December 1994, ISBN 1-56592-098-8.
David Icove, Karl Seger, William VonStorch, Computer Crime A Crimefighters Handbook, 1st Edition August
1995, ISBN 1-56592-086-4.
173
P: Por qu siempre falla la conexin como root desde una mquina remota?
R: Vea Seguridad de root , pgina 146. Esto se hace intencionalmente para evitar que los usuarios remotos
intenten conectarse por medio de telnet a su computadora como root que es una vulnerabilidad de seguridad seria, debido a que se transmitira la contrasea textual de root, a travs de la red. No lo olvide: los
intrusos potenciales tienen al tiempo de su lado, y pueden correr programas automatizados para averiguar su
contrasea. Adems, esto se hace para mantener un registro claro de quienes se conectaron, no slo root.
P: Cmo puedo habilitar las extensiones SSL de Apache ?
R: Simplemente instale el paquete mod_ssl, y consulte la documentacin en la pgina principal de mod_ssl
(www.modssl.org).
Tambon puede intentar ZEDZ net (http://www.zedz.net) que tiene muchos paquetes pre-construidos, y
est ubicado fuera de Estados Unidos.
174
P: Cmo puedo manipular las cuentas de los usuarios y todava as retener la seguridad?
R: Su distribucin Mandrake Linux contiene una gran cantidad de herramientas para cambiar las propiedades
de las cuentas de usuario.
Se pueden usar los programas pwconv y unpwconv para convertir entre contraseas shadow y no-shadow.
Se pueden usar los programas pwck y grpck para verificar la organizacin adecuada de los archivos /etc/
passwd y /etc/group.
Se pueden usar los programas useradd, usermod, y userdel para aadir, borrar y modificar cuentas de
usuario. Los programas groupadd, groupmod, y groupdel harn lo mismo para los grupos.
Todos estos programas soportan las contraseas shadow es decir, si las habilita, los programas utilizarn
/etc/shadow para la informacin de contraseas, en caso contrario no.
P: Cmo puedo proteger con contrasea documentos HTML especficos utilizando Apache ?
R: Apuesto que Usted no saba acerca de apacheweek.com (http://www.apacheweek.com), cierto?
Puede encontrar informacin sobre la autenticacin de usuarios en apacheweek punto com (http://www.
apacheweek.com/features/userauth) as como tambin otros consejos de seguridad sobre servidores web en
Apache (http://www.apache.org/docs/misc/security_tips.html)
11.13. Conclusi
on
Suscribindose a las listas de correo de alertas de seguridad y mantenindose actualizado, puede hacer un
montn en pos de asegurar su mquina. Incluso puede hacer ms si presta atencin a sus archivos de registro
y ejecuta algo como tripwire regularmente.
No es difcil mantener un nivel razonable de seguridad de computadoras en una mquina hogarea. Se necesita mayor esfuerzo para las mquinas de negocios, pero GNU/Linux puede sin lugar a dudas, ser una plataforma segura. Debido a la naturaleza del desarrollo de GNU/Linux , los arreglos de seguridad generalmente
estn disponibles ms rpido que lo que estn en los sistemas operativos comerciales, haciendo de GNU/Linux
una plataforma ideal cuando la seguridad es un requisito.
T
erminos relacionados con la seguridad
Debajo se incluyen varios trminos de los ms utilizados en la seguridad de computadoras. En LinuxSecurity.com (http://www.linuxsecurity.com/dictionary/) est disponible un diccionario completo de trminos relacionados con la seguridad de computadoras.
autenticacin
El proceso de saber que los datos recibidos son los mismos que los datos que se han enviado, y que quien
dice ser el remitente es, de hecho, quien realmente los envi.
Bastin, host bastin
Un sistema de computadora que debe ser altamente asegurado porque es vulnerable a los ataques, usualmente porque est expuesto a la Internet y es el punto de contacto principal para los usuarios de las redes
internas. Toma su nombre de los proyectos altamente fortificados en las paredes externas de los castillos
medievales. Los bastiones vigilaban las reas crticas de defensa, y por lo general tenan paredes fuertes,
lugar para tropas extra, y el ocasionalmente til caldero lleno de aceite hirviendo para desalentar a los
atacantes.
175
176
12.2. C
omo usar este captulo
Este documento est organizado de arriba hacia abajo. Las primeras secciones incluyen material informativo
que Usted puede obviar si no est interesado; luego sigue una discusin genrica de los temas de red, y Usted
debe asegurarse de entender esto antes de continuar con las partes ms especficas. El resto, informacin especfica de la tecnologa, est agrupado en tres secciones principales: Informacin relacionada con Ethernet e
IP, las tecnologas pertinentes a un amplio rango de hardware de PC y las tecnologas raramente usadas.
Por lo tanto, se sugiere leer este documento de la manera siguiente:
Leer las secciones genricas
Estas secciones se aplican a toda, o casi toda, tecnologa descripta ms adelante y, por lo tanto, es muy
importante que Usted las entienda. Por otro lado, es de esperar que muchos de los lectores ya tengan
conocimientos sobre el tema.
Considerar su red
Debera saber cmo est, o estar diseada su red y exactamente qu tipos de hardware y tecnologas va
a implementar.
Leer la seccin Informacin sobre Ethernet, pgina 184 si posee una conexin directa con una red LAN o con la
Internet
Esta seccin describe la configuracin bsica de Ethernet y las distintas caractersticas que ofrece
GNU/Linux para las redes IP, como los cortafuegos, el ruteo avanzado, y as sucesivamente.
Leer la seccin siguiente si Usted est interesado en redes locales de bajo costo o conexiones de acceso telefnico
La seccin describe PLIP, PPP, SLIP, y RDSI, tecnologas ampliamente usadas en estaciones de trabajo
personales.
Leer las secciones especficas a la tecnologa relacionadas con sus requisitos
Si sus necesidades difieren de IP y/o de hardware comn, la seccin final cubre los detalles especficos a
protocolos no-IP y hardware de comunicaciones peculiar.
Realizar el trabajo de configuracin
Debera intentar llevar a cabo la configuracin de su red y tomar nota con cuidado de cualquier problema
que se le presente.
Buscar ms ayuda si es necesario
Si Usted experimenta problemas que este documento no le ayuda a resolver, entonces lea la seccin relacionada con donde obtener ayuda o donde reportar los errores.
177
12.3. Informaci
on general acerca de las redes en Linux
12.3.1. Recursos sobre redes en Linux
Existe una cantidad de lugares donde Usted puede encontrar informacin buena sobre las redes en GNU/Linux .
Existe una cantidad enorme de consultores. Se puede encontrar una lista con capacidades de bsqueda en el
sitio web thelinuxreview.com (http://www.thelinuxreview.com/).
Alan Cox, quien en estos momentos mantiene el cdigo de redes del ncleo de GNU/Linux , tiene una pgina
web que contiene las ltimas novedades sobre los desarrollos corrientes y nuevos en el soporte de GNU/Linux
para redes en: uk.linux.org (http://www.uk.linux.org/NetNews.html).
Hay un foro de discusin en la jerarqua de noticias linux dedicado a las redes y temas relacionados en:
comp.os.linux.networking (news:comp.os.linux.networking)
Hay una lista de distribucin de correos a la que Usted se puede suscribir donde puede formular preguntas
relacionadas con las redes en GNU/Linux . Para suscribirse debera enviar un mensaje de correo electrnico
como el siguiente:
A: majordomo@vger.rutgers.edu
Asunto: cualquier cosa
Mensaje:
subscribe linux-net
Por favor, recuerde que cuando reporte cualquier problema debe incluir tanto detalle relevante acerca del
mismo como pueda. Especficamente, Usted debera aclarar las versiones de software que est utilizando, en
especial la versin del ncleo, la versin de herramientas tales como pppd o dip y la naturaleza exacta del
problema que Usted est experimentando. Esto significa tomar nota de la sintaxis exacta de cualquier mensaje
de error que Usted reciba y de cualquier comando que Usted est ingresando.
178
12.4. Informaci
on gen
erica sobre la configuraci
on de redes
Usted deber conocer y comprender las secciones siguientes muy bien, antes de intentar realmente configurar
su red. Hay principios fundamentales que se aplican sin importar la naturaleza exacta de la red que desea
desplegar.
12.4.1. Qu
e necesito para comenzar?
Antes de comenzar a construir o configurar su red necesitar algunas cosas. De estas, las ms importantes son:
12.4.1.1. C
odigo fuente del n
ucleo corriente (Opcional)
Su distribuci
on Mandrake Linux viene con la parte de redes habilitada, por lo tanto puede ser que no necesite volver a compilar
el n
ucleo. Si Usted est
a corriendo sobre hardware bien conocido,
debera estar bien. Por ejemplo: tarjeta de red 3COM, NE2000,
o Intel. Sin embargo, se le proporciona la informaci
on siguiente si
Usted se encuentra en una posici
on tal que necesita actualizar su
n
ucleo.
Dado que el ncleo que est corriendo puede no tener soporte para los tipos de redes o de tarjetas que desea
utilizar, probablemente necesite el cdigo fuente del ncleo de forma tal de poder volver a compilar el ncleo
con las opciones apropiadas.
Sin embargo, en tanto y en cuanto Usted se mantenga con el hardware ms comn, no debera tener la necesidad de volver a compilar el ncleo a menos que tenga necesidad de una caracterstica o funcin muy
especifica.
Siempre puede obtener el cdigo fuente de la ltima versin del ncleo desde sunsite.unc.edu (ftp://
sunsite.unc.edu/pub/linux/kernel.org/pub/linux/kernel). Este no es el sitio oficial pero ellos tienen un
MONTN de ancho de banda y capacidad. El sitio oficial es kernel.org (ftp.kernel.org) pero, por favor, si
puede use el sitio anterior. Recuerde que este sitio est bajo una sobrecarga seria. Use un sitio de rplica.
179
192.168.110.23
Mscara de red
255.255.255.0
Poricin de red
192.168.110.
.23
Direccin de red
192.168.110.0
Direccin de difusin
192.168.110.255
Cualquier direccin a la cual se la aplique un AND lgico bit a bit con su mscara de red revelar la direccin
de la red a la cual pertenece. Por lo tanto la direccin de red siempre es aquella con el menor nmero dentro
del rango de direcciones de la red y siempre tiene la porcin del host de la direccin codificada como todos
ceros.
La direccin de difusin es una direccin especial sobre la cual cada host de la red escucha adems de su propia
direccin nica. Esta direccin es a la cual se envan los datagramas si cada host de la red debe recibirlos.
Ciertos tipos de datos como, por ejemplo, la informacin de ruteo y los mensajes de advertencia se transmiten
a la direccin de difusin de forma tal que cada host de la red lo pueda recibir simultneamente. Existen dos
estndares comnmente usados para cual debera ser la direccin de difusin. El ms ampliamente aceptado
es usar la direccin de la red ms alta posible como la direccin de difusin. En el ejemplo de arriba esta sera
192.168.110.255. Por alguna razn otros sitios han adoptado la convencin de usar la direccin de red como
la direccin de difusin. En la prctica no importa mucho cual direccin use, pero Usted debe asegurarse que
cada host de la red est configurado con la misma direccin de difusin.
Por razones administrativas hace tiempo cuando recin empezaba el desarrollo del protocolo IP algunos grupos de direcciones arbitrarios se convirtieron en redes y estas redes se agruparon en lo que se denominan
clases. Estas clases proporcionan una cantidad de redes de tamao estndar que se podran asignar. Los rangos asignados son:
1.
180
M
ascara de red
Direcciones de red
255.0.0.0
0.0.0.0 - 127.255.255.255
255.255.0.0
128.0.0.0 - 191.255.255.255
255.255.255.0
192.0.0.0 - 223.255.255.255
Multicast
240.0.0.0
224.0.0.0 - 239.255.255.255
Las direcciones que debera usar dependen exactamente de que es lo que Usted est haciendo. Puede usar una
combinacin de las actividades siguientes para obtener todas las direcciones que necesita:
Instalar una mquina GNU/Linux en una red IP existente
Si Usted desea instalar una mquina GNU/Linux en una red IP existente, entonces debera contactar a
quienes administren la red y pedirles la informacin siguiente:
Direccin IP de la red
Direccin IP de difusin
Mscara de red IP
Entonces, debera configurar su dispositivo de red GNU/Linux con esos detalles. Usted no puede inventarlos y pretender que su configuracin funcione.
M
ascara de red
Direcci
on de red
255.0.0.0
10.0.0.0 - 10.255.255.255
255.255.0.0
172.16.0.0 - 172.31.255.255
255.255.255.0
192.168.0.0 - 192.168.255.255
12.4.2. Ruteo
El ruteo es un tema importante. Es posible escribir volmenes de texto enormes con facilidad. La mayora de
Ustedes tendrn requisitos de ruteo bastante simple, algunos de Ustedes no. Slo cubriremos algunas cosas
fundamentales bsicas acerca del ruteo. Si est interesado en informacin ms detallada, entonces le sugerimos
que consulte las referencias provistas al principio del documento.
Comencemos con una definicin. Qu es el ruteo de IP? Aqu est la que utilizamos:
El ruteo de IP es el proceso por el cual un host con mltiples conexiones de red decide dnde enviar los
datagramas IP que ha recibido.
181
El proceso de ruteo es bastante simple: se recibe un datagrama entrante, se examina la direccin de destino
(para quin es) y se compara con cada entrada en la tabla. Se selecciona la entrada que coincide mejor con esa
direccin y se reenva el datagrama a la interfaz especificada. Si el campo de pasarela est completo, entonces
el datagrama se enva a ese host a travs de la interfaz especificada. De lo contrario, se asume que la direccin
de destino se encuentra en la red soportada por la interfaz.
12.4.2.1. Qu
e hace el programa Routed?
La configuracin de ruteo descrita arriba se ajusta mejor para los arreglos de red simples donde slo hay un
camino posible hacia un destino determinado. Cuando tiene un arreglo de red ms complejo, las cosas se
complican un poquito ms. Para la mayora de Ustedes, afortunadamente esto no ser un problema.
El problema grande con el ruteo manual o ruteo esttico como se describi es que si falla una mquina o
vnculo en su red, entonces la nica manera en la que Usted puede dirigir sus datagramas de otra forma, si es
que existe otra forma, es interviniendo y ejecutando los comandos apropiados manualmente. Naturalmente,
esto es poco eficiente, lento, poco prctico y tendiente a generar riesgos. Se han desarrollado varias tcnicas
para ajustar las tablas de ruteo automticamente en caso de fallas de la red donde existen rutas alternativas.
Todas estas tcnicas se agrupan ligeramente bajo el trmino protocolos de ruteo dinmico.
Usted puede haber escuchado de algunos de los protocolos de ruteo dinmico ms comunes. Los ms comunes probablemente sean RIP (Routing Information Protocol, Protocolo de informacin de ruteo) y OSPF (Open
Shortest Path First Protocol, Protocolo del camino abierto ms corto primero). RIP es muy comn en redes pequeas tales como las redes corporativas pequeas o medianas o las redes dentro de edificios. OSPF es ms
moderno y ms capaz de manejar configuraciones de redes grandes y ms apto para entornos donde hay una
gran cantidad de caminos posibles a travs de la red. Las implementaciones comunes de estos protocolos son:
routed RIP y gated - RIP, OSPF y otros. Normalmente el programa routed se suministra con su distribucin
GNU/Linux o est incluido en el paquete NetKit detallado arriba.
Un ejemplo de donde y como Usted podra utilizar un protocolo de ruteo dinmico se puede parecer a la
Figura 12-1.
182
eth0
eth0
192.168.2.0
255.255.255.0
192.168.1.0
255.255.255.0
ppp0
ppp0
ppp1
ppp1
ppp0
ppp1
eth0
192.168.3.0
255.255.255.0
Tenemos tres routers A, B y C. Cada uno soporta un segmento Ethernet con una red IP de Clase C (mscara de
red 255.255.255.0). Cada router tambin tiene un vnculo PPP con alguno de los otros routers. La red forma
un tringulo.
Debera resultar claro que la tabla de ruteo del router A podra ser algo as como:
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
root# route add -net 192.168.2.0 netmask 255.255.255.0 ppp0
root# route add -net 192.168.3.0 netmask 255.255.255.0 ppp1
Esto debera funcionar bien simplemente hasta que el vnculo entre el router A y el B falle. Si ese vnculo
fallase, entonces con la entrada de ruteo mostrada arriba, los hosts sobre el segmento Ethernet de A no pueden
alcanzar a los hosts sobre el segmento Ethernet de B porque su datagrama debera enviarse al vnculo ppp0
del router A el cual est roto. Todava podran continuar conversando con los hosts en el segmento Ethernet de
C y los hosts sobre el segmento Ethernet de C todava podran conversar con los hosts en el segmento Ethernet
de B porque el vnculo entre B y C todava est intacto.
Pero, espere. Si A puede hablar con C y C todava puede hablar con B, por qu A no debera rutear sus
datagramas para B a travs de C y dejar que C los enve a B? Esta es exactamente la clase de problemas para
los que se disearon los protocolos de ruteo dinmico como RIP. Si cada uno de los routers A, B y C estuvieran
corriendo un demonio de ruteo, entonces sus tablas de ruteo se ajustaran automticamente para reflejar el
nuevo estado de la red en el caso que alguno de los vnculos de la red falle. La configuracin de tal red es
simple, en cada router slo necesita hacer dos cosas. En este caso, para el router A:
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
root# /usr/sbin/routed
El demonio de ruteo routed encuentra todos los puertos de red activos automticamente cuando se inicia y
enva y escucha mensajes en cada uno de los dispositivos de red para permitirle determinar y actualizar la
tabla de ruteo sobre el host.
Esta ha sido una explicacin muy breve sobre el ruteo dinmico y donde debera utilizarlo. Si desea ms
informacin entonces deber consultar la lista de referencias sugeridas el comienzo del documento.
Los puntos importantes relacionados con el ruteo dinmico son:
183
12.5. Informaci
on sobre Ethernet
Esta seccin cubre informacin especfica para Ethernet y la configuracin de las tarjetas Ethernet.
3Com 3c503 (controlador 3c503), 3c505 (controlador 3c505), 3c507 (controlador 3c507), 3c509/3c509B (ISA)
/ 3c579 (EISA);
3Com Etherlink III Vortex (3c590, 3c592, 3c595, 3c597) (PCI), 3Com Etherlink XL Boomerang (3c900, 3c905)
(PCI) y Cyclone (3c905B, 3c980) (controlador 3c59x) y 3Com Fast EtherLink (3c515) (ISA) (controlador
3c515);
3Com serie 3c575 Cardbus (controlador 3c59x) (se deberan detectar la mayora de las tarjetas PCMCIA)
Cabletron E21xx;
Cogent EM110;
184
Danpex EN-9400;
Fujitsu FMV-181/182/183/184;
Intel EtherExpress;
KTI ET16/P-D2, ET16/P-DC ISA (trabaja sin jumpers y con la opcin de configuracin por hardware);
NCR WaveLAN;
SEEQ 8005;
185
12.5.2. Informaci
on general sobre Ethernet
Los nombres de los dispositivos Ethernet son eth0, eth1, eth2, etc. A la primer tarjeta detectada por el ncleo
se le asigna eth0 y el resto se asigna secuencialmente en el orden en el cual se detectan.
Una vez que Usted tiene a su ncleo construido adecuadamente para soportar su tarjeta Ethernet la configuracin de la tarjeta es fcil.
Tpicamente, Usted usar algo como (la mayora de las distribuciones lo hacen por Usted si las configur para
soportar su tarjeta Ethernet):
root# ifconfig eth0 192.168.0.1 netmask 255.255.255.0 up
root# route add -net 192.168.0.0 netmask 255.255.255.0 eth0
La mayora de los controladores Ethernet fueron desarrollados por Donald Becker (mailto:becker@CESDIS.
gsfc.nasa.gov).
ne
ne
ne
io=0x220,0x240,0x300
Lo que hace esto es decirle al programa modprobe que busque 3 tarjetas basadas en NE en las direcciones que
siguen. Tambin dice en qu orden se deberan encontrar y el dispositivo al cual se deberan asignar.
La mayora de los mdulos ISA pueden tomar valores de E/S separados por comas. Por ejemplo:
alias eth0 3c501
alias eth1 3c501
options eth0 -o 3c501-0 io=0x280 irq=5
options eth1 -o 3c501-1 io=0x300 irq=7
La opcin -o permite que se asigne un nombre nico a cada mdulo. La razn para esto es que Usted no puede
tener cargadas dos copias del mismo mdulo.
La opcin irq= se usa para especificar la IRQ del hardware y la opcin io= para especificar los distintos
puertos de E/S.
Predeterminadamente, el ncleo de GNU/Linux slo prueba un dispositivo Ethernet, Usted necesita pasarle al
ncleo argumentos de lnea de comandos para forzar la deteccin de ms tarjetas.
186
12.6. Informaci
on relacionada con IP
Estas secciones cubren informacin especfica a IP.
12.6.1. DNS
DNS significa Domain Name System (Sistema de Nombres de Dominio). Es el sistema responsable de hacer
corresponder el nombre de una mquina como www.mandrakesoft.com con la direccin IP de dicha mquina, 216.71.116.162 en este caso, al momento de escribir este documento. Con DNS la correspondencia est
disponible en ambas direcciones; del nombre a la direccin IP y viceversa.
El DNS se compone de una gran cantidad de mquinas por toda la Internet que son responsables de una
cierta cantidad de nombres. A cada mquina se le atribuye un servidor DNS al cual le pueden pedir que
haga corresponder un nombre en particular con la direccin del mismo. Si ese servidor no tiene la respuesta,
entonces le pregunta a otro y as sucesivamente. Tambin puede tener un DNS local responsable de hacer
coincidir direcciones en su red LAN.
Podemos diferenciar entre dos clases de DNS: servidor DNS de cach y servidor DNS maestro. El primero slo
recuerda una peticin anterior y luego puede contestarla sin preguntar otra vez a un servidor DNS maestro.
Los servidores de la ltima clase son los verdaderos responsables como ltimo recurso de hacer coincidir una
direccin con un nombre o posiblemente decir que este nombre no se corresponde con direccin alguna.
187
La implementacin de RDSI de GNU/Linux soporta una cantidad de tipos diferentes de tarjetas RDSI internas.
Estas son las que se listan en las opciones de configuracin del ncleo:
ICN 2B y 4B;
Octal PCBIT-D;
Algunas de estas tarjetas necesitan que se les baje un software para poder operar. Existe un utilitario aparte
con el cual se hace esto.
Estn disponibles detalles completos sobre como configurar el soporte para RDSI en GNU/Linux en el directorio /usr/src/linux/Documentation/isdn/ y en una FAQ dedicada a isdn4linux que est disponible
en www.lrz-muenchen.de (http://www.lrz-muenchen.de/~ui161ab/www/isdn/). (Puede hacer clic sobre la
bandera inglesa para obtener una versin en ingls).
12.7.2. PLIP
Durante el desarrollo de las versiones 2.1 del ncleo, el soporte para el puerto paralelo se cambi a una
configuracin mejor.
Opciones de compilacin del ncleo:
General setup --->
[*] Parallel port support
Network device support --->
<*> PLIP (parallel port) support
188
12.7.3. PPP
Debido a la naturaleza, el tamao y la complejidad de PPP, este ha sido movido a su propio COMO . El COMO sobre PPP todava es un documento del Proyecto de documentacin de Linux (http://www.linuxdoc.org) pero
la pgina oficial del mismo est en el sitio web thelinuxreview.com (http://www.thelinuxreview.com), seccin PPP (http://www.thelinuxreview.com/howto/ppp).
12.8.1. ARCNet
Los nombres de dispositivo ARCNet son arc0e, arc1e, arc2e etc. o arc0s, arc1s, arc2s etc. El ncleo asigna
arc0e o arc0s a la primer tarjeta detectada y el resto se asigna secuencialmente en el orden en que se detectan.
La letra al final significa si Usted ha seleccionado el formato de paquetes de encapsulamiento Ethernet o el
formato de paquetes RFC1051.
Opciones de compilacin del ncleo:
Network device support --->
[*] Network device support
<*> ARCnet support
[ ]
Enable arc0e (ARCnet "Ether-Encap" packet format)
[ ]
Enable arc0s (ARCnet RFC1051 packet format)
Una vez que tiene construido su ncleo adecuadamente para soportar su tarjeta Ethernet entonces es fcil la
configuracin de la tarjeta.
Tpicamente Usted utilizar algo como:
root# ifconfig arc0e 192.168.0.1 netmask 255.255.255.0 up
root# route add -net 192.168.0.0 netmask 255.255.255.0 arc0e
189
--->
El soporte Appletalk le permite a su mquina GNU/Linux operar en conjunto con con redes Apple. Un uso
importante para esto es compartir recursos tales como impresoras y discos entre sus computadoras Apple y
GNU/Linux . Se necesita software adicional denominado netatalk. Wesley Craig netatalk@umich.edu representa un equipo denominado el Grupo Unix de Investigacin de Sistemas en la Universidad de Michigan y han producido el paquete netatalk que brinda software que implementa la pila del protocolo Appletalk y algunos programas tiles. El paquete netatalk debera haber sido proporcionado con su distribucin
GNU/Linux o tendr que bajarlo por FTP desde la pgina web del mismo en la Universidad de Michigan
(ftp://terminator.rs.itd.umich.edu/unix/netatalk/).
Para construir e instalar el paquete, Usted debera hacer:
usuario% tar xvfz .../netatalk-1.4b2.tar.Z
ususario% make
root# make install
Usted puede querer editar el archivo Makefile antes de invocar a make para compilar el software. Especficamente, podra querer cambiar la variable DESTDIR que define dnde se instalarn luego los archivos. El valor
predeterminado, /usr/local/atalk, es bastante seguro.
12.8.2.1. Configurando el software Appletalk
La primer cosa que necesita hacer para que todo funcione es asegurarse que estn presentes las entradas
apropiadas en el archivo /etc/services. Las entradas que necesita son:
rtmp 1/ddp # Routing Table Maintenance Protocol
nbp 2/ddp # Name Binding Protocol
echo 4/ddp # AppleTalk Echo Protocol
zip 6/ddp # Zone Information Protocol
El programa demonio Appletalk aadir detalles extra una vez que se ejecute.
190
... que exportara su sistema de archivos /tmp como un volumen AppleShare denominado Scratch y su
directorio FTP pblico como un volumen AppleShare denominado rea pblica. Los nombres de volumen
no son obligatorios, el demonio escoger alguno por Usted, pero no causar dao alguno si los especifica.
... que hara que una impresora denominada TricWriter est disponible en su red Appletalk, y todos los
trabajos aceptados se imprimiran directamente en la impresora Linux lp (como est definida en el archivo
/etc/printcap), utilizando CUPS . La entrada op=cg dice que el usuario Linux cg es el operador de la impresora.
... y todo debera iniciar y ejecutar correctamente. No debera ver mensajes de error y el software enviar los
mensajes a la consola indicando cada etapa a medida que se inicia.
191
12.8.2.7. M
as informaci
on
Para una descripcin mucho ms detallada de como configurar Appletalk para GNU/Linux consulte la pgina
del Linux Netatalk-HOWTO para GNU/Linux de Anders Brownworth en el sitio web TheHamptons punto com
(http://thehamptons.com/anders/netatalk/).
12.8.3. ATM
Werner Almesberger <werner.almesberger@lrc.di.epfl.ch> administra un proyecto cuyo objetivo es brindar el soporte para ATM (Asynchronous Transfer Mode Modo de transferencia asincrnico) para GNU/Linux .
Se puede obtener informacin sobre el estado corriente del proyecto en el sitio web de ATM en Linux
(http://linux-atm.sourceforge.net/).
Los protocolos AX25, Netrom y Rose se cubren en el COMO sobre AX25 (http://linuxdoc.org/HOWTO/
AX25-HOWTO.html). Estos protocolos son utilizados por los operadores de radio aficionado de todo el mundo en experimentacin de transmisin de paquetes por radio.
La mayora del trabajo de implementacin de estos protocolos ha sido realizada por Jonathon Naylor,
jsn@cs.nott.ac.uk, y ahora es Jeff Tranter (tranter@pobox.com) quien mantiene el COMO .
192
12.8.5. DECNet
El ncleo estable corriente (2.4) incluye soporte para DECNet. Con Mandrake Linux ha estado disponible
desde el ncleo 2.2.
12.8.6. FDDI
Los nombres de dispositivo de FDDI son fddi0, fddi1, fddi2 etc. El ncleo asigna fddi0 a la primer tarjeta
que detecte y el resto se asigna secuencialmente en el orden que se detectan.
Larry Stefani, lstefani@ultranet.com, ha desarrollado un controlador para las tarjetas FDDI EISA y PCI.
Opciones de compilacin del ncleo:
Network device support --->
[*] FDDI driver support
[*] Digital DEFEA and DEFPA adapter support
Si su ncleo est construido para soportar el controlador FDDI y est instalado, la configuracin de la interfaz
FDDI es casi idntica a la de una interfaz Ethernet. Simplemente especifique el nombre apropiado de interfaz
FDDI en los comandos ifconfig y route.
Mike McLagan, mike.mclagan@linux.org, desarroll el soporte y las herramientas de configuracin para Relevo de tramas.
Corrientemente, los nicos FRADs que sabemos que estn soportados son S502A, S502E y S508 de Sangoma Technologies (http://www.sangoma.com/) as como tambin los de Emerging Technologies (http:
//www.etinc.com/).
Para configurar los dispositivos FRAD y DLCI luego que ha reconstruido su ncleo, necesitar las herramientas de configuracin de Relevo de tramas. Estas estn disponibles en ftp.invlogic.com (ftp://ftp.invlogic.
com/pub/linux/fr/).
La compilacin e instalacin de las herramientas es simple, pero la falta de un archivo Makefile de nivel
superior hace que el proceso sea bastante manual:
usuario% tar xvfz .../frad-0.15.tgz
usuario% cd frad-0.15
usuario% for i in common dlci frad; make -C $i clean; make -C $i; done
root# mkdir /etc/frad
root# install -m 644 -o root -g root bin/*.sfm /etc/frad
root# install -m 700 -o root -g root frad/fradcfg /sbin
root# install -m 700 -o root -g root dlci/dlcicfg /sbin
193
Note que los comandos previos utilizan la sintaxis de sh, si usted utiliza csh (por ejemplo tcsh), el bucle for
tendr una apariencia distinta.
Luego de instalar las herramientas, necesita crear un archivo /etc/frad/router.conf. Puede usar esta plantilla, que es una versin modificada de uno de los archivos de ejemplo:
#
#
#
#
#
#
#
#
#
#
#
/etc/frad/router.conf
Esta es una plantilla de configuraci
on para Relevo de tramas.
Se incluyen todas las etiquetas. Los valores por defecto est
an
basados en el c
odigo que se suministra con los controladores
para
DOS de la tarjeta Sangoma S502A.
Un # en cualquier lugar de una l
nea es un comentario
Los blancos se ignoran (tambi
en puede indentar con Tab)
Las entradas [] desconocidas y las claves desconocidas se ignoran
[Devices]
Count=1
Dev_1=sdla0
#Dev_2=sdla1
#
#
# Configuraci
on espec
fica del dispositivo
#
#
#
# El primer dispositivo es un Sangoma S502E
#
[sdla0]
Type=Sangoma
# Tipo de dispositivo a conifgurar, por
#
el momento s
olo se reconoce SANGOMA
#
# Estas claves son espec
ficas al tipo Sangoma
#
# El tipo de tarjeta Sangoma - S502A, S502E, S508
Board=S502E
#
# El nombre del firmware de prueba para la tarjeta Sangoma
# Testware=/usr/src/frad-0.10/bin/sdla_tst.502
#
# El nombre del firmware FR
# Firmware=/usr/src/frad-0.10/bin/frm_rel.502
#
Port=360
# Puerto para esta tarjeta particular
Mem=C8
# Ventana de direcci
on de mem, A0-EE,
#
depende de la tarjeta
194
#
# Par
ametros predeterminados de configuraci
on DLCI
# Se pueden obviar en las configuraciones espec
ficas de DLCI
#
CIRfwd=64
# CIR forward
1 - 64
# Bc_fwd=16
# Bc forward
1 - 512
# Be_fwd=0
# Be forward
0 - 511
# CIRbak=16
# CIR backward 1 - 64
# Bc_bak=16
# Bc backward
1 - 512
# Be_bak=0
# Be backward
0 - 511
#
# Configuraci
on de DLCI
# Todos estos son opcionales. La convenci
on de nombrado es
# [DLCI_D<numdispositivo>_<Num_DLCI>]
#
[DLCI_D1_16]
# IP=
# Net=
# Mask=
# Flags definidos por Sangoma: TXIgnore,RXIgnore,BufferFrames
# DLCIFlags=TXIgnore,RXIgnore,BufferFrames
# CIRfwd=64
# Bc_fwd=512
# Be_fwd=0
# CIRbak=64
# Bc_bak=512
# Be_bak=0
[DLCI_D2_16]
# IP=
# Net=
# Mask=
# Flags definidos por Sangoma: TXIgnore,RXIgnore,BufferFrames
# DLCIFlags=TXIgnore,RXIgnore,BufferFrames
# CIRfwd=16
# Bc_fwd=16
# Be_fwd=0
# CIRbak=16
# Bc_bak=16
# Be_bak=0
195
El protocolo IPX y el sistema de archivos NCP se cubren con ms detalle en el COMO acerca de IPX (http:
//linuxdoc.org/HOWTO/IPX-HOWTO.html).
Los protocolos AX25, Netrom y Rose se cubren en el COMO sobre AX25 (http://linuxdoc.org/HOWTO/
AX25-HOWTO.html). Estos protocolos son utilizados por los operadores de radio aficionado de todo el mundo en experimentacin de transmisin de paquetes por radio.
La mayora del trabajo de implementacin de estos protocolos ha sido realizada por Jonathon Naylor,
jsn@cs.nott.ac.uk.
196
Los protocolos AX25, Netrom y Rose se cubren en el COMO sobre AX25 (http://linuxdoc.org/HOWTO/
AX25-HOWTO.html). Estos protocolos son utilizados por los operadores de radio aficionado de todo el mundo en experimentacin de transmisin de paquetes por radio.
La mayora del trabajo de implementacin de estos protocolos ha sido realizada por Jonathon Naylor,
jsn@cs.nott.ac.uk.
STRIP es un protocolo diseado especficamente para un rango de mdems de radio Metricom para un proyecto de investigacin que est siendo conducido por la Universidad de Stanford denominado el Proyecto
MosquitoNet (http://mosquitonet.Stanford.edu). Hay un montn de lectura interesante aqu, incluso si
Usted no est directamente interesado en el proyecto.
Las radios Metricom se conectan a un puerto serio, emplean tecnologa de espectro amplio y son capaces
tpicamente de velocidades del orden de los 100Kbps. En el sitio web de Metricom (http://www.metricom.
com/) est disponible informacin sobre las radios Metricom.
Por el momento, las herramientas y utilitarios de red estndar no soportan el controlador STRIP, por lo que
tendr que bajar algunas herramientas personalizadas del servidor web MosquitoNet. En la pgina de software de MosquitoNet (http://mosquitonet.Stanford.edu/software.html) estn disponibles los detalles
del software que necesita.
Un resumen de la configuracin es que Usted utilice un programa slattach modificado para configurar la
disciplina de un dispositivo tty serie a STRIP y luego configure el dispositivo st[0-9] resultante como o hara
para Ethernet con una excepcin importante: por motivos tcnicos STRIP no soporta el protocolo ARP, por lo
que Usted debe configurar manualmente las entradas ARP para cada uno de los hosts de su sub-red. Esto no
debera resultar muy costoso.
197
La configuracin de Token Ring es idntica a la de Ethernet, con la excepcin del nombre de dispositivo de
red a configurar.
12.8.14. X.25
X.25 es un protocolo de conmutacin de paquetes basado en circuitos definido por ITU-T (La Seccin de
Estandarizacin de las Telecomunicaciones de la International Telecommunications Union Union Internacional
de Telecomunicaciones, un cuerpo de estndares reconocido por las compaas de telecomunicaciones en la
mayor parte del mundo). Se est trabajando sobre una implementacin de X.25 y LAPB y los ncleos recientes
(desde 2.1.*) incluyen el trabajo en progreso.
Jonathon Naylor <jsn@cs.nott.ac.uk> est liderando el desarrollo y se ha establecido una lista de distribucin de correos para discutir los temas relacionados con X.25 bajo GNU/Linux . Para suscribirse, enve un
mensaje a majordomo@vger.rutgers.edu con el texto subscribe linux-x25 en el cuerpo del mensaje.
La tarjeta WaveLAN es una tarjeta de red LAN inalmbrica de espectro amplio. La tarjeta se parece mucho a
una tarjeta Ethernet en la prctica, y se configura de manera muy similar.
Puede obtener informacin sobre la tarjeta WaveLAN en el sitio web ORiNOCCO (http://www.orinocowireless.
com/).
198
Nombre
Pata
Pata
Tx Data
Rx Data
RTS
CTS
Ground
DTR
DSR
RLSD/DCD
2
3
4
5
7
20
6
8
3
2
5
4
7
8
20
6
199
donde la | en cada extremo representa un terminador, ====== representa una longitud de cable coaxial con
conectores BNC en cada extremo y la T representa un conector pieza T. Usted debera mantener la longitud
del cable entre la pieza T y la tarjeta Ethernet real en la PC lo ms corta posible, idealmente la pieza T
estar conectada directamente a la tarjeta Ethernet.
200
Ap
endice A. D
onde encontrar informaci
on adicional
Si bien aqu hemos descripto la interfaz de MandrakeSecurity y revelado algunos detalles acerca de las redes
y la seguridad, este manual simplemente no es suficiente si Usted no tiene conocimiento alguno acerca de
algunas caractersticas especficas propuestas aqu. Es por esto que aqu le proponemos algunos vnculos a
varios documentos en la web que le ayudarn a comprender los mecanismos reales que estn por debajo de
MandrakeSecurity .
Bibliografa
Documentaci
on relacionada con el backend
Documentacin de Shorewall (http: // www. shorewall. net/ shorewall_ quickstart_ guide. htm ) .
La aplicacin Shorewall en la que se basa MandrakeSecurity , est ampliamente documentada. Busque
aqu ejemplos adicionales, e informacin completa sobre los procesos de segundo plano de MandrakeSecurity .
Cach de DNS: Bind de ICS (http: // www. isc. org/ products/ BIND/ ) .
DHCP (http: // www. isc. org/ products/ DHCP/ ) .
Proxy Web (http: // www. squid-cache. org/ ) .
Filtrado de URL con SquidGuard (http: // www. squidguard. org/ ) .
Filtrado de URL con DansGuardian (http: // dansguardian. org/ ) .
Sistema de deteccin de intrusiones SNORT (http: // www. snort. org/ ) .
Sistema de deteccin de intrusiones Prelude (http: // www. prelude-ids. org/ ) .
Informaci
on adicional acerca de las t
ecnicas utilizadas en MandrakeSecurity
Traduccin de direccin de red (NAT) IP (http: // www. suse. de/ ~mha/ linux-ip-nat/ diplom/ ) .
Linux FreeS/WAN: implementacin de IPSEC & IKE para Linux (http: // www. xs4all. nl/ ~freeswan ) .
Windows 2000 / Windows XP - VPN FreeS/WAN (http: // vpn. ebootis. de/ ) .
201
202
Ap
endice B. La Licencia P
ublica General GNU
El texto siguiente es la licencia GPL que se aplica a la mayora de los programas que se encuentran en las
distribuciones Mandrake Linux.
Esta es una traduccin al castellano no oficial de la Licencia Pblica General GNU. No fue publicada por la
Free Software Foundation, y legalmente no establece los trminos de distribucin de software que usa la GPL
GNU-- slo el texto original en ingls de la GPL GNU hace eso. Sin embargo, esperamos que esta traduccin
ayudar a las personas que hablan castellano a comprender mejor la GPL GNU.
Traducido por Fabian Israel Mandelbaum en Mayo de 2000. Buenos Aires. Argentina.
Versin 2, Junio 1991 Copyright (C) 1989, 1991 Free Software Foundation, Inc. 59 Temple Place - Suite 330,
Boston, MA 02111-1307, USA
Cualquiera puede copiar y distribuir copias al pie de la letra del documento de esta licencia, pero no se permite
cambiarla.
B.1. Pre
ambulo
Las licencias para la mayora del software estn diseadas para quitarle su libertad de compartirlo y cambiarlo.
En contraste, la Licencia Pblica General GNU pretende garantizarle su libertad para compartir y cambiar el
software libre -- para asegurarse que el software es libre para todos sus usuarios. Esta Licencia Pblica General
se aplica a la mayora del software de la Free Software Foundation y a cualquier otro programa cuyos autores
se comprometan a usarla. (No obstante, algn otro software de la Free Software Foundation est cubierto por
la Licencia Pblica General de Biblioteca GNU LGPL). Usted tambin puede aplicarla a sus programas.
Cuando hablamos de software libre, nos estamos refiriendo a libertad, no al precio. Nuestras Licencias Pblicas Generales estn diseadas para asegurarse que Usted tiene la libertad de distribuir copias de software
libre (y, si Usted lo desea, puede cobrar por este servicio), que Usted recibe el cdigo fuente o puede obtenerlo
si as lo desea, que Usted puede cambiar el software o usar piezas del mismo en programas libres nuevos; y
que Usted sabe que puede hacer estas cosas.
Para proteger sus derechos, necesitamos hacer restricciones que prohban a cualquiera el negarle a Usted estos
derechos o pedirle a Usted que renuncie a los derechos. Estas restricciones se traducen en ciertas responsabilidades para Usted si es que distribuye copias del software, o si lo modifica.
Por ejemplo, si Usted distribuye copias de tal programa, ya sea gratis o con un costo, Usted debe darle a quienes lo reciban todos los derechos que Usted posee. Usted debe asegurarse que ellos, tambin, reciban o puedan
obtener el cdigo fuente. Y Usted debe mostrarles estos trminos para que ellos conozcan sus derechos.
Nosotros protegemos sus derechos con dos pasos:
1. el copyright (derecho de autor) del software, y
2. le ofrecemos esta licencia que le otorga permiso legal para copiar, distribuir y/o modificar el software.
Tambin, para la proteccin de cada autor y la nuestra, nos queremos asegurar que todos entiendan que
no hay garanta alguna para este software libre. Si un tercero modifica el software y lo distribuye, nosotros
queremos que quienes lo reciban sepan que lo que ellos poseen no es el original, por lo que cualquier problema
introducido por terceros no afectar la reputacin del autor original.
Finalmente, cualquier programa libre est constantemente amenazado por las patentes de software. Nosotros
deseamos evitar el peligro que los redistribuidores de un programa libre obtengan individualmente licencias
de las patentes, haciendo al programa, en efecto, propietario. Para evitar esto, nosotros hemos aclarado que
cualquier patente debe ser licenciada para el uso personal libre de cualquiera o no ser licenciada en absoluto.
Los trminos y condiciones precisos para copiar, distribuir y modificar son los siguientes.
203
B.2. T
erminos y condiciones para la copia, distribuci
on y modificaci
on
0. Esta licencia se aplica a cualquier programa u otro trabajo que contiene una nota puesta por quien posee
el copyright diciendo que puede ser distribuido bajo los trminos de esta Licencia Pblica General. En
adelante, el Programa se refiere a cualquiera de tales programas o trabajos, y un trabajo basado en el
Programa significa o el Programa o cualquier trabajo derivado bajo la ley del copyright: es decir, un trabajo
conteniendo el Programa o una porcin del mismo, ya sea textual o con modificaciones y/o traducciones
a otro idioma. (En adelante, traduccin se incluye sin limitacin en el trmino modificacin). Se dirige a
cada titular de la licencia como Usted.
Actividades que no sean la copia, distribucin y modificacin no estn cubiertas por esta Licencia; estn
fuera del campo de la misma. El acto de ejecutar el Programa no est restringido, y la respuesta del Programa
est cubierta slo si su contenido constituye un trabajo basado en el Programa (independiente de haber sido
el resultado de la ejecucin del Programa). Que eso sea cierto depende de lo que haga el Programa.
1. Usted puede copiar y distribuir copias textuales del cdigo fuente del Programa como lo recibi, en
cualquier medio, si Usted publica en cada copia visible y adecuadamente una nota de copyright apropiada
y la renuncia de garanta; mantiene intactas todas las notas que refieren a esta Licencia y a la ausencia de
garanta alguna; y le da a cualquier otra persona que reciba el Programa una copia de esta Licencia junto
con el Programa.
Usted puede cobrar un honorario por el acto fsico de transferir una copia, y Usted puede, a su eleccin,
ofrecer la proteccin de la garanta a cambio de un honorario.
2. Usted puede modificar su copia o sus copias del Programa o cualquier porcin del mismo, conformando
entonces un trabajo basado en el Programa, y copiar y distribuir tales modificaciones o trabajo bajo los
trminos de la Seccin 1 arriba expuestos, si Usted tambin cumple con todas estas condiciones:
1. Usted debe hacer que los archivos modificados tengan notas prominentes que digan que Usted cambi
los archivos y la fecha de cualquier cambio.
2. Usted debe hacer que cualquier trabajo que Usted distribuya o publique, que en todo o en parte contiene
o est derivado del Programa o cualquier parte del mismo, sea licenciado como un todo sin cargo a todas
las terceras partes bajo los trminos de esta Licencia.
3. Si el Programa modificado normalmente lee comandos interactivamente cuando se ejecuta, Usted puede
hacer que, cuando el mismo inicie la corrida de tal uso interactivo de la manera ms comn, el Programa
imprima o muestre un anuncio incluyendo la nota de copyright apropiada y una nota que indique que
no hay garanta alguna (caso contrario, que diga que Usted proporciona una garanta) y que los usuarios
pueden redistribuir el programa bajo estas condiciones, y dicindole al usuario como ver una copia de
esta Licencia. (Excepcin: si el Programa en s mismo es interactivo pero normalmente no imprime tal
anuncio, no es necesario que su trabajo basado en el Programa imprima un anuncio).
Estos requisitos se aplican al trabajo modificado como un todo. Si secciones identificables de ese trabajo no
estn derivadas del Programa, y pueden considerarse razonablemente un trabajo separado e independiente
por s mismas, entonces esta Licencia, y sus trminos, no se aplican a dichas secciones cuando Usted las
distribuye como trabajos separados. Pero cuando Usted distribuye las mismas secciones como parte de un
todo el cual es un trabajo basado en el Programa, la distribucin del todo debe ser bajo los trmino de esta
Licencia, cuyos permisos para otras licencias se extienden al todo, y por lo tanto, a todas y cada una de las
partes sin importar quien las escribi.
Por lo tanto, la intencin de esta seccin no es reclamar derechos o competir por sus derechos sobre un
trabajo escrito enteramente por Usted; sino, la intencin es ejercitar el derecho de controlar la distribucin
de trabajos derivativos o colectivos basados en el Programa.
Adems, el mero agregado de otro trabajo que no est basado en el Programa junto con el Programa (o con
un trabajo basado en el Programa) sobre un volumen de almacenamiento o medio de distribucin no pone
al otro trabajo bajo el marco de esta Licencia.
3. Usted puede copiar y distribuir el Programa (o un trabajo basado en el mismo, bajo la Seccin 2) en forma
de cdigo objeto o ejecutable bajo los trminos de las Secciones 1 y 2 anteriores siempre y cuando Usted
tambin haga algo de lo siguiente:
204
4. Usted no puede copiar, modificar, sub-licenciar, o distribuir el Programa excepto como se provee expresamente bajo esta Licencia. Cualquier intento contrario de copiar, modificar, sub-licenciar o distribuir
el Programa est prohibido, y anular automticamente sus derechos sobre esta Licencia. Sin embargo, a
las partes que han recibido copias, o derechos, de Usted bajo esta Licencia no se les anularn sus licencias
siempre y cuando tales partes cumplan la misma por completo.
5. No es necesario que Usted acepte esta Licencia, ya que Usted no la firm. Sin embargo, nada ms le garantiza a Usted el permiso para modificar o distribuir el Programa o sus trabajos derivativos. Estas acciones
estn prohibidas por ley si Usted no acepta esta Licencia. Por lo tanto, al modificar o distribuir el Programa
(o cualquier trabajo basado en el Programa), Usted indica su aceptacin de esta Licencia para hacerlo, y
todos sus trminos y condiciones para copiar, distribuir o modificar el Programa o los trabajos basados en
el mismo.
6. Cada vez que Usted redistribuye el Programa (o cualquier trabajo basado en el Programa), quien lo recibe
automticamente recibe una licencia del licenciatario original para copiar, distribuir o modificar el Programa
sujeto a estos trminos y condiciones. Usted no puede imponer cualquier otra restriccin sobre el ejercicio
de los derechos aqu garantizados de quienes lo reciban. Usted no es responsable de forzar el cumplimiento
de esta Licencia por parte de terceros.
7. Si, como consecuencia de un veredicto de una corte o alegato de usurpacin de una patente o cualquier
otra razn (no limitada a cuestiones de patentes), se le imponen condiciones (ya sea por orden de la corte,
convenio u otros) que contradicen las condiciones de esta Licencia, esto no lo libera a Usted de las condiciones de esta Licencia. Si Usted no puede hacer la distribucin de manera de satisfacer simultneamente sus
obligaciones bajo esta Licencia y cualquier otra u otras obligaciones pertinentes, entonces como consecuencia, Usted no puede distribuir el Programa en absoluto. Por ejemplo, si una licencia de patente no permite la
distribucin sin regalas del Programa por todos aquellos que reciban copias directamente o indirectamente
a travs de Usted, entonces la nica forma en la cual Usted puede satisfacer tanto esta Licencia como la otra
sera contenerse en absoluto de distribuir el Programa.
Si, bajo cualquier circunstancia particular, cualquier porcin de esta seccin se invalida o no se puede forzar,
se pretende aplicar el balance de esta seccin y la seccin como un todo pretende aplicar en otras circunstancias.
No es el propsito de esta seccin inducir a Usted a violar patente alguna o cualquier otro reclamo de derechos de propiedad o debatir la validez de cualquiera de tales reclamos; esta seccin tiene el slo propsito
de proteger la integridad del sistema de distribucin de software libre, que est implementado por prcticas
de licencia pblica. Mucha gente ha hecho contribuciones generosas al amplio rango de software distribuido por medio de ese sistema confiando en la aplicacin consistente de dicho sistema; queda a criterio del
205
8. Si la distribucin y/o el uso del Programa est restringido en ciertos pases ya sea por patentes o por interfases con copyright, el dueo del copyright original que pone al Programa bajo esta Licencia puede agregar
una limitacin explcita a la distribucin geogrfica excluyendo dichos pases, por lo cual la distribucin
slo est permitida en, o entre, los pases no as excluidos. En tal caso, esta Licencia incorpora la limitacin
como si estuviese escrita en el cuerpo de esta Licencia.
9. La Free Software Foundation puede publicar versiones revisadas y/o nuevas de la Licencia Pblica General de vez en cuando. Tales versiones nuevas sern similares en espritu a la versin presente, pero pueden
diferir en detalle para tratar problemas o intereses nuevos.
A cada versin se le da un nmero de versin distintiva. Si el Programa especifica un nmero de versin
de esta Licencia que aplica al mismo y a cualquier versin posterior, Usted tiene la opcin de seguir los
trminos y condiciones de cualquiera de esas versiones o de cualquier versin posterior publicada por la
Free Software Foundation. Si el Programa no especifica un nmero de versin de esta Licencia, Usted puede
elegir cualquier versin publicada alguna vez por la Free Software Foundation.
10. Si Usted desea incorporar partes del Programa dentro de otros Programas libres cuyas condiciones de
distribucin son diferentes, escriba al autor para pedirle permiso. Para el software cuyo copyright posee
la Free Software Foundation, escriba a la Free Software Foundation; a veces, nosotros hacemos excepciones a esto. Nuestra decisin estar guiada por los dos objetivos de preservar el estado libre de todos los
derivativos de nuestro software libre y de promover el compartir y volver a usar el software en general.
SIN GARANTIA
DEBIDO A QUE EL PROGRAMA SE LICENCIA SIN CARGO ALGUNO, NO HAY GARANTA PARA EL
MISMO, A LA EXTENSIN PERMITIDA POR LA LEY APLICABLE. EXCEPTO CUANDO SE INDIQUE
LO CONTRARIO POR ESCRITO LOS POSEEDORES DEL COPYRIGHT Y/O OTROS TERCEROS PROVEEN EL PROGRAMA TAL CUAL EST SIN GARANTAS DE TIPO ALGUNO, YA SEAN EXPRESAS
O IMPLCITAS, INCLUYENDO, PERO NO ESTANDO LIMITADO A, LAS GARANTAS IMPLCITAS DE
COMERCIALIZACIN Y CONVENIENCIA PARA UN PROPSITO EN PARTICULAR. USTED ASUME
TODOS LOS RIESGOS SOBRE LA CALIDAD Y RENDIMIENTO DEL PROGRAMA. SI EL PROGRAMA
DEMUESTRA SER DEFECTUOSO, USTED ASUME EL COSTO DE CUALQUIER SERVICIO, REPARACIN O CORRECCIN NECESARIOS.
EL POSEEDOR DEL COPYRIGHT, O CUALQUIER TERCERO QUE PUEDE MODIFICAR Y/O DISTRIBUIR EL PROGRAMA COMO SE PERMITE ARRIBA, NO ESTAR EXPUESTO DE MANERA ALGUNA
A USTED., A MENOS QUE SE REQUIERA POR LEY APLICABLE O SE ACUERDE POR ESCRITO, A
DAOS INCLUYENDO CUALQUIER DAO GENERAL, ESPECIAL, INCIDENTE O CONSECUENTE
DEBIDO AL USO O A LA IMPOSIBILIDAD DE HACER USO DEL PROGRAMA (INCLUYENDO, PERO
NO LIMITADO A, LA PRDIDA DE DATOS O QUE LOS DATOS SE VUELVAN IMPRECISOS O PRDIDAS SOSTENIDAS POR USTED O TERCEROS O UNA FALLA DEL PROGRAMA PARA OPERAR CON
CUALQUIER OTRO PROGRAMA), INCLUSO SI DICHO POSEEDOR U OTROS TERCEROS HAN SIDO
AVISADOS DE LA POSIBILIDAD DE TALES DAOS.
206
B.3. C
omo aplicar estos T
erminos a sus programas nuevos
Si Usted desarrolla un programa nuevo, y Usted quiere que sea de la mayor utilidad posible al pblico, la mejor manera de hacer esto es hacerlo software libre que todos puedan redistribuir y cambiar bajo estos trminos.
Para esto, agregue las notas siguientes al programa. Es ms seguro agregarlas al comienzo de cada archivo
fuente para hacer llegar la exclusin de la garanta de manera ms efectiva; y cada archivo debe tener al
menos la lnea copyright y un puntero a donde se encuentra la nota completa.
<una lnea para dar el nombre del programa y una idea breve de lo que hace.> Copyright (C) 20aa <nombre
del autor>
Este programa es software libre; Usted puede redistribuirlo y/o modificarlo bajo los trminos de la Licencia
Pblica General GNU como fue publicada por la Free Software Foundation; ya sea la versin 2 de la Licencia,
o (a su eleccin) cualquier versin posterior.
Este programa se distribuye con la esperanza de que ser til pero SIN GARANTA ALGUNA; incluso sin la
garanta implcita de COMERCIALIZACIN o CONVENIENCIA PARA UN PROPSITO EN PARTICULAR.
Vea la Licencia Pblica General GNU para ms detalles.
Usted debera haber recibido una copia de la Licencia Pblica General GNU junto con este programa; de no
ser as, escriba a la Free Software Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA
Tambin agregue informacin sobre como ponerse en contacto con Usted por medio de correo electrnico o
correo postal.
Si el programa es interactivo, haga que el mismo muestre una pequea nota como esta cuando inicia en un
modo interactivo:
Gnomovision versi
on 69, Copyright (C) 20aa <nombre del autor>
Gnomovision viene ABSOLUTAMENTE SIN GARANT
IA;
para detalles ingrese mostrar g.
Este es software libre, y Usted est
a alentado a redistribuirlo bajo ciertas
condiciones; ingrese mostrar c para m
as detalles.
Los comandos hipotticos mostrar g y mostrar c deberan mostrar las partes apropiadas de la Licencia
Pblica General. Por supuesto que los comandos que Usted use pueden denominarse de otra forma en vez de
mostrar g y mostrar c; incluso pueden ser clic con el ratn o elementos del men cualquier cosa que sea
adecuada para su programa.
Tambin debera hacer que su empleador (si Usted trabaja como programador) o su escuela, si corresponde, firmen una renuncia al copyright para el programa, si es necesario. Aqu tiene un ejemplo; cambie los
nombres adecuadamente:
Yoyodine, Inc., por la presente renuncia a todos los intereses del copyright del programa Gnomovision (que
pasa a sus compiladores) escrito por Pedro Hacker.
<firma de Juan Perez>, 1 de Abril 2000 Juan Perez, Presidente de Compaa
Esta Licencia Pblica General no permite incorporar a su programa dentro de programas propietarios. Si su
programa es una biblioteca de subrutinas, Usted puede considerar ms til el permitir enlazar aplicaciones
propietarias con la biblioteca. Si esto es lo que Usted desea hacer, use la Licencia Pblica General de Biblioteca
GNU en lugar de esta Licencia.
207
208
Ap
endice C. Licencia de Documentaci
on Libre GNU
C.1. Acerca de la traducci
on al castellano de la Licencia de Documentaci
on Libre GNU
This is an unofficial translation of the GNU Free Documentation License into Spanish. It was not published
by the Free Software Foundation, and does not legally state the distribution terms for documentation that
uses the GNU FDL--only the original English text of the GNU FDL does that. However, we hope that this
translation will help Spanish speakers understand the GNU FDL better.
Esta es una traduccin no oficial al castellano de la Licencia de Documentacin Libre (FDL) GNU. No fue
publicada por la Fundacin de Software Libre (FSF), y legalmente no establece los trminos de distribucin
de la documentacin que usa la GNU FDL -- slo el texto original en ingls de la GNU FDL hace eso. Sin
embargo, esperamos que esta traduccin ayudar a las personas que hablan castellano a comprender mejor la
FDL GNU.
Traducido por Fabian Mandelbaum en Marzo de 2001. Pars. Francia.
0. PREAMBULO
El propsito de esta Licencia es hacer libre al manual, libro de texto, u otra documentacin escrita, en el sentido de libertad: para asegurar a cualquiera la libertad efectiva de copiar o volver a distribuir el material, con
o sin modificacin, ya sea comercialmente o no comercialmente. En segundo trmino, esta Licencia preserva
para el autor y para quien lo publica una forma de obtener crdito por su trabajo, a la vez que no se pueden
considerar responsables por las modificaciones hechas por otros.
Esta Licencia es una especie de copyleft, lo cual significa que los trabajos derivados del documento deben
ser, en s mismos, libres en el mismo sentido. La misma complementa a la Licencia Pblica General GNU, la
cual es una licencia copyleft diseada para el software libre.
Hemos diseado esta licencia para poder usarla para los manuales del software libre, debido a que el software
libre necesita documentacin libre: un programa libre debera estar acompaado de manuales que proporcionen las mismas libertades que proporciona dicho programa. Pero esta Licencia no est limitada a los manuales
de software; la misma se puede usar para cualquier trabajo de textos, independientemente del tema o si se
publica como libro impreso. Recomendamos esta Licencia principalmente para trabajos cuyo propsito sea
instructivo o de referencia.
1. APLICABILIDAD y DEFINICIONES
Esta Licencia aplica a cualquier manual o cualquier otro trabajo que contiene una nota del propietario del
copyright que diga que se puede distribuir bajo los trminos de esta Licencia. En adelante, Documento
refiere a cualquiera de dichos manuales o trabajos. Cualquier miembro del pblico disfruta de la licencia, y se
denominar al mismo como Usted.
Una Versin Modificada del Documento significa cualquier trabajo que contiene al Documento o a una
porcin del mismo, ya sea copiada textualmente, o con modificaciones y/o traducida a otro idioma.
Una Seccin Secundaria es un apndice nombrado o una seccin de carcter central del Documento que
trata exclusivamente con la relacin de los publicadores o autores del Documento con el tema general del
Documento (o con temas relacionados) y no contiene cosa alguna que pueda caer directamente dentro de ese
tema general. (Por ejemplo, si el Documento es una parte de un libro de texto sobre matemticas, una Seccin
Secundaria puede no explicar matemtica alguna.) La relacin puede ser slo una cuestin de conexin histrica con el tema o con temas relacionados, o de posicin legal, comercial, filosfica, tica, o poltica respecto de
dichos temas
Las Secciones Invariantes son ciertas Secciones Secundarias cuyos ttulos se designan, como parte de esas
Secciones Invariantes, en la nota que dice que el Documento se libera bajo esta Licencia.
209
2. COPIADO TEXTUAL
Usted puede copiar y distribuir el Documento en cualquier medio, ya sea comercialmente o no comercialmente, siempre y cuando esta Licencia, las notas acerca del copyright, y la nota de la licencia que dice que
esta Licencia aplica al Documento se reproduzcan en todas las copias, y que Usted no agregue otras condiciones cualesquiera que sean a aquellas de esta Licencia. Usted no puede usar medidas tcnicas para obstruir o
controlar la lectura o la copia posterior de las copias que hace o distribuye. Sin embargo, puede aceptar una
compensacin a cambio de copias. Si distribuye una cantidad suficientemente grande de copias tambin debe
seguir las condiciones de la seccin 3.
Tambin puede prestar copias, bajo las mismas condiciones que se indican arriba, y puede mostrar copias
pblicamente.
3. COPIADO EN CANTIDAD
Si publica copias impresas del Documento en cantidad mayor a 100, y la nota de la licencia del Documento
necesita de Textos de Cubierta, debe incluir las copias en cubiertas que lleven, clara y legiblemente, todos esos
Textos de Cubierta: los Textos de Tapa en la tapa, y los Textos de Contra-tapa en la contra-tapa. Ambas cubiertas tambin deben identificarlo clara y legiblemente como quien publica estas copias. La cubierta frontal
debe presentar el ttulo completo con todas las palabras o el ttulo con igual prominencia y visibilidad. Adicionalmente, Usted puede agregar otro material sobre las cubiertas. El copiado con cambios limitados a las
cubiertas, siempre y cuando las mismas preserven el ttulo del Documento y satisfagan estas condiciones, se
puede tratar como copiado textual en otros sentidos.
Si los textos que necesita cualquier cubierta son muy voluminosos para caber de forma legible, debera poner
los primeros que se listan (tantos como quepan razonablemente) sobre la cubierta real, y continuar con el resto
sobre las pginas adyacentes.
Si publica o distribuye copias Opacas del Documento en cantidad mayor a 100, debe incluir o bien una copia
Transparente legible por una mquina junto con cada copia Opaca, o bien mencionar en o con cada copia Opaca una ubicacin en una red de computadoras accesible pblicamente que contenga una copia Transparente
completa del Documento, libre de material agregado, que el pblico general que usa la red tenga acceso a
transferir annimamente sin cargo alguno usando protocolos de red pblicos y normalizados. Si usa la ltima opcin, debe tomar pasos razonablemente prudentes cuando comience la distribucin de copias Opacas en
cantidad, para asegurar que esta copia Transparente permanecer accesible de esta forma en la ubicacin mencionada por lo menos durante un ao despus de la ltima vez que distribuy una copia Opaca (directamente
o por medio de sus agentes o distribuidores) de esa edicin al pblico.
210
4. MODIFICACIONES
Puede copiar y distribuir una Versin Modificada del Documento bajo las condiciones de las secciones 2 y
3 de arriba, siempre y cuando libere a la Versin Modificada precisamente bajo esta Licencia, con la Versin
Modificada cumpliendo el rol del Documento, de forma tal que se licencia la distribucin y modificacin de la
Versin Modificada a quienquiera posea una copia de la misma. Adicionalmente, debe hacer lo siguiente en
la Versin Modificada:
A. Usar en la Pgina del Ttulo (y sobre las cubiertas, si es que hay alguna) un ttulo distinto del ttulo del
Documento, y de aquellos de las versiones previas (las cuales deberan, en caso que existan, estar listadas
en la seccin Historia del Documento). Usted puede usar el mismo ttulo que una versin previa si el
publicador original de esa versin da permiso.
B. Listar en la Pgina del Ttulo, como autores, a una o ms personas o entidades responsables por la autora
de las modificaciones en la Versin Modificada, junto con al menos cinco de los autores principales del
Documento (todos sus autores principales, si el mismo tiene menos de cinco).
C. Mencionar en la Pgina del Ttulo el nombre del editor de la Versin Modificada, como el editor.
D. Preservar todas las notas de copyright del Documento.
E. Agregar una nota de copyright apropiada para las modificaciones hechas por Usted adyacente a las otras
notas de copyright.
F. Incluir, inmediatamente despus de las notas de copyright, una nota de licencia que da permiso al pblico
general para usar la Versin Modificada bajo los trminos de esta Licencia, en la forma que se muestra en
el Apndice ms adelante.
G. Preservar en dicha nota de licencia las listas completas de las Secciones Invariantes y los Textos de Cubierta
necesarios que se dan en la nota de licencia del Documento.
H. Incluir una copia sin alterar de esta Licencia.
I. Preservar la seccin titulada "Historia" y el ttulo de la misma, y agregar a la misma un tem que mencione
al menos el ttulo, ao, autores nuevos, y publicador de la Versin Modificada como se da en la Pgina
del Ttulo. Si en el Documento no hay seccin alguna titulada "Historia", crear una que mencione el ttulo,
ao, autores, y publicador del Documento como se da en la Pgina del Ttulo, luego agregar un tem que
describa la Versin Modificada como se mencion en la oracin anterior.
J. Preservar la ubicacin de red, si hay alguna, dada en el Documento para el acceso pblico a una copia
Transparente del Documento, y de la misma manera las ubicaciones de red dadas en el Documento para
las versiones previas en la que el mismo se basa. Estas pueden colocarse en la seccin "Historia". Usted
puede omitir una ubicacin de red para un trabajo que fue publicado al menos cuatro aos antes que el
Documento propiamente dicho, o si el publicador original de la versin a la cual se refiere da permiso.
K. En cualquier seccin titulada "Reconocimientos" o "Dedicatorias", preservar el ttulo de la seccin, y preservar en la seccin toda la sustancia y el tono de cada uno de los reconocimientos a los contribuyentes
y/o dedicaciones aqu mencionados.
L. Preservar todas las Secciones Invariantes del Documento, inalteradas en su texto y en sus ttulos. Los
nmeros de seccin o el equivalente no se consideran parte de los ttulos de seccin.
M. Borrar cualquier seccin titulada "Aprobaciones". Tal seccin no puede incluirse en la Versin Modificada.
N. No cambiar el ttulo de seccin alguna por "Aprobaciones" o de forma tal que genere un conflicto con
cualquier Seccin Invariante.
Si la Versin Modificada incluye nuevas secciones o apndices de carcter central que califican como Secciones
Secundarias y no contienen material copiado del Documento, Usted puede a su eleccin designar a alguna o
todas estas secciones como invariantes. Para hacer esto, agregue los ttulos de las mismas a la lista de Secciones
Invariantes en la nota de licencia de la Versin Modificada. Estos ttulos deben ser distintos de los ttulos de
cualquier otra seccin.
211
5. COMBINANDO DOCUMENTOS
Usted puede combinar el Documento con otros documentos liberados bajo esta Licencia, bajo los trminos
definidos en la seccin 4 de arriba para las versiones modificadas, siempre y cuando incluya en la combinacin
todas las Secciones Invariantes de todos los documentos originales, sin modificaciones, y las liste a todas como
Secciones Invariantes de su trabajo combinado en la nota de licencia del mismo.
El trabajo combinado slo debe contener una copia de esta Licencia, y mltiples Secciones Invariantes idnticas se pueden reemplazar con una copia nica. Si hay mltiples Secciones Invariantes con el mismo nombre
pero contenido diferente, haga que el ttulo de cada una de dichas secciones sea nico, agregando al final del
mismo, entre parntesis, el nombre del autor o editor original de esa seccin si se conoce, o de lo contrario un
nmero nico. Haga el mismo ajuste a los ttulos de seccin en la lista de Secciones Invariantes en la nota de
licencia del trabajo combinado.
En la combinacin, Usted debe combinar cualquier seccin titulada "Historia" en los distintos documentos
originales, formando una seccin titulada "Historia"; de la misma forma, combine cualquier seccin titulada
"Agradecimientos", y cualquier seccin titulada "Dedicatorias". Usted debe borrar todas las secciones tituladas
"Aprobaciones."
6. COLECCIONES DE DOCUMENTOS
Usted puede hacer una coleccin que consista del Documento y otros documentos liberados bajo esta Licencia,
y reemplazar las copias individuales de esta Licencia en los distintos documentos con una nica copia que se
incluya en la coleccin, siempre y cuando siga las reglas de esta Licencia para copiado textual de cada uno de
los documentos en todos los otros sentidos.
Puede extraer un nico documento de tal coleccin, y distribuirlo individualmente bajo esta Licencia, siempre
y cuando inserte una copia de esta Licencia dentro del documento extrado, y siga esta Licencia en todos los
dems sentidos que traten con el copiado literal de ese documento.
212
8. TRADUCCION
La traduccin se considera una especie de modificacin, por lo tanto puede distribuir traducciones del Documento bajo los trminos de la seccin 4. El reemplazo de Secciones Invariantes con traducciones requiere
permiso especial de los propietarios del copyright, pero Usted puede incluir traducciones de alguna o de todas
las Secciones Invariantes adems de las versiones originales de estas Secciones Invariantes. Puede incluir una
traduccin de esta Licencia siempre y cuando tambin incluya la versin original en Ingls de esta Licencia. En
caso de desacuerdo entre la traduccin y la versin original en Ingls de esta Licencia, prevalecer la versin
original en Ingls.
9. TERMINACION
Usted no puede copiar, modificar, sub-licenciar, o distribuir el Documento excepto como se ha previsto para
tales fines bajo esta Licencia. Cualquier otro intento de copiar, modificar, sub-licenciar o distribuir el Documento es nulo, y terminar automticamente sus derechos bajo esta Licencia. Sin embargo, las partes que
han recibido copias, o derechos, de parte de Usted bajo esta Licencia no harn que terminen sus respectivas
licencias mientras que dichas partes permanezcan en completo cumplimiento.
C.3. C
omo usar esta Licencia para sus documentos
Para usar esta Licencia en un documento que Usted ha escrito, incluya una copia de la Licencia en el documento y ponga las notas del copyright y la licencia siguientes justo despus de la pgina del ttulo:
Copyright (c) AO SU NOMBRE. Permission is granted to copy, distribute and/or modify this document under the
terms of the GNU Free Documentation License, Version 1.1 or any later version published by the Free Software Foundation; with the Invariant Sections being LISTE LOS TTULOS, with the Front-Cover Texts being LISTA, and with the
Back-Cover Texts being LISTA. A copy of the license is included in the section entitled "GNU Free Documentation
License".
Si no tiene Seccin Invariante alguna, escriba "sin Secciones Invariantes" en vez de decir cuales secciones son
invariantes. Si no tiene Textos de Tapa, escriba "sin Textos de Tapa" en vez de "Con los Textos de Tapa LISTA";
de la misma forma para los Textos de Contra-tapa.
Si su documento contiene ejemplos no triviales de cdigo de programa, recomendamos liberar estos ejemplos
en paralelo bajo su eleccin de licencia de software libre, tal como la Licencia Pblica General GNU, para
permitir el uso de los ejemplos en software libre.
213
214